Hantera Office 365-slutpunkter

De flesta företag som har flera kontorsplatser och ett anslutande WAN måste konfigureras för Office 365 nätverksanslutningar. Du kan optimera nätverket genom att skicka alla betrodda Office 365-nätverksförfrågningar direkt genom brandväggen, hoppa över all ytterligare kontroll eller behandling på paketnivån. Detta minskar svarstiden och kraven på perimeterkapacitet. Att Office 365 att identifiera nätverkstrafik är det första steget för att ge användarna optimala prestanda. Mer information finns i Office 365 principer för nätverksanslutning.

Microsoft rekommenderar att du använder Office 365 och kontinuerliga ändringar av dem med hjälp av IP-Office 365 webbtjänsten för Office 365 och URL.

Oavsett hur du hanterar viktig Office 365 nätverkstrafik krävs Office 365 internetanslutning. Andra nätverksslutpunkter där anslutning krävs finns med i Ytterligare slutpunkter som inte ingår Office 365 IP-adress och URL-webbtjänst.

Hur du använder Office 365 nätverksslutpunkter beror på företagets nätverksarkitektur. I den här artikeln beskrivs flera sätt som företagsnätverksarkitekturer kan integrera med IP Office 365 adresser och URL:er. Det enklaste sättet att välja vilka nätverksbegäranden att lita på är att använda SD-WAN-enheter som stöder automatiserad Office 365-konfiguration på var och en av dina kontorsplatser.

SD-WAN för lokal grenens utgående trafik av Office 365 nätverkstrafik

På varje filialplats kan du ange en SD-WAN-enhet som är konfigurerad för att dirigera trafik för Office 365 optimera kategori av slutpunkter, eller kategorierna Optimera och tillåt, direkt till Microsofts nätverk. Annan nätverkstrafik, inklusive lokal datacentertrafik, allmän internetwebbplatstrafik och trafik till Office 365 Standardkategorislutpunkter skickas till en annan plats där du har en mer avsevärd nätverks perimeter.

Microsoft arbetar med SD-WAN-leverantörer för att möjliggöra automatiserad konfiguration. Mer information finns i Office 365 Nätverkspartnerprogram.

Använda en PAC-fil för direkt dirigering av viktig Office 365 trafik

Använd PAC- eller WPAD-filer för att hantera nätverksbegäranden som är Office 365 men som inte har någon IP-adress. Typiska nätverksbegäranden som skickas genom en proxy eller perimeterenhet ökar svarstiden. Ssl-avbrott och -inspektera skapar den största svarstiden, men andra tjänster som proxyautentisering och ryktesuppslag kan orsaka dålig prestanda och en dålig användarupplevelse. De här perimeternätverksenheterna behöver dessutom tillräckligt med kapacitet för att bearbeta alla förfrågningar om nätverksanslutning. Vi rekommenderar att du kringgår din proxy- eller kontrollenheter för Office 365 nätverksbegäranden.

PowerShell-galleriet Get-PacFile är ett PowerShell-skript som läser upp de senaste nätverksslutpunkterna från IP-tjänsten Office 365 ip och URL och skapar ett exempel på EN PAC-fil. Du kan ändra skriptet så att det integreras med din befintliga PAC-filhantering.

Ansluter till Office 365 genom brandväggar och proxy proxy.

Bild 1 – Enkel företagsnätverks perimeter

PAC-filen distribueras till webbläsare vid punkt 1 i Bild 1. När du använder en PAC-fil för direkt utgående viktig Office 365-nätverkstrafik måste du också tillåta anslutning till IP-adresserna bakom dessa URL:er på nätverkets perimeterbrandvägg. Det görs genom att hämta IP-adresser för samma Office 365 ändpunktskategorier som anges i PAC-filen och skapa brandväggs-ACL:er baserat på de adresserna. Brandväggen är punkt 3 i Bild 1.

