Vanliga VPN-scenarier med delade tunnlar för Microsoft 365

Var den här sidan till hjälp?

Har du någon ytterligare feedback?

Om du trycker på Skicka kommer din feedback att skickas till Microsoft. Den används för att förbättra Microsofts produkter och tjänster. Sekretesspolicy.

Anteckning

Den här artikeln är en del av en uppsättning artiklar som handlar Microsoft 365 optimering för fjärranvändare.

• En översikt över hur du använder VPN-delade tunnlar för att optimera Microsoft 365 anslutning för fjärranslutna användare finns i Översikt: VPN-delade tunnlar för Microsoft 365.
• Detaljerad vägledning om hur du implementerar VPN-delade tunnlar finns i Implementera VPN-delade tunnlar för Microsoft 365.
• Anvisningar om hur du Teams medietrafik i VPN-delade tunnlar finns i Skydda Teams med mediatrafik för VPN-delade tunnlar.
• Mer information om hur du konfigurerar direkthändelser och livehändelser i VPN-miljöer finns i Särskilda överväganden för streama och livehändelser i VPN-miljöer.
• Information om hur du optimerar Microsoft 365 prestanda i en global klientorganisation för användare i Kina finns i Microsoft 365 prestandaoptimering för kinaanvändare.

I listan nedan ser du de vanligaste VPN-scenarierna som visas i företagsmiljöer. De flesta kunder har traditionellt modell 1 (VPN tvingade Tunnel). Det här avsnittet hjälper dig att snabbt och säkert gå över till modell 2, som är uppnåbar med relativt lite ansträngning, och har stora fördelar för nätverksprestanda och användarupplevelse.

Modell	Beskrivning
1. VPN tvingade Tunnel	100 % av trafiken går in i VPN-tunnel, inklusive lokal, Internet och all O365/M365
2. VPN tvingade Tunnel med få undantag	VPN-tunnel används som standard (standard routepunkter till VPN), med få, viktigast undantagna scenarier som tillåts gå direkt
3. VPN tvingade Tunnel med breda undantag	VPN-tunnel används som standard (standard routepunkter till VPN), med breda undantag som är tillåtna att gå direkt (till exempel alla Microsoft 365, All Salesforce, All zoom)
4. SELEKTIV VPN-Tunnel	VPN-tunnel används endast för corpnet-baserade tjänster. Standard route (Internet och alla internetbaserade tjänster) dirigeras direkt.
5. Ingen VPN	En variant av #2. I stället för äldre VPN publiceras alla corpnet-tjänster med moderna säkerhetsmetoder (som Zscaler ZPA, Azure Active Directory (Azure AD) Proxy/MCAS osv.)

1. VPN tvingade Tunnel

Det vanligaste startscenariot för de flesta företagskunder. En tvingade VPN används, vilket innebär att 100 % av trafiken dirigeras till företagsnätverket, oavsett om slutpunkten finns inom företagsnätverket eller inte. All extern (Internet)bunden trafik, till exempel Microsoft 365 eller Internetsurfning, fästs tillbaka från den lokala säkerhetsutrustningen, till exempel proxy. Under den aktuella situationen där nästan 100 % av användarna arbetar på distans lägger den här modellen därför stor belastning på VPN-infrastrukturen och riskerar att avsevärt hindra prestanda för all företagstrafik och därmed kan företaget agera effektivt vid en krissituation.

2. VPN Tunnel med ett litet antal betrodda undantag

Avsevärt mer effektivt för ett företag att driva på. Den här modellen tillåter några kontrollerade och definierade slutpunkter som är känsliga för hög belastning och svarstid för att kringgå VPN-tunneln och gå direkt till Microsoft 365 tjänst. Detta förbättrar avsevärt prestanda för offloaded-tjänsterna och minskar också belastningen på VPN-infrastrukturen, vilket gör att element som fortfarande kräver att det fungerar med lägre innehåll för resurser. Det är den här modellen som den här artikeln koncentrerar sig på att hjälpa till med övergången eftersom det möjliggör att enkla, definierade åtgärder snabbt vidtas med många positiva resultat.

3. VPN tvingade Tunnel med breda undantag

Breddar omfattningen av modell 2. I stället för att bara skicka en liten grupp definierade slutpunkter direkt skickar den i stället all trafik direkt till betrodda tjänster som Microsoft 365 och SalesForce. Det här minskar ytterligare belastningen på företagets VPN-infrastruktur och förbättrar prestandan för de definierade tjänsterna. Eftersom det troligtvis tar längre tid att utvärdera genomförbarheten för och implementera den här modellen, är det förmodligen ett steg som kan genomföras iterativt vid ett senare tillfälle när två modellen har genomförts.

4. SELEKTIV VPN-Tunnel

Vänder den tredje modellen så att endast trafik som identifieras som har en företags-IP-adress skickas ned genom VPN-tunneln och därmed är Internetsökvägen standardrutten för allt annat. Den här modellen kräver att organisationen är bra på vägen till Noll förtroende för att kunna implementera den här modellen på ett säkert sätt. Observera att den här modellen eller någon variant kommer att bli nödvändig standard med tiden allt eftersom fler tjänster försvinner från företagsnätverket och till molnet.

Microsoft använder den här modellen internt. Du hittar mer information om Microsofts implementering av VPN-delade tunnlar vid körning av VPN: Hur Microsoft håller sin fjärranslutna arbetsstyrka uppkopplad.

5. Ingen VPN

En mer avancerad version av modell nummer 2 där alla interna tjänster publiceras med en modern säkerhets metod eller SDWAN-lösning som Azure AD-proxy, Defender för molnappar, Zscaler ZPA osv.

Relaterade artiklar

Översikt: VPN-delade tunnlar för Microsoft 365

Implementera VPN-delade tunnlar för Microsoft 365

Skydda Teams medietrafik för delade VPN-tunnlar

Att tänka på för streama och livehändelser i VPN-miljöer

Microsoft 365 prestandaoptimering för kinaanvändare

Microsoft 365 principer för nätverksanslutning

Utvärdera Microsoft 365 nätverksanslutningar

Microsoft 365 nätverks- och prestandajustering

Alternativa sätt för säkerhetsexperter och IT-personal för att uppnå moderna säkerhetskontroller i dagens unika fjärrarbete (Microsofts blogg om säkerhetsteam)

Förbättra VPN-prestanda på Microsoft: Windows 10 ANVÄNDA VPN-profiler för att tillåta automatiska anslutningar

Kör på VPN: Så här håller Microsoft sin fjärranslutna arbetsstyrka ansluten

Microsofts globala nätverk