Steg 2: Ge fjärråtkomst till lokala appar och tjänster

Användarna använda VPN-anslutningarna för fjärråtkomst för att komma åt lokala appar och servrar om din organisation använder en VPN-lösning för fjärråtkomst, oftast med VPN-servrar på kanten av ditt nätverk och VPN-klienter som är installerade på användarnas enheter. Men du kan behöva optimera trafik för molnbaserade Microsoft 365-tjänster.

Om dina användare inte använder en VPN-lösning kan du med hjälp av Azure Active Directory (Azure AD) Application Proxy och Azure Point-to-Site (P2S) VPN för att ge åtkomst, beroende på om alla dina appar är webbaserade.

Här beskrivs de primära konfigurationerna för fjärråtkomst:

  • Du använder redan en VPN-lösning för fjärråtkomst.
  • Du använder inte en VPN-lösning för fjärråtkomst och du vill att dina distansarbetare ska använda sina egna datorer.
  • Du använder inte en VPN-lösning för fjärråtkomst, men du har en hybrididentitet och du behöver endast fjärråtkomst till lokala webbaserade appar.
  • Du använder inte en VPN-lösning för fjärråtkomst och du behöver åtkomst till lokala appar, varav några inte är webbaserade.

Se det här flödesschemat för konfigurationsalternativen för fjärråtkomst som beskrivs i den här artikeln.

Flödesdiagram över konfigurationen för fjärråtkomst.

Med fjärråtkomstanslutningar kan du även använda Remote Desktop för att ansluta dina användare till en lokal dator. Distansarbetare kan till exempel använda Remote Desktop för att ansluta till sina datorer på kontoret från sina Windows-, iOS- eller Android-enheter. När de har fjärranslutit kan de använda den som om de satt framför den.

Optimera prestanda för VPN-klienter för fjärråtkomst till Microsoft 365-molntjänster

Om din distansarbetare använder en traditionell VPN-klient för att få fjärråtkomst till organisationens nätverk ska du kontrollera att VPN-klienten har stöd för delad tunnel.

Utan delad tunnel skickas all din fjärrtrafik över VPN-anslutningen, där den måste vidarebefordras till organisationens gränsenheter, bli processad och sedan skickas via Internet.

Nätverkstrafik från VPN-klienter utan tunnel.

Microsoft 365-trafik måste ta en indirekt väg via din organisation, som kan vara vidarebefordrad till en Microsoft Network startpunkt långt bort från VPN-klientens fysiska plats. Denna indirekta väg lägger till en fördröjning för nätverkstrafiken och minskar prestandan.

Med delad tunnel kan du konfigurera VPN-klienten så att den exkluderar vissa typer av trafik som inte skickas via VPN-anslutningen till organisationens nätverk.

Om du vill optimera åtkomst till Microsoft 365 molnresurser konfigurerar du VPN-klienter för uppdelad tunnel för att undanta trafik till optimera kategori Microsoft 365-slutpunkter över VPN-anslutningen. Mer information finns i Office 365-slutpunktskategorier. Se listan över Optimera kategorislutpunkter här.

Här är det resulterande trafikflödet, där merparten av trafiken till Microsoft 365-molnappar kringgår VPN-anslutningen.

Nätverkstrafik från VPN-klienter med tunnel.

Detta gör att VPN-klienten kan skicka och ta emot viktig trafik i Microsoft 365 molntjänster direkt via Internet och till närmaste startpunkt i Microsoft-nätverket.

Detaljerad information finn i Optimera Office 365-anslutning för fjärranvändare med delad VPN-tunnel.

Distribuera fjärråtkomst när alla dina appar är webbprogram och du har en hybrididentitet

Om dina distansarbetare inte använder en traditionell VPN-klient och dina lokala användarkonton och -grupper är synkroniserade med Azure AD, kan du använda Azure AD Application Proxy för att tillhandahålla säker fjärråtkomst för webbaserade program som finns på lokala servrar. Webbaserade program är SharePoint Server-webbplatser, Outlook Web Access-servrar eller andra webbaserade affärsprogram.

Här är komponenterna i Azure Active Directory Application Proxy.

Komponenter i Azure Active Directory Application Proxy.

Mer information finns i den här översikt över Azure Active Directory Application Proxy.

Anteckning

Azure Active Directory Application Proxy ingår inte i en Microsoft 365-prenumeration. Du måste betala för användning med en separat Azure-prenumeration.

Distribuera fjärråtkomst när alla appar inte är webbprogram

Om dina distansarbetare inte använder en traditionell VPN-klient och några av dina appar inte är webbaserade kan du använda en Azure Point-to-Site (P2S) VPN.

En P2S VPN-anslutning skapar en säker anslutning från en distansarbetares enhet till organisationens nätverk via ett virtuellt Azure-nätverk.

Komponenter i Azure P2S VPN.

Mer information finns i denna översikt över P2S VPN.

Anteckning

Azure P2S VPN ingår inte i en Microsoft 365-prenumeration. Du måste betala för användning med en separat Azure-prenumeration.

Distribuera Windows 365 för att tillhandahålla fjärråtkomst för distansarbetare som använder personliga enheter

Om du vill stödja distansarbetare som endast kan använda sina personliga och ohanterade enheter kan du använda Windows 365 och skapa och allokera virtuella skrivbord för användarna att använda hemifrån. Med en lokal nätverksanslutning (OPNC) kan Windows 365-molndatorer agera precis som datorer som är anslutna till din organisations nätverk.

Komponenter i Windows 365.

Mer information finns i den här översikten över Windows 365.

Anteckning

Windows 365 ingår inte i en Microsoft 365-prenumeration. Du måste betala för användning med en separat prenumeration.

Skydda dina anslutningar för fjärrskrivbordstjänster med gateway för fjärrskrivbordstjänster

Om du använder fjärrskrivbordstjänster (RDS) för att låta dina medarbetare ansluta till Windows-datorer i det lokala nätverket bör du använda en Microsoft Fjärrskrivbordtjänster-gateway i Edge-nätverket. Gateway använder TLS (Transport Layer Security) för att kryptera trafik och förhindrar att den lokala datorn som är värd för RDS exponeras direkt för Internet.

Anslutningar för fjärrskrivbordstjänster med gateway för fjärrskrivbordstjänster.

Mer information finns i den här artikeln.

Tekniska administrationsresurser för fjärråtkomst

Resultat av steg 2

Efter distribution av en lösning för fjärråtkomst för dina distansarbetare:

Konfigurationen för fjärråtkomst Resultat
En VPN-lösning för fjärråtkomst finns på plats Du har konfigurerat VPN-klienten för fjärråtkomst för uppdelad tunnel och för optimeringskategori för Microsoft 365-slutpunkter.
Ingen VPN-lösning för fjärråtkomst och du behöver endast fjärråtkomst till lokala webbaserade appar Du har konfigurerat Azure Application Proxy.
Ingen VPN-lösning för fjärråtkomst och du behöver åtkomst till lokala appar, vissa som inte är webbaserade Du har konfigurerat Azure P2S VPN.
Distansarbetare använder sina personliga enheter från hemmet Du har konfigurerat Windows 365.
Distansmedarbetare använder RDS-anslutningar i lokala system Du har distribuerat en gateway för fjärrskrivbordstjänster i Edge-nätverket.

Nästa steg

Steg 3: Distribuera säkerhets- och efterlevnadstjänster med Microsoft 365.

Fortsätt med Steg 3 om du vill distribuera Microsoft 365 säkerhets och efterlevnadstjänster för att skydda appar, data och enheter.