Separat om du väljer att endast göra direktroutning för optimera kategorislutpunkter, måste alla obligatoriska slutpunkter för tillåt kategori som du skickar till proxyservern listas i proxyservern för att kringgå ytterligare bearbetning. Till exempel är SSL-avbrott och kontrollerad proxyautentisering inte kompatibla med både slutpunkter för optimera och tillåt. Proxyservern är punkt 2 i bild 1.

Den vanliga konfigurationen är att tillåta utan att bearbeta all utgående trafik från proxyservern för mål-IP-adresserna för Office 365-nätverkstrafik som träffar proxyservern. Mer information om problem med SSL-avbrott och -inspektera finns i Använda nätverksenheter eller lösningar från tredje Office 365 trafik.

Det finns två typer av PAC-filer som Get-PacFile skapar.

Typ Beskrivning
1
Skicka trafik från slutpunktstrafiken Optimera och allt annat till proxyservern.
2
Skicka optimera och tillåt slutpunktstrafik direkt och allt annat till proxyservern. Den här typen kan även användas för att skicka all ExpressRoute som stöds för Office 365 till ExpressRoute-nätverkssegment och allt annat till proxyservern.

Här är ett enkelt exempel på hur du anropar PowerShell-skriptet:

Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Det finns många parametrar som du kan överföra till skriptet:

Parameter Beskrivning
ClientRequestId
Detta är obligatoriskt och är ett GUID som skickas till webbtjänsten som representerar den klientdator som ringer samtalet.
Instans
Den Office 365 tjänstinstans, som är den globala standardinställningen. Det här skickas också till webbtjänsten.
TenantName
Ditt Office 365 klientorganisationsnamn. Skickas till webbtjänsten och används som en ersättbar parameter i vissa Office 365 URL:er.
Typ
Den typ av proxy-PAC-fil som du vill generera.

Här är ett annat exempel på hur du anropar PowerShell-skriptet med ytterligare parametrar:

Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Proxyserverfördrkoppling av Office 365 nätverkstrafik

Om PAC-filer inte används för direkt utgående trafik vill du fortfarande kringgå bearbetningen på nätverkets perimeter genom att konfigurera din proxyserver. Vissa proxyserverleverantörer har aktiverat automatisk konfiguration av detta enligt beskrivningen i Office 365 Nätverkspartnerprogram.

Om du gör det manuellt måste du hämta kategoridata för optimera och tillåt slutpunkt från webbtjänsten Office 365 IP-adress och URL samt konfigurera din proxyserver för att kringgå bearbetning för dessa. Det är viktigt att undvika SSL-avbrott och kontrollera och proxyautentisering för kategorislutpunkterna optimera och tillåt.

Ändringshantering för Office 365 IP-adresser och URL:er

Förutom att välja lämplig konfiguration för nätverks perimeter är det viktigt att du inför en ändringshanteringsprocess för Office 365 slutpunkter. Dessa slutpunkter ändras regelbundet och om du inte hanterar ändringarna kan du få användare blockerade eller med dålig prestanda när en ny IP-adress eller URL läggs till.

Ändringar av IP Office 365 och URL-adresser publiceras vanligtvis nära den sista dagen i varje månad. Ibland publiceras en ändring utanför schemat på grund av driftkrav, support eller säkerhetskrav.

När en ändring publiceras som kräver att du agerar eftersom en IP-adress eller URL lades till, bör du få 30 dagars förvarning från tidpunkten då vi publicerar ändringen tills det finns en Office 365-tjänst på den slutpunkten. Detta återspeglas i startdatumet. Även om vi siktar på den här aviseringsperioden kanske det inte alltid är möjligt på grund av drift, support eller säkerhetskrav. Ändringar som inte kräver omedelbar åtgärd för att upprätthålla anslutningen, t.ex. borttagna IP-adresser eller URL-adresser eller mindre betydande ändringar, inkluderar inte förhandsmeddelande. I dessa fall anges inget startdatum. Oavsett vilket meddelande som tillhandahålls visas det förväntade aktiva tjänstdatumet för varje ändring.

