Autor: Frank Carius
Enterprise Architect / Partner – auf LinkedIn vernetzen
Die Einführung von Microsoft Copilot stellt für viele Unternehmen eine Herausforderung dar, die über die reine Softwareintegration hinausgeht. Neben der Umstellung für die Mitarbeitenden müssen Sie auch im Bereich der Netzwerkinfrastruktur gut vorbereitet sein. Ein gutes Verständnis der Prozesse ist wichtig, um Microsoft Copilot optimal zu nutzen und Ihr Netzwerk sicher und effizient zu gestalten.
In diesem Artikel beleuchten wir die wichtigsten Aspekte der Netzwerkanforderungen von Microsoft Copilot. So erhalten Sie einen tieferen Einblick in die technischen Details, die für eine erfolgreiche Integration notwendig sind.
Microsoft Copilot, ChatGPT und andere KIs: Was sind die Unterschiede?
Machine Learning und ganz allgemein „KI“ ist schon lange kein Nischenthema mehr. ChatGPT ist aus dem Alltag vieler Unternehmen nicht mehr wegzudenken und auch das Thema Microsoft Copilot ist in letzter Zeit mehr als ein Begriff. Viele Firmen denken derzeit über die Einführung von Microsoft Copilot nach oder nutzen den Dienst bereits, um die eigenen Daten effizienter zu erschließen. Obwohl die zugrundeliegende Technologie hinter beiden Tools vergleichbar ist, haben Copilot und ChatGPT unterschiedliche Voraussetzungen:
Anpassung Ihres Netzwerks für Microsoft Copilot:
Doch was müssen Sie in Ihrer Netzwerkinfrastruktur bei der Einführung von Microsoft Copilot beachten? Generell wird Copilot von Microsoft in der Cloud betrieben und die Anwender greifen auf die verschiedenen Dienste im Hintergrund über Ihr Netzwerk zu. Microsoft hat die Anforderungen an Microsoft Copilot für Microsoft 365 und die genutzten Kommunikationswege hier beschrieben.
Microsoft beschreibt als Netzwerkanforderungen, dass Copilot zuerst einmal die klassischen Microsoft Cloud-Endpunkte anspricht und so die gleichen Prinzipien zu beachten sind, wie sie auch für andere Microsoft 365 Dienste gelten:
- 1
Local Breakout
Vermeiden Sie Verzögerungen im Netzwerk, indem Sie den Datenverkehr direkt ins Internet leiten, anstatt Umwege über das firmeninterne LAN zu nehmen. Es empfiehlt sich, den Datenverkehr so nah wie möglich am Ursprung zu bearbeiten und zu filtern, um die Effizienz zu steigern. - 2
Proxy-Bypass
Lassen Sie den Datenverkehr bestimmter Anwendungen nicht durch Proxy-Server inspizieren. Dies verhindert Verzögerungen, die durch die Überprüfung jedes Datenpakets entstehen können, und ermöglicht einen direkteren und schnelleren Zugriff. - 3
VPN-Umgebung
Für Mitarbeiter im Homeoffice empfiehlt es sich, eine Direktverbindung ohne Umleitung über das Firmennetzwerk zu ermöglichen. Dies reduziert nicht nur die Belastung des VPNs und der firmeninternen Netzwerkinfrastruktur, sondern verbessert auch die Zugriffszeiten für die Nutzer.
All diese Voraussetzungen unterscheiden sich nicht von den bisherigen Anforderungen an eine Microsoft 365 Nutzung und werden durch Netzwerkmonitoring-Tools wie Rimscout bereits erfasst. Übrigens scheint auch, Stand März 2024, Copilot in den Microsoft 365 Apps das Zertifikat zu prüfen und verwehrt sich z. B. einer Analyse mit Fiddler. Damit dürfte auch ein Inspection Proxy mit eigenen Zertifikaten ein Problem darstellen und ein Bypass für diese URLs erforderlich werden.
Wie arbeiten WebSockets und was bedeutet dies für Ihr Netzwerk?
Neu ist die Forderung, dass auch “WebSocket”-Verbindungen auf einen Bereich der IP-Adressen möglich sein müssen, die auf Position 46 der Liste (https://aka.ms/o365ip) aufgeführt werden, anstatt klassischer HTTP-Abfragen. Darunter befinden sich alle URLs mit den Namen “*.officeapps.live.com, *.online.office.com, office.live.com” aber auch jede Menge IP-Adressen.
Der klassische Zugriff auf Webseiten erfolgt über HTTP/HTTPS, bei dem ein Browser oder Client eine URL mit einer GET-Methode anfordert oder Daten über “POST” an die Cloud sendet. Outlook fragt so nach neuen E-Mails und der Exchange Server antwortet sofort oder wenn eine neue Mail vorliegt. WebSockets haben einen anderen Einsatzzweck, indem Sie die Verbindung bidirektional offenhalten. Sie starten in der Regel mit einem HTTP-GET aber führen dann ein “UPGRADE” auf WebSockets durch, wenn die Gegenstelle dies unterstützt. Danach ist ein transparenter Tunnel zwischen Client und Server aufgebaut, über den beide Endpunkte jederzeit Daten senden können. WebSockets kommen daher sehr oft bei Diensten zum Einsatz, die kontinuierlich oder mit minimaler Verzögerung Daten an den Client übertragen. Hier wäre es höchst ineffektiv, wenn der Client z. B. jede Sekunde eine neue Abfrage (Polling) senden würde.
Der Wechsel auf WebSockets bedeutet aber eine entsprechende Konfiguration in Ihrem Netzwerk, denn Proxy-Server und Firewalls müssen auf dieses veränderte Verhalten eingestellt sein, da die Verbindung sehr lange bestehen kann und auch die Übertragung im Vergleich zu HTTP-Verkehr “atypisch” ist. So könnten Intrusion Detection Systeme (IDS) oder Firewalls die Verbindung unterbinden
Technisch ist es weiterhin eine HTTP/HTTPS-Verbindung, die mit einem GET oder POST