Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Nota
Este artigo faz parte de um conjunto de artigos que abordam a otimização do Microsoft 365 para utilizadores remotos ou quando implementa otimizações de rede que envolvem encaminhamento baseado em prefixos IP para ignorar pontos de congestionamento na infraestrutura de rede.
- Para obter uma descrição geral da utilização do túnel dividido de VPN para otimizar a conectividade do Microsoft 365 para utilizadores remotos, consulte Descrição geral: túnel dividido de VPN para o Microsoft 365.
- Para obter uma lista detalhada dos cenários de túnel dividido de VPN, veja Cenários comuns de túnel dividido de VPN para o Microsoft 365.
- Para obter orientações sobre como proteger o tráfego de multimédia do Teams em ambientes de túnel divididos de VPN, veja Proteger o tráfego de multimédia do Teams para túnel dividido de VPN.
- Para obter informações sobre como configurar Stream e eventos em direto em ambientes VPN, veja Considerações especiais sobre Stream e eventos em direto em ambientes VPN.
- Para obter informações sobre como otimizar o desempenho de inquilinos do Microsoft 365 em todo o mundo para utilizadores na China, consulte Otimização do desempenho do Microsoft 365 para utilizadores chineses.
A Microsoft sugere uma estratégia para melhorar a conectividade de forma rápida e eficiente. Isto envolve alguns passos para atualizar as rotas de rede, permitindo que determinados pontos finais chave ignorem os servidores VPN congestionados. Ao aplicar um modelo de segurança semelhante ou melhor em camadas diferentes, não é necessário proteger todo o tráfego no ponto de saída da rede empresarial e pode encaminhar o tráfego do Microsoft 365 através de caminhos de rede mais curtos e eficientes. Normalmente, isto pode ser feito em poucas horas e pode ser dimensionado para várias cargas de trabalho do Microsoft 365, conforme necessário.
Implementar o túnel dividido de VPN
Neste artigo, encontrará os passos necessários para migrar a arquitetura do cliente VPN de um túnel forçado de VPN para um túnel forçado de VPN com algumas exceções fidedignas, modelo de túnel dividido de VPN n.º 2 em cenários comuns de túnel dividido de VPN para o Microsoft 365.
O diagrama seguinte ilustra como funciona a solução de túnel dividido de VPN recomendada:
1. Identificar os pontos finais a otimizar
No artigo Intervalos de URLs e endereços IP do Microsoft 365 , a Microsoft identifica claramente os pontos finais principais de que precisa para os otimizar e categoriza como Otimizar. Este pequeno grupo de pontos finais representa cerca de 70% – 80% do volume de tráfego para o serviço Microsoft 365, incluindo os pontos finais sensíveis à latência, como os do suporte de dados do Teams. Essencialmente, este é o tráfego que precisamos de ter especial cuidado e é também o tráfego que irá exercer uma pressão incrível sobre os caminhos de rede tradicionais e a infraestrutura VPN.
Os URLs nesta categoria têm as seguintes características:
- Os pontos finais geridos e pertencentes à Microsoft estão alojados na infraestrutura da Microsoft
- Publicaram endereços IP dedicados a serviços específicos
- Taxa de alteração baixa
- A largura de banda e/ou a latência são sensíveis
- São capazes de ter os elementos de segurança necessários fornecidos no serviço em vez de inline na rede
- Contabilize cerca de 70 a 80% do volume de tráfego para o serviço Microsoft 365
Para obter mais informações sobre os pontos finais do Microsoft 365 e como são categorizados e geridos, consulte Gerir pontos finais do Microsoft 365.
Na maioria das circunstâncias, só deve utilizar pontos finais de URL num ficheiro PAC do browser onde os pontos finais estão configurados para serem enviados diretamente, em vez de para o proxy. Se precisar apenas dos URLs para a categoria Otimizar, utilize a primeira consulta ou utilize a segunda consulta para prefixos IP.
Otimizar URLs
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls
Otimizar intervalos de endereços IP
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips
2. Implementar o túnel dividido para pontos finais do Microsoft 365
Agora que identificámos estes pontos finais críticos, temos de os desviar do túnel VPN e permitir que utilizem a ligação à Internet local do utilizador para se ligarem diretamente ao serviço. A forma como isto é realizado irá variar consoante o produto VPN e a plataforma de máquinas utilizadas, mas a maioria das soluções VPN permite alguma configuração da política para aplicar esta lógica. Para obter informações sobre a orientação do túnel dividido específico da plataforma VPN, veja Guias DE PROCEDIMENTOs para plataformas VPN comuns.
