手順 2.Step 2. エンタープライズ テナント向け Microsoft 365 の最適なネットワークOptimal networking for your Microsoft 365 for enterprise tenants

Microsoft 365 for enterprise には、Teams や Exchange Online、Microsoft Intune などのクラウド生産性アプリと、Microsoft Azure の多くの ID およびセキュリティ サービスが含まれています。Microsoft 365 for enterprise includes cloud productivity apps such as Teams and Exchange Online, and Microsoft Intune, along with many identity and security services of Microsoft Azure. これらのクラウドベースのサービスはすべて、オンプレミス ネットワークまたはインターネット上の任意の場所にあるクライアント デバイスからの接続のセキュリティ、パフォーマンス、および信頼性に依存します。All of these cloud-based services rely on the security, performance, and reliability of connections from client devices on your on-premises network or any location on the Internet.

テナントのネットワーク アクセスを最適化するには、次の作業を行う必要があります。To optimize network access for your tenant, you need to:

  • オンプレミスユーザーと Microsoft グローバル ネットワークに最も近い場所との間のパスを最適化します。Optimize the path between your on-premises users and the closest location to the Microsoft Global Network.
  • リモート アクセス VPN ソリューションを使用しているリモート ユーザーの Microsoft Global Network へのアクセスを最適化します。Optimize access to the Microsoft Global Network for your remote users that are using a remote access VPN solution.
  • ネットワーク インサイトを使用して、オフィスの場所のネットワーク境界を設計します。Use Network Insights to design the network perimeter for your office locations.
  • SharePoint サイトでホストされている特定のアセットへのアクセスを、365 CDN Office最適化します。Optimize access to specific assets hosted on SharePoint sites with the Office 365 CDN.
  • エンドポイントの一覧を使用して Microsoft 365 信頼済みトラフィックの処理をバイパスし、変更が加わるとリストの更新を自動化するプロキシおよびネットワーク エッジ デバイスを構成します。Configure proxy and network edge devices to bypass processing for Microsoft 365 trusted traffic with the list of endpoints and automate the updating of the list as changes are made.

エンタープライズオンプレミスワーカーEnterprise on-premises workers

エンタープライズ ネットワークの場合は、クライアントと最も近い Microsoft 365 エンドポイント間で最もパフォーマンスの高いネットワーク アクセスを有効にすることで、エンド ユーザー エクスペリエンスを最適化する必要があります。For enterprise networks, you should optimize the end user experience by enabling the highest-performing network access between clients and the closest Microsoft 365 endpoints. エンド ユーザー エクスペリエンスの品質は、ユーザーが使用しているアプリケーションのパフォーマンスと応答性に直接関係します。The quality of end user experience is directly related to the performance and responsiveness of the application that the user is using. たとえば、Microsoft Teams は低遅延に依存して、ユーザーの電話、会議、共有画面のコラボレーションがグリッチフリーになされます。For example, Microsoft Teams relies on low latency so that user phone calls, conferences and shared screen collaborations are glitch-free.

ネットワーク設計の主な目標は、クライアント デバイスから Microsoft Global Network への往復時間 (RTT) を短縮し、Microsoft のすべてのデータセンターを低遅延で相互接続する Microsoft のパブリック ネットワーク バックボーンである、フロント ドアと呼ばれる高可用性クラウド アプリケーション エントリ ポイントを世界中に広げ、待機時間を最小限に抑える必要があります。The primary goal in the network design should be to minimize latency by reducing the round-trip time (RTT) from client devices to the Microsoft Global Network, Microsoft's public network backbone that interconnects all of Microsoft's datacenters with low latency, high availability cloud application entry points, known as front doors, spread around the world.

従来のエンタープライズ ネットワークの例を次に示します。Here is an example of a traditional enterprise network.

インターネットへの集中アクセスを備え、従来のエンタープライズ ネットワーク

この図では、ブランチ オフィスは、ワイド エリア ネットワーク (WAN) デバイスと WAN バックボーンを介して中央オフィスに接続します。In this illustration, branch offices connect to a central office through wide area network (WAN) devices and a WAN backbone. インターネット アクセスは、中央オフィスのネットワーク エッジとインターネット サービス プロバイダー (ISP) のセキュリティまたはプロキシ デバイスを介して行います。Internet access is through a security or proxy device at the network edge of the central office and an Internet service provider (ISP). インターネット上では、Microsoft Global Network は世界中の地域で一連のフロント ドアを持っています。On the Internet, the Microsoft Global Network has a series of front doors in regions around the world. 組織は、トラフィックの追加のパケット処理とセキュリティのために中間の場所を使用できます。Organizations can also use intermediate locations for additional packet processing and security for traffic. 組織の Microsoft 365 テナントは、Microsoft グローバル ネットワーク内に位置します。An organization's Microsoft 365 tenant is located within the Microsoft Global Network.

