Оптимизация подключения Office 365 для удаленных пользователей с использованием VPN-туннелированияOptimize Office 365 connectivity for remote users using VPN split tunneling

Для клиентов, которые подключают свои удаленные рабочие устройства к корпоративной сети или облачной инфраструктуре через VPN, Корпорация Майкрософт рекомендует, чтобы ключевые сценарии Office 365 Microsoft Teams, SharePoint Online и Exchange Online были перенапорчены по конфигурации vpn-раздельного туннеля.For customers who connect their remote worker devices to the corporate network or cloud infrastructure over VPN, Microsoft recommends that the key Office 365 scenarios Microsoft Teams, SharePoint Online, and Exchange Online are routed over a VPN split tunnel configuration. Это становится особенно важным в качестве стратегии первой строки, облегчаемой дальнейшей производительности сотрудников во время крупномасштабных внутренних событий, таких как кризис COVID-19.This becomes especially important as the first line strategy to facilitate continued employee productivity during large-scale work-from-home events such as the COVID-19 crisis.

Конфигурация Split Tunnel VPN

Рисунок 1: Решение VPN с разделенным туннелем с определенными исключениями Office 365, отправленными непосредственно в службу. Весь другой трафик проходит через VPN-туннель независимо от пункта назначения.Figure 1: A VPN split tunnel solution with defined Office 365 exceptions sent directly to the service. All other traffic traverses the VPN tunnel regardless of destination.

Суть этого подхода заключается в том, чтобы предоставить предприятиям простой метод снижения риска насыщения инфраструктуры VPN и существенного повышения производительности Office 365 в кратчайшие сроки.The essence of this approach is to provide a simple method for enterprises to mitigate the risk of VPN infrastructure saturation and dramatically improve Office 365 performance in the shortest timeframe possible. Конфигурирование VPN-клиентов для обеспечения возможности пропускания наиболее критически важного трафика Office 365 в обход VPN-туннеля обеспечивает следующие преимущества:Configuring VPN clients to allow the most critical, high volume Office 365 traffic to bypass the VPN tunnel achieves the following benefits:

  • Немедленно устраняет основную причину большинства проблем производительности и емкости сети, о которых сообщают клиенты, в архитектурах корпоративной VPN, влияющих на работу пользователей Office 365Immediately mitigates the root cause of a majority of customer-reported performance and network capacity issues in enterprise VPN architectures impacting Office 365 user experience

    Рекомендуемое решение специально предназначено для конечных точек службы Office 365, отнесенных к категории Оптимизировать в разделе URL-адреса и диапазоны IP-адресов Office 365.The recommended solution specifically targets Office 365 service endpoints categorized as Optimize in the topic Office 365 URLs and IP address ranges. Трафик в эти конечные точки очень чувствителен к задержке и управлению пропускной способностью, и его обход VPN-тоннеля может значительно повысить производительность конечного пользователя, а также снизить нагрузку на корпоративную сеть.Traffic to these endpoints is highly sensitive to latency and bandwidth throttling, and enabling it to bypass the VPN tunnel can dramatically improve the end-user experience as well as reduce the corporate network load. Соединения Office 365, которые не составляют большую часть полосы пропускания или воздействия на пользователя, могут по-прежнему маршрутизироваться через VPN-туннель вместе с остальным интернет-трафиком.Office 365 connections that do not constitute the majority of bandwidth or user experience footprint can continue to be routed through the VPN tunnel along with the rest of the Internet-bound traffic. Для получения дополнительной информации см. Стратегию VPN с разделенным туннелем.For more information, see The VPN split tunnel strategy.

  • Клиенты могут быстро настраивать, тестировать и внедрять их без дополнительных требований к инфраструктуре или приложениям.Can be configured, tested, and implemented rapidly by customers and with no additional infrastructure or application requirements

    В зависимости от платформы VPN и сетевой архитектуры, внедрение может занять всего несколько часов.Depending on the VPN platform and network architecture, implementation can take as little as a few hours. Дополнительные сведения см. в статье Внедрение раздельного VPN-туннелирования.For more information, see Implement VPN split tunneling.

