Office 365 Netzwerk Microsoft Empfehlungen

Diese Seite ist ein ganz schnelle Auflistung und kurze Beschreibung der Microsoft Empfehlungen zu einer Office 365 Anbindung. Auf den folgenden Seiten finden Sie natürlich die tiefer gehenden Erklärungen. Dies also nur als "Einleitung" die ein Ziel hat: Einen zuverlässige und schnelle Verbindung zu ihren eigenen Daten, die nun in Office 365 liegen.

Topic Erfüllt

Lokale Internetzugänge

(Local internet Breakout)

Microsoft steckt viel Geld in Verbindungen zu Providern, damit ihre Clients nicht nicht erst über eigene WAN-Leitungen oder VPNs zu einer Hub-Site müssen, um dann über das Internet zu Office 365 zu routen. Nutzen Sie das Backenend des MGN - Microsoft Global Network und entlasten sie ihr eigenes WAN.

Ja, das bedeutet die Installation von Übergängen ins Internet in Filialen, die Abkehr von "Tunnel-VPNs" für Clients. Es bedeutet aber nicht, dass Sie überall nun Proxy-Server und Deep Inspection Firewalls installieren müssen. Sie können den Breakout ja "nur" für Office 365 Adressen zulassen. Das kann per Access-Liste, IP-Routing und Proxy-PAC-Datei sehr gut gesteuert werden.

Lokale DNS-Auflösung

(Local DNS-Resolution)

Wenn es aber einen lokalen Breakout gibt, dann kann ihr Client zwar gerne einen lokalen DNS-Server fragen. Der sollte aber den zentralen DNS-Server in der Hub-Site nur für interne Adressen fragen. Eine Auflösung von Office 365 Adressen sollte ebenfalls "Vor Ort" über den gleichen Provider erfolgen, der auch die Leitung bereitstellt. Nur so kann Microsoft erkennen, woher die DNS-Anfrage kommt und welcher Zugangspunkt optimal ist. Dazu gehört auch, dass Sie eben nicht PublicDNS Provider wie Google (8.8.8.8 oder 8.8.4.4), 4nine (9.9.9.9), Cloudflare (1.1.1.1) oder andere nutzen.

Bypass Proxy

Die meisten Office 365 Dienste nutzen HTTPS und natürlich können die meisten Zugriffe auch über einen bestehenden HTTP-Proxy geführt werden. Aber auch das ist nicht ratsam, denn es gibt nichts, was ein HTTP-Proxy besser machen könnte.

  • Content Inspection
    Die Daten im Office 365 Tenant sind ihre eigenen Daten. Es ist keine "unbekannte Webseite mit Malware, vor der die Anwender geschützt werden müssen
  • Authentifizierung
    Es mag noch Umgebungen geben, in denen ein "Internetzugriff" erst nach einer Authentifizierung zugelassen wird. Denken Sie in dem Zuge auch an Mitarbeiter, die eigentlich kein Internet nutzen dürfen aber Office 365 nutzen sollen. Sicher können Sie einen Bypass ohne Authentifizierung einrichten aber welchen Mehrwert hat generell eine Zuordnung zu Benutzern?
  • Caching
    Ein Proxy kann natürlich einmal erhaltene Daten im Cache für andere Clients vorhalten. Das gilt natürlich für öffentliche Start-Seiten, wobei selbst hier viele Anbieter Caching verbieten um eben die Anrufzahlen zu erhalten. Bandbreite ist wohl billiger und ausreichend vorhanden. Daten in Office 365 werden aber wohl eher selten im Cache landen, da es doch überwiegend individuelle Dateien sind und Uploads sind eh individuell.
  • SSL-Offloading
    Um Cachen und URL zu prüfen, muss ein Proxy die SSL-Verbindung aufbrechen. Das kostet CPU-Zyklen, eine eigene interne vertrauenswürdige PKI zum Ausstellen der Zertifikate und immer mehr Clients nutzen z.B. Zertifikat-Pinning oder andre Weg um genau diese Inspektion zu verhindern. Bei Office 365 ist das aktuell noch nicht der Fall aber darauf verlassen würde ich mich auf Dauer nicht.
  • Proxy und RTP
    Wenn Sie Audio/Video über die UDP-Ports 3478-3481 blocken, wird Skype for Business und Teams diese Daten eben über HTTPS/443 tunneln. Das wird gehen aber natürlich ist ein TCP und insbesondere ein SSL-Tunnel denkbar ineffektiv für RTP-Pakete. Daher ist für diese Payload auf jeden Fall ein Bypass zu planen.

Insofern würde ich Zugriff auf die Office 365 Ziele immer am Proxy vorbei führen und Microsoft liefert dazu ja auch vorbereitete PAC-Dateien. Heute ist es viel wichtiger, dass die Firewall auf IP-Port/Adresse-Paarungen und optional noch dem TLS-Handshake versteht, welche Payload zu erwarten ist und die Zugriffe entsprechend reglementiert.

Bypass Deep Inspection

Wobei Sie bei einer Firewall auch wieder beim "Deep Inspection" aufpassen müssen. Einige Firewalls verzögern speziell am Anfang einer Verbindung gerne einige Pakete um sich diese erst mal "anzuschauen" ehe diese dann durch gehen. DAs stört insbesondere den Start von Meeting und Telefonie. Aber auch andere Dienste sind schnell mal gestört, wenn eine Firewall "unklare" Pakete oder Verbindungen einfach stört.

Hier sollten Sie genau hinschauen, mit Whitelists arbeiten oder zumindest eine Eskalationsmöglichkeit haben.

Betrachten sie Office 365 nicht als "Internet" sondern als ihr persönlich ausgelagertes Datacenter. Allerdings müssen Sie schon abwägen, wie Sie z.B. Zugriffe auf die eigenen SharePoint Seiten und OneDrive-Bereiche von Zugriffen auf freigegebene Daten anderer Tenants unterschieden werden.

Weitere Links