Microsoft 365 クラウド サービスのこの構成の問題は次のとおりです。The problems with this configuration for Microsoft 365 cloud services are:

  • ブランチ オフィスのユーザーの場合、トラフィックはローカル以外のフロント ドアに送信され、待機時間が増加します。For users in branch offices, traffic gets sent to non-local front doors, increasing latency.
  • 中間の場所にトラフィックを送信すると、信頼できるトラフィックで重複するパケット処理を実行するネットワーク ヘアピンが作成され、待機時間が長くなる。Sending traffic to intermediate locations create network hairpins that perform duplicate packet processing on trusted traffic, increasing latency.
  • ネットワーク エッジ デバイスは、信頼できるトラフィックで不要で重複したパケット処理を実行し、待機時間を長くします。Network edge devices perform unneeded and duplicate packet processing on trusted traffic, increasing latency.

Microsoft 365 ネットワークパフォーマンスの最適化は複雑である必要はありません。Optimizing Microsoft 365 network performance doesn't need to be complicated. 次の主要な原則に従って、可能な限り最高のパフォーマンスを得る方法があります。You can get the best possible performance by following a few key principles:

  • Microsoft クラウド サービス宛ての信頼できるトラフィックである Microsoft 365 ネットワーク トラフィックを特定します。Identify Microsoft 365 network traffic, which is trusted traffic destined to Microsoft cloud services.
  • ユーザーが Microsoft 365 に接続する各場所からインターネットへの Microsoft 365 ネットワーク トラフィックのローカル ブランチ出力を許可します。Allow local branch egress of Microsoft 365 network traffic to the internet from each location where users connect to Microsoft 365.
  • ネットワーク ヘアピンを使用しないようにします。Avoid network hairpins.
  • Microsoft 365 トラフィックがプロキシとパケット検査デバイスをバイパスできます。Allow Microsoft 365 traffic to bypass proxies and packet inspection devices.

これらの原則を実装すると、Microsoft 365 用に最適化されたエンタープライズ ネットワークが得されます。If you implement these principles, you get an enterprise network optimized for Microsoft 365.

Microsoft 365 用に最適化されたエンタープライズ ネットワーク

この図では、ブランチ オフィスはソフトウェア定義の WAN デバイス (SDWAN) デバイスを介して独自のインターネット接続を持ち、信頼できる Microsoft 365 トラフィックを地域で最も近いフロント ドアに送信します。In this illustration, branch offices have their own Internet connection through a software-defined WAN device (SDWAN) device, which sends trusted Microsoft 365 traffic to the regionally closest front door. 中央オフィスでは、信頼できる Microsoft 365 トラフィックはセキュリティまたはプロキシ デバイスをバイパスし、中間デバイスは使用されなくなりました。At the central office, trusted Microsoft 365 traffic bypasses the security or proxy device and intermediate devices are no longer used.

最適化された構成が従来のエンタープライズ ネットワークの待機時間の問題を解決する方法を次に示します。Here's are how the optimized configuration solves the latency issues of a traditional enterprise network:

  • 信頼できる Microsoft 365 トラフィックは、WAN バックボーンをスキップし、すべてのオフィスのローカル フロント ドアに送信され、待機時間が短縮されます。Trusted Microsoft 365 traffic skips the WAN backbone and is sent to local front doors for all offices, decreasing latency.
  • 重複するパケット処理を実行するネットワーク ヘアピンは、Microsoft 365 の信頼できるトラフィックではスキップされ、待機時間が短縮されます。Network hairpins that perform duplicate packet processing are skipped for Microsoft 365 trusted traffic, decreasing latency.
  • 不要で重複したパケット処理を実行するネットワーク エッジ デバイスは、Microsoft 365 の信頼済みトラフィックではスキップされ、待機時間が短縮されます。Network edge devices that perform unneeded and duplicate packet processing are skipped for Microsoft 365 trusted traffic, decreasing latency.

