Microsoft 365 uç noktalarını yönetme

Birden çok ofis konumu ve bağlantı WAN'ı olan çoğu kurumsal kuruluşun Microsoft 365 ağ bağlantısı için yapılandırması gerekir. Tüm güvenilir Microsoft 365 ağ isteklerini doğrudan güvenlik duvarınız üzerinden göndererek ve ek paket düzeyindeki tüm incelemeleri veya işlemleri atlayarak ağınızı iyileştirebilirsiniz. Bu, gecikme süresini ve çevre kapasitesi gereksinimlerinizi azaltır. Microsoft 365 ağ trafiğini belirlemek, kullanıcılarınız için en iyi performansı sağlamanın ilk adımıdır. Daha fazla bilgi için bkz. Microsoft 365 Ağ Bağlantısı İlkeleri.

Microsoft, Microsoft 365 IP Adresi ve URL Web Hizmeti'ni kullanarak Microsoft 365 ağ uç noktalarına ve bu uç noktalarda devam eden değişikliklere erişmenizi önerir.

Önemli Microsoft 365 ağ trafiğini nasıl yönettiğinize bakılmaksızın, Microsoft 365 için İnternet bağlantısı gerekir. Bağlantının gerekli olduğu diğer ağ uç noktaları , Microsoft 365 IP Adresi ve URL Web hizmetine dahil olmayan ek uç noktalar bölümünde listelenir.

Microsoft 365 ağ uç noktalarını nasıl kullanacağınız, kuruluşunuzun ağ mimarisine bağlıdır. Bu makalede, kurumsal ağ mimarilerinin Microsoft 365 IP adresleri ve URL'leriyle tümleştirebileceği çeşitli yollar özetlenmektedir. Güvenecek ağ isteklerini seçmenin en kolay yolu, ofis konumlarınızın her birinde otomatik Microsoft 365 yapılandırmasını destekleyen SD-WAN cihazlarını kullanmaktır.

Önemli Microsoft 365 ağ trafiğinin yerel dal çıkışı için SD-WAN

Her şube ofisi konumunda, Microsoft 365 Uç nokta kategorisini iyileştir veya İyileştir ve İzin Ver kategorilerine yönelik trafiği doğrudan Microsoft'un ağına yönlendirecek şekilde yapılandırılmış bir SD-WAN cihazı sağlayabilirsiniz. Şirket içi veri merkezi trafiği, genel İnternet web siteleri trafiği ve Microsoft 365 Varsayılan kategori uç noktalarına giden trafik gibi diğer ağ trafiği, daha önemli bir ağ çevrenize sahip olduğunuz başka bir konuma gönderilir.

Microsoft, otomatik yapılandırmayı etkinleştirmek için SD-WAN sağlayıcılarıyla birlikte çalışmaktadır. Daha fazla bilgi için bkz. Microsoft 365 Ağ İş Ortağı Programı.

Önemli Microsoft 365 trafiğinin doğrudan yönlendirmesi için PAC dosyası kullanma

Microsoft 365 ile ilişkilendirilmiş ancak IP adresi olmayan ağ isteklerini yönetmek için PAC veya WPAD dosyalarını kullanın. Ara sunucu veya çevre cihazı aracılığıyla gönderilen tipik ağ istekleri gecikme süresini artırır. TLS Break ve Inspect en büyük gecikme süresini oluştururken, ara sunucu kimlik doğrulaması ve saygınlık araması gibi diğer hizmetler düşük performansa ve kötü bir kullanıcı deneyimine neden olabilir. Ayrıca, bu çevre ağ cihazlarının tüm ağ bağlantı isteklerini işlemek için yeterli kapasiteye ihtiyacı vardır. Doğrudan Microsoft 365 ağ istekleri için ara sunucu veya denetim cihazlarınızı atlamanızı öneririz.

PowerShell Galerisi Get-PacFile , Microsoft 365 IP Adresi ve URL Web hizmetinden en son ağ uç noktalarını okuyan ve örnek bir PAC dosyası oluşturan bir PowerShell betiğidir. Betiği, mevcut PAC dosya yönetiminizle tümleştirileceği şekilde değiştirebilirsiniz.

