A Proteger o tráfego de mídia do Teams para o túnel dividido de VPN
Nota
Este artigo faz parte de um conjunto de artigos que abordam a otimização do Microsoft 365 para utilizadores remotos.
- Para obter uma descrição geral da utilização do túnel dividido de VPN para otimizar a conectividade do Microsoft 365 para utilizadores remotos, consulte Descrição geral: túnel dividido de VPN para o Microsoft 365.
- Para obter orientações detalhadas sobre a implementação do túnel dividido de VPN, veja Implementar o túnel dividido de VPN para o Microsoft 365.
- Para obter uma lista detalhada dos cenários de túnel dividido de VPN, veja Cenários comuns de túnel dividido de VPN para o Microsoft 365.
- Para obter informações sobre como configurar o Stream e eventos em direto em ambientes VPN, veja Considerações especiais sobre o Stream e eventos em direto em ambientes VPN.
- Para obter informações sobre como otimizar o desempenho de inquilinos do Microsoft 365 em todo o mundo para utilizadores na China, consulte Otimização do desempenho do Microsoft 365 para utilizadores chineses.
Alguns administradores do Microsoft Teams podem precisar de informações detalhadas sobre como os fluxos de chamadas funcionam no Teams através de um modelo de túnel dividido e como as ligações são protegidas.
Configuração
Tanto para chamadas como para reuniões, desde que as sub-redes DE IP otimizadas necessárias para multimédia do Teams estejam corretamente implementadas na tabela de rotas, quando o Teams chamar a função GetBestRoute para determinar que interface local corresponde à rota que deve utilizar para um destino específico, a interface local será devolvida para destinos microsoft nos blocos IP da Microsoft listados acima.
Algum software de cliente VPN permite a manipulação de encaminhamento com base no URL. No entanto, o tráfego de multimédia do Teams não tem nenhum URL associado, pelo que o controlo do encaminhamento para este tráfego tem de ser feito através de sub-redes IP.
Em determinados cenários, muitas vezes não relacionados com a configuração do cliente do Teams, o tráfego de multimédia ainda atravessa o túnel VPN, mesmo com as rotas corretas implementadas. Se encontrar este cenário, a utilização de uma regra de firewall para bloquear as sub-redes ou portas IP do Teams de utilizar a VPN deve ser suficiente.
Importante
Para garantir que o tráfego de multimédia do Teams é encaminhado através do método pretendido em todos os cenários de VPN, certifique-se de que os utilizadores estão a executar a versão de cliente do Microsoft Teams 1.3.00.13565 ou superior. Esta versão inclui melhoramentos na forma como o cliente deteta caminhos de rede disponíveis.
A sinalização do tráfego é efetuada através de HTTPS e não é tão sensível à latência como o tráfego de multimédia e está marcada como Permitir nos dados de URL/IP e, por conseguinte, pode ser encaminhada com segurança através do cliente VPN, se assim o desejar.
Nota
O Microsoft Edge 96 e superior também suportam o túnel dividido de VPN para o tráfego ponto a ponto. Isto significa que os clientes podem beneficiar do túnel dividido de VPN para clientes Web do Teams no Edge, por exemplo. Os clientes que pretendam configurá-lo para sites em execução no Edge podem alcançá-lo ao dar o passo adicional para desativar a política WebRtcRespectOsRoutingTableEnabled do Edge.
Segurança
Um argumento comum para evitar túneis divididos é que é menos seguro fazê-lo, ou seja, qualquer tráfego que não percorra o túnel VPN não beneficiará de qualquer esquema de encriptação aplicado ao túnel VPN e, portanto, é menos seguro.