詳細については 、「Microsoft 365 ネットワーク接続の概要」を参照してくださいFor more information, see Microsoft 365 network connectivity overview.

リモート ワーカーRemote workers

リモート ワーカーが従来の VPN クライアントを使用して組織ネットワークへのリモート アクセスを取得している場合は、VPN クライアントがスプリット トンネリング サポートを備えていることを確認してください。If your remote workers are using a traditional VPN client to obtain remote access to your organization network, verify that the VPN client has split tunneling support. スプリット トンネリングを使用しない場合、すべてのリモート作業トラフィックは VPN 接続を介して送信され、そこで組織のエッジ デバイスに転送されて処理され、インターネット上で送信される必要があります。Without split tunneling, all of your remote work traffic gets sent across the VPN connection, where it must be forwarded to your organization’s edge devices, get processed, and then sent on the Internet. 次に例を示します。Here is an example.

トンネリングのない VPN クライアントからのネットワーク トラフィック

この図では、Microsoft 365 トラフィックは組織を通じて間接的なルートを取る必要があります。これは、VPN クライアントの物理的な場所から遠く離れた Microsoft Global Network フロント ドアに転送される可能性があります。In this illustration, Microsoft 365 traffic must take an indirect route through your organization, which could be forwarded to a Microsoft Global Network front door far away from the VPN client’s physical location. この間接パスにより、ネットワーク トラフィックが遅延し、全体的なパフォーマンスを低下させます。This indirect path adds latency to the network traffic and decreases overall performance.

スプリッ トトンネリングを使用すると、VPN クライアントを構成して、特定の種類のトラフィックが VPN 接続を介して、組織ネットワークに送信されることを除外できます。With split tunneling, you can configure your VPN client to exclude specific types of traffic from being sent over the VPN connection to the organization network.

Microsoft 365 クラウドリソースへのアクセスを最適化するには、VPN 接続を介して、最適化 カテゴリの Microsoft 365 エンドポイントへのトラフィックを除外するようにスプリット トンネリング VPN クライアントを構成します。To optimize access to Microsoft 365 cloud resources, configure your split tunneling VPN clients to exclude traffic to the Optimize category Microsoft 365 endpoints over the VPN connection. 詳細については、「365 エンドポイント カテゴリOffice、スプリット トンネリング用のオプティマイズ カテゴリ エンドポイントの一覧」を参照してください。For more information, see Office 365 endpoint categories and the lists of Optimize category endpoints for split tunneling.

Microsoft 365 クラウド アプリへのトラフィックの大部分が VPN 接続をバイパスするスプリット トンネリングの結果として得られるトラフィック フローを次に示します。Here is the resulting traffic flow for split tunneling, in which most of the traffic to Microsoft 365 cloud apps bypass the VPN connection.

トンネリングのある VPN クライアントからのネットワーク トラフィック

この図では、VPN クライアントは、重要な Microsoft 365 クラウド サービス トラフィックをインターネットを通して、Microsoft Global Network に最も近いフロント ドアに直接送信および受信します。In this illustration, the VPN client sends and receives crucial Microsoft 365 cloud service traffic directly over the Internet and to the nearest front door into the Microsoft Global Network.

詳細とガイダンスについては、「VPN スプリット トンネリングを使用してリモート ユーザーの Office 365 の接続を最適化する」をご覧ください。For more information and guidance, see Optimize Office 365 connectivity for remote users using VPN split tunneling.

ネットワーク インサイトの使用 (プレビュー)Using Network Insights (preview)

ネットワーク分析情報は、Microsoft 365 テナントから収集されたパフォーマンス 指標で、オフィスの場所のネットワーク境界を設計するのに役立ちます。Network insights are performance metrics collected from your Microsoft 365 tenant that help you design network perimeters for your office locations. 各分析情報は、オンプレミスユーザーがテナントにアクセスしている地理的な場所ごとに、指定された問題のパフォーマンス特性に関するライブの詳細を提供します。Each insight provides live details about the performance characteristics for a specified issue for each geographic location where on-premises users are accessing your tenant.

テナントには、次の 2 つのテナント レベルのネットワーク分析情報が表示されます。There are two tenant level network insights that may be shown for the tenant:

次に、各オフィスの場所に関する特定のネットワーク インサイトを示します。These are the specific network insights for each office location:

重要

Microsoft 365 管理センターのネットワークインサイト、パフォーマンスの推奨事項、評価は現在プレビュー状態です。Network insights, performance recommendations and assessments in the Microsoft 365 Admin Center is currently in preview status. この機能は、機能プレビュー プログラムに登録されている Microsoft 365 テナントでのみ使用できます。It is only available for Microsoft 365 tenants that have been enrolled in the feature preview program.

