Office 365をVPN環境で快適に使うためにはこの4つのURLだけはインターネット直接アクセスにすること!

クラウドサービスなのにVPNで全部社内ネットワーク通してアクセスするの違和感半端ない・・

Office 365だけでなく、様々なクラウドサービスが基幹システムやアプリケーションとして社内利用されているところが多いと思います。

しかしながら、外出先や自宅などからインターネット上にあるクラウドサービスへアクセスするのに、昔からあるVPNを通して社内ネットワーク経由でアクセスする形態であるところが多いのではないでしょうか。

私もそうなのですが、なんかこの使い方って違和感があるというかなんかもったいない気がしませんか。笑

もちろんそもそもクラウドサービスが業務に欠かせないシステムに採用されることは昔は想定されていなかったでしょうし、インターネット出口を監視、ログするためという理由は理解できますが・・。

VPN環境でも4つのURLをスプリットトンネリングするだけでOffice 365を高速化する!

Microsoftが上記のようなVPN環境下でも、特定URL/IPサブネットだけをVPN回線ではなくインターネット直接アクセスするように構成すること(VPNスプリットトンネリング)でパフォーマンスが最大化できるよ、と紹介されています。

How to quickly optimize Office 365 traffic for remote staff & reduce the load on your infrastructure

Over the past few weeks, Microsoft, and more specifically the Office 365 Network team have seen a large influx of questions from customers around how best to optimize their Office 365 connectivity as they work diligently to plan for a large amount of their userbase suddenly working from home. We’ve …

具体的にインターネット直接アクセスにすべきURL/IPサブネットが書かれているので非常に分かりやすいですね。

別のサイトで公開されているOffice 365アクセスに必要なURL/IP一覧の中で、”Optimize”になっている4つのURLと19のIPサブネットがインターネット直接アクセス推奨の対象となっています。

  • 104.146.128.0/17
  • 13.107.128.0/22
  • 13.107.136.0/22
  • 13.107.18.10/31
  • 13.107.6.152/31
  • 13.107.64.0/18
  • 131.253.33.215/32
  • 132.245.0.0/16
  • 150.171.32.0/22
  • 150.171.40.0/22
  • 191.234.140.0/22
  • 204.79.197.215/32
  • 23.103.160.0/20
  • 40.104.0.0/15
  • 40.108.128.0/17
  • 40.96.0.0/13
  • 52.104.0.0/14
  • 52.112.0.0/14
  • 52.96.0.0/14
  • 52.120.0.0/14

TCP ports 80/443

UDP ports 3478, 3479, 3480, 3481

URLだと、https://outlook.office365.com、https://outlook.office.com、https://<tenant>.sharepoint.com、https://<tenant>-my.sharepoint.com、の4つです。

2020/3/30現在”Optimize”になっているもので、これらは不定期に変わる可能性があるためURL/IPの”Optimize”は自動的に更新するか監視するかは必須になってきますね。

いくつかのメリット

これでVPN環境下でも快適にOffice 365を利用できるのであれば是非試してみたいところです。

特にTeamsのWeb会議の品質は通信環境のパフォーマンスがかなり影響するので、遠隔地でもなるべくパフォーマンスが出るようにする工夫は重要ですね。

さらに上記で挙げられているURL/IPは通信量も多いものだとのことなので、社内ネットワーク機器の負荷低減も期待できそうです。

さらにさらに、認証系の通信は今まで通りVPN経由となっているので、接続元IPを元にした条件付きアクセスでは信頼IPとして判定できますし、インターネット環境でVPNなしでOffice365を使えるようになるわけではありません。

一部VPNを通さずインターネット直接アクセスになるので社内のプロキシーやファイアーウォールでロギングできなくなる部分がありますが、そこはOffice 365側のAudit Logとかで確認ですね。

おわり

昨今はリモートワークの要求が急速に高まっているので、こういった既存VPNを利用する環境であったとしても、遠隔地からできるだけ快適に利用できるような工夫は是非取り入れたいですね。

Translate »