category
大多数拥有多个办公地点和连接广域网的企业组织都需要配置Microsoft 365网络连接。您可以通过直接通过防火墙发送所有受信任的Microsoft 365网络请求来优化您的网络,绕过所有额外的数据包级别检查或处理。这减少了延迟和外围容量要求。识别Microsoft 365网络流量是为用户提供最佳性能的第一步。有关详细信息,请参阅Microsoft 365网络连接原则。
Microsoft建议您使用Microsoft 365 IP地址和URL Web服务访问Microsoft 365网络终结点及其正在进行的更改。
无论您如何管理重要的Microsoft 365网络流量,Microsoft 365都需要互联网连接。需要连接的其他网络端点列在Microsoft 365 IP地址和URL Web服务中未包含的其他端点上。
如何使用Microsoft 365网络端点取决于您的企业组织网络架构。本文概述了企业网络架构可以与Microsoft 365 IP地址和URL集成的几种方法。选择信任哪些网络请求的最简单方法是在每个办公地点使用支持自动Microsoft 365配置的SD-WAN设备。
SD-WAN用于重要Microsoft 365网络流量的本地分支出口
在每个分支机构位置,您可以提供一个SD-WAN设备,该设备被配置为将Microsoft 365优化端点类别或优化和允许类别的流量直接路由到Microsoft的网络。其他网络流量,包括本地数据中心流量、一般互联网网站流量和到Microsoft 365默认类别端点的流量,会被发送到您拥有更大网络边界的另一个位置。
微软正在与SD-WAN提供商合作,以实现自动化配置。有关详细信息,请参阅Microsoft 365网络合作伙伴计划。
使用PAC文件直接路由重要的Microsoft 365流量
使用PAC或WPAD文件来管理与Microsoft 365关联但没有IP地址的网络请求。通过代理或外围设备发送的典型网络请求会增加延迟。虽然TLS Break and Inspect会产生最大的延迟,但代理身份验证和信誉查找等其他服务可能会导致性能不佳和用户体验不佳。此外,这些外围网络设备需要足够的容量来处理所有网络连接请求。我们建议绕过您的代理或检查设备直接进行Microsoft 365网络请求。
PowerShell Gallery Get-PacFile是一个PowerShell脚本,它从Microsoft 365 IP地址和URL Web服务读取最新的网络端点,并创建一个示例PAC文件。您可以修改脚本,使其与现有的PAC文件管理集成。
注:
有关直接连接到Microsoft 365终结点的安全性和性能考虑的详细信息,请参阅Microsoft 365网络连接原则。
图1-简单的企业网络边界
PAC文件在图1中的点1处部署到web浏览器。当使用PAC文件直接出口重要的Microsoft 365网络流量时,您还需要允许连接到网络外围防火墙上这些URL后面的IP地址。这是通过获取PAC文件中指定的相同Microsoft 365端点类别的IP地址,并基于这些地址创建防火墙ACL来实现的。防火墙是图1中的点3。
另外,如果您选择仅对优化类别终结点进行直接路由,则您发送到代理服务器的任何所需的允许类别终结点都需要在代理服务器中列出,以绕过进一步的处理。例如,TLS中断和检查以及代理身份验证与优化和允许类别端点都不兼容。代理服务器是图1中的点2。
常见的配置是允许在不处理来自代理服务器的所有出站流量的情况下,访问代理服务器的Microsoft 365网络流量的目标IP地址。有关TLS中断和检查问题的信息,请参阅在Microsoft 365流量上使用第三方网络设备或解决方案。
Get-PacFile脚本生成两种类型的PAC文件。
Type | Description |
---|---|
1 |
Send Optimize endpoint traffic direct and everything else to the proxy server. |
2 |
Send Optimize and Allow endpoint traffic direct and everything else to the proxy server. This type can also be used to send all supported ExpressRoute for Microsoft 365 traffic to ExpressRoute network segments and everything else to the proxy server. |
以下是一个调用PowerShell脚本的简单示例:
PowerShell
Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
您可以向脚本传递许多参数:
Parameter | Description |
---|---|
ClientRequestId |
This is required and is a GUID passed to the web service that represents the client machine making the call. |
Instance |
The Microsoft 365 service instance, which defaults to Worldwide. This is also passed to the web service. |
TenantName |
Your Microsoft 365 tenant name. Passed to the web service and used as a replaceable parameter in some Microsoft 365 URLs. |
Type |