  • Сохраняет состояние безопасности реализации VPN клиента, не меняя способ маршрутизации других соединений, включая трафик в ИнтернетPreserves the security posture of customer VPN implementations by not changing how other connections are routed, including traffic to the Internet

    Рекомендуемая конфигурация следует принципу наименьших привилегий для исключений трафика VPN и позволяет клиентам реализовать VPN с разделенным туннелем, не подвергая пользователей или инфраструктуру дополнительным рискам безопасности.The recommended configuration follows the least privilege principle for VPN traffic exceptions and allows customers to implement split tunnel VPN without exposing users or infrastructure to additional security risks. Сетевой трафик, который Office 365 конечные точки, шифруется, проверяется на целостность стеками Office клиентских приложений и в области IP-адресов, посвященных Office 365 службам, которые закалены как на уровне приложений, так и на уровне сети.Network traffic routed directly to Office 365 endpoints is encrypted, validated for integrity by Office client application stacks and scoped to IP addresses dedicated to Office 365 services that are hardened at both the application and network level. Дополнительные сведения см. в разделе Альтернативные способы обеспечения профессионалами безопасности и ИТ-отделом современных средств управления безопасностью в современных уникальных сценариях удаленной работы (блог Microsoft Security Team).For more information, see Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios (Microsoft Security Team blog).

  • Поддерживается большинством корпоративных VPN-платформIs natively supported by most enterprise VPN platforms

    Microsoft продолжает сотрудничать с отраслевыми партнерами, производящими коммерческие решения VPN, чтобы помочь партнерам разработать целевые руководства и шаблоны конфигурации для своих решений в соответствии с приведенными выше рекомендациями.Microsoft continues to collaborate with industry partners producing commercial VPN solutions to help partners develop targeted guidance and configuration templates for their solutions in alignment with the above recommendations. Для получения дополнительной информации см. Руководства HOWTO для распространенных платформ VPN.For more information, see HOWTO guides for common VPN platforms.

Совет

Microsoft рекомендует сосредоточить конфигурацию VPN с разделенным туннелем на задокументированных выделенных диапазонах IP-адресов для служб Office 365.Microsoft recommends focusing split tunnel VPN configuration on documented dedicated IP ranges for Office 365 services. Конфигурации разделенного туннеля на основе FQDN или AppID, хотя и возможны на определенных клиентских платформах VPN, могут не полностью покрывать ключевые сценарии Office 365 и могут конфликтовать с правилами маршрутизации VPN на основе IP.FQDN or AppID-based split tunnel configurations, while possible on certain VPN client platforms, may not fully cover key Office 365 scenarios and may conflict with IP based VPN routing rules. По этой причине Microsoft не рекомендует использовать полные доменные имена Office 365 для настройки VPN с разделенным туннелем.For this reason, Microsoft does not recommend using Office 365 FQDNs to configure split tunnel VPN. Использование конфигурации FQDN может быть полезно в других связанных сценариях, таких как настройки файла .pac или для реализации обхода прокси.The use of FQDN configuration may be useful in other related scenarios, such as .pac file customizations or to implement proxy bypass.

Полное руководство по внедрению см. в статье Внедрение раздельного VPN-туннелирования для Office 365.For full implementation guidance, see Implementing VPN split tunneling for Office 365.

Для пошагового процесса настройки Microsoft 365 удаленных сотрудников см. в перенастройке инфраструктуры для удаленной работыFor a step-by-step process to configure Microsoft 365 for remote workers, see Set up your infrastructure for remote work

Стратегия VPN с разделением туннелейThe VPN split tunnel strategy

Традиционные корпоративные сети часто разрабатываются для безопасной работы в мире, предшествующем облачным вычислениям, где наиболее важные данные, службы, приложения размещаются в локальной сети и напрямую подключаются к внутренней корпоративной сети, как и большинство пользователей.Traditional corporate networks are often designed to work securely for a pre-cloud world where most important data, services, applications are hosted on premises and are directly connected to the internal corporate network, as are the majority of users. Таким образом, сетевая инфраструктура построена вокруг этих элементов в том, что филиалы подключены к головному офису через сети многопротокольной коммутации по меткам (MPLS), а удаленные пользователи должны подключаться к корпоративной сети через VPN для доступа как к конечным точкам помещений, так и к Интернету.Thus network infrastructure is built around these elements in that branch offices are connected to the head office via Multiprotocol Label Switching (MPLS) networks, and remote users must connect to the corporate network over a VPN to access both on premises endpoints and the Internet. В этой модели весь трафик от удаленных пользователей проходит через корпоративную сеть и направляется в облачную службу через общую выходную точку.In this model, all traffic from remote users traverses the corporate network and is routed to the cloud service through a common egress point.