O principal contra-argumento é que o tráfego de multimédia já está encriptado através do Protocolo SRTP (Secure Real-Time Transport Protocol), um perfil do protocolo RTP (Secure Real-Time Transport Protocol) que fornece proteção contra ataques de confidencialidade, autenticação e repetição ao tráfego RTP. O SRTP depende de uma chave de sessão gerada aleatoriamente, que é trocada através do canal de sinalização seguro TLS. Isto é abordado em grande detalhe neste guia de segurança, mas a secção principal de interesse é a encriptação de multimédia.
O tráfego de multimédia é encriptado com SRTP, que utiliza uma chave de sessão gerada por um gerador de números aleatórios seguro e trocada com o canal TLS de sinalização. Além disso, os suportes de dados que fluem em ambas as direções entre o Servidor de Mediação e o próximo salto interno também são encriptados com SRTP.
Skype para Empresas Online gera nomes de utilizador/palavras-passe para acesso seguro a reencaminhamentos de multimédia através do Traversal Utilizando Reencaminhamentos em torno de NAT (TURN). Os reencaminhamentos de multimédia trocam o nome de utilizador/palavra-passe através de um canal SIP protegido por TLS. Vale a pena notar que, apesar de um túnel VPN poder ser utilizado para ligar o cliente à rede empresarial, o tráfego ainda tem de fluir no respetivo formulário SRTP quando sair da rede empresarial para chegar ao serviço.
As informações sobre como o Teams mitiga preocupações de segurança comuns, tais como utilitários de voz ou utilitários do Session Traversal para ataques de amplificação NAT (STUN) podem ser encontradas na versão 5.1 Considerações de Segurança para Implementadores.
Também pode ler sobre os controlos de segurança modernos em cenários de trabalho remoto em Formas alternativas para profissionais de segurança e TI alcançarem controlos de segurança modernos nos cenários de trabalho remoto exclusivos atuais (blogue da Equipa de Segurança da Microsoft).
Testar
Assim que a política estiver implementada, deve confirmar que está a funcionar conforme esperado. Existem várias formas de testar o caminho que está corretamente definido para utilizar a ligação à Internet local:
Execute o teste de conectividade do Microsoft 365 que irá executar testes de conectividade para si, incluindo rotas de rastreio, conforme acima. Também estamos a adicionar testes de VPN a estas ferramentas que também devem fornecer informações adicionais.
Um rastreio simples para um ponto final dentro do âmbito do túnel dividido deve mostrar o caminho seguido, por exemplo:
tracert worldaz.tr.teams.microsoft.comEm seguida, deverá ver um caminho através do ISP local para este ponto final que deve ser resolvido para um IP nos intervalos do Teams que configurámos para dividir o túnel.
Faça uma captura de rede com uma ferramenta como o Wireshark. Filtre por UDP durante uma chamada e deverá ver o tráfego a fluir para um IP no intervalo Otimização do Teams. Se o túnel VPN estiver a ser utilizado para este tráfego, o tráfego de multimédia não será visível no rastreio.
Registos de suporte adicionais
Se precisar de mais dados para resolver problemas ou se estiver a pedir assistência ao suporte da Microsoft, obter as seguintes informações deverá permitir-lhe acelerar a procura de uma solução. O conjunto de ferramentas de Script de Resolução de Problemas universal baseado em CMD do Windows do suporte da Microsoft pode ajudá-lo a recolher os registos relevantes de forma simples. A ferramenta e as instruções em utilização podem ser encontradas em https://aka.ms/TssTools.
Artigos relacionados
Descrição geral: túnel dividido de VPN para o Microsoft 365
Implementar o túnel dividido de VPN para o Microsoft 365
Cenários comuns de túnel dividido de VPN para o Microsoft 365
Considerações especiais sobre o Stream e eventos em direto em ambientes VPN
Otimização do desempenho do Microsoft 365 para utilizadores da China
Princípios de Conectividade de Rede do Microsoft 365
Avaliar a conectividade de rede do Microsoft 365
Otimização da rede e do desempenho do Microsoft 365
Em execução na VPN: como a Microsoft mantém a sua força de trabalho remota ligada
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários