Passaggio 2.Step 2. Rete ottimale per la Microsoft 365 per i tenant aziendaliOptimal networking for your Microsoft 365 for enterprise tenants

Microsoft 365 per le aziende include app di produttività cloud come Teams, Exchange Online e Microsoft Intune, insieme a molti servizi di identità e sicurezza di Microsoft Azure.Microsoft 365 for enterprise includes cloud productivity apps such as Teams and Exchange Online, and Microsoft Intune, along with many identity and security services of Microsoft Azure. Tutti questi servizi basati sul cloud si basano sulla sicurezza, sulle prestazioni e sull'affidabilità delle connessioni dai dispositivi client nella rete locale o in qualsiasi posizione su Internet.All of these cloud-based services rely on the security, performance, and reliability of connections from client devices on your on-premises network or any location on the Internet.

Per ottimizzare l'accesso alla rete per il tenant, è necessario:To optimize network access for your tenant, you need to:

  • Ottimizzare il percorso tra gli utenti locali e la posizione più vicina a Microsoft Global Network.Optimize the path between your on-premises users and the closest location to the Microsoft Global Network.
  • Ottimizzare l'accesso a Microsoft Global Network per gli utenti remoti che utilizzano una soluzione VPN di accesso remoto.Optimize access to the Microsoft Global Network for your remote users that are using a remote access VPN solution.
  • Usare Network Insights per progettare il perimetro di rete per le posizioni dell'ufficio.Use Network Insights to design the network perimeter for your office locations.
  • Ottimizzare l'accesso a risorse specifiche ospitate SharePoint siti con Office 365 rete CDN.Optimize access to specific assets hosted on SharePoint sites with the Office 365 CDN.
  • Configurare i dispositivi proxy e perimetrali di rete per ignorare l'elaborazione per Microsoft 365 traffico attendibile con l'elenco di endpoint e automatizzare l'aggiornamento dell'elenco quando vengono apportate modifiche.Configure proxy and network edge devices to bypass processing for Microsoft 365 trusted traffic with the list of endpoints and automate the updating of the list as changes are made.

Enterprise dipendenti localiEnterprise on-premises workers

Per le reti aziendali, è consigliabile ottimizzare l'esperienza utente finale abilitando l'accesso di rete con le prestazioni più alte tra i client e gli endpoint Microsoft 365 più vicini.For enterprise networks, you should optimize the end user experience by enabling the highest-performing network access between clients and the closest Microsoft 365 endpoints. La qualità dell'esperienza utente finale è direttamente correlata alle prestazioni e alla velocità di risposta dell'applicazione utilizzata dall'utente.The quality of end user experience is directly related to the performance and responsiveness of the application that the user is using. Ad esempio, Microsoft Teams si basa su una bassa latenza in modo che le chiamate telefoniche, le conferenze e le collaborazioni su schermo condivise siano senza problemi.For example, Microsoft Teams relies on low latency so that user phone calls, conferences and shared screen collaborations are glitch-free.

L'obiettivo principale nella progettazione della rete deve essere ridurre al minimo la latenza riducendo il tempo di andata e ritorno (RTT) dai dispositivi client a Microsoft Global Network, la backbone di rete pubblica di Microsoft che collega tutti i data center di Microsoft con punti di ingresso dell'applicazione cloud a bassa latenza e disponibilità elevata, noti come porte anteriori, distribuiti in tutto il mondo.The primary goal in the network design should be to minimize latency by reducing the round-trip time (RTT) from client devices to the Microsoft Global Network, Microsoft's public network backbone that interconnects all of Microsoft's datacenters with low latency, high availability cloud application entry points, known as front doors, spread around the world.

Ecco un esempio di rete aziendale tradizionale.Here is an example of a traditional enterprise network.

Una rete aziendale tradizionale con accesso centrale a Internet

In questa illustrazione, le succursali si connettono a un ufficio centrale tramite dispositivi WAN (Wide Area Network) e una backbone WAN.In this illustration, branch offices connect to a central office through wide area network (WAN) devices and a WAN backbone. L'accesso a Internet è tramite un dispositivo di sicurezza o proxy nella rete dell'ufficio centrale e un provider di servizi Internet (ISP).Internet access is through a security or proxy device at the network edge of the central office and an Internet service provider (ISP). Su Internet, Microsoft Global Network dispone di una serie di porte anteriori nelle aree geografiche di tutto il mondo.On the Internet, the Microsoft Global Network has a series of front doors in regions around the world. Le organizzazioni possono inoltre utilizzare posizioni intermedie per l'elaborazione e la sicurezza dei pacchetti aggiuntive per il traffico.Organizations can also use intermediate locations for additional packet processing and security for traffic. Il tenant di Microsoft 365'organizzazione si trova all'interno di Microsoft Global Network.An organization's Microsoft 365 tenant is located within the Microsoft Global Network.

