Implementera DELADE VPN-tunnlar för Microsoft 365

Obs!

Den här artikeln är en del av en uppsättning artiklar som behandlar Microsoft 365-optimering för fjärranvändare.

Microsofts rekommenderade strategi för att optimera distansarbetares anslutning fokuserar på att snabbt åtgärda problem och ge höga prestanda med några enkla steg. De här stegen justerar den äldre VPN-metoden för några definierade slutpunkter som kringgår flaskhalsade VPN-servrar. En motsvarande eller till och med överlägsen säkerhetsmodell kan tillämpas i olika lager för att ta bort behovet av att skydda all trafik vid företagets nätverks utgående trafik. I de flesta fall kan detta uppnås effektivt inom några timmar och är sedan skalbart för andra arbetsbelastningar som krav på efterfrågan och tid tillåter.

Implementera delade VPN-tunnlar

I den här artikeln hittar du de enkla steg som krävs för att migrera VPN-klientarkitekturen från en VPN-tvingad tunnel till en VPN-tvingad tunnel med några betrodda undantag, VPN-delad tunnelmodell nr 2 i vanliga scenarier med DELADE VPN-tunnlar för Microsoft 365.

Diagrammet nedan visar hur den rekommenderade vpn-lösningen för delade tunnlar fungerar:

Information om VPN-lösning med delad tunnel.

1. Identifiera de slutpunkter som ska optimeras

I artikeln Url:er och IP-adressintervall för Microsoft 365 identifierar Microsoft tydligt de nyckelslutpunkter som du behöver för att optimera och kategorisera dem som Optimera. Det finns för närvarande bara fyra URL:ar och 20 IP-undernät som måste optimeras. Den här lilla gruppen slutpunkter står för cirka 70 % – 80 % av mängden trafik till Microsoft 365-tjänsten, inklusive svarstidskänsliga slutpunkter som de för Teams-media. I grund och botten är detta den trafik som vi behöver ta särskild hand om och är också den trafik som kommer att sätta otrolig press på traditionella nätverksvägar och VPN-infrastruktur.

URL:er i den här kategorin har följande egenskaper:

  • Finns Microsofts ägda och hanterade slutpunkter i Microsofts infrastruktur?
  • Har IP-adresser angetts
  • Låg förändringstakt och förväntas förbli liten i antal (för närvarande 20 IP-undernät)
  • Är bandbredds- och/eller svarstidskänsliga
  • Kan ha nödvändiga säkerhetselement som tillhandahålls i tjänsten i stället för infogade i nätverket
  • Står för cirka 70–80 % av trafikvolymen till Microsoft 365-tjänsten

Mer information om Microsoft 365-slutpunkter och hur de kategoriseras och hanteras finns i Hantera Microsoft 365-slutpunkter.

Optimera URL:er

De aktuella optimerings-URL:erna finns i tabellen nedan. Under de flesta omständigheter bör du bara behöva använda URL-slutpunkter i en PAC-webbläsarfil där slutpunkterna är konfigurerade för att skickas direkt i stället för till proxyn.

Optimera URL:er Port/protokoll Syfte
https://outlook.office365.com TCP 443 Det här är en av de primära URL:erna som Outlook använder för att ansluta till sin Exchange Online server och har en hög bandbreddsanvändning och antal anslutningar. Låg nätverksfördröjning krävs för onlinefunktioner, inklusive: snabbsökning, andra postlådekalendrar, ledig/upptagen-sökning, hantera regler och aviseringar, Exchange Online-arkiv, e-postmeddelanden som lämnar utkorgen.
https://outlook.office.com TCP 443 Den här URL:en används för Outlook Online Web Access för att ansluta till Exchange Online server och är känslig för nätverksfördröjning. Anslutning krävs särskilt för stor filuppladdning och nedladdning med SharePoint Online.
https://\<tenant\>.sharepoint.com TCP 443 Det här är den primära URL:en för SharePoint Online och har användning med hög bandbredd.
https://\<tenant\>-my.sharepoint.com TCP 443 Det här är den primära URL:en för OneDrive för företag och har hög bandbreddsanvändning och eventuellt högt antal anslutningar från verktyget OneDrive för företag Sync.
Teams Media IP-adresser (ingen URL) UDP 3478, 3479, 3480 och 3481 Reläidentifieringsallokering och realtidstrafik. Det här är de slutpunkter som används för Skype för företag och Microsoft Teams Media-trafik (samtal, möten osv.). De flesta slutpunkter tillhandahålls när Microsoft Teams-klienten upprättar ett anrop (och finns i de ip-adresser som krävs som anges för tjänsten). Användning av UDP-protokollet krävs för optimal mediekvalitet.

I exemplen ovan bör klientorganisationen ersättas med ditt Microsoft 365-klientnamn. Till exempel skulle contoso.onmicrosoft.com använda contoso.sharepoint.com och contoso-my.sharepoint.com.

Optimera IP-adressintervall

Vid tidpunkten för skrivning är de IP-adressintervall som dessa slutpunkter motsvarar följande. Vi rekommenderar starkt att du använder ett skript som det här exemplet, webbtjänsten Microsoft 365 IP och URL eller URL/IP-sidan för att söka efter uppdateringar när du tillämpar konfigurationen och införa en princip för att göra det regelbundet. Om du använder kontinuerlig åtkomstutvärdering kan du läsa om variationen i utvärderings-IP-adress för kontinuerlig åtkomst. Routningsoptimerade IP-adresser via en betrodd IP-adress eller VPN kan krävas för att förhindra att block som är relaterade till insufficient_claims eller kontroll av omedelbar IP-tillämpning misslyckades i vissa scenarier.

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.122.0.0/15

2. Optimera åtkomsten till dessa slutpunkter via VPN

Nu när vi har identifierat dessa kritiska slutpunkter måste vi avleda dem från VPN-tunneln och låta dem använda användarens lokala Internetanslutning för att ansluta direkt till tjänsten. Det sätt på vilket detta görs varierar beroende på vilken VPN-produkt och datorplattform som används, men de flesta VPN-lösningar gör att vissa enkla principkonfigurationer kan tillämpa den här logiken. Information om VPN-plattformsspecifik vägledning för delade tunnlar finns i HOWTO-guider för vanliga VPN-plattformar.

Om du vill testa lösningen manuellt kan du köra följande PowerShell-exempel för att emulera lösningen på routningstabellnivå. Det här exemplet lägger till en väg för vart och ett av Teams Media IP-undernät i routningstabellen. Du kan testa Teams mediaprestanda före och efter och observera skillnaden i vägar för de angivna slutpunkterna.

Exempel: Lägga till Teams Media IP-undernät i routningstabellen

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

I skriptet ovan är $intIndex indexet för gränssnittet som är anslutet till Internet (hitta genom att köra get-netadapter i PowerShell, leta efter värdet för ifIndex) och $gateway är standardgatewayen för det gränssnittet (hitta genom att köra ipconfig i en kommandotolk eller (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop i PowerShell).

När du har lagt till vägarna kan du bekräfta att routningstabellen är korrekt genom att köra routningsutskrift i en kommandotolk eller PowerShell. Utdata ska innehålla de vägar som du har lagt till, som visar gränssnittsindexet (22 i det här exemplet) och gatewayen för det gränssnittet (192.168.1.1 i det här exemplet):

Dirigera utskriftsutdata.

Om du vill lägga till vägar för alla aktuella IP-adressintervall i kategorin Optimera kan du använda följande skriptvariant för att fråga webbtjänsten Microsoft 365 IP och URL för den aktuella uppsättningen optimera IP-undernät och lägga till dem i routningstabellen.

Exempel: Lägg till alla Optimera undernät i routningstabellen

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Om du oavsiktligt har lagt till vägar med felaktiga parametrar eller bara vill återställa ändringarna kan du ta bort de vägar som du just lade till med följande kommando:

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

VPN-klienten ska konfigureras så att trafik till Optimera IP-adresser dirigeras på det här sättet. På så sätt kan trafiken använda lokala Microsoft-resurser, till exempel Microsoft 365 Service Front Doors , till exempel Azure Front Door som levererar Microsoft 365-tjänster och anslutningsslutpunkter så nära användarna som möjligt. På så sätt kan vi leverera höga prestandanivåer till användare oavsett var de befinner sig i världen och dra full nytta av Microsofts globala nätverk i världsklass, vilket sannolikt ligger inom några millisekunder från användarnas direkta utgående trafik.

HOWTO-guider för vanliga VPN-plattformar

Det här avsnittet innehåller länkar till detaljerade guider för implementering av delade tunnlar för Microsoft 365-trafik från de vanligaste partnerna i det här utrymmet. Vi lägger till ytterligare guider när de blir tillgängliga.

Översikt: DELADE VPN-tunnlar för Microsoft 365

Vanliga scenarier med delade VPN-tunnlar för Microsoft 365

Skydda Teams medietrafik för delade VPN-tunnlar

Särskilda överväganden för Stream- och livehändelser i VPN-miljöer

Microsoft 365-prestandaoptimering för kinesiska användare

Principer för nätverksanslutning i Microsoft 365

Utvärdera Microsoft 365 nätverksanslutningar

Nätverks- och prestandajustering för Microsoft 365

Alternativa sätt för säkerhetspersonal och IT att uppnå moderna säkerhetskontroller i dagens unika fjärrarbetsscenarier (Microsoft Security Team-bloggen)

Förbättra VPN-prestanda hos Microsoft: använda Windows 10 VPN-profiler för att tillåta automatiska anslutningar

Körs på VPN: Hur Microsoft håller sin fjärranslutna personal ansluten

Microsofts globala nätverk