大規模な組織での Microsoft 365 導入時に一度は検討されるであろう ExpressRoute ですが、その内容を紹介した docs を閲覧したことはありますでしょうか。今回はそのサイトを紹介しておきたいと思います。
特にみておいてほしいのは、上記の図です。
ExpressRoute で対応される範囲が記されているのですが、 DNS 、 CDN などの通信、 主要の機能以外のサブ機能群については ExpressRoute の範囲外となっています。
意外とこの事実が忘れられているケースがあり、設計の後半になって気が付くということが少なくありません。
ExpressRoute を利用した場合でも、閉域で利用できるわけではなく、帯域が保証された経路でのアクセスが可能となる。という程度の状態となるわけです。閉域ではないのですが、 Internet VPN と同様に経路の完全暗号化がなされているため、経路の安全性は閉域と同様となります。逆に経路のみで安全性を確保しているケースと比べれば、ゼロトラストとして組まれている分安全性が高いかもしれません。
通常の ExpressRoute と異なり、 Microsoft 365 で利用できる経路は Microsoft ピアリングと言ってマイクロソフトの承認が下りた場合のみ利用できるようになっています。そのため利用できるケースは限られるのですが、もしこの経路を選択する必要が生じた場合は一読してみることをお薦めします。
音楽:Melty Kiss