Not

Microsoft 365 uç noktalarına doğrudan bağlantının güvenlik ve performans konuları hakkında daha fazla bilgi için bkz. Microsoft 365 Ağ Bağlantısı İlkeleri.

Güvenlik duvarları ve ara sunucular aracılığıyla Microsoft 365'e bağlanma.

Şekil 1 - Basit kurumsal ağ çevresi

PAC dosyası, Şekil 1'de 1. noktada web tarayıcılarına dağıtılır. Önemli Microsoft 365 ağ trafiğinin doğrudan çıkışı için bir PAC dosyası kullanırken, ağ çevre güvenlik duvarınızdaki bu URL'lerin arkasındaki IP adreslerine de bağlantıya izin vermeniz gerekir. Bu, PAC dosyasında belirtilen aynı Microsoft 365 uç nokta kategorileri için IP adresleri getirilerek ve bu adreslere göre güvenlik duvarı ACL'leri oluşturularak gerçekleştirilir. Güvenlik duvarı Şekil 1'de 3. noktadır.

Ayrıca, yalnızca Kategori uç noktalarını iyileştir için doğrudan yönlendirme yapmayı seçerseniz, daha fazla işlemeyi atlamak için ara sunucuya gönderdiğiniz tüm gerekli İzin ver kategori uç noktalarının ara sunucuda listelenmesi gerekir. Örneğin, TLS kesme ve İnceleme ve Ara Sunucu Kimlik Doğrulaması hem İyileştir hem de kategori uç noktalarına izin ver ile uyumlu değildir. Şekil 1'de ara sunucu 2. noktadır.

Yaygın yapılandırma, ara sunucuya isabet eden Microsoft 365 ağ trafiği için hedef IP adresleri için ara sunucudan gelen tüm giden trafiği işlemeden izin vermektir. TLS Break ve Inspect ile ilgili sorunlar hakkında bilgi için bkz. Microsoft 365 trafiğinde üçüncü taraf ağ cihazlarını veya çözümlerini kullanma.

Get-PacFile betiğinin oluşturduğu iki tür PAC dosyası vardır.

Tür Açıklama
1
Uç nokta trafiğini en iyi duruma getir'i doğrudan ve diğer her şeyi proxy sunucusuna gönderin.
2
İyileştir ve Uç nokta trafiğine izin ver'i doğrudan ve diğer her şeyi ara sunucuya gönderin. Bu tür, Microsoft 365 trafiği için desteklenen tüm ExpressRoute'u ExpressRoute ağ kesimlerine ve diğer her şeyi ara sunucuya göndermek için de kullanılabilir.

PowerShell betiğini çağırmanın basit bir örneği aşağıda verilmiştir:

Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Betike geçirebileceğiniz birçok parametre vardır:

Parametre Açıklama
ClientRequestId
Bu gereklidir ve çağrıyı yapan istemci makinesini temsil eden web hizmetine geçirilen bir GUID'dir.
Örnek
Varsayılan olarak Worldwide olan Microsoft 365 hizmet örneği. Bu, web hizmetine de geçirilir.
TenantName
Microsoft 365 kiracınızın adı. Web hizmetine geçirilir ve bazı Microsoft 365 URL'lerinde değiştirilebilir parametre olarak kullanılır.
Tür
Oluşturmak istediğiniz ara sunucu PAC dosyasının türü.

Daha fazla parametre içeren PowerShell betiğini çağırmanın başka bir örneği aşağıda verilmiştir:

Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Microsoft 365 ağ trafiğinin proxy sunucusu atlama işlemi

PAC dosyalarının doğrudan giden trafik için kullanılmadığı durumlarda, ara sunucunuzu yapılandırarak ağ çevrenizdeki işlemeyi atlamak istersiniz. Bazı ara sunucu satıcıları, Microsoft 365 Ağ İş Ortağı Programı'nda açıklandığı gibi bunun otomatik yapılandırmasını etkinleştirdi.