Ändra meddelande med webbtjänsten

Du kan använda IP-Office 365 och URL-webbtjänsten för att få meddelande om ändring. Vi rekommenderar att du ringer versionswebbmetoden en gång i timmen och kontrollerar vilken version av slutpunkterna som du använder för att ansluta till Office 365. Om den här versionen ändras jämfört med den version som du använder bör du hämta de senaste slutpunktsdata från /endpoints-webbmetoden och, om du vill, skillnaderna från /changes-webbmetoden. Du behöver inte anropa /endpoints eller /changes-webbmetoder om det inte har skett någon ändring i versionen du hittade.

Mer information finns i Office 365 IP-adress och URL-webbtjänst.

Ändra aviseringar med RSS-feeds

Den Office 365 IP-adress och URL-webbtjänst ger en RSS-feed som du kan prenumerera på i Outlook. Det finns länkar till RSS-URL:er på var och en Office 365 instans specifika sidor för IP-adresser och URL:er. Mer information finns i Office 365 IP-adress och URL-webbtjänst.

Ändra avisering och granskning av godkännande med hjälp av Power Automate

Vi förstår att du kanske fortfarande behöver manuell bearbetning för ändringar av nätverksslutpunkt som kommer igenom varje månad. Du kan använda Power Automate för att skapa ett flöde som meddelar dig via e-post och om du vill kan du kör en godkännandeprocess för ändringar när Office 365 nätverksslutpunkter har ändringar. När granskningen är klar kan du få flödet att automatiskt skicka ändringar av brandväggen och proxyserverhanteringsteamet via e-post.

Mer information om en Power Automate exempel och mall finns i Använda e Power Automate för att ta emot ett e-postmeddelande för ändringar Office 365 IP-adresser och URL:er.

Office 365 vanliga frågor och svar om nätverksslutpunkter

Se de här vanliga frågorna om Office 365 nätverksanslutningen.

Hur skickar jag in en fråga?

Klicka på länken längst ned för att ange om artikeln var användbar eller inte, och skicka in ytterligare frågor. Vi övervakar den feedback vi får och uppdaterar med de vanligaste frågorna här.

Hur tar jag reda på platsen för min klientorganisation?

Klientorganisationens plats avgörs bäst med hjälp av vår datacenterkarta.

Är min peering med Microsoft korrekt?

Peeringplatser beskrivs mer ingående i peering med Microsoft.

Med över 2 500 peeringrelationer mellan Internet och 70 närvaropunkter ska det vara smidigt att få från ditt nätverk till vårt. Det kan vara svårt att ägna några minuter åt att se till att din Internetleverantörs peeringrelation är den mest optimala, här är några exempel på bra och inte så bra peering till vårt nätverk.

Jag ser nätverksförfrågningar till IP-adresser som inte finns med på den publicerade listan, behöver jag ge åtkomst till dem?

Vi anger endast IP-adresser för de Office 365 som du ska dirigera direkt till. Det här är inte en fullständig lista över alla IP-adresser som du kommer att få se nätverksbegäranden för. Du kommer att se nätverksbegäranden till Microsoft och opublicerade IP-adresser som ägs av tredje part. Dessa IP-adresser genereras dynamiskt eller hanteras på ett sätt som gör att det inte går att få ett meddelande i tid när de ändras. Om din brandvägg inte tillåter åtkomst baserat på FQDN för dessa nätverksbegäranden använder du en PAC- eller WPAD-fil för att hantera begärandena.

Ser du en IP som är Office 365 adress som du vill ha mer information om?

