Optimera Office 365-anslutningen för fjärranvändare med uppdelad VPN-tunnel

  • Artikel
  • 3 minuter för att läsa

För kunder som ansluter sina fjärranslutna arbetsenheter till företagsnätverket eller molninfrastrukturen via VPN rekommenderar Microsoft att viktiga Office 365-scenarier Microsoft Teams, SharePoint Online och Exchange Online dirigeras via en VPN-delad tunnelkonfiguration. Det här blir särskilt viktigt som den första linjestrategin för att underlätta fortsatt produktivitet bland anställda vid storskaliga händelser hemma, som COVID-19-kris.

Delad Tunnel VPN-konfiguration.

Bild 1: En VPN-delad tunnellösning med definierade Office 365 undantag som skickas direkt till tjänsten. All annan trafik passerar VPN-tunneln oavsett destination.

Det viktigaste i den här metoden är att tillhandahålla en enkel metod för företag för att minimera risken för VPN-infrastrukturmättnad och avsevärt förbättra Office 365 prestanda inom den kortaste möjliga tidsperioden. Genom att konfigurera VPN-klienter för att tillåta den mest kritiska och Office 365 trafik att kringgå VPN-tunneln uppnår följande fördelar:

  • Minimerar omedelbart orsaken till majoriteten av de kundrapporterade prestanda- och nätverkskapacitetsproblemen i VPN-arkitekturer för företag som påverkar Office 365 av användarupplevelsen

    Den rekommenderade lösningen riktar specifikt Office 365 av tjänsteslutpunkter som kategoriserats som Optimera i Office 365 URL:er och IP-adressintervall. Trafik till dessa slutpunkter är mycket känslig för latens- och bandbreddsbegränsning, och att göra det möjligt att kringgå VPN-tunneln kan avsevärt förbättra slutanvändarupplevelsen och minska företagets nätverksbelastning. Office 365 anslutningar som inte utgör majoriteten av bandbredden eller användarnas upplevelse av avtryck kan fortsätta att dirigeras genom VPN-tunneln tillsammans med resten av internetbunden trafik. Mer information finns i VPN-strategi för delade tunnlar.

  • Kan konfigureras, testas och implementeras snabbt av kunderna utan ytterligare krav på infrastruktur eller program

    Implementeringen kan ta så lite som några timmar beroende på VPN-plattformen och nätverksarkitekturen. Mer information finns i Implementera VPN-delade tunnlar.

  • Bevarar säkerheten hos vpn-implementeringar av kunder genom att inte ändra hur andra anslutningar dirigeras, inklusive trafik till Internet

    Den rekommenderade konfigurationen följer principen om minsta behörighet för VPN-trafikundantag och gör det möjligt för kunder att implementera VPN för delade tunnlar utan att utsätta användare eller infrastruktur för ytterligare säkerhetsrisker. Nätverkstrafiken som dirigeras direkt till Office 365-slutpunkter är krypterad, validerad för integritet av Office-klientprogramsstackar och begränsad till IP-adresser som är dedikerade till Office 365-tjänster som är hårdna på både program- och nätverksnivå. Mer information finns i Alternativa sätt för säkerhetsexperter och IT-personal för att uppnå moderna säkerhetskontroller i dagens unika fjärrarbete (Microsoft Security Team-blogg).

  • Stöds inbyggt av de flesta VPN-plattformarna för företag

    Microsoft fortsätter att samarbeta med branschpartners som tar fram kommersiella VPN-lösningar som hjälper partner att utveckla riktad vägledning och konfigurationsmallar för sina lösningar i enlighet med rekommendationerna ovan. Mer information finns i HOWTO-guider för vanliga VPN-plattformar.

Tips

Microsoft rekommenderar att man fokuserar på VPN-konfiguration för delade tunnlar på dokumenterade dedikerade IP-Office 365 tjänster. FQDN- eller AppID-baserade delade tunnelkonfigurationer, även om det är möjligt på vissa VPN-klientplattformar, kanske inte helt täcker Office 365 nyckelscenarier och kan vara i konflikt med IP-baserade VPN-dirigeringsregler. Microsoft rekommenderar därför inte att du använder ett Office 365 FQDN för att konfigurera VPN för delade tunnlar. Användningen av FQDN-konfigurationen kan vara användbar i andra relaterade scenarier, till exempel pac-filanpassningar eller för att implementera förbikoppling av proxy.

Fullständig implementeringsvägledning finns i Implementera VPN-delade tunnlar för Office 365.

Stegvisa instruktioner för hur du konfigurerar Microsoft 365 för fjärranslutna medarbetare finns i Konfigurera infrastrukturen för distansarbete

VPN-strategi för delade tunnlar

Traditionella företagsnätverk är ofta utformade för att fungera säkert för en före molnmoln värld där de viktigaste data, tjänster, program finns lokalt och är direkt anslutna till det interna företagsnätverket, som är majoriteten av användarna. Nätverksinfrastrukturen är därför uppbyggd kring dessa element i att filialkontor är anslutna till huvudkontoren via MPLS-nätverk (Multiprotocol Label Switching), och fjärranslutna användare måste ansluta till företagsnätverket via ett VPN för åtkomst till både lokala slutpunkter och Internet. I den här modellen passerar all trafik från fjärranslutna användare företagsnätverket och dirigeras till molntjänsten via en gemensam utgående punkt.