I problemi relativi a questa configurazione per Microsoft 365 cloud sono:The problems with this configuration for Microsoft 365 cloud services are:

  • Per gli utenti nelle succursali, il traffico viene inviato alle porte anteriori non locali, aumentando la latenza.For users in branch offices, traffic gets sent to non-local front doors, increasing latency.
  • L'invio di traffico a posizioni intermedie crea hairpin di rete che eseguono l'elaborazione di pacchetti duplicati sul traffico attendibile, aumentando la latenza.Sending traffic to intermediate locations create network hairpins that perform duplicate packet processing on trusted traffic, increasing latency.
  • I dispositivi perimetrali di rete eseguono un'elaborazione dei pacchetti non richiesta e duplicata sul traffico attendibile, aumentando la latenza.Network edge devices perform unneeded and duplicate packet processing on trusted traffic, increasing latency.

L'ottimizzazione Microsoft 365 prestazioni di rete non deve essere complicata.Optimizing Microsoft 365 network performance doesn't need to be complicated. È possibile ottenere le migliori prestazioni possibili seguendo alcuni principi chiave:You can get the best possible performance by following a few key principles:

  • Identificare Microsoft 365 di rete, ovvero il traffico attendibile destinato ai servizi cloud Microsoft.Identify Microsoft 365 network traffic, which is trusted traffic destined to Microsoft cloud services.
  • Consentire l'uscita del ramo locale Microsoft 365 traffico di rete verso Internet da ogni posizione in cui gli utenti si connettono Microsoft 365.Allow local branch egress of Microsoft 365 network traffic to the internet from each location where users connect to Microsoft 365.
  • Evitare i tornanti di rete.Avoid network hairpins.
  • Consentire Microsoft 365 traffico di ignorare proxy e dispositivi di ispezione dei pacchetti.Allow Microsoft 365 traffic to bypass proxies and packet inspection devices.

Se si implementano questi principi, si ottiene una rete aziendale ottimizzata per Microsoft 365.If you implement these principles, you get an enterprise network optimized for Microsoft 365.

Una rete aziendale ottimizzata per la Microsoft 365

In questa illustrazione, le succursali dispongono di una propria connessione Internet tramite un dispositivo SDWAN (Software-Defined WAN Device), che invia il traffico Microsoft 365 trusted alla porta principale più vicina a livello regionale.In this illustration, branch offices have their own Internet connection through a software-defined WAN device (SDWAN) device, which sends trusted Microsoft 365 traffic to the regionally closest front door. Nell'ufficio centrale, il traffico Microsoft 365 ignora il dispositivo di sicurezza o proxy e i dispositivi intermedi non vengono più utilizzati.At the central office, trusted Microsoft 365 traffic bypasses the security or proxy device and intermediate devices are no longer used.

Ecco come la configurazione ottimizzata risolve i problemi di latenza di una rete aziendale tradizionale:Here's are how the optimized configuration solves the latency issues of a traditional enterprise network:

  • Il Microsoft 365 attendibile ignora la backbone WAN e viene inviato alle porte anteriori locali per tutti gli uffici, riducendo la latenza.Trusted Microsoft 365 traffic skips the WAN backbone and is sent to local front doors for all offices, decreasing latency.
  • I hairpin di rete che eseguono l'elaborazione di pacchetti duplicati vengono ignorati per Microsoft 365 traffico attendibile, riducendo la latenza.Network hairpins that perform duplicate packet processing are skipped for Microsoft 365 trusted traffic, decreasing latency.
  • I dispositivi perimetrali di rete che eseguono l'elaborazione di pacchetti non necessario e duplicati vengono ignorati per Microsoft 365 traffico attendibile, riducendo la latenza.Network edge devices that perform unneeded and duplicate packet processing are skipped for Microsoft 365 trusted traffic, decreasing latency.

Per ulteriori informazioni, vedere panoramica Microsoft 365 connettività di rete.For more information, see Microsoft 365 network connectivity overview.