詳細については 、「Microsoft 365 Network Insights」を参照してくださいFor more information, see Microsoft 365 Network Insights.

SharePoint のパフォーマンスと 365 CDN OfficeのパフォーマンスSharePoint performance with the Office 365 CDN

クラウドベースのコンテンツ配信ネットワーク (CDN) を使用すると、読み込み時間を短縮し、帯域幅を節約し、応答性を向上できます。A cloud-based Content Delivery Network (CDN) allows you to reduce load times, save bandwidth, and speed responsiveness. CDN は、グラフィック ファイルやビデオ ファイルなどの静的アセットを要求するブラウザーの近くにキャッシュすることでパフォーマンスを向上させます。これにより、ダウンロードの高速化と待機時間の短縮に役立ちます。A CDN improves performance by caching static assets such as graphic or video files closer to the browsers requesting them, which helps to speed up downloads and reduce latency. Microsoft 365 E3 および E5 の SharePoint に含まれる組み込みの Office 365 コンテンツ配信ネットワーク (CDN) を使用して、静的アセットをホストして、SharePoint ページのパフォーマンスを向上させることができます。You can use the built-in Office 365 Content Delivery Network (CDN), included with SharePoint in Microsoft 365 E3 and E5, to host static assets to provide better performance for your SharePoint pages.

Office 365 CDN は静的資産を複数の場所 (元の場所) でホストできる複数の CDN で構成されているため、静的資産をグローバルな高速ネットワークから提供することができます。The Office 365 CDN is composed of multiple CDNs that allow you to host static assets in multiple locations, or origins, and serve them from global high-speed networks. Office 365 CDN でホストするコンテンツの種類に応じて、パブリックオリジン、プライベート オリジン、または両方を追加できます。Depending on the kind of content you want to host in the Office 365 CDN, you can add public origins, private origins, or both.

展開および構成すると、Office 365 CDN はパブリックおよびプライベートの配信元からアセットをアップロードし、インターネット上にあるユーザーに高速にアクセスできます。When deployed and configured, the Office 365 CDN uploads assets from public and private origins and makes them available for fast access to users located across the Internet.

Office 365 CDN が展開されている場合Office 365 CDN deployed for users

詳細については 、「Use the Office 365 CDN with SharePoint Online」を参照してくださいFor more information, see Use the Office 365 CDN with SharePoint Online.

エンドポイントの自動一覧Automated endpoint listing

オンプレミスのクライアント、エッジ デバイス、クラウドベースのパケット分析サービスが信頼できる Microsoft 365 トラフィックの処理をスキップするには、Microsoft 365 サービスに対応する一連のエンドポイント (IP アドレス範囲と DNS 名) で構成する必要があります。To have your on-premises clients, edge devices, and cloud-based packet analysis services skip processing of trusted Microsoft 365 traffic, you must configure them with the set of endpoints (IP address ranges and DNS names) corresponding to Microsoft 365 services. これらのエンドポイントは、ファイアウォールや他のエッジ セキュリティ デバイス、クライアント コンピューターがプロキシをバイパスする PAC ファイル、ブランチ オフィスの SD-WAN デバイスで手動で構成できます。These endpoints can be manually configured in firewalls and other edge security devices, PAC files for client computers to bypass proxies, or SD-WAN devices at branch offices. ただし、エンドポイントは時間の間に変化し、これらの場所でエンドポイント リストを継続的に手動でメンテナンスする必要があります。However, the endpoints change over time, requiring ongoing manual maintenance of the endpoint lists in these locations.

クライアント PAC ファイルおよびネットワーク デバイス内の Microsoft 365 エンドポイントの一覧と変更管理を自動化するには 、Office 365 IPアドレスと URL REST ベースの Web サービスを使用します。To automate the listing and change management for Microsoft 365 endpoints in your client PAC files and network devices, use the Office 365 IP Address and URL REST-based web service. このサービスを使用すると、Microsoft 365 ネットワーク トラフィックの識別と区別が容易になり、最新の変更を評価、構成、および最新の状態に変えやすくなります。This service helps you better identify and differentiate Microsoft 365 network traffic, making it easier for you to evaluate, configure, and stay current with the latest changes.