Принудительная настройка VPN

Рисунок 2: Общее решение VPN для удаленных пользователей, когда весь трафик возвращается в корпоративную сеть независимо от места назначенияFigure 2: A common VPN solution for remote users where all traffic is forced back into the corporate network regardless of destination

По мере перемещения данных и приложений в облако эта модель стала менее эффективной, поскольку она быстро становится громоздкой, дорогостоящей и непосчитаемой, что значительно влияет на производительность и эффективность работы сети пользователей и ограничивает возможности организации адаптироваться к меняющимся потребностям.As organizations move data and applications to the cloud, this model has begun to become less effective as it quickly becomes cumbersome, expensive, and unscalable, significantly impacting network performance and efficiency of users and restricting the ability of the organization to adapt to changing needs. Многочисленные клиенты Майкрософт сообщали, что несколько лет назад 80% сетевого трафика было внутренним, но в 2020 году 80% плюс трафик подключается к внешнему облачному ресурсу.Numerous Microsoft customers have reported that a few years ago 80% of network traffic was to an internal destination, but in 2020 80% plus of traffic connects to an external cloud-based resource.

Кризис COVID-19 усугубил эту проблему и потребовал немедленных решений для подавляющего большинства организаций.The COVID-19 crisis has aggravated this problem to require immediate solutions for the vast majority of organizations. Многие клиенты обнаружили, что модель принудительной VPN не масштабируется или не обеспечивает достаточную производительность для 100% сценариев удаленной работы, таких как тот, который потребовался в результате этого кризиса.Many customers have found that the forced VPN model is not scalable or performant enough for 100% remote work scenarios such as that which this crisis has necessitated. Для эффективной работы этих организаций необходимы быстрые решения.Rapid solutions are required for these organizations to continue to operate efficiently.

Для службы Office 365 Microsoft разработала требования к подключению для службы с учетом этой проблемы, в которой целенаправленный, жестко управляемый и относительно статический набор конечных точек службы можно оптимизировать очень просто и быстро, чтобы обеспечить высокую производительность для пользователей, доступ к службе, а также снизить нагрузку на инфраструктуру VPN, чтобы она может использоваться трафиком, который по-прежнему требует этого.For the Office 365 service, Microsoft has designed the connectivity requirements for the service with this problem squarely in mind, where a focused, tightly controlled and relatively static set of service endpoints can be optimized very simply and quickly so as to deliver high performance for users accessing the service, and reducing the burden on the VPN infrastructure so it can be used by traffic that still requires it.

Office 365 разделяет обязательные конечные точки для Office 365 на три категории: оптимизация, разрешение и по умолчанию.Office 365 categorizes the required endpoints for Office 365 into three categories: Optimize, Allow, and Default. Конечные точки с меткой Оптимизация находятся в центре нашего внимания и имеют следующие характеристики:Optimize endpoints are our focus here and have the following characteristics:

  • Находятся ли Microsoft в собственности и управляются конечными точками, размещенными на инфраструктуре MicrosoftAre Microsoft owned and managed endpoints, hosted on Microsoft infrastructure
  • Предназначены для основных рабочих нагрузок Office 365, таких как Exchange Online, SharePoint Online, Skype для бизнеса Online и Microsoft TeamsAre dedicated to core Office 365 workloads such as Exchange Online, SharePoint Online, Skype for Business Online, and Microsoft Teams
  • Есть IP-адресаHave IPs provided
  • Низкий уровень изменений и, как ожидается, останется небольшим числом (в настоящее время 20 IP-подсетей)Low rate of change and are expected to remain small in number (currently 20 IP subnets)
  • Чувствительны к большой громкости и / или задержкеAre high volume and/or latency sensitive
  • Могут иметь необходимые элементы безопасности, предоставляемые в сервисе, а не встроенные в сетьAre able to have required security elements provided in the service rather than inline on the network
  • На его долю приходится около 70-80% объема трафика службы Office 365Account for around 70-80% of the volume of traffic to the Office 365 service

Этот ограниченный набор конечных точек можно выделить из принудительного VPN-туннеля и безопасно и напрямую отправить в службу Office 365 через локальный интерфейс пользователя.This tightly scoped set of endpoints can be split out of the forced VPN tunnel and sent securely and directly to the Office 365 service via the user's local interface. Это называется раздельное туннелирование.This is known as split tunneling.

