Hantera ExpressRoute för Office 365 anslutning
ExpressRoute för Office 365 erbjuder en alternativ routningssökväg för att nå många Office 365-tjänster utan att all trafik måste gå ut till Internet. Även om Internetanslutningen till Office 365 fortfarande behövs gör de specifika vägar som Microsoft annonserar via BGP till ditt nätverk att den direkta ExpressRoute-kretsen prioriteras såvida det inte finns andra konfigurationer i nätverket. De tre vanligaste områdena du kanske vill konfigurera för att hantera den här dirigeringen inkluderar prefixfiltrering, säkerhet och efterlevnad.
Anteckning
Microsoft har ändrat hur routningsdomänen för Microsoft-peering granskas för Azure ExpressRoute. Från och med den 31 juli 2017 kan alla Azure ExpressRoute-kunder aktivera Microsoft-peering direkt via Azure-administratörskonsolen eller via PowerShell. När microsoft-peering har installerats kan alla kunder skapa routefilter för att ta emot BGP-routeannonsering för Dynamics 365 Customer Engagement-appar (tidigare kallat CRM Online). Kunder som behöver Azure ExpressRoute för Office 365 måste granskas av Microsoft innan de kan skapa routefilter för Office 365. Kontakta ditt Microsoft-kontoteam om du vill veta mer om hur du begär en granskning för att Office 365 ExpressRoute. Obehöriga prenumerationer som försöker skapa routefilter för Office 365 får ett felmeddelande
Prefixfiltrering
Microsoft rekommenderar att kunderna accepterar alla BGP-vägar som de annonseras från Microsoft. De vägar som tillhandahålls genomgår en mycket noggrann gransknings- och valideringsprocess som innebär att extra granskning inte ger några fördelar. ExpressRoute erbjuder inbyggt de rekommenderade kontrollerna, till exempel IP-prefixägarskap, integritet och skala – utan filtrering av inkommande route på kundsidan.
Om du kräver ytterligare validering av vägägarskapet i ExpressRoutes offentliga peering kan du kontrollera de annonserade rutter mot listan över alla IPv4- och IPv6-IP-prefix som representerar Microsofts offentliga IP-intervall. Intervallen omfattar hela Microsofts adressutrymme och ändras så sällan som möjligt, vilket ger en tillförlitlig uppsättning intervaller att filtrera mot som även ger ytterligare skydd till kunder som är oroliga att vägar som inte tillhör Microsoft ska läcka in i deras miljö. Om det sker en ändring görs den den 1:a i månaden och versionsnumret i informationsavsnittet på sidan ändras varje gång filen uppdateras.
Det finns ett antal olika skäl till att undvika att använda URL Office 365 och IP-adressintervall för att generera prefixfilterlistor. Till exempel:
IP Office 365 prefix genomgår regelbundet många ändringar.
URL Office 365 och IP-adressintervall är utformade för att hantera listor över tillåtna brandväggar och proxyinfrastruktur, inte routning.
Url Office 365 och IP-adressintervall omfattar inte andra Microsoft-tjänster som kan finnas i omfattningen för dina ExpressRoute-anslutningar.
| Alternativ | Komplexitet | Ändra kontroll |
|---|---|---|
| Acceptera alla Microsoft-vägar |
Låg: Kunden använder sig av Microsoft-kontroller för att säkerställa att alla vägar har rätt ägare. |
Ingen |
| Filtrera supernät som ägs av Microsoft |
Medel: Kunden implementerar sammanfattningar av prefixfilterlistor så att endast vägar som ägs av Microsoft tillåts. |
Kunderna måste säkerställa att de oregelade uppdateringarna återspeglas i filtren. |
| Filtrera Office 365 IP-intervall [!CAUTION] Not-Recommended |
Hög: Kunden filtrerar vägar baserat på definierade Office 365 IP-prefix. |
Kunderna måste implementera en robust ändringshanteringsprocess för månadsuppdateringarna. [!CAUTION] Den här lösningen kräver betydande gång på gång-ändringar. Ändringar som inte implementeras i tid kommer troligtvis att resultera i driftavbrott för tjänsten. |
Anslutning till Office 365 med hjälp av Azure ExpressRoute baseras på BGP-annonsering av specifika IP-undernät som representerar nätverk där Office 365-slutpunkter distribueras. På grund av den globala naturen hos Office 365 och antalet tjänster som utgör Office 365 behöver kunder ofta hantera de annonseringar som de accepterar på sitt nätverk. Om du bekymrar dig över antalet prefix som annonseras i miljön kan du med BGP-communityfunktionen filtrera annonserna till en viss uppsättning Office 365 tjänster. Den här funktionen är nu i förhandsgranskningsläge.