Bunu el ile yaparsanız, Microsoft 365 IP Adresi ve URL Web Hizmeti'nden İyileştirme ve İzin Ver uç nokta kategorisi verilerini almanız ve proxy sunucunuzu bunlar için işlemeyi atlayacak şekilde yapılandırmanız gerekir. İyileştirme ve İzin Ver kategori uç noktaları için TLS Kesme ve İnceleme ve Ara Sunucu Kimlik Doğrulaması'nı önlemek önemlidir.

Microsoft 365 IP adresleri ve URL'leri için değişiklik yönetimi

Ağ çevreniz için uygun yapılandırmayı seçmeye ek olarak, Microsoft 365 uç noktaları için bir değişiklik yönetimi süreci benimsemeniz de kritik önem taşır. Bu uç noktalar düzenli olarak değişir. Değişiklikleri yönetmezseniz, yeni bir IP adresi veya URL eklendikten sonra kullanıcılar engellenmiş veya düşük performansla sonuçlanabilir.

Microsoft 365 IP adreslerinde ve URL'lerinde yapılan değişiklikler genellikle her ayın son gününe yakın yayımlanır. Bazen işlem, destek veya güvenlik gereksinimleri nedeniyle bu zamanlamanın dışında bir değişiklik yayımlanır.

BIR IP adresi veya URL eklendiğinden işlem yapmanızı gerektiren bir değişiklik yayımlandığında, değişikliği yayımladığımızdan bu uç noktada bir Microsoft 365 hizmeti olana kadar 30 gün bildirim almayı beklemeniz gerekir. Bu, Geçerlilik Tarihi olarak yansıtılır. Bu bildirim dönemini hedeflesek de operasyonel, destek veya güvenlik gereksinimleri nedeniyle her zaman mümkün olmayabilir. Kaldırılan IP adresleri veya URL'ler veya daha az önemli değişiklikler gibi bağlantıyı korumak için hemen eylem gerektirmeyen değişiklikler, önceden bildirim içermez. Bu örneklerde Geçerlilik Tarihi sağlanmadı. Hangi bildirimin sağlandığına bakılmaksızın, her değişiklik için beklenen hizmet etkin tarihini listeleyeceğiz.

Web Hizmeti'ni kullanarak bildirimi değiştirme

Değişiklik bildirimi almak için Microsoft 365 IP Adresi ve URL Web Hizmeti'ni kullanabilirsiniz. Microsoft 365'e bağlanmak için kullandığınız uç noktaların sürümünü denetlemek için /version web yöntemini saatte bir çağırmanızı öneririz. Bu sürüm kullanımdaki sürümle karşılaştırıldığında değişirse, /endpoints web yönteminden en son uç nokta verilerini almanız ve isteğe bağlı olarak /changes web yönteminden farkları almanız gerekir. Bulduğunuz sürümde herhangi bir değişiklik yapılmadıysa /endpoints veya /changes web yöntemlerini çağırmak gerekmez.

Daha fazla bilgi için bkz. Microsoft 365 IP Adresi ve URL Web Hizmeti.

RSS akışlarını kullanarak bildirimi değiştirme

Microsoft 365 IP Adresi ve URL Web Hizmeti, Outlook'ta abone olabileceğiniz bir RSS akışı sağlar. IP adresleri ve URL'ler için Microsoft 365 hizmeti örneğine özgü sayfaların her birinde RSS URL'lerinin bağlantıları vardır. Daha fazla bilgi için bkz. Microsoft 365 IP Adresi ve URL Web Hizmeti.

Power Automate kullanarak bildirim ve onay gözden geçirmesini değiştirme

Her ay gelen ağ uç noktası değişiklikleri için el ile işlemeye ihtiyaç duyabileceğinizi anlıyoruz. Power Automate'i kullanarak sizi e-postayla bilgilendiren ve microsoft 365 ağ uç noktaları değişiklik olduğunda değişiklikler için isteğe bağlı olarak bir onay işlemi çalıştıran bir akış oluşturabilirsiniz. gözden geçirme tamamlandıktan sonra akışın değişiklikleri otomatik olarak güvenlik duvarınıza ve ara sunucu yönetim ekibinize e-postayla göndermesini sağlayabilirsiniz.

