La COVID-19 a mis à rude épreuve toutes les infrastructures télécoms, proxy, VPN, MPLS, etc de ce monde. Notre façon de travailler à évoluer tout en créant des impacts considérables, mais laissant place également la proactivité et aux opportunités technologiques. Et en portant un regard sur l’évolution, nous ne sommes pas prêts de revenir en arrière.
Encore beaucoup d’entreprises utilisent le VPN pour le travail à distance avec des configurations spécifiques. La bonne nouvelle c’est que si vous êtes dans ce scénario, vous avez la possibilité de mettre en place le Split Tunneling sur le VPN pour désengorger le trafic routé vers votre infrastructure (surtout si vous utilisé une passerelle cloud).
Le défi de connectivité dans les grandes entreprises
Ce schéma montre tout ce qu’il ne faut pas faire dans une ère moderne, mais ceci est encore la réalité des très grandes entreprises. Le réseau dans toute sa splendeur représenté par une bonne salade de fruits de produits de sécurité.
Bien que la fonctionnalité du Split Tunneling, en sons sens, est de rediriger tout le trafic Internet en dehors de votre tunnel VPN et de ne laisser passer que le trafic Intranet, certaines obligations probablement de sécurité vous empêcherons d’utiliser ce scénario. Dans cette logique, à défaut de pouvoir exclure tout le trafic Internet, je me suis concentré essentiellement à recenser les URL des services Microsoft 365 qui exercent une pression incroyable avec (volume élevé, et sensible à la latence) que vous pouvez exclure de votre tunnel VPN.
Mettant en place le Split Tunneling pour les services Microsoft 365 aura également un impact bénéfique sur les performances des utilisateurs et offrira également l’avantage de libérer les ressources de l’entreprise pour les éléments qui doivent encore en dépendre. On ne se cachera pas en disant qu’aujourd’hui tout le monde utilise Windows, Office, et autres services Microsoft en entreprise.
Dans cette catégorie, voici ce qu’il en ressort en tenant compte du volume et de la latence
- URL pour les services Windows
- URL pour les déploiements à travers le CMG
- URL pour les mises à jour Office 365 ProPlus
- URL pour les services Office 365 (Sharepoint, Outlook, Onedrive)
- URL pour la télémétrie avec Desktop Analytics
- URL pour l’impression avec Univeral Printing
URL relatives aux services et mises à jour Windows |
||
| URL | Ports | Description |
| *.do.dsp.mp.microsoft.com | tcp 443, 80 | Windows Update, Optimisation de la distribution |
| *.dl.delivery.mp.microsoft.com | tcp 443 | Windows Update |
| *.windowsupdate.com | tcp 443 | Windows Update |
| *.delivery.mp.microsoft.com | tcp 443 | Windows Update |
| *.update.microsoft.com | tcp 443 | Windows Update |
| emdl.ws.microsoft.com | tcp 443 | Windows Update |
| tsfe.trafficshaping.dsp.mp.microsoft.com | tcp 443 | Windows Update |
| hwcdn.net | tcp 443 | Windows Update |
| wac.phicdn.net | tcp 443 | Windows Update |
| fe3.mp.microsoft.com | tcp 443 | Windows Update |
| wustat.windows.com | tcp 443 | Windows Update |
| definitionupdates.microsoft.com | tcp 443 | Windows Update, Defender Update |
| activation-v2.sls.microsoft.com/* | tcp 443 | Microsoft Intune |
| cdn.onenote.net | tcp 443 | Microsoft Intune |
| crl.microsoft.com/pki/crl/* | tcp 443 | Microsoft Intune |
| *displaycatalog.mp.microsoft.com | tcp 443 | Microsoft Intune |
| *.wns.windows.com | tcp 443 | Microsoft Intune |
| *microsoft.com/pkiops/* | tcp 443 | Microsoft Intune |
| *.manage.microsoft.com | tcp 443 | Microsoft Intune |
| settings-win.data.microsoft.com | tcp 443 | Microsoft Intune |
| *print.microsoft.com | tcp 443 | Universal Printing |
URL relatives aux services du Cloud Management Gateway |
||
| URL | Ports | Description |
| cmg01.msnloop.com | tcp 443 | CMG (Configuration Manager) |
| cmg01.cloudapp.net | tcp 443 | CMG (Configuration Manager) |
URL relatives aux mises à jour du client Office 365 |
||
| URL | Ports | Description |
| mrodevicemgr.officeapps.live.com | tcp 443 | Device Management Service, C2R |
| officecdn.microsoft.com | tcp 443, 80 | Office Update |
| officecdn.microsoft.com.edgesuite.net | tcp 443, 80 | Office Update |
| oneclient.sfx.ms | tcp 443 | Office Update (OneDrive) |
URL relatives aux services d’entreprise Office 365 |
||
| URL | Ports | Description |
| outlook.office365.com | tcp 443 | Outlook vers Exchange Online |
| outlook.office.com | tcp 443 | Outlook Online web access |
| msnloop.sharepoint.com | tcp 443 | SharePoint Online |
| msnloop-my.sharepoint.com | tcp 443 | OneDrive for Business |
| Teams Media Ips 104.146.128.0/17 13.107.128.0/22 13.107.136.0/22 13.107.18.10/31 13.107.6.152/31 13.107.64.0/18 131.253.33.215/32 132.245.0.0/16 150.171.32.0/22 150.171.40.0/22 191.234.140.0/22 204.79.197.215/32 23.103.160.0/20 40.104.0.0/15 40.108.128.0/17 40.96.0.0/13 52.104.0.0/14 52.112.0.0/14 52.120.0.0/14 52.96.0.0/14 |
udp 3478, 3479, 3480, 3481 | Skype et Microsoft Teams (Relay Discovery pour la vidéo, audio et le partage du bureau – service en temps réel) |
URL relatives aux services Desktop Analytics |
||
| URL | Ports | Description |
| *.events.data.microsoft.com | tcp 443, 80 | Télémétrie (Rapports et santé de l’appareil) |
| vortex-win.data.microsoft.com | tcp 443 | Télémétrie (Rapports et santé de l’appareil) |
| settings-win.data.microsoft.com | tcp 443 | Télémétrie (Rapports et santé de l’appareil) |
| watson.telemetry.microsoft.com | tcp 443 | Télémétrie (Rapports et santé de l’appareil) |
| ceuswatcab01.blob.core.windows.net | tcp 443 | Télémétrie (Rapports et santé de l’appareil) |
| ceuswatcab02.blob.core.windows.net | tcp 443 | Télémétrie (Rapports et santé de l’appareil) |
| eaus2watcab01.blob.core.windows.net | tcp 443 | Télémétrie (Rapports et santé de l’appareil) |
| eaus2watcab02.blob.core.windows.net | tcp 443 | Télémétrie (Rapports et santé de l’appareil) |
| weus2watcab01.blob.core.windows.net | tcp 443 | Télémétrie (Rapports et santé de l’appareil) |
| weus2watcab02.blob.core.windows.net | tcp 443 | Télémétrie (Rapports et santé de l’appareil) |
| modern.watson.data.microsoft.com* | tls 1.2 | Télémétrie (Rapports et santé de l’appareil) |
Sécurité de l’information dans modèle Zero Trust
Voici un ensemble d’options disponibles pour sécuriser votre environnement et quelques réponses à d’éventuelles questions.
- Restrictions du tenant
- Microsoft n’utilise pas les mêmes URL pour les services d’entreprises et les services publics (exemple avec Onedrive.live.com)
- Office DLP
- Azure Information protection
- Stratégie avec l’accès conditionnel
- Office 365 Advanced Threat Protection
- Exchange Online Protection
- Solution Proxy (Zscaler, Global Network, Cisco…)
Outils et tests de connectivités
Tester votre la performance de votre connectivité Office
https://connectivity.office.com/
Surveiller le volume de trafic Office 365 pour obtenir un indice clair concernant les besoins en bande passante pour l’ensemble de l’entreprise.
https://aka.ms/bandwidth/