The type of the proxy PAC file that you want to generate. |
这是调用具有更多参数的PowerShell脚本的另一个示例:
PowerShell
Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId
b10c5ed1-bad1-445f-b386-b919946339a7
代理服务器绕过Microsoft 365网络流量的处理
在PAC文件不用于直接出站流量的情况下,您仍然希望通过配置代理服务器来绕过网络外围的处理。一些代理服务器供应商已经启用了自动配置,如Microsoft 365网络合作伙伴计划中所述。
如果手动执行此操作,则需要从Microsoft 365 IP地址和URL Web服务获取优化和允许端点类别数据,并配置代理服务器以绕过这些处理。对于优化和允许类别端点,避免TLS中断和检查以及代理身份验证非常重要。
Microsoft 365 IP地址和URL的更改管理
除了为您的网络外围选择适当的配置外,为Microsoft 365端点采用变更管理流程也很重要。这些端点会定期变化。如果不管理这些更改,在添加新的IP地址或URL后,用户可能会被阻止或性能不佳。
对Microsoft 365 IP地址和URL的更改通常在每月最后一天发布。有时,由于操作、支持或安全要求,更改会在该计划之外发布。
当因添加了IP地址或URL而发布需要您采取行动的更改时,您应该会在我们发布更改之日起30天内收到通知,直到该端点上有Microsoft 365服务为止。这反映为生效日期。虽然我们的目标是在这个通知期内,但由于操作、支持或安全要求,这可能并不总是可能的。不需要立即采取行动来保持连接的更改,如删除的IP地址或URL或不太重要的更改,不包括提前通知。在这些情况下,没有提供生效日期。无论提供何种通知,我们都会列出每次更改的预期服务活动日期。
使用Web服务更改通知
您可以使用Microsoft 365 IP地址和URL Web服务来获取更改通知。我们建议您每小时调用/version web方法一次,以检查用于连接到Microsoft 365的终结点的版本。如果此版本与您正在使用的版本相比发生了变化,那么您应该从/emptoms web方法获取最新的端点数据,并可以选择从/changes web方法中获取差异。如果您发现的版本没有任何更改,则没有必要调用/events或/changes web方法。
有关详细信息,请参阅Microsoft 365 IP地址和URL Web服务。
使用RSS源更改通知
Microsoft 365 IP地址和URL Web服务提供您可以在Outlook中订阅的RSS提要。每个Microsoft 365服务实例特定页面上都有指向RSS URL的链接,用于IP地址和URL。有关详细信息,请参阅Microsoft 365 IP地址和网址Web服务。
使用Power Automation进行变更通知和批准审查
我们理解,您可能仍然需要手动处理每月发生的网络端点更改。您可以使用Power Automation创建一个流,该流通过电子邮件通知您,并在Microsoft 365网络端点发生更改时,可选地运行更改的审批流程。审核完成后,您可以让流程自动将更改通过电子邮件发送给您的防火墙和代理服务器管理团队。
有关Power Automation示例和模板的信息,请参阅使用Power Automation接收更改Microsoft 365 IP地址和URL的电子邮件。
Microsoft 365网络端点常见问题
请参阅这些关于Microsoft 365网络连接的常见问题。
我如何提交问题?
选择底部的链接,指出文章是否有用,并提交更多问题。我们监控反馈,并在此处更新最常见的问题。
我如何确定租户的位置?
租户位置最好使用我们的数据中心地图确定。
我与微软的对等关系是否恰当?
对等位置在与微软的对等中有更详细的描述。
凭借全球2500多个ISP对等关系和70个存在点,从您的网络到我们的网络应该是无缝的。花几分钟时间确保您的ISP的对等连接关系是最佳的,这不会有什么坏处,这里有一些好的和不太好的对等连接切换到我们网络的例子。
我看到对不在已发布列表中的IP地址的网络请求,我需要提供对它们的访问权限吗?
我们只提供您应该直接路由到的Microsoft 365服务器的IP地址。这不是您将看到的网络请求的所有IP地址的完整列表。您将看到对Microsoft和第三方拥有、未发布的IP地址的网络请求。这些IP地址是动态生成或管理的,以防止在更改时及时通知。如果您的防火墙无法允许基于FQDN对这些网络请求进行访问,请使用PAC或WPAD文件来管理这些请求。
看到与Microsoft 365关联的IP,您想了解更多信息吗?
使用CIDR计算器检查IP地址是否包含在更大的已发布范围内,例如IPv4或IPv6。例如,40.96.0.0/13包括IP地址40.103.0.1,尽管40.96与40.103不匹配。
通过whois查询查看合作伙伴是否拥有该IP。如果它是微软所有的,它可能是一个内部合作伙伴。许多合作伙伴网络端点被列为属于默认类别,其IP地址不会发布。
IP地址可能不是Microsoft 365的一部分或依赖项。Microsoft 365网络端点发布不包括所有Microsoft网络端点。
检查证书。使用浏览器,使用HTTPS://<IP_ADDRES>连接到IP地址,并检查证书上列出的域,以了解哪些域与IP地址相关联。如果它是微软拥有的IP地址,并且不在微软365 IP地址列表中,则该IP地址很可能与微软CDN(如MSODN)相关联。NET或其他没有发布IP信息的Microsoft域。如果您确实发现证书上的域名是我们声称列出IP地址的域名,请告诉我们。
一些Microsoft 365 URL指向DNS中的CNAME记录而不是A记录。我与CNAME记录有什么关系?