Power Automate örneği ve şablonu hakkında bilgi için bkz. Microsoft 365 IP adreslerinde ve URL'lerinde yapılan değişiklikler için e-posta almak için Power Automate'i kullanma.

Microsoft 365 ağ uç noktaları hakkında SSS

Microsoft 365 ağ bağlantısı hakkında sık sorulan bu sorulara bakın.

Nasıl soru gönderebilirim?

Makalenin yararlı olup olmadığını belirtmek için alttaki bağlantıyı seçin ve daha fazla soru gönderin. Geri bildirimleri izler ve buradaki soruları en sık sorulanlarla güncelleştiririz.

Kiracımın konumunu nasıl belirleyebilirim?

Kiracı konumu en iyi veri merkezi haritamız kullanılarak belirlenir.

Microsoft ile uygun şekilde eşleme yapıyorum mu?

Eşleme konumlarıMicrosoft ile eşleme konusunda daha ayrıntılı olarak açıklanmıştır.

Küresel olarak 2500'den fazla ISS eşleme ilişkisi ve 70'in üzerinde iletişim noktası ile ağınızdan bizim ağımıza sorunsuz bir şekilde erişim sağlanmalıdır. ISS'nizin eşleme ilişkisinin en uygun olduğundan emin olmak için birkaç dakika harcamanın zararı olmaz. Aşağıda ağımıza yönelik iyi ve iyi olmayan eşleme izinlerine birkaç örnek verilmiştir.

Yayımlanan listede olmayan IP adreslerine yönelik ağ istekleri görüyorum, bunlara erişim sağlamam gerekiyor mu?

Yalnızca doğrudan yönlendirmeniz gereken Microsoft 365 sunucuları için IP adresleri sağlarız. Bu, ağ isteklerini göreceğiniz tüm IP adreslerinin kapsamlı bir listesi değildir. Microsoft'a ve üçüncü tarafa ait, yayımdan kaldırılmış IP adreslerine yönelik ağ isteklerini görürsünüz. Bu IP adresleri dinamik olarak oluşturulur veya değiştiklerinde zamanında fark edilmesini önleyecek şekilde yönetilir. Güvenlik duvarınız bu ağ istekleri için FQDN'leri temel alarak erişime izin veremiyorsa, istekleri yönetmek için pac veya WPAD dosyası kullanın.

Microsoft 365 ile ilişkilendirilmiş ve daha fazla bilgi edinmek istediğiniz bir IP'ye mi bakın?

  1. IP adresinin IPv4 veya IPv6 için bunlar gibi bir CIDR hesaplayıcısı kullanarak daha büyük bir yayımlanmış aralığa eklenip eklenmediğini denetleyin. Örneğin, 40.96.0.0/13, 40.96'nın 40.103 ile eşleşmediği halde 40.103.0.1 IP Adresini içerir.
  2. Whois sorgusuyla IP'nin iş ortağına ait olup olmadığını görün. Microsoft'un sahip olduğu bir şirket içi iş ortağı olabilir. Birçok iş ortağı ağ uç noktası, IP adreslerinin yayımlanmadığı varsayılan kategoriye ait olarak listelenir.
  3. IP adresi Microsoft 365'in veya bağımlılığın bir parçası olmayabilir. Microsoft 365 ağ uç noktası yayımlama, tüm Microsoft ağ uç noktalarını içermez.
  4. Sertifikayı denetleyin. Bir tarayıcıyla HTTPS://< IP_ADDRESS> kullanarak IP adresine bağlanın ve IP adresiyle ilişkili etki alanlarını anlamak için sertifikada listelenen etki alanlarını denetleyin. Microsoft 365 IP adresleri listesinde değil de Microsoft'a ait bir IP adresiyse, IP adresi büyük olasılıkla MSOCDN.NET gibi bir Microsoft CDN'siyle veya yayımlanmış IP bilgisi olmayan başka bir Microsoft etki alanıyla ilişkilendirilir. Sertifikadaki etki alanının IP adresini listelediğimiz bir etki alanı olduğunu fark ederseniz lütfen bize bildirin.

Bazı Microsoft 365 URL'leri, DNS'deki A kayıtları yerine CNAME kayıtlarını işaret eder. CNAME kayıtlarıyla ne yapmam gerekiyor?

