Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Este artigo faz parte de um conjunto de artigos que abordam a otimização do Microsoft 365 para utilizadores remotos ou quando implementa otimizações de rede que envolvem encaminhamento baseado em prefixos IP para ignorar pontos de congestionamento na infraestrutura de rede.
- Para obter uma descrição geral da utilização do túnel dividido de VPN para otimizar a conectividade do Microsoft 365 para utilizadores remotos, consulte Descrição geral: túnel dividido de VPN para o Microsoft 365.
- Para obter uma lista detalhada dos cenários de túnel dividido de VPN, veja Cenários comuns de túnel dividido de VPN para o Microsoft 365.
- Para obter orientações sobre como proteger o tráfego de multimédia do Teams em ambientes de túnel divididos de VPN, veja Proteger o tráfego de multimédia do Teams para túnel dividido de VPN.
- Para obter informações sobre como configurar Stream e eventos em direto em ambientes VPN, veja Considerações especiais sobre Stream e eventos em direto em ambientes VPN.
- Para obter informações sobre como otimizar o desempenho de inquilinos do Microsoft 365 em todo o mundo para utilizadores na China, consulte Otimização do desempenho do Microsoft 365 para utilizadores chineses.
A Microsoft sugere uma estratégia para melhorar a conectividade de forma rápida e eficiente. Isto envolve alguns passos simples para atualizar as rotas de rede, permitindo que determinados pontos finais chave ignorem os servidores VPN congestionados. Ao aplicar um modelo de segurança semelhante ou melhor em camadas diferentes, não é necessário proteger todo o tráfego no ponto de saída da rede empresarial e pode encaminhar o tráfego do Microsoft 365 através de caminhos de rede mais curtos e eficientes. Normalmente, isto pode ser feito em poucas horas e pode ser dimensionado para várias cargas de trabalho do Microsoft 365, conforme necessário.
Implementar o túnel dividido de VPN
Neste artigo, encontrará os passos simples necessários para migrar a arquitetura do cliente VPN de um túnel forçado de VPN para um túnel forçado de VPN com algumas exceções fidedignas, modelo de túnel dividido de VPN n.º 2 em cenários comuns de túnel dividido de VPN para o Microsoft 365.
O diagrama seguinte ilustra como funciona a solução de túnel dividido de VPN recomendada:
1. identifique os pontos de extremidade para otimizar
No artigo Intervalos de URLs e endereços IP do Microsoft 365 , a Microsoft identifica claramente os pontos finais principais de que precisa para os otimizar e categoriza como Otimizar. Este pequeno grupo de pontos finais representa cerca de 70% – 80% do volume de tráfego para o serviço Microsoft 365, incluindo os pontos finais sensíveis à latência, como os do suporte de dados do Teams. Essencialmente, este é o tráfego que precisamos de ter especial cuidado e é também o tráfego que irá exercer uma pressão incrível sobre os caminhos de rede tradicionais e a infraestrutura VPN.
As URLs nesta categoria têm as características a seguir:
- São pontos de extremidade de propriedade e gerenciados peça Microsoft, hospedados na infraestrutura da Microsoft
- Publicaram endereços IP dedicados a serviços específicos
- Taxa de alteração baixa
- A largura de banda e/ou a latência são sensíveis
- É possível ter os elementos de segurança necessários no serviço, em vez de embutido na rede
- Contabilize cerca de 70 a 80% do volume de tráfego para o serviço Microsoft 365
Para obter mais informações sobre os pontos finais do Microsoft 365 e como são categorizados e geridos, consulte Gerir pontos finais do Microsoft 365.
Na maioria das circunstâncias, você só precisa usar pontos de extremidade de URL em um arquivo PAC do navegador em que os pontos de extremidade estão configurados para serem enviados diretamente, e não para o proxy. Se precisar apenas dos URLs para a categoria Otimizar, utilize a primeira consulta ou utilize a segunda consulta para prefixos IP.