Такие элементы безопасности, как DLP, защита av, проверка подлинности и управление доступом, могут быть доставлены гораздо эффективнее в отношении этих конечных точек на разных уровнях службы.Security elements such as DLP, AV protection, authentication, and access control can all be delivered much more efficiently against these endpoints at different layers within the service. Так как мы также отвлекаем основную часть объема трафика от решения VPN, это освободит емкость VPN для критически важного для бизнеса трафика, который по-прежнему зависит от него.As we also divert the bulk of the traffic volume away from the VPN solution, this frees the VPN capacity up for business critical traffic that still relies on it. Это также должно устранить необходимость во многих случаях проходить длительную и дорогостоящую программу обновления, чтобы справиться с этим новым способом работы.It also should remove the need in many cases to go through a lengthy and costly upgrade program to deal with this new way of operating.

Сведения Tunnel конфигурации VPN

Рисунок 3: Решение VPN с разделенным туннелем с определенными исключениями Office 365, отправленными непосредственно в службу. Весь остальной трафик возвращается обратно в корпоративную сеть независимо от пункта назначения.Figure 3: A VPN split tunnel solution with defined Office 365 exceptions sent direct to the service. All other traffic is forced back into the corporate network regardless of destination.

С точки зрения безопасности, у Microsoft есть множество функций безопасности, которые можно использовать для обеспечения аналогичной или даже улучшенной безопасности, чем при встроенной проверке локальных стеков безопасности.From a security perspective, Microsoft has an array of security features which can be used to provide similar, or even enhanced security than that delivered by inline inspection by on premises security stacks. Сообщение в блоге группы безопасности Microsoft Альтернативные способы обеспечения профессионалами безопасности и ИТ-отделом современных средств управления безопасностью в современных уникальных сценариях удаленной работы содержит четкое описание доступных функций, и в этой статье вы найдете более подробное руководство.The Microsoft Security team's blog post Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios has a clear summary of features available and you'll find more detailed guidance within this article. Вы также можете прочитать о внедрении раздельного VPN-туннелирования Microsoft в статье Запуск по VPN: как Microsoft поддерживает подключение своих удаленных сотрудников.You can also read about Microsoft's implementation of VPN split tunneling at Running on VPN: How Microsoft is keeping its remote workforce connected.

Во многих случаях эта реализация может быть достигнута за считанные часы, что позволяет быстро решить одну из самых насущных проблем, с которыми сталкиваются организации, поскольку они быстро переходят к полномасштабной удаленной работе.In many cases, this implementation can be achieved in a matter of hours, allowing rapid resolution to one of the most pressing problems facing organizations as they rapidly shift to full scale remote working. Руководство по внедрению VPN с разделением туннелей см. в статье Внедрение раздельного VPN-туннелирования для Office 365.For VPN split tunnel implementation guidance, see Implementing VPN split tunneling for Office 365.

Внедрение раздельного VPN-туннелирования для Office 365Implementing VPN split tunneling for Office 365

Оптимизация производительности Office 365 для пользователей КитаяOffice 365 performance optimization for China users

Альтернативные пути для специалистов по безопасности и ИТ для достижения современных мер безопасности в современных уникальных сценариях удаленной работы (блог Microsoft Security Team)Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios (Microsoft Security Team blog)

Улучшение производительности VPN в Майкрософт: использование VPN-профилей Windows 10 для разрешения автоматических подключенийEnhancing VPN performance at Microsoft: using Windows 10 VPN profiles to allow auto-on connections

Запуск по VPN: как Microsoft поддерживает подключение своих удаленных сотрудниковRunning on VPN: How Microsoft is keeping its remote workforce connected

Принципы сетевого подключения к Office 365Office 365 Network Connectivity Principles

Доступ к сетевому подключению Office 365Assessing Office 365 network connectivity

Проверка возможности подключения Microsoft 365Microsoft 365 connectivity test