  1. Kontrollera om IP-adressen ingår i ett större publicerat område med en CIDR-miniräknare, till exempel dessa för IPv4 eller IPv6. Exempel: 40.96.0.0/13 inkluderar IP-adressen 40.103.0.1 trots att 40,96 inte matchar 40,103.
  2. Se om en partner äger IP-adressen med en whois-fråga. Om det ägs av Microsoft kan det vara en intern partner. Många slutpunkter för partnernätverk anges som tillhör standardkategorin, för vilka IP-adresser inte publiceras.
  3. IP-adressen kanske inte är en del Office 365 eller ett beroende. Office 365-nätverksslutpunktspublicering inkluderar inte alla Microsoft-nätverksslutpunkter.
  4. Kontrollera certifikatet. Med en webbläsare ansluter du till IP-adressen med hjälp HTTPS:// <IP_ADDRESS> och kontrollerar domänerna som visas på certifikatet för att förstå vilka domäner som är kopplade till IP-adressen. Om det är en IP-adress som ägs av Microsoft och inte finns med i listan över Office 365 IP-adresser är det troligt att IP-adressen är kopplad till en Microsoft CDN, till exempel MSOCDN.NET eller en annan Microsoft-domän utan publicerad IP-information. Om du hittar domänen på certifikatet är en där vi gör anspråk på att ange IP-adressen, berätta det för oss.

Vissa Office 365 URL:er pekar på CNAME-poster i stället för A-poster i DNS. Vad har jag att göra med CNAME-posterna?

Klientdatorer behöver en DNS A- eller AAAA-post t)hat innehåller en eller flera IP-adresser för att ansluta till en molntjänst. Vissa URL:er som ingår i Office 365 CNAME-poster visas i stället för A- eller AAAA-poster. Dessa CNAME-poster är mellanled och det kan finnas flera i en kedja. De löser alltid så småningom A- eller AAAA-posten för en IP-adress. Tänk dig exempelvis följande serie DNS-poster, som i slutänden matchas till IP-IP_1:

serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1

Dessa CNAME-omdirigeringar är en normal del av DNS-posterna och är transparenta mot klientdatorn och transparenta mot proxyservrar. De används för belastningsutjämning, nätverk för innehållsleverans, hög tillgänglighet och åtgärder för incidentåtgärder. Microsoft publicerar inte CNAME-mellanledande poster, de kan komma att ändras när som helst och du bör inte behöva konfigurera dem som tillåtna på din proxyserver.

En proxyserver verifierar den ursprungliga URL:en, som i exemplet ovan är en serviceA.office.com och url-adressen inkluderas i Office 365 publicering. Proxyservern begär DNS-upplösningen för URL:en till en IP-adress och tar emot IP_1. Den verifierar inte de mellanliggande CNAME-omdirigeringsposterna.

Hårdkodade konfigurationer eller användning av en lista över tillåtna data som baseras på indirekta Office 365 FQDN rekommenderas inte, stöds inte av Microsoft och det är känt att orsaka anslutningsproblem för kunder. DNS-lösningar som blockerar vid CNAME-omdirigering eller som på annat sätt löser Office 365 DNS-poster kan lösas via DNS-vidarebefordrare med DNS-rekursion aktiverat eller genom att använda DNS-rottips. Många perimeterprodukter från tredje part integrerar rekommenderade inbyggt i Office 365-slutpunkten för att inkludera en lista över tillåtna i konfigurationen med hjälp av IP-Office 365-och URL-webbtjänsten för Office 365.

Varför visas namn som namn som nsatc.net eller akadns.net i Microsoft-domännamnen?

Office 365 och andra Microsoft-tjänster använder tredjepartstjänster som Akamai och MarkMonitor för att förbättra din Office 365 upplevelse. För att kunna fortsätta tillhandahålla bästa möjliga upplevelse kan vi komma att ändra dessa tjänster i framtiden. Tredje parts domäner kan vara värdar för innehåll, till exempel en CDN, eller de kan vara värdar för en tjänst, till exempel en geografisk trafikhanteringstjänst. Här är några av de tjänster som vi använder för närvarande:

MarkMonitor används när du ser förfrågningar som innehåller * .nsatc.net. Den här tjänsten tillhandahåller skydd av domännamn och övervakning för att skydda mot skadligt beteende.

