Cenários comuns de túnel dividido de VPN para o Microsoft 365

Artigo
10/04/2024

Observação

Este artigo faz parte de um conjunto de artigos que abordam a otimização do Microsoft 365 para utilizadores remotos.

Para obter uma descrição geral da utilização do túnel dividido de VPN para otimizar a conectividade do Microsoft 365 para utilizadores remotos, consulte Descrição geral: túnel dividido de VPN para o Microsoft 365.
Para obter orientações detalhadas sobre a implementação do túnel dividido de VPN, veja Implementar o túnel dividido de VPN para o Microsoft 365.
Para obter orientações sobre como proteger o tráfego de multimédia do Teams em ambientes de túnel divididos de VPN, veja Proteger o tráfego de multimédia do Teams para túnel dividido de VPN.
Para obter informações sobre como configurar Stream e eventos em direto em ambientes VPN, veja Considerações especiais sobre Stream e eventos em direto em ambientes VPN.
Para obter informações sobre como otimizar o desempenho de inquilinos do Microsoft 365 em todo o mundo para utilizadores na China, consulte Otimização do desempenho do Microsoft 365 para utilizadores chineses.

Na lista abaixo, verá os cenários de VPN mais comuns vistos em ambientes empresariais. A maioria dos clientes tradicionalmente opera o modelo 1 (tunelamento forçado de VPN). Esta secção irá ajudá-lo a fazer a transição rápida e segura para o modelo 2, que é alcançável com relativamente pouco esforço e tem enormes benefícios para o desempenho da rede e a experiência do utilizador.

Modelo	Descrição
1. Túnel forçado VPN	100% do tráfego entra no túnel VPN, incluindo no local, Internet e todo o O365/M365
2. Túnel forçado de VPN com poucas exceções	O túnel da VPN é usado por padrão (pontos de rota padrão para a VPN), com poucos cenários isentos mais importantes que têm permissão para ir direto
3. Túnel forçado de VPN com várias exceções	O túnel VPN é utilizado por predefinição (pontos de rota predefinidos para VPN), com exceções abrangentes que têm permissão para ir diretamente (como todo o Microsoft 365, All Salesforce, All Zoom)
4. Túnel seletivo de VPN	O túnel VPN é utilizado apenas para serviços baseados na rede empresarial. A rota predefinida (Internet e todos os serviços baseados na Internet) é direta.
5. sem VPN	Uma variação de n.º 2. Em vez da VPN legada, todos os serviços de rede empresarial são publicados através de abordagens de segurança modernas (como Zscaler ZPA, Microsoft Entra ID Proxy/MCAS, etc.)

1. Túnel forçado VPN

O cenário de início mais comum para a maioria dos clientes empresariais. É utilizada uma VPN forçada, o que significa que 100% do tráfego é direcionado para a rede empresarial, quer o ponto final resida ou não na rede empresarial. Qualquer tráfego externo (Internet), como o Microsoft 365 ou a navegação na Internet, é posteriormente afixado no cabelo do equipamento de segurança no local, como proxies. No actual clima, com quase 100% dos utilizadores a trabalhar remotamente, este modelo coloca uma carga elevada na infraestrutura de VPN e é susceptível de dificultar significativamente o desempenho de todo o tráfego empresarial e, por conseguinte, a empresa operar de forma eficiente num momento de crise.

VPN Forced Tunnel model 1.

2. VPN com tunelamento forçado com um pequeno número de exceções confiáveis

Significativamente mais eficiente para uma empresa operar em. Este modelo permite que alguns pontos finais controlados e definidos que são sensíveis a carga e latência elevadas ignorem o túnel VPN e vão diretamente para o serviço Microsoft 365. Isto melhora significativamente o desempenho dos serviços descarregados e também diminui a carga na infraestrutura de VPN, permitindo assim que os elementos que ainda exigem que funcionem com menor contenção para os recursos. É este modelo para o qual este artigo se concentra em ajudar na transição, pois permite que ações simples e definidas sejam tomadas rapidamente com vários resultados positivos.

Split Tunnel VPN model 2.

3. Túnel forçado de VPN com várias exceções

Alarga o âmbito do modelo 2. Em vez de enviar apenas um pequeno grupo de pontos finais definidos diretamente, envia todo o tráfego diretamente para serviços fidedignos como o Microsoft 365 e o SalesForce. Isso reduz ainda mais a carga da infraestrutura VPN corporativa e melhora o desempenho dos serviços definidos. Uma vez que é provável que este modelo dedquira mais tempo para avaliar a viabilidade e a implementação, é provável que seja um passo que pode ser dado iterativamente numa data posterior quando o modelo dois estiver implementado com êxito.

Split Tunnel VPN model 3.

4. Túnel Seletivo de VPN

Inverte o terceiro modelo no qual apenas o tráfego identificado como tendo um endereço IP empresarial é enviado pelo túnel VPN e, portanto, o caminho da Internet é a rota predefinida para tudo o resto. Esse modelo exige que uma organização esteja bem no caminho para Confiança Zero em poder implementar esse modelo com segurança. Deve observar-se que este modelo ou alguma variação do mesmo se tornará provavelmente a predefinição necessária ao longo do tempo, à medida que mais serviços se afastam da rede empresarial e para a cloud.

A Microsoft utiliza este modelo internamente. Pode encontrar mais informações sobre a implementação da Microsoft do túnel dividido de VPN em Em execução na VPN: como a Microsoft mantém a sua força de trabalho remota ligada.

Split Tunnel VPN model 4.

5. sem VPN

Uma versão mais avançada do modelo número 2, através da qual todos os serviços internos são publicados através de uma abordagem de segurança moderna ou solução SDWAN, como Microsoft Entra ID Proxy, Defender para Aplicativos de Nuvem, Zscaler ZPA, etc.

Split Tunnel VPN model 5.