Office 365 の最適化

Office 365 の最適化 機能は、Microsoft Office 365 のネットワーク接続に関する原則に準拠し Office 365 を最適化します。Office 365 は、グローバルに配置されている複数のサービスエンドポイント (フロントドア) を通じてサービスとして提供されます。Office 365 トラフィックに対して最適なユーザーエクスペリエンスを実現するには、Office 365 トラフィックをブランチ環境からインターネットに直接リダイレクトし、中央プロキシへのバックホールなどのプラクティスを避けることをお勧めします。これは、Outlook、Word などの Office 365 のトラフィックが待ち時間に敏感であり、バックホートラフィックの待ち時間が長くなり、ユーザーエクスペリエンスが低下するためです。Citrix SD-WAN では、インターネットへのOffice 365トラフィックを除外するポリシーを構成できます。

Office 365 トラフィックは、世界中の Microsoft Office 365 インフラストラクチャのエッジに存在する、最も近い Office 365 サービスエンドポイントに送信されます。トラフィックがフロントドアに到達すると、それはMicrosoftのネットワークを経由し、実際の宛先に到達します。これにより、顧客のネットワークから Office 365 エンドポイントまでの往復時間が短縮されるにつれて、待ち時間が最小限に抑えられます。

Office 365 エンドポイント

Office 365 エンドポイントは、ネットワークアドレスとサブネットのセットです。エンドポイントは、次の 3 つのカテゴリに分類されます。

  • 最適化 -これらのエンドポイントは、Office 365のすべてのサービスと機能への接続を提供し、可用性、パフォーマンス、待ち時間に敏感です。Office 365 の帯域幅、接続、データ量の 75% 以上を占めています。Optimize エンドポイントはすべて Microsoft データセンターでホストされます。これらのエンドポイントへのサービス要求は、ブランチからインターネットにブレークアウトする必要があり、データセンターを経由しないでください。

  • 許可 -これらのエンドポイントは、特定の Office 365 サービスおよび機能への接続のみを提供し、ネットワークのパフォーマンスと待ち時間にはそれほど敏感ではありません。Office 365 の帯域幅と接続数の表現も低くなります。これらのエンドポイントは、Microsoft データセンターでホストされています。これらのエンドポイントへのサービス要求は、ブランチからインターネットに侵入したり、データセンターを経由したりすることがあります。

  • デフォルト -これらのエンドポイントは、最適化を必要としない Office 365 サービスを提供し、通常のインターネットトラフィックとして扱うことができます。これらのエンドポイントの一部は、Microsoft データセンターでホストされていない可能性があります。このカテゴリのトラフィックは、遅延の変動の影響を受けません。したがって、このタイプのトラフィックを直接遮断しても、インターネット遮断と比較してパフォーマンスは向上しません。また、このカテゴリのトラフィックは常に Office 365 トラフィックであるとは限りません。したがって、ネットワークで Office 365 ブレイクアウトを有効にする場合は、このオプションを無効にすることをお勧めします。

Office 365 の最適化の仕組み

Microsoft エンドポイント署名は最大で 1 日 1 回更新されます。アプライアンス上のエージェントは、毎日Citrix サービス(sdwan-app-routing.citrixnetworkapi.net)をポーリングし、エンドポイント署名の最新のセットを取得します。SD-WANアプライアンスは、アプライアンスがオンになっていて、Office 365の最適化が有効になっていると、毎日1回、Citrix サービス(sdwan-app-routing.citrixnetworkapi.net)をポーリングします。使用可能な新しいシグニチャがある場合、アプライアンスはそれをダウンロードしてデータベースに格納します。シグニチャは、基本的に、構成可能なトラフィックステアリングポリシーに基づいて Office 365 トラフィックを検出するために使用される URL と IP のリストです。

注:

Office 365 トラフィックの最初のパケット検出と分類は、Office 365 ブレークアウト機能が有効な場合にのみ実行されます。

Office 365 アプリケーションの要求が到着すると、アプリケーション分類子は、最初のパケット分類子データベース検索を実行し、Office 365 トラフィックを識別し、マークします。Office 365 のトラフィックが分類されると、自動作成されたアプリケーションルートとファイアウォールポリシーが有効になり、インターネットへのトラフィックが直接遮断されます。Office 365 の DNS 要求は、Quad9 などの特定の DNS サービスに転送されます。詳しくは、「ドメイン・ネーム・システム」を参照してください。

O365-working

署名はクラウドサービス(sdwan-app-routing.citrixnetworkapi.net)からダウンロードされます。

Office 365 ブレークアウトを構成する

Office 365 ブレークアウトポリシーでは、ブランチから直接ブレークアウトできる Office 365 トラフィックのカテゴリを指定できます。Office 365 ブレークアウトを有効にして構成をコンパイルすると、DNS オブジェクト、アプリケーションオブジェクト、アプリケーションルート、およびファイアウォールポリシーテンプレートが自動的に作成され、インターネットサービスを使用してブランチサイトに適用されます。

前提条件

次の項目があることを確認します。

  1. Office 365 ブレイクアウトを実行するには、アプライアンスでインターネットサービスを構成する必要があります。インターネットサービスの設定の詳細については、インターネットアクセスを参照してください。

  2. 管理インターフェイスにインターネット接続があることを確認します。

    Citrix SD-WAN Webインターフェイスを使用して、管理インターフェイスの設定を構成できます。

  3. 管理 DNS が設定されていることを確認します。管理インターフェイスのDNSを設定するには、 [構成]>[アプライアンスの設定]>[ネットワークアダプタ]に移動します。[ DNS 設定] セクションで、プライマリ DNS サーバーとセカンダリ DNS サーバーの詳細を指定し、[ 設定の変更] をクリックします。

    DNS 設定

[ Office 365 ブレイクアウトポリシー ] 設定は、[グローバル設定] の下で使用できます。インターネットブレイクアウトに必要な Office 365 カテゴリを選択し、[ 適用] をクリックします。

O365 を有効にする

Office 365 のブレークアウトポリシー設定を構成した後、構成をコンパイルします。次の設定が自動入力されます。

  • DNSオブジェクト -DNSオブジェクトは、ユーザーが構成されているDNSサービスに転送するトラフィックの種類を指定します。DNS 要求はすべての信頼できるインターフェイスで受信され、Office 365 の DNS 要求を Quad9 サービスに送信するために DNS フォワーダが含まれています。このフォワーダルールが最も優先されます。詳細については、「 ドメインネームサービス 」セクションを参照してください。

  • アプリケーションオブジェクト -ユーザーが選択した Office 365 カテゴリを持つアプリケーションオブジェクトが作成されます。最適化、許可、およびデフォルトのカテゴリを選択した場合は、アプリケーション・オブジェクト O365Optimize_InternetBreakout、O365Allow_InternetBreakoutO365Default_InternetBreakout が作成されます。

    アプリケーションオブジェクト

  • アプリケーションルート: アプリケーションルートは、インターネットサービスの種類の Office 365 アプリケーションオブジェクトごとに作成されます。 アプリケーションルート

  • ファイアウォール事前アプライアンスポリシーテンプレート: 構成済みの Office 365 カテゴリごとに、グローバル事前アプライアンスポリシーテンプレートが作成されます。このテンプレートは、インターネットサービスを持つすべてのブランチサイトに適用されます。アプライアンス前ポリシーは、ローカルおよびアプライアンス後のポリシーテンプレートよりも優先されます。

    ファイアウォールアプリケーションポリシーテンプレート

Office 365 のトランスペアレントフォワーダ

Office 365のブランチは、DNS要求から始まります。Office 365 ドメインを経由する DNS 要求は、ローカルでステアリングする必要があります。Office 365 インターネットブレークアウトが有効になっている場合、内部 DNS ルートが決定され、透過的なフォワーダーリストが自動入力されます。Office 365 の DNS 要求は、既定でオープンソース DNS サービス Quad 9 に転送されます。Quad 9 DNSサービスは安全でスケーラブルで、マルチポップな存在感を持っています。必要に応じて、DNS サービスを変更できます。

Office 365 アプリケーションの透過的なフォワーダーは、インターネットサービスと Office 365 ブレークアウトが有効になっているすべてのブランチで作成されます。

別の DNS プロキシを使用している場合、または SD-WAN が DNS プロキシとして構成されている場合、フォワーダーリストには Office 365 アプリケーションのフォワーダーが自動的に設定されます。

トランスペアレントフォワーダ

監視

Office 365 アプリケーションの統計情報は、次の SD-WAN 統計レポートで監視できます。

  • ファイアウォールの統計情報

    ファイアウォールの統計情報

  • フロー

    フロー

  • DNS 統計情報

    DNS 統計情報

  • アプリケーションルート統計情報

    アプリケーションルート統計情報

SD-WAN Centerアプリケーションレポートで Office 365 アプリケーションの統計情報を表示することもできます。

アプリケーションレポート

トラブルシューティング

サービスエラーは、SD-WAN アプライアンスの [ イベント ] セクションで確認できます。

エラーを確認するには、[ 構成] > [システムメンテナンス] > [診断] の順に選択し、[ イベント ] タブをクリックします。

イベント

Citrix サービス(sdwan-app-routing.citrixnetworkapi.net)への接続に問題がある場合、エラーメッセージは[ イベントの表示 ]テーブルに表示されます。

イベントを表示

接続エラーも SDWAN_DPI.logに記録されます。ログを表示するには、 [構成]>[アプライアンスの設定]>[ログ/監視]>[ログオプション]に移動します。ドロップダウンリストから SDWAN_DPI.log を選択し、[ ログの表示] をクリックします。

ログファイルをダウンロードすることもできます。ログファイルをダウンロードするには、[Download Log file] セクションの下のドロップダウンリストから必要な ログファイルを選択し、[Download Log] をクリックします。

ログのダウンロード

制限事項

  • Office 365 ブレークアウトポリシーが構成されている場合、IP アドレスの構成済みカテゴリ宛ての接続では、ディープパケットインスペクションは実行されません。
  • 自動作成されたファイアウォールポリシーとアプリケーションルートは編集できません。
  • 自動作成されたファイアウォールポリシーの優先順位が最も低く、編集できません。
  • 自動作成されたアプリケーションルートのルートコストは 5 です。低コストのルートで上書きできます。

Office 365 ビーコンサービス

Microsoftは、Office 365 ビーコンサービスを提供し、WAN リンクを介して Office 365 の到達可能性を測定します。ビーコンサービスは、基本的にURLです-sdwan.masure.office.com/apc/trans.gifは、定期的にプローブされます。プローブは、インターネットが有効なすべての WAN リンクについて、各アプライアンス上で実行されます。プローブごとに HTTP 要求がビーコンサービスに送信され、HTTP 応答が予期されます。HTTP 応答は、Office 365 サービスの可用性と到達可能性を確認します。

Citrix SD-WAN では、ビーコンプローブを実行するだけでなく、各WANリンクを介してOffice 365エンドポイントに到達するまでの待ち時間を決定することもできます。待機時間は、要求を送信し、WAN リンクを介して Office 365 ビーコンサービスからの応答を取得するのにかかる往復時間です。これにより、ネットワーク管理者はビーコンサービスの遅延レポートを表示し、Office 365 の直接ブレイクアウトに最適なインターネットリンクを手動で選択できます。ビーコンプローブは、SD-WAN Orchestrator を介してのみ有効になります。既定では、Office 365 ブレークアウトが Orchestrator を介して有効になっている場合、インターネットが有効なすべての WAN リンクでビーコンプローブが有効になります。

従量制課金リンクでは Office 365 ビーコンプローブが有効になっていません。

SD-WAN Orchestrator で Office 365 ビーコンプローブを無効にし、待機時間レポートを表示するように選択できます。詳しくは、「Office 365 の最適化」を参照してください。

Office 365 ビーコンサービスを無効にするには、SD-WAN Orchestrator で、ネットワークレベルで [ 構成 ] > [ ルーティング] > [ルーティングポリシー ] > [ O365 ネットワーク最適化設定] に移動し、[ ビーコンサービスを有効にする] をオフにします

ビーコンサービスの有効化

ビーコンプローブの可用性レポートと遅延レポートを表示するには、SD-WAN Orchestrator のネットワークレベルで [ レポート ] > [ O365 メトリック] に移動します。

ネットワークレベルビーコンサービスレポート

ビーコンサービスの詳細なサイトレベルレポートを表示するには、SD-WAN Orchestrator のサイトレベルで [ レポート ] > [ O365 メトリック] に移動します。

サイトレベルビーコンサービスレポート