Se quiser testar a solução manualmente, pode executar o seguinte exemplo do PowerShell para emular a solução ao nível da tabela de rotas. Este exemplo adiciona uma rota para cada uma das sub-redes IP do Teams Media na tabela de rotas. Pode testar o desempenho de multimédia do Teams antes e depois de utilizar a ferramenta de avaliação de rede do Teams e observar a diferença nas rotas dos pontos finais especificados.
Exemplo: Adicionar sub-redes IP de Multimédia do Teams à tabela de rotas
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
No script anterior, $intIndex está o índice da interface ligada à Internet (localize ao executar get-netadapter no PowerShell; procure o valor de ifInde) e $gateway é o gateway predefinido dessa interface (localize ao executar ipconfig numa linha de comandos ou (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop no PowerShell).
Depois de adicionar as rotas, pode confirmar que a tabela de rotas está correta ao executar a impressão da rota numa linha de comandos ou no PowerShell.
Para adicionar rotas para todos os intervalos de endereços IP atuais na categoria Otimizar, pode utilizar a seguinte variação de script para consultar o IP e o serviço Web de URL do Microsoft 365 para o conjunto atual de sub-redes De otimizar IP e adicioná-las à tabela de rotas.
Exemplo: Adicionar todas as sub-redes Otimizar à tabela de rotas
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Se adicionou inadvertidamente rotas com parâmetros incorretos ou simplesmente pretender reverter as alterações, pode remover as rotas que acabou de adicionar com o seguinte comando:
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
O cliente VPN deve ser configurado para que o tráfego para os IPs de Otimização seja encaminhado desta forma. Isto permite que o tráfego utilize recursos locais da Microsoft, como o Microsoft 365 Service Front Doors, como o Azure Front Door que fornece serviços e pontos finais de conectividade do Microsoft 365 o mais próximo possível dos seus utilizadores. Isto permite-nos fornecer níveis de desempenho elevados aos utilizadores onde quer que estejam no mundo e tira o máximo partido da rede global de classe mundial da Microsoft, que provavelmente está a poucos milissegundos da saída direta dos seus utilizadores.
Guias HOWTO para plataformas VPN comuns
Esta secção fornece ligações para guias detalhados para implementar túneis divididos para o tráfego do Microsoft 365 dos parceiros mais comuns neste espaço. Iremos adicionar mais guias à medida que estiverem disponíveis.
- Windows 10 cliente VPN: Otimizar o tráfego do Microsoft 365 para trabalhadores remotos com o cliente VPN Windows 10 nativo
- Cisco Anyconnect: Otimizar o Anyconnect Split Tunnel para o Office365
- Palo Alto GlobalProtect: Otimizar o Tráfego do Microsoft 365 através do Túnel Dividido de VPN Excluir Rota de Acesso
- F5 Redes BIG-IP APM: Otimizar o tráfego do Microsoft 365 no Acesso Remoto através de VPNs ao utilizar o BIG-IP APM
- Citrix Gateway: Otimizar o túnel dividido de VPN do Citrix Gateway para o Office365
- Pulse Secure: Túnel VPN: Como configurar o túnel dividido para excluir aplicações do Microsoft 365
- Check Point VPN: Como configurar o Túnel Dividido para o Microsoft 365 e outras Aplicações SaaS
Conteúdos relacionados
- Descrição geral: túnel dividido de VPN para o Microsoft 365
- Cenários comuns de túnel dividido de VPN para o Microsoft 365
- A Proteger o tráfego de mídia do Teams para o túnel dividido de VPN
- Considerações especiais sobre Stream e eventos em direto em ambientes VPN
- Otimização do desempenho do Microsoft 365 para utilizadores da China
- Princípios de Conectividade de Rede do Microsoft 365
- Avaliar a conectividade de rede do Microsoft 365
- Otimização da rede e do desempenho do Microsoft 365
- Formas alternativas para os profissionais de segurança e as TI alcançarem controlos de segurança modernos nos cenários de trabalho remoto exclusivos atuais (blogue da Equipa de Segurança da Microsoft)
- Melhorar o desempenho da VPN na Microsoft: utilizar perfis de VPN Windows 10 para permitir ligações de início automático
- Rede global da Microsoft