Lavoratori remotiRemote workers

Se i lavoratori remoti usano un client VPN tradizionale per ottenere l'accesso remoto alla rete dell'organizzazione, verificare che nel client VPN vi sia la modalità split tunneling.If your remote workers are using a traditional VPN client to obtain remote access to your organization network, verify that the VPN client has split tunneling support. Senza split tunneling, tutto il traffico di lavoro remoto viene inviato attraverso la connessione VPN, tramite la quale viene poi inoltrato ai dispositivi perimetrali dell'organizzazione per essere quindi elaborato e inviato su Internet.Without split tunneling, all of your remote work traffic gets sent across the VPN connection, where it must be forwarded to your organization’s edge devices, get processed, and then sent on the Internet. Ecco un esempio.Here is an example.

Traffico di rete dai client VPN senza tunneling

In questa figura, Microsoft 365 traffico deve eseguire una route indiretta attraverso l'organizzazione, che potrebbe essere inoltrata a una porta principale di Microsoft Global Network lontano dalla posizione fisica del client VPN.In this illustration, Microsoft 365 traffic must take an indirect route through your organization, which could be forwarded to a Microsoft Global Network front door far away from the VPN client’s physical location. Questo percorso indiretto aggiunge latenza al traffico di rete e riduce le prestazioni complessive.This indirect path adds latency to the network traffic and decreases overall performance.

Grazie alla modalità split tunneling, è possibile configurare il client VPN per escludere tipi specifici di traffico da inviare tramite la connessione VPN alla rete dell'organizzazione.With split tunneling, you can configure your VPN client to exclude specific types of traffic from being sent over the VPN connection to the organization network.

Per ottimizzare l'accesso alle risorse cloud di Microsoft 365, configurare i client VPN di split tunneling per escludere il traffico agli endpoint di Microsoft 365 di categoria Ottimizzazione tramite connessione VPN.To optimize access to Microsoft 365 cloud resources, configure your split tunneling VPN clients to exclude traffic to the Optimize category Microsoft 365 endpoints over the VPN connection. Per ulteriori informazioni, vedere Office 365 di endpoint e gli elenchi di endpoint di categoria Optimize per lo split tunneling.For more information, see Office 365 endpoint categories and the lists of Optimize category endpoints for split tunneling.

Ecco il flusso di traffico risultante per lo split tunneling, in cui la maggior parte del traffico verso Microsoft 365 cloud ignora la connessione VPN.Here is the resulting traffic flow for split tunneling, in which most of the traffic to Microsoft 365 cloud apps bypass the VPN connection.

Traffico di rete dai client VPN con tunneling

In questa illustrazione, il client VPN invia e riceve il traffico fondamentale del servizio cloud Microsoft 365 direttamente su Internet e verso la porta principale più vicina alla rete globale Microsoft.In this illustration, the VPN client sends and receives crucial Microsoft 365 cloud service traffic directly over the Internet and to the nearest front door into the Microsoft Global Network.

Per informazioni dettagliate e per materiale sussidiario, consultare Ottimizzare la connettività di Office 365 per gli utenti remoti tramite split tunneling per VPN.For more information and guidance, see Optimize Office 365 connectivity for remote users using VPN split tunneling.

Uso di Network Insights (anteprima)Using Network Insights (preview)

Le informazioni dettagliate sulla rete sono metriche sulle prestazioni raccolte dal tenant Microsoft 365 che consentono di progettare perimetri di rete per le posizioni dell'ufficio.Network insights are performance metrics collected from your Microsoft 365 tenant that help you design network perimeters for your office locations. Ogni approfondimento fornisce dettagli in tempo reale sulle caratteristiche delle prestazioni per un problema specifico per ogni posizione geografica in cui gli utenti locali accedono al tenant.Each insight provides live details about the performance characteristics for a specified issue for each geographic location where on-premises users are accessing your tenant.

Sono disponibili due informazioni dettagliate sulla rete a livello di tenant che possono essere visualizzate per il tenant:There are two tenant level network insights that may be shown for the tenant:

Queste sono le informazioni dettagliate di rete specifiche per ogni posizione dell'ufficio:These are the specific network insights for each office location:

Importante

Informazioni dettagliate sulla rete, consigli sulle prestazioni e valutazioni nell Microsoft 365'interfaccia di amministrazione è attualmente in stato di anteprima.Network insights, performance recommendations and assessments in the Microsoft 365 Admin Center is currently in preview status. È disponibile solo per Microsoft 365 tenant registrati nel programma di anteprima delle funzionalità.It is only available for Microsoft 365 tenants that have been enrolled in the feature preview program.