Tvingad VPN-konfiguration.

Bild 2: En vanlig VPN-lösning för fjärranvändare där all trafik tvingas tillbaka till företagsnätverket oavsett destination

I och med att organisationer flyttar data och program till molnet har den här modellen börjat bli mindre effektiv eftersom den snabbt blir krånglig, dyr och oskadlig, vilket avsevärt påverkar nätverksprestandan och effektiviteten för användarna och begränsar organisationens möjlighet att anpassa sig efter föränderliga behov. Många Microsoft-kunder har rapporterat att för några år sedan gick 80 % av nätverkstrafiken till en intern destination, men 2020 ansluter 80 % plus trafik till en extern molnbaserad resurs.

CoVID-19-krislösningen har löst problemet så att det finns direkta lösningar för majoriteten av alla organisationer. Många kunder har upptäckt att vpn-modellen som tvingades inte är skalbar eller utför tillräckligt för 100 % fjärrarbetesscenarier som den här krissituation medförde. Det krävs snabba lösningar för att dessa organisationer ska fortsätta att fungera effektivt.

För Office 365-tjänsten har Microsoft utformat anslutningskraven för tjänsten med det här problemet i åtanke, där en fokuserad, tätt kontrollerad och relativt statisk uppsättning slutpunkter kan optimeras mycket enkelt och snabbt så att användare som använder tjänsten får åtkomst till tjänsten får hög prestanda och minskar VPN-infrastrukturens belastning så att den kan användas av trafik som fortfarande kräver den.

Office 365 kategoriserar de obligatoriska slutpunkterna för Office 365 i tre kategorier: Optimera, Tillåt och Standard. Optimera slutpunkter är vårt fokus här och har följande egenskaper:

  • Microsoft ägda och hanterade slutpunkter som finns på Microsofts infrastruktur
  • Ägnas åt grundläggande Office 365 arbetsbelastningar som Exchange Online, SharePoint Online, Skype för företag Online och Microsoft Teams
  • Har IP-adresser tillhandahållit
  • Låg förändringshastighet och förväntas vara liten i antal (för närvarande 20 IP-undernät)
  • Är känsliga för stora volymer och/eller svarstider
  • Kan ha obligatoriska säkerhetselement som tillhandahålls i tjänsten i stället för infogade i nätverket
  • Står för cirka 70–80 % av trafiken till Office 365 tjänsten

Denna tätt beomfångade uppsättning slutpunkter kan delas upp ur VPN-tunneln som tvingas och skickas säkert och direkt till Office 365-tjänsten via användarens lokala gränssnitt. Detta kallas delade tunnlar.

Säkerhetselement som DLP- och AV-skydd, autentisering och åtkomstkontroll kan levereras mycket effektivare mot dessa slutpunkter på olika lager i tjänsten. Eftersom vi även dirigerar om huvuddelen av trafikvolymen från VPN-lösningen frigör vi VPN-kapaciteten för verksamhetskritisk trafik som fortfarande förlitar sig på den. Det bör också i många fall ta bort behovet av att gå igenom ett långt och kostsamt uppgraderingsprogram för att hantera detta nya sätt att hantera.

Dela Tunnel vpn-konfigurationsinformation.

Bild 3: En VPN-delad tunnellösning med definierade Office 365 undantag som skickas direkt till tjänsten. All annan trafik tvingas tillbaka till företagsnätverket oavsett destination.

Ur ett säkerhetsperspektiv har Microsoft ett antal säkerhetsfunktioner som kan användas för att ge liknande eller till och med bättre säkerhet än de som levereras genom direkt kontroll av lokala säkerhetsstackar. Microsoft Security-teamets blogginlägg Alternativa sätt för säkerhetsexperter och IT-personal för att uppnå moderna säkerhetskontroller i dagens unika fjärrarbete scenarier har en tydlig sammanfattning av tillgängliga funktioner och du hittar mer detaljerad vägledning i den här artikeln. Du kan också läsa om Microsofts implementering av VPN-delade tunnlar vid körning av VPN: Hur Microsoft håller sin fjärranslutna arbetsstyrka ansluten.

I många fall kan du åstadkomma den här implementeringen på bara några timmar, vilket ger snabb lösning på ett av de mest tryckande problemen som organisationer ställs inför när de snabbt övergår till att arbeta i full skala på distans. Vägledning för VPN-implementering av delade tunnlar finns i Implementera VPN-delade tunnlar för Office 365.

Implementera VPN-delade tunnlar för Office 365

Office 365 prestandaoptimering för kinaanvändare

Alternativa sätt för säkerhetsexperter och IT-personal för att uppnå moderna säkerhetskontroller i dagens unika fjärrarbete (Microsofts blogg om säkerhetsteam)

Förbättra VPN-prestanda på Microsoft: Windows 10 VPN-profiler för att tillåta automatiska anslutningar

Kör på VPN: Så här håller Microsoft sin fjärranslutna arbetsstyrka ansluten

Office 365 principer för nätverksanslutningar

Utvärdera Nätverksanslutningar för Office 365

Microsoft 365 anslutningstest