PowerShell、Python、または他の言語を使用して、時間の間にエンドポイントに対する変更を決定し、PAC ファイルとエッジ ネットワーク デバイスを構成できます。You can use PowerShell, Python, or other languages to determine the changes to endpoints over time and configure your PAC files and edge network devices.

基本的なプロセスは次の手順です。The basic process is:

  1. MICROSOFT 365 エンドポイントOfficeセットを使用して PAC ファイルとネットワーク デバイスを構成するには、365 IP アドレスと URL Web サービス、および選択した構成メカニズムを使用します。Use the Office 365 IP Address and URL web service and the configuration mechanism of your choice to configure your PAC files and network devices with the current set of Microsoft 365 endpoints.
  2. 毎日定期的に実行して、エンドポイントの変更を確認するか、通知方法を使用します。Run a daily recurring to check for changes in the endpoints or use a notification method.
  3. 変更が検出された場合は、クライアント コンピューターの PAC ファイルを再生成して再配布し、ネットワーク デバイスに変更を加えます。When changes are detected, regenerate and redistribute the PAC file for client computers and make the changes to your network devices.

詳細については 、「365 IP Office URL Web サービス」を参照してくださいFor more information, see Office 365 IP Address and URL web service.

手順 2 の結果Results of Step 2

最適なネットワークを備え、Microsoft 365 テナントの場合は、次の点を決定しました。For your Microsoft 365 tenant with optimal networking, you have determined:

  • すべてのブランチ オフィスにインターネット接続を追加し、ネットワーク ヘアピンを排除して、オンプレミス ユーザーのネットワーク パフォーマンスを最適化する方法。How to optimize network performance for on-premises users by adding Internet connections to all branch offices and eliminating network hairpins.
  • 継続的な更新プログラム (エンタープライズ ネットワークに最適) を含む、クライアント ベースの PAC ファイルとネットワーク デバイスとサービスに対して、信頼できるエンドポイントの自動登録を実装する方法。How to implement automated trusted endpoint listing for your client-based PAC files and your network devices and services, including ongoing updates (most suitable for enterprise networks).
  • リモート ワーカーからオンプレミス リソースへのアクセスをサポートする方法。How to support the access of remote workers to on-premises resources.
  • ネットワーク インサイトの使い方How to use Network Insights
  • 365 CDN Office展開する方法。How to deploy the Office 365 CDN.

最適なネットワークを持つエンタープライズ組織とそのテナントの例を次に示します。Here is an example of an enterprise organization and its tenant with optimal networking.

最適なネットワークを持つテナントの例

このイメージのより大きなバージョンを表示するSee a larger version of this image

この図では、このエンタープライズ組織のテナントには次の機能があります。In this illustration, the tenant for this enterprise organization has:

  • 信頼できる Microsoft 365 トラフィックをローカル フロント ドアに転送する SDWAN デバイスを使用した各ブランチ オフィスのローカル インターネット アクセス。Local internet access for each branch office with an SDWAN device that forwards trusted Microsoft 365 traffic to a local front door.
  • ネットワーク ヘアピンはありません。No network hairpins.
  • Microsoft 365 の信頼できるトラフィックをローカルのフロント ドアに転送する、Office のセキュリティとプロキシ エッジ デバイス。Central office security and proxy edge devices that forward Microsoft 365 trusted traffic to a local front door.

最適なネットワークのための継続的なメンテナンスOngoing maintenance for optimal networking

継続的に、次の必要が生じ得る場合があります。On an ongoing basis, you might need to:

  • エンドポイントの変更のためにエッジ デバイスと展開された PAC ファイルを更新するか、自動化されたプロセスが正しく動作するか確認します。Update your edge devices and deployed PAC files for changes in endpoints or verify that your automated process works properly.
  • 365 CDN のOffice管理します。Manage your assets in the Office 365 CDN.
  • エンドポイントの変更については、VPN クライアントの分割トンネリング構成を更新します。Update the split tunneling configuration in your VPN clients for changes in endpoints.

次の手順Next step

手順 3.ID を同期し、セキュリティで保護されたサインインを適用するStep 3. Synchronize your identities and enforce secure sign-ins

ID を 続行して 、オンプレミスのアカウントとグループを同期し、セキュリティで保護されたユーザー サインインを適用します。Continue with identity to synchronize your on-premises accounts and groups and enforce secure user sign-ins.