Per ulteriori informazioni, vedere Microsoft 365 Network Insights.For more information, see Microsoft 365 Network Insights.

SharePoint prestazioni con il Office 365 rete CDNSharePoint performance with the Office 365 CDN

Una soluzione basata su cloud rete per la distribuzione di contenuti (rete CDN) consente di ridurre i tempi di caricamento, risparmiare larghezza di banda e velocità di risposta.A cloud-based Content Delivery Network (CDN) allows you to reduce load times, save bandwidth, and speed responsiveness. Un rete CDN migliora le prestazioni memorizzando nella cache asset statici come file grafici o video più vicini ai browser che li richiedono, per velocizzare i download e ridurre la latenza.A CDN improves performance by caching static assets such as graphic or video files closer to the browsers requesting them, which helps to speed up downloads and reduce latency. Puoi usare il Office 365 rete per la distribuzione di contenuti (rete CDN), incluso con SharePoint in Microsoft 365 E3 ed E5, per ospitare asset statici per garantire prestazioni migliori per le pagine SharePoint.You can use the built-in Office 365 Content Delivery Network (CDN), included with SharePoint in Microsoft 365 E3 and E5, to host static assets to provide better performance for your SharePoint pages.

La rete per la distribuzione di contenuti di Office 365 è costituita da diverse reti per la distribuzione di contenuti che consentono di ospitare le risorse statiche in più località o origini e gestirle da reti globali ad alta velocità.The Office 365 CDN is composed of multiple CDNs that allow you to host static assets in multiple locations, or origins, and serve them from global high-speed networks. A seconda del tipo di contenuto che vuoi ospitare nel Office 365 rete CDN, puoi aggiungere origini pubbliche, origini private o entrambe.Depending on the kind of content you want to host in the Office 365 CDN, you can add public origins, private origins, or both.

Quando viene distribuito e configurato, il Office 365 rete CDN carica gli asset da origini pubbliche e private e li rende disponibili per l'accesso rapido agli utenti che si trovano su Internet.When deployed and configured, the Office 365 CDN uploads assets from public and private origins and makes them available for fast access to users located across the Internet.

Office 365 rete CDN distribuiti per gli utentiOffice 365 CDN deployed for users

Per ulteriori informazioni, vedere Use the Office 365 rete CDN with SharePoint Online.For more information, see Use the Office 365 CDN with SharePoint Online.

Presentazione automatica degli endpointAutomated endpoint listing

Per fare in modo che i client locali, i dispositivi perimetrali e i servizi di analisi dei pacchetti basati su cloud eserevano l'elaborazione del traffico Microsoft 365 attendibile, è necessario configurarli con il set di endpoint (intervalli di indirizzi IP e nomi DNS) corrispondenti ai servizi Microsoft 365.To have your on-premises clients, edge devices, and cloud-based packet analysis services skip processing of trusted Microsoft 365 traffic, you must configure them with the set of endpoints (IP address ranges and DNS names) corresponding to Microsoft 365 services. Questi endpoint possono essere configurati manualmente nei firewall e in altri dispositivi di sicurezza perimetrali, nei file PAC per i computer client per ignorare i proxy o nei dispositivi SD-WAN nelle succursali.These endpoints can be manually configured in firewalls and other edge security devices, PAC files for client computers to bypass proxies, or SD-WAN devices at branch offices. Tuttavia, gli endpoint cambiano nel tempo, richiedendo una manutenzione manuale continua degli elenchi di endpoint in queste posizioni.However, the endpoints change over time, requiring ongoing manual maintenance of the endpoint lists in these locations.

Per automatizzare la gestione delle presentazioni e delle modifiche per gli endpoint di Microsoft 365 nei file PAC client e nei dispositivi di rete, utilizzare il servizio Web basato su REST Office 365 e l'URL.To automate the listing and change management for Microsoft 365 endpoints in your client PAC files and network devices, use the Office 365 IP Address and URL REST-based web service. Questo servizio consente di identificare e differenziare meglio Microsoft 365 di rete, semplificando la valutazione, la configurazione e il rispetto delle modifiche più recenti.This service helps you better identify and differentiate Microsoft 365 network traffic, making it easier for you to evaluate, configure, and stay current with the latest changes.