Oavsett hur du hanterar BGP-routeannonseringarna från Microsoft får du inte någon särskild exponering för Office 365-tjänster jämfört med vid anslutning till Office 365 över enbart en internetkrets. Microsoft håller samma säkerhets-, efterlevnads- och prestandanivåer oavsett vilken typ av krets en kund använder sig av för att ansluta till Office 365.
Säkerhet
Microsoft rekommenderar att du har egna nätverks- och säkerhets perimeterkontroller för anslutningar till och från ExpressRoute offentligt och Microsoft-peering, vilket omfattar anslutningar till och från Office 365 tjänster. Säkerhetskontroller bör finnas för nätverksbegäranden som färdas ut från ditt nätverk till Microsofts nätverk samt inkommande från Microsofts nätverk till ditt nätverk.
Utgående från kund till Microsoft
När datorer ansluter Office 365 till samma uppsättning slutpunkter oavsett om anslutningen görs via en Internetkrets eller en ExpressRoute-krets. Oavsett vilken krets som används rekommenderar Microsoft att du behandlar Office 365 mer tillförlitliga än allmänna Internetdestinationer. Dina säkerhetskontroller för utgående trafik bör fokusera på portar och protokoll för att minska exponering och minimera det fortlöpande underhållet. Den portinformation som krävs finns i den Office 365 referensartikeln om slutpunkter.
För ytterligare kontroller kan du använda filtrering på FQDN-nivån i proxyinfrastrukturen för att begränsa eller kontrollera vissa eller alla nätverksbegäranden till Internet eller Office 365. Underhållet av listan över FQDN allt eftersom funktioner släpps och Office 365-erbjudandena utvecklas kräver stabilare ändringshantering och spårning av ändringar i de Office 365 slutpunkterna.
Varning
Microsoft rekommenderar att du inte enbart använder IP-prefix för att hantera säkerhet för utgående Office 365.
| Alternativ | Komplexitet | Ändra kontroll |
|---|---|---|
| Inga begränsningar |
Låg: Kunden ger obegränsad utgående åtkomst till Microsoft. |
Ingen |
| Portbegränsningar |
Låg: Kunden begränsar utgående åtkomst till Microsoft genom de förväntade portarna. |
Sällan förekommande. |
| FQDN-begränsningar |
Hög: Kunden begränsar utgående åtkomst till Office 365 baserat på de publicerade FQDN. |
Månadsvisa ändringar. |
Inkommande från Microsoft till kund
Det finns flera valfria scenarier som kräver att Microsoft initierar anslutningar till ditt nätverk.
ADFS under verifiering av lösenord för inloggning.
E-Exchange Online från en klientorganisation till en lokal värd.
SharePoint E-post som skickas SharePoint online till en lokal värd.
Skype för företag hybrid och/eller Skype för företag federation.
Microsoft rekommenderar att du godkänner dessa anslutningar via din internetkrets i stället för din ExpressRoute-krets för att minska komplexiteten. Om dina efterlevnads- eller prestandabehov dikterar dessa inkommande anslutningar måste accepteras via en ExpressRoute-krets rekommenderas det att använda en brandvägg eller omvänd proxyserver för att begränsa de godkända anslutningarna. Du kan använda Office 365 ta reda på rätt FQDN och IP-prefix.
Efterlevnad
Vi förlitar oss inte på den routningssökväg du använder för våra efterlevnadskontroller. Oavsett om du ansluter till Office 365 via en ExpressRoute- eller internetkrets ändras inte våra efterlevnadskontroller. Du bör granska de olika efterlevnads- och säkerhetscertifieringsnivåerna för Office 365 ta reda på det bästa valet för att uppfylla organisationens behov.
Här är en kort länk som du kan använda för att komma tillbaka: https://aka.ms/manageexpressroute365
Relaterade ämnen
URL-adresser och IP-adressintervall för Office 365