客户端计算机需要包含一个或多个IP地址的DNS a或AAAA记录才能连接到云服务。Microsoft 365中包含的某些URL显示CNAME记录,而不是A或AAAA记录。这些CNAME记录是中间记录,链中可能有几个。他们最终总是会解析为IP地址的A或AAAA记录。例如,考虑以下一系列DNS记录,它们最终解析为IP地址IP_1:
serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1
这些CNAME重定向是DNS的正常部分,对客户端计算机和代理服务器都是透明的。它们用于负载平衡、内容交付网络、高可用性和服务事件缓解。Microsoft不会发布中间CNAME记录,它们随时可能发生变化,您不需要在代理服务器中配置它们。
代理服务器验证初始URL,在上述示例中为serviceA.office.com,此URL将包含在Microsoft 365发布中。代理服务器请求将该URL的DNS解析为IP地址,并接收回IP_1。它不会验证中间CNAME重定向记录。
不建议使用硬编码配置或使用基于间接Microsoft 365 FQDN的分配列表,Microsoft也不支持这些配置。众所周知,它们会导致客户连接问题。阻止CNAME重定向或以其他方式错误解析Microsoft 365 DNS条目的DNS解决方案可以通过启用DNS递归的DNS转发器或使用DNS根提示来解决。许多第三方网络外围产品原生集成了推荐的Microsoft 365端点,以使用Microsoft 365 IP地址和URL Web服务在其配置中包含满列表。
为什么我在Microsoft域名中看到诸如nsac.net或akadns.net之类的名称?
Microsoft 365和其他Microsoft服务使用Akamai和MarkMonitor等第三方服务来改善您的Microsoft 365体验。为了继续为您提供最佳体验,我们可能会在未来更改这些服务。第三方域可能托管内容,如CDN,也可能托管服务,如地理流量管理服务。目前正在使用的一些服务包括:
当您看到包含*.ntac.net的请求时,MarkMonitor正在使用中。此服务提供域名保护和监控,以防止恶意行为。
当您看到对*.ecttarget.com的请求时,ExactTarget正在使用中。此服务提供电子邮件链接管理和恶意行为监控。
当您看到包含以下FQDN之一的请求时,Akamai正在使用中。该服务提供地理DNS和内容分发网络服务。
Console
*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net
我必须拥有Microsoft 365的最低连接能力
由于Microsoft 365是一套为在互联网上运行而构建的服务,因此可靠性和可用性承诺是基于许多可用的标准互联网服务。例如,DNS、CRL和CDN等标准互联网服务必须可访问才能使用Microsoft 365,就像使用大多数现代互联网服务一样。
Microsoft 365套件分为四个主要服务区域,代表三个主要工作负载和一组公共资源。这些服务区域可用于将流量与特定应用程序相关联,但鉴于功能通常会消耗多个工作负载的端点,这些服务区域无法有效地用于限制访问。
Service Area | Description |
---|---|
Exchange |
Exchange Online and Exchange Online Protection |
SharePoint |
SharePoint Online and OneDrive for Business |
Skype for Business Online and Microsoft Teams |
Skype for Business and Microsoft Teams |
Common |
Microsoft 365 Pro Plus, Office in a browser, Microsoft Entra ID, and other common network endpoints |
除了基本的互联网服务外,还有仅用于集成功能的第三方服务。虽然这些服务是集成所必需的,但在Microsoft 365端点文章中,它们被标记为可选。这意味着,如果端点不可访问,服务的核心功能将继续运行。所需的任何网络端点都将所需属性设置为true。任何可选的网络端点都将必需的属性设置为false,notes属性详细说明了如果连接被阻止,您应该期望的缺失功能。
如果您尝试使用Microsoft 365,但发现无法访问第三方服务,则需要确保本文中标记为必需或可选的所有FQDN都允许通过代理和防火墙。
如何阻止访问Microsoft的消费者服务?
租户限制功能现在支持阻止使用所有Microsoft消费者应用程序(MSA应用程序),如OneDrive、Hotmail和Xbox.com。此功能使用单独的login.live.com端点标头。有关更多信息,请参阅使用租户限制来管理对SaaS云应用程序的访问。
我的防火墙需要IP地址,无法处理URL。如何为Microsoft 365配置它?
Microsoft 365不提供所有必需网络端点的IP地址。有些仅作为URL提供,并被归类为默认值。应允许通过代理服务器访问默认类别中的必需URL。如果你没有代理服务器,看看你是如何配置用户在网络浏览器的地址栏中键入的URL的网络请求的;用户也不提供IP地址。不提供IP地址的Microsoft 365默认类别URL应以相同的方式配置。
相关文章
- 登录 发表评论
- 6 次浏览
Tags
最新内容
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week 6 days ago
- 2 weeks ago
- 2 weeks 2 days ago
- 2 weeks 2 days ago
- 2 weeks 2 days ago