保護 VPN 分割通道的 Teams 媒體流量
注意事項
本文是一組文章的一部分,可解決遠端使用者的 Microsoft 365 優化問題。
- 如需使用 VPN 分割通道將遠端使用者的 Microsoft 365 連線優化的概觀,請參閱 概觀:適用于 Microsoft 365 的 VPN 分割通道。
- 如需實作 VPN 分割通道的詳細指引,請參閱 實作 Microsoft 365 的 VPN 分割通道。
- 如需 VPN 分割通道案例的詳細清單,請參閱 Microsoft 365 的常見 VPN 分割通道案例。
- 如需如何在 VPN 環境中設定 Stream 和即時事件的相關資訊,請參閱 VPN 環境中串流和即時事件的特殊考慮。
- 如需針對中國使用者優化 Microsoft 365 全球租使用者效能的相關資訊,請參閱 適用于中國使用者的 Microsoft 365 效能優化。
某些 Microsoft Teams 系統管理員可能需要詳細資訊,以瞭解通話流程如何使用分割通道模型在 Teams 中運作,以及如何保護連線。
組態
針對通話和會議,只要路由表中已正確設定 Teams 媒體所需的優化 IP 子網,當 Teams 呼叫 GetBestRoute 函式來判斷哪個本機介面對應至它應該用於特定目的地的路由時,就會針對上述 Microsoft IP 區塊中的 Microsoft 目的地傳回本機介面。
有些 VPN 用戶端軟體允許以 URL 為基礎的路由操作。 不過,Teams 媒體流量沒有相關聯的 URL,因此必須使用 IP 子網路來完成此流量的路由控制。
在某些情況下 (通常與 Teams 用戶端設定無關),即使備妥正確的路由,媒體流量仍會通過 VPN 通道。 如果您遇到這種情況,則使用防火牆規則來封鎖 Teams IP 子網或埠使用 VPN 應該就已足夠。
重要事項
若要確保 Teams 媒體流量會在所有 VPN 案例中透過所需的方法路由傳送,請確定使用者執行的是 Microsoft Teams 用戶端 1.3.00.13565 版或更新版本。 此版本包含用戶端偵測可用網路路徑方式的改善。
訊號流量是透過 HTTPS 執行,而且不會像媒體流量一樣區分延遲,而且在 URL/IP 資料中標示為 [ 允許 ],因此可以視需要安全地透過 VPN 用戶端路由傳送。
注意事項
Microsoft Edge 96 和更新版本 也支援對等流量的 VPN 分割通道。 例如,這表示客戶可以在 Edge 上獲得 Teams Web 用戶端的 VPN 分割通道優點。 想要針對在 Edge 上執行的網站進行設定的客戶,可以採取停用 Edge WebRtcRespectOsRoutingTableEnabled 原則的額外步驟來達成此目的。
安全性
避免分割通道的一個常見引數是這樣做較不安全,也就是說,任何未通過 VPN 通道的流量都不會受益于任何套用至 VPN 通道的加密配置,因此較不安全。
這種做法的主要反對論點就是媒體流量已經透過「安全即時傳輸通訊協定 (SRTP)」加密,這是即時傳輸通訊協定 (RTP) 的設定檔,可為 RTP 流量提供機密性、驗證和重新執行攻擊防護。 SRTP 本身依賴隨機產生的工作階段金鑰,其透過受 TLS 保護的訊號通道進行交換。 在這份安全性指南中有詳盡的說明,但主要有趣的章節是媒體加密。
媒體流量會使用 SRTP 進行加密,其使用安全亂數產生器所產生的工作階段金鑰,並使用訊號 TLS 通道進行交換。 此外,中繼伺服器與其下一個內部躍點之間的雙向媒體流量也是使用 SRTP 來加密。
商務用 Skype Online 會產生使用者名稱/密碼,以便透過 Traversal Using Relays around NAT (TURN) 安全存取媒體轉送。 媒體轉送會透過受 TLS 保護的 SIP 通道交換使用者名稱/密碼。 值得注意的是,即使 VPN 通道可用來將用戶端連線到公司網路,當流量離開公司網路以連線到服務時,仍然需要以 SRTP 形式流動。
如需 Teams 如何減輕常見安全性考慮的資訊,例如 NAT (STUN) 擴充攻擊的語音或會話周遊公用程式,請參閱 適用于實作者的 5.1 安全性考慮。
若要了解遠距工作案例中的新式安全性控制項,也可參閱在今日獨特的遠端工作情境中,安全專業人員與 IT 達到現代安全控制的另一種方法 (Microsoft 安全小組部落格) (英文)。
測試
一旦原則就緒,您應該確認它如預期般運作。 有多種方法可測試路徑是否正確設定為使用區域網際網路連線:
執行 Microsoft 365 連線測試 ,該測試會為您執行連線測試,包括如上所示的追蹤路由。 我們也會將 VPN 測試新增至此工具,這應該也會提供額外的深入解析。
分割通道範圍內端點的簡單 追蹤 應該會顯示所採用的路徑,例如:
tracert worldaz.tr.teams.microsoft.com接著,您應該會看到透過本機 ISP 到此端點的路徑,該路徑應該會解析為我們已設定用於分割通道之 Teams 範圍中的 IP。
使用 Wireshark 等工具進行網路擷取。 在通話期間內依據 UDP 篩選,您應會看到流向 Teams [最佳化] 範圍中 IP 的流量。 如果此流量使用 VPN 通道,則追蹤中不會顯示媒體流量。
其他支援記錄
如果需要進一步的資料疑難排解,或要求 Microsoft 支援提供協助,取得下列資訊可加快尋找解決方案的速度。 Microsoft 支援的 TSS Windows CMD 型通用疑難排解腳本工具組 可協助您以簡單的方式收集相關的記錄。 您可以在 https://aka.ms/TssTools 找到使用上的工具和指示。
相關文章
在今日獨特的遠端工作情境中,安全專業人員與 IT 達到現代安全控制的另一種方法 (Microsoft 安全小組部落格) (英文)
Microsoft 強化 VPN 效能:使用 Windows 10 VPN 設定檔以允許自動連線功能