ExactTarget används när du ser förfrågningar till * .exacttarget.com. Den här tjänsten tillhandahåller hantering av länkar i e-post och övervakning mot skadligt beteende.

Akamai används när du ser förfrågningar som innehåller något av följande FQDN. Den här tjänsten erbjuder tjänster för geo-DNS och innehållsnätverk.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

Jag måste ha minsta möjliga anslutning för Office 365

Eftersom Office 365 är en uppsättning tjänster som är byggda för att fungera över Internet utgår tillförlitligheten och tillgängligheten från att många normala Internettjänster är tillgängliga. Exempelvis måste grundläggande internettjänster som DNS, CRL och CDN kunna nås för att använda Office 365 på samma sätt som de måste kunna nås för att använda de flesta moderna Internettjänster.

Paket Office 365 indets i större tjänsteområden. De kan aktiveras selektivt för anslutning och det finns ett Gemensamt område, som är ett beroende för alla och alltid krävs.

Serviceområde Beskrivning
Exchange
Exchange Online och Exchange Online Protection
SharePoint
SharePoint Online och OneDrive för företag
Skype för företag Online och Microsoft Teams
Skype för företag och Microsoft Teams
Vanligt
Office 365 Pro Plus Office i en webbläsare, Azure AD och andra vanliga nätverksslutpunkter

Förutom grundläggande internettjänster finns det tredjepartstjänster som bara används för att integrera funktioner. Även om dessa krävs för integration är de markerade som valfria i artikeln med slutpunkter för Office 365, vilket innebär att tjänstens huvudfunktionalitet kommer att fortsätta att fungera om slutpunkten inte är tillgänglig. Alla nätverksslutpunkter som krävs har attributet obligatoriskt inställt på sant. Alla nätverksslutpunkter som är valfria har attributet obligatoriskt inställt på falskt och anteckningsattributet innehåller information om de funktioner som saknas om anslutningen blockeras.

Om du försöker använda Office 365 och hittar tjänster från tredje part inte är tillgängliga bör du se till att alla FQDNsom är markerade som obligatoriska eller valfria i den här artikeln går igenom proxyn och brandväggen.

Hur blockerar jag åtkomsten till Microsofts konsumenttjänster?

Funktionen för klientbegränsningar har nu stöd för att blockera användningen av alla Microsoft-konsumentprogram (MSA-appar), till exempel OneDrive, Hotmail och Xbox.com. Då används ett separat sidhuvud till login.live.com slutpunkt. Mer information finns i Använda klientbegränsningar för att hantera åtkomst till SaaS-molnprogram.

Min brandvägg kräver IP-adresser och kan inte bearbeta URL:er. Hur konfigurerar jag den för Office 365?

Office 365 några IP-adresser för alla obligatoriska nätverksslutpunkter. Vissa tillhandahålls endast som URL:er och kategoriseras som standard. URL-adresser i standardkategorin som krävs ska tillåtas via en proxyserver. Om du inte har en proxyserver kan du titta på hur du har konfigurerat webbförfrågningar för URL:er som användare skriver i adressfältet i en webbläsare. användaren inte anger någon IP-adress heller. På Office 365 standardkategori-URL:er som inte tillhandahåller IP-adresser ska konfigureras på samma sätt.

Office 365 IP-adress och URL webbtjänst

Microsoft Azure Datacenter IP-intervall

Microsoft Public IP-utrymme

Krav på nätverksinfrastruktur för Microsoft Intune

ExpressRoute och Power BI

URL-adresser och IP-adressintervall för Office 365

Hantera ExpressRoute för Office 365 anslutning

Office 365 principer för nätverksanslutningar