Otimizar UX
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls
Otimizar intervalos de endereços IP
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips
2. Implementar o túnel dividido para pontos finais do Microsoft 365
Agora que identificamos esses pontos de extremidade essenciais, precisamos desviar-os do túnel VPN e permitir que eles usem a conexão de Internet local do usuário para se conectar diretamente ao serviço. A forma como isto é realizado irá variar consoante o produto VPN e a plataforma de máquinas utilizadas, mas a maioria das soluções VPN permite alguma configuração da política para aplicar esta lógica. Para obter informações sobre orientação de túnel dividido específico da plataforma VPN, consulte os guias HOWTO para plataformas VPN comuns.
Caso pretenda testar a solução manualmente, você poderá executar o exemplo a seguir do PowerShell para emular a solução no nível de tabela de roteiro. Este exemplo adiciona uma rota a todas as sub-redes IP de mídia do Teams na tabela de rotas. Pode testar o desempenho de multimédia do Teams antes e depois de utilizar a ferramenta de avaliação de rede do Teams e observar a diferença nas rotas dos pontos finais especificados.
Exemplo: Adicionar sub-redes IP de mídia do Teams à tabela de rotas
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
No script anterior, $intIndex é o índice da interface ligada à Internet (localizar ao executar get-netadapter no PowerShell; procure o valor de ifIndex) e $gateway é o gateway predefinido dessa interface (localize ao executar o ipconfig numa linha de comandos ou (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop no PowerShell).
Depois de adicionar as rotas, você poderá confirmar se a tabela de roteiro está correta, executando o roteiro de impressão em um aviso de comando ou no PowerShell.
Para adicionar rotas para todos os intervalos de endereços IP atuais na categoria Otimizar, pode utilizar a seguinte variação de script para consultar o IP e o serviço Web de URL do Microsoft 365 para o conjunto atual de sub-redes De otimizar IP e adicioná-las à tabela de rotas.
Exemplo: Adicionar sub-redes IP de Otimizar à tabela de rotas
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Se você adicionou rotas inadvertidamente com parâmetros incorretos ou pretende apenas reverter as suas alterações, é possível remover as rotas adicionadas com o seguinte comando:
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
O cliente VPN deve ser configurado para que o tráfego para os IPsOtimizar sejam roteados dessa maneira. Isto permite que o tráfego utilize recursos locais da Microsoft, como o Microsoft 365 Service Front Doors, como o Azure Front Door , que fornece serviços do Microsoft 365 e pontos finais de conectividade o mais próximo possível dos seus utilizadores. Isto permite-nos fornecer níveis de desempenho elevados aos utilizadores onde quer que estejam no mundo e tira o máximo partido da rede global de classe mundial da Microsoft, que provavelmente está a poucos milissegundos da saída direta dos seus utilizadores.
Guias HOWTO para plataformas VPN comuns
Esta secção fornece ligações para guias detalhados para implementar túneis divididos para o tráfego do Microsoft 365 dos parceiros mais comuns neste espaço. Iremos adicionar mais guias à medida que estiverem disponíveis.
- Windows 10 cliente VPN: Otimizar o tráfego do Microsoft 365 para trabalhadores remotos com o cliente VPN Windows 10 nativo
- Cisco AnyConnect: Otimizar o túnel dividido AnyConnect para o Office 365
- Palo Alto GlobalProtect: Otimizar o Tráfego do Microsoft 365 através do Túnel Dividido de VPN Excluir Rota de Acesso
- F5 Redes BIG-IP APM: Otimizar o tráfego do Microsoft 365 no Acesso Remoto através de VPNs ao utilizar o BIG-IP APM
- Citrix Gateway: Otimização do túnel dividido Citrix Gateway VPN do Office365
- Pulse Secure: Túnel VPN: Como configurar o túnel dividido para excluir aplicações do Microsoft 365
- Check Point VPN: Como configurar o Túnel Dividido para o Microsoft 365 e outras Aplicações SaaS
Artigos relacionados
Descrição geral: túnel dividido de VPN para o Microsoft 365
Cenários comuns de túnel dividido de VPN para o Microsoft 365
Protegendo o tráfego de mídia do Teams para túnel dividido de VPN
Considerações especiais sobre Stream e eventos em direto em ambientes VPN
Otimização do desempenho do Microsoft 365 para utilizadores da China
Princípios de Conectividade de Rede do Microsoft 365
Avaliando a conectividade de rede do Microsoft 365