İstemci bilgisayarların bir bulut hizmetine bağlanmak için bir veya daha fazla IP adresi içeren bir DNS A veya AAAA kaydına ihtiyacı vardır. Microsoft 365'te yer alan bazı URL'ler A veya AAAA kayıtları yerine CNAME kayıtlarını gösterir. Bu CNAME kayıtları aracıdır ve zincirde birkaç tane olabilir. Her zaman bir IP Adresi için A veya AAAA kaydına çözümleyeceğiz. Örneğin, sonunda IP adresi IP_1 çözümlenen aşağıdaki DNS kayıtları serisini göz önünde bulundurun:

serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1

Bu CNAME yeniden yönlendirmeleri DNS'nin normal bir parçasıdır ve istemci bilgisayar için saydam ve ara sunuculara saydamdır. Bunlar yük dengeleme, içerik teslim ağları, yüksek kullanılabilirlik ve hizmet olayı azaltma için kullanılır. Microsoft aracı CNAME kayıtlarını yayımlamaz, bunlar herhangi bir zamanda değiştirilebilir ve bunları proxy sunucunuzda izin verilen şekilde yapılandırmanız gerekmez.

Ara sunucu, yukarıdaki örnekte serviceA.office.com olan ilk URL'yi doğrular ve bu URL Microsoft 365 yayımlamaya dahil edilir. Ara sunucu, bu URL'nin DNS çözümlemesini bir IP Adresine gönderir ve IP_1 geri alır. Aracı CNAME yeniden yönlendirme kayıtlarını doğrulamaz.

Sabit kodlanmış yapılandırmalar veya dolaylı Microsoft 365 FQDN'lerini temel alan bir izin listesi kullanmak Microsoft tarafından önerilmez ve desteklenmez. Bunların müşteri bağlantı sorunlarına neden olduğu bilinmektedir. CNAME yeniden yönlendirmesini engelleyen veya Microsoft 365 DNS girişlerini yanlış çözümleyen DNS çözümleri, DNS özyineleme etkinleştirilmiş DNS ileticileri aracılığıyla veya DNS kök ipuçlarını kullanarak çözülebilir. Birçok üçüncü taraf ağ çevre ürünü, Önerilen Microsoft 365 uç noktasını, Microsoft 365 IP Adresi ve URL Web hizmetini kullanarak yapılandırmalarına izin verilenler listesi eklemek için yerel olarak tümleştirir.

Microsoft etki alanı adlarında neden nsatc.net veya akadns.net gibi adlar görüyorum?

Microsoft 365 ve diğer Microsoft hizmetleri, Microsoft 365 deneyiminizi geliştirmek için Akamai ve MarkMonitor gibi çeşitli üçüncü taraf hizmetleri kullanır. Size mümkün olan en iyi deneyimi vermeye devam etmek için gelecekte bu hizmetleri değiştirebiliriz. Üçüncü taraf etki alanları CDN gibi içeriği barındırabilir veya coğrafi trafik yönetimi hizmeti gibi bir hizmeti barındırabilir. Şu anda kullanımda olan hizmetlerden bazıları şunlardır:

*.nsatc.net içeren istekler gördüğünüzde MarkMonitor kullanılır. Bu hizmet, kötü amaçlı davranışlara karşı koruma sağlamak için etki alanı adı koruması ve izleme sağlar.

*.exacttarget.com istekleri gördüğünüzde ExactTarget kullanılıyor. Bu hizmet, kötü amaçlı davranışlara karşı e-posta bağlantısı yönetimi ve izleme sağlar.

Aşağıdaki FQDN'lerden birini içeren istekler gördüğünüzde Akamai kullanılır. Bu hizmet coğrafi DNS ve içerik teslim ağı hizmetleri sunar.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

Microsoft 365 için mümkün olan en düşük bağlantıya sahip olmak zorundayım

Microsoft 365, İnternet üzerinden çalışması için oluşturulmuş bir hizmet paketi olduğundan, güvenilirlik ve kullanılabilirlik vaatleri birçok standart İnternet hizmetini temel alır. Örneğin, DNS, CRL ve CDN'ler gibi standart internet hizmetlerinin Microsoft 365'i kullanabilmesi için aynı modern internet hizmetlerinin çoğuna ulaşılabilmesi gerektiği gibi erişilebilir olması gerekir.

Microsoft 365 paketi, üç birincil iş yükünü ve bir dizi ortak kaynağı temsil eden dört ana hizmet alanına ayrılmıştır. Bu hizmet alanları, trafik akışlarını belirli bir uygulamayla ilişkilendirmek için kullanılabilir, ancak özelliklerin genellikle birden çok iş yükünde uç noktaları kullandığı göz önüne alındığında, bu hizmet alanları erişimi kısıtlamak için etkili bir şekilde kullanılamaz.

Hizmet Alanı Açıklama
Exchange
Exchange Online ve Exchange Online Koruması
SharePoint
SharePoint Online ve OneDrive İş
Skype Kurumsal Çevrimiçi ve Microsoft Teams
Skype Kurumsal ve Microsoft Teams
Meydan
Microsoft 365 Pro Plus, tarayıcıda Office, Microsoft Entra Id ve diğer ortak ağ uç noktaları

Temel internet hizmetlerine ek olarak, yalnızca işlevselliği tümleştirmek için kullanılan üçüncü taraf hizmetler vardır. Bu hizmetler tümleştirme için gerekli olsa da, Microsoft 365 uç noktaları makalesinde isteğe bağlı olarak işaretlenir. Bu, uç nokta erişilebilir değilse hizmetin temel işlevselliğinin çalışmaya devam etmesi anlamına gelir. Gerekli olan tüm ağ uç noktalarının gerekli özniteliği true olarak ayarlanmıştır. İsteğe bağlı herhangi bir ağ uç noktasının gerekli özniteliği false olarak ayarlanmıştır ve notes özniteliği, bağlantının engellenmesi durumunda beklemeniz gereken eksik işlevselliğin ayrıntılarını içerir.

Microsoft 365'i kullanmaya çalışıyorsanız ve üçüncü taraf hizmetlerinin erişilebilir olmadığını fark ediyorsanız, bu makalede gerekli veya isteğe bağlı olarak işaretlenmiş tüm FQDN'lere ara sunucu ve güvenlik duvarı üzerinden izin verildiğinden emin olmak istersiniz.

Microsoft'un tüketici hizmetlerine erişimi nasıl engelleyebilirim?

Kiracı kısıtlamaları özelliği artık OneDrive, Hotmail ve Xbox.com gibi tüm Microsoft tüketici uygulamalarının (MSA uygulamaları) kullanımını engellemeyi destekliyor. Bu özellik, login.live.com uç noktası için ayrı bir üst bilgi kullanır. Daha fazla bilgi için bkz. SaaS bulut uygulamalarına erişimi yönetmek için kiracı kısıtlamalarını kullanma.

Güvenlik duvarım IP Adresleri gerektiriyor ve URL'leri işleyemiyor. Microsoft 365 için nasıl yapılandırılır?

Microsoft 365, tüm gerekli ağ uç noktalarının IP adreslerini sağlamaz. Bazıları yalnızca URL'ler olarak sağlanır ve varsayılan olarak kategorilere ayrılır. Varsayılan kategoride yer alan ve gerekli olan URL'lere ara sunucu üzerinden izin verilmelidir. Proxy sunucunuz yoksa, kullanıcıların bir web tarayıcısının adres çubuğuna yazdığı URL'ler için web isteklerini nasıl yapılandırdığınıza bakın; kullanıcı da bir IP adresi sağlamaz. IP adresi sağlamayan Microsoft 365 varsayılan kategori URL'leri de aynı şekilde yapılandırılmalıdır.

Microsoft 365 IP Adresi ve URL Web hizmeti

Microsoft Azure Veri Merkezi IP Aralıkları

Microsoft Genel IP Alanı

Microsoft Intune için ağ altyapısı gereksinimleri

Microsoft 365 URL'leri ve IP adresi aralıkları

Microsoft 365 Ağ Bağlantı İlkeleri