Puoi usare PowerShell, Python o altri linguaggi per determinare le modifiche apportate agli endpoint nel tempo e configurare i file PAC e i dispositivi di rete perimetrale.You can use PowerShell, Python, or other languages to determine the changes to endpoints over time and configure your PAC files and edge network devices.

Il processo di base è:The basic process is:

  1. Usa il servizio Web Office 365 indirizzo IP e URL e il meccanismo di configurazione di tua scelta per configurare i file PAC e i dispositivi di rete con il set corrente di endpoint Microsoft 365 rete.Use the Office 365 IP Address and URL web service and the configuration mechanism of your choice to configure your PAC files and network devices with the current set of Microsoft 365 endpoints.
  2. Eseguire una ricorrenza giornaliera per verificare la presenza di modifiche negli endpoint o usare un metodo di notifica.Run a daily recurring to check for changes in the endpoints or use a notification method.
  3. Quando vengono rilevate modifiche, rigenerare e ridistribuire il file PAC per i computer client e apportare le modifiche ai dispositivi di rete.When changes are detected, regenerate and redistribute the PAC file for client computers and make the changes to your network devices.

Per ulteriori informazioni, vedere Office 365 ip address and URL web service.For more information, see Office 365 IP Address and URL web service.

Risultati del passaggio 2Results of Step 2

Per il Microsoft 365 tenant con una rete ottimale, è stato determinato:For your Microsoft 365 tenant with optimal networking, you have determined:

  • Come ottimizzare le prestazioni di rete per gli utenti locali aggiungendo connessioni Internet a tutte le succursali ed eliminando i tornanti di rete.How to optimize network performance for on-premises users by adding Internet connections to all branch offices and eliminating network hairpins.
  • Come implementare la presentazione automatica degli endpoint attendibili per i file PAC basati su client e i dispositivi e i servizi di rete, inclusi gli aggiornamenti in corso (più adatti per le reti aziendali).How to implement automated trusted endpoint listing for your client-based PAC files and your network devices and services, including ongoing updates (most suitable for enterprise networks).
  • Come supportare l'accesso dei lavoratori remoti alle risorse locali.How to support the access of remote workers to on-premises resources.
  • Come usare Network InsightsHow to use Network Insights
  • Come distribuire il Office 365 rete CDN.How to deploy the Office 365 CDN.

Ecco un esempio di un'organizzazione aziendale e del relativo tenant con una rete ottimale.Here is an example of an enterprise organization and its tenant with optimal networking.

Esempio di tenant con rete ottimale

Vedi una versione più grande di questa immagineSee a larger version of this image

In questa figura, il tenant per questa organizzazione aziendale dispone di:In this illustration, the tenant for this enterprise organization has:

  • Accesso a Internet locale per ogni succursale con un dispositivo SDWAN che inoltra il traffico Microsoft 365 attendibile a una porta principale locale.Local internet access for each branch office with an SDWAN device that forwards trusted Microsoft 365 traffic to a local front door.
  • Nessun hairpin di rete.No network hairpins.
  • Sicurezza dell'ufficio centrale e dispositivi perimetrali proxy che inoltrano Microsoft 365 traffico attendibile a una porta principale locale.Central office security and proxy edge devices that forward Microsoft 365 trusted traffic to a local front door.

Manutenzione continua per una rete ottimaleOngoing maintenance for optimal networking

Su base continuativa, potrebbe essere necessario:On an ongoing basis, you might need to:

  • Aggiornare i dispositivi perimetrali e i file PAC distribuiti per le modifiche negli endpoint o verificare che il processo automatizzato funzioni correttamente.Update your edge devices and deployed PAC files for changes in endpoints or verify that your automated process works properly.
  • Gestire gli asset nella Office 365 rete CDN.Manage your assets in the Office 365 CDN.
  • Aggiornare la configurazione di split tunneling nei client VPN per le modifiche negli endpoint.Update the split tunneling configuration in your VPN clients for changes in endpoints.

Passaggio successivoNext step

Passaggio 3. Sincronizzare le identità e applicare gli accesso sicuriStep 3. Synchronize your identities and enforce secure sign-ins

Continuare con l'identità per sincronizzare gli account e i gruppi locali e applicare gli accesso degli utenti sicuri.Continue with identity to synchronize your on-premises accounts and groups and enforce secure user sign-ins.