(この記事は 2017 年 11 月 6 日に Office 365 Blog に投稿された記事 Getting the best connectivity and performance in Office 365 の翻訳です。最新情報については、翻訳元の記事をご参照ください。)
従来のエンタープライズ ネットワークは、企業が運用するデータセンターでホストされているアプリケーションやデータにユーザーがアクセスできるようにすることを第一に設計されています。また、通信や Web 閲覧を行えるようにインターネット アクセスのゲートウェイとしても使用される場合があります。このモデルでは、ユーザーと企業が運用するデータセンターの間のネットワーク セキュリティは最小限であるうえに、ユーザーとインターネットの間のセキュリティ境界は広範で、ファイアウォール、ウイルス検索プログラム、データ損失防止、侵入検出デバイスなど、多数のネットワーク デバイスが含まれます。
ネットワーク セキュリティ スタックが大規模であるため、ブランチ オフィスのインターネット接続は、お客様のワイド エリア ネットワーク (WAN) を介して集中化およびバックホール接続されることが一般的です。このモデルは、ユーザーがオフィス内から、帯域幅が保証されている企業のオンプレミス アプリ (メールやドキュメント共有など) に安全にアクセスするうえで適していました。WAN 内のネットワーク セキュリティが最小限であるため、ネットワーク トラフィックが妨げられることもありません。
従来のエンタープライズ ネットワークによる WAN を介したインターネットへのトラフィックのバックホール
しかし、企業において Office 365 などの SaaS アプリの導入と使用が増加し、従業員の働く場所が多様化するにつれて、検査のためにトラフィックを中央の場所にバックホール接続するという従来の方法では、遅延が発生してエンドユーザー エクスペリエンスが低下するようになりました。お客様が運用する中央のデータセンターのエンタープライズ アプリケーションから Office 365 への移行に伴い、単純なインターネット通信や Web 閲覧および調査を行う場合と比較して、トラフィック パターン、パフォーマンス要件、エンドポイント セキュリティの違いを認識し、ネットワーク計画を変更する必要があります。
マイクロソフトのグローバル ネットワークは、世界最大級のネットワーク バックボーンであり、ネットワークの輻輳が最小限に抑えられた高帯域幅のリンクと、数千マイルにわたる私有のダーク ファイバー、データセンター間のマルチテラビット ネットワーク接続、世界中に広がるアプリケーションのフロント ドア サーバーから構成されています。このネットワーク上には、インターネットのパブリック ピアリングを行う相互接続用の拠点が 100 以上存在するため、すべてのユーザーが所在地を問わず、簡単にインターネットを使用してネットワークに接続し、Office 365、Azure、Xbox、Bing、Skype、Hotmail などのサービスにアクセスできます。
マイクロソフトは、ネットワーク、アプリケーションのフロント ドアの所在地、ISP とのパブリック ピアリング パートナーシップ、トラフィックのバックホール機能の強化に引き続き投資してまいります。これにより、ユーザーのネットワーク トラフィックはユーザーに非常に近い場所からマイクロソフトのグローバル ネットワークに送信され、そのトラフィックはマイクロソフトの負担により、ネットワーク内の高帯域幅回線を介してユーザーのデータが格納されている場所にバックホール接続されます。
マイクロソフトのグローバル ネットワーク (青い点は世界中の Office 365 のフロントエンド サーバーを表す)
マイクロソフトは、Office 365 の接続性とパフォーマンスを最適化するために、インターネットの使用とシンプルなネットワーク設計を推奨しています。ネットワーク設計の主な目標は、お客様のネットワークからマイクロソフトのグローバル ネットワークへの往復時間 (RTT) を短縮すると共に、ネットワーク トラフィックがヘアピン処理や特定の場所に集中化されていないことを確認することです。以下の Office 365 の接続原則を使用して、トラフィックを管理することで、Office 365 への接続時のパフォーマンスを最大限に向上できます。
Office 365 の URL と IP アドレス (aka.ms/O365IP)
SaaS アプリケーションである Office 365 には、Office 365 サービスのフロントエンド サーバーを表す URL と IP アドレスが多数あります。これらの URL と IP アドレスはエンドポイントと呼ばれ、お客様はこれらを使用して Office 365 への特定のネットワーク トラフィックを特定できます。
Office 365 のネットワーク トラフィックを一般的なインターネットへのネットワーク トラフィックと区別するためには、まず Office 365 のトラフィックを特定する必要があります。マイクロソフトは Office 365 のエンドポイントとこのデータの最適な使用方法に関するガイダンスを公開しています。Office 365 管理者は、スクリプトを使用してエンドポイントの詳細を取得し、境界ファイアウォールやその他のネットワーク デバイスに適用できます。これにより、Office 365 へのトラフィックを特定し、従業員が閲覧する一般的かつ不明なインターネット Web サイトへのネットワーク トラフィックとは異なる方法で適切に処理および管理できます。
ローカル インターネットからマイクロソフトのネットワークへの送信
エンタープライズ WAN の多くは、ネットワークからインターネットに送信する前に、ネットワーク トラフィックを処理するために中央の本社にバックホール接続するように設計されています。Office 365 は、世界中の多数のフロントエンド サーバーを含むマイクロソフトの大規模なグローバル ネットワーク上で稼動しているため、多くの場合、ユーザーの所在地の近くにネットワーク接続とフロントエンド サーバーが存在します。
ほとんどの場合、ユーザーの所在地に近い場所から Office 365 のネットワーク トラフィックをインターネットに送信してマイクロソフトのグローバル ネットワークに接続することにより、企業の WAN を介してデータをバックホール接続する場合と比較してパフォーマンスが向上します。また、多くの Office 365 アプリケーションは DNS 要求を使用してユーザーの所在地を特定します。ユーザーの DNS 参照がネットワーク送信と同じ場所で実行されない場合は、離れた場所の Office 365 のフロントエンド サーバーに接続される可能性があります。
ローカル インターネット送信およびローカル DNS 解決を提供することにより、Office 365 へのネットワーク トラフィックは、ユーザーに可能な限り近い場所からマイクロソフトのグローバル ネットワークと Office 365 のフロントエンド サーバーに接続できます。このように、マイクロソフトのグローバル ネットワークと Office 365 のフロントエンド サーバーへのネットワーク パスを短縮することで、Office 365 の接続性のパフォーマンスとエンドユーザー エクスペリエンスの向上が期待できます。
エンタープライズ ネットワークによる Office 365 へのインターネット トラフィックのヘアピン処理
マイクロソフトは、ユーザーと Office 365 のエンドポイントの距離を短縮し、遅延を削減してエンドユーザー エクスペリエンスを向上させるべく継続的に取り組んでいます。ユーザーを Office 365 に接続する場合、2 種類のネットワーク ルートのヘアピン処理が発生する可能性があります。これらのヘアピン処理が発生すると、ユーザーとマイクロソフトのグローバル ネットワーク間のネットワーク パスが大幅に延長されるため、ネットワーク遅延が増大し、Office 365 のパフォーマンスが低下します。
前述のように、2 つ目のヘアピン処理は、クラウドベースのネットワーク セキュリティ インフラストラクチャ デバイスが原因となります。ネットワーク デバイス ベンダーのホスティング拠点が限られていて、ユーザーを離れた場所の特定の拠点に接続する場合、ネットワーク トラフィックがユーザーの所在地から離れた場所のネットワーク デバイスを経由して、ユーザーの近くの Office 365 のフロントエンド サーバーに戻るというヘアピン ルートが生じる可能性があります。これを回避するためには、特定のホスティング拠点についてクラウドベースのネットワーク セキュリティ ベンダーに確認し、それによって生じるネットワーク パスが、マイクロソフトのグローバル ネットワーク上の Office 365 のエンドポイントへの直接ルートとは異なる可能性があることを批判的に捉える必要があります。
1 つ目のヘアピン処理は、ネットワーク出力とユーザーの DNS 参照が一致しないことが原因です。この場合、ユーザーは近くの Office 365 のフロントエンド サーバーに接続されますが、離れた場所にある本社の送信場所を経由することになります。これは、上記の原則で説明したように、ローカル送信とローカル DNS 解決によって回避できます。
Office 365 の追加のセキュリティのバイパス
不明なインターネット サイトへの一般的なインターネット Web 閲覧トラフィックには、多大なセキュリティ リスクが伴うため、大部分の企業はインターネットへの送信場所にネットワーク セキュリティ、監視、トラフィック評価テクノロジを実装しています。ネットワーク セキュリティ テクノロジには、プロキシ サーバー、インラインの SSL によるネットワーク トラフィックの中断および検査、ネットワーク レイヤベースのデータ損失防止などが含まれます。ネットワーク セキュリティ デバイス業界は、目覚ましい成長を遂げています。これらのデバイスはすべて、企業におけるインターネット接続のリスクを軽減するものですが、インターネット接続に必要なコストとリソースが増加し、ネットワーク接続のパフォーマンスが低下するというデメリットもあります。
すべての Office 365 サーバーはマイクロソフトのデータセンターでホストされており、マイクロソフトは、これらのサーバーとそのネットワーク エンドポイントに関連するデータセンターのセキュリティ、運用セキュリティ、リスクの軽減について積極的に情報を公開しています。これらのセキュリティの詳細については、Microsoft Trust Center をご覧ください。Office 365 には、その他にもネットワーク セキュリティのリスクを軽減する方法が多数あります。たとえば、データ損失防止、ウイルス対策、Multi-Factor Authentication、カスタマー ロックボックス、Advanced Threat Protection、Office 365 Threat Intelligence、Office 365 セキュリティ スコア、Exchange Online Protection、ネットワーク DDOS セキュリティ、その他多数のセキュリティ機能が組み込まれています。
企業のお客様は、Office 365 へのトラフィックに特化したこれらのリスク軽減方法を検討し、Office 365 の組み込みセキュリティ機能を使用することで、Office 365 として特定されたネットワーク トラフィックに干渉してパフォーマンスに影響を及ぼす高価なネットワーク レイヤベースのセキュリティ テクノロジの使用を減らすことをお勧めします。
Office 365 ネットワーク製品グループでは、Office 365 に接続する場合のネットワークの問題についてのご意見は、このブログのコメント欄までお寄せください。皆様からのご意見をお待ちしています。
- Office 365 の接続原則を拡張する Office 365 製品グループの動画:
- Office 365 のネットワーク計画とパフォーマンスのチューニングに関するガイダンス: aka.ms/tune
- Office 365 の URL と IP アドレス: aka.ms/O365IP
- Office 365 の帯域幅要件の管理: aka.ms/O365networkconnectivity
※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。