Aktuell nutzen mehr und mehr Mitarbeiter die Möglichkeiten, die Office365 für Homeoffice bietet. Da dies eine Umkehrung des bisherigen Szenarios ist, bei der nur ausnahmsweise von zuhause aus gearbeitet wurde, sollte auch auf der Infrastruktur-Ebene eine Anpassung erfolgen.
Das klassische Szenario, das vielerorts im Einsatz ist, sieht vor, dass sich Mitarbeiter, die nicht am Arbeitsplatz in der Firma sind, per VPN in das interne Netz einklinken, um so auf freigegebene Ressourcen zugreifen zu können. Dieses Modell ist durchaus sinnvoll, wenn ein Großteil der Zugriffe auf lokale Server erfolgt (Fileserver, Terminalserver etc).
Bei der Nutzung von Office365 aus dem Homeoffice ist diese Konfiguration aber nur noch bedingt hilfreich, im Gegenteil, es kommt zu Netzwerkengpässen, weil jeder Zugriff auf Office365 zuerst vom Anwender zuhause per VPN in das Firmennetz geht, um dort gleich wieder raus zu gehen, und die Antwort natürlich auf dem selben Weg zuerst wieder ins Firmennetz geht und dann per VPN zum Mitarbeiter. Die externe Netzanbindung wird also viermal (!) passiert.
Um hier für Entlastung zu sorgen, hilft es, den Office365 Verkehr vom Rest zu separieren, und genau das soll hier kurz geschildert werden. Noch ein Hinweis: Jede Firma verfügt über Spezialisten für deren Netzwerk, und für die meisten grenzt eine Schritt-für-Schritt Anleitung schon fast an Beleidigung. Daher sollen hier auch nur die Stichworte, Infos und Quellen ausgezeigt werden, um dem Netzwerk-Administrator ein längeres Suchen zu ersparen.
Endpunkte für die Optimierung
Microsoft veröffentlicht immer zu Beginn eines Monats notwendige Endpunkte für Office365. Hierbei werden neu hinzugekommene mit einem Vorlauf von 30 Tagen aufgeführt, um Zeit für Change Management Prozesse zu bieten. Für eine Optimierung werden diejenigen der dort gelisteten benötigt, die mit der Bezeichnung „Optimize“ gekennzeichnet sind. Aktuell sind das lediglich 4 URLs (die Zahl wird sich auch nicht groß erhöhen) und ca. 20 Subnetze. Diese Adressen sind für ca. 80% des Netzwerkverkehrs verantwortlich, unter anderem für Teams Media. Eine Umkonfiguration für diese Services schafft somit die größte Entlastung für das Firmennetzwerk. Die URLs der „Optimize“-Kategorie sind alle im Besitz von Microsoft und werden auf Microsoft Infrastruktur betrieben, ändern sich selten und sind für hohe Last ausgelegt.
Es existiert auch ein REST API Service und ein prima PowerShell Script auf Github, der nach Eingabe des Tenantnamens alle notwendigen URLs und IPs zur Optimierung liefert. Das ermöglicht einen komfortablen Weg, die jeweils gültige Konfiguration herunterzuladen. In Kurzform sind das die URLs outlook.office365.com, outlook.office.com, tenant.sharepoint.com und tenant-my.sharepoint.com, jeweils für Port TCP 443. Und natürlich tenant ersetzen durch den richtigen Tenantnamen. Zusätzlich werden weitere Adressen benötigt, zum Beispiel UDP Ports für Teams-Optimierung, das steht aber alles im Output des Scripts bzw. auf der Webseite der Endpoints. Port 80 ist übrigens nicht notwendig, da passiert eh nur ein Redirect zu Port 443.
Optimierung des VPN zu diesen Endpunkten
Die meisten VPN Lösungen erlauben ein sog. „Split Tunneling“, mit dessen Hilfe man bestimmten Netzverkehr vom VPN-Tunnel ausnehmen kann. Und genau die oben ermittelten Endpunkte sollten mittels dieses Split Tunnelings so konfiguriert werden, dass sie eben nicht per VPN ins Firmennetzwerk gehen, sondern direkt zu den genannten Office-Endpunkten.
Das bringt natürlich einiges an Sicherheitsfragen auf den Tisch. Meist sind ja für den ein- und ausgehenden Netzverkehr noch ein paar Sicherheitsfunktionen implementiert, zum Beispiel Proxy, Firewall oder Virenscans. Diese würden bei einem Split Tunneling ja umgangen. Allerdings sind ja auch bei den o. g. Endpunkten einige fortgeschrittene Sicherheitsmechanismen etabliert. Ein paar davon lohnen einen extra-Absatz:
Fragen zur Sicherheit
Bei einer Freischaltung von beispielsweise outlook.office.com ist eine Filterung auf einzelne Tenants nicht mehr möglich. Der Zugriff auf andere Tenants kann aber mittels Azure Tenant Restriction geregelt werden. Hierzu wird im AAD eine Liste aller genehmigten Tenants abgelegt und der Dienst aktiviert. Weiterhin kann durch Methoden wie „Conditional Access“ die Sicherheit noch weiter erhöht werden, zum Beispiel durch Regeln wie „Ist das Gerät in der Domäne?“ oder „Ist die IP Adresse außerhalb eines vertrauenswürdigen Bereichs?“ und daraus resultierendem dynamischen Aktivieren einer Multifaktor-Authentifizierung.
Ein Zugriff auf Consumer Services wie zum Beispiel private Onedrive-Accounts muss sowieso schon weiterhin durch das Firmennetzwerk laufen, die o.g. Endpunkte gelten nicht für Consumer Services. Firmeninterne Einschränkungen greifen also weiterhin.
Data Loss Prevention kann über Office DLP konfiguriert werden, im Zusammenspiel mit Azure Information Protection ein sehr mächtiges Werkzeug, dass sich (auch ohne Split Tunneling) lohnt anzuschauen.
Weiterhin bringt Office365 einen exzellenten Schutz vor Viren oder Malware mit, die o. g. Endpunkte für Exchange Online zum Beispiel die Exchange Online Protection oder Office365 Advanced Threat Protection.
Weitere Infos gibt es im englischen Originalartikel zu diesem Beitrag, dort auch eine Linkliste auf Best Practices, Performance Testing, Bandbreiten-Planung und vieles mehr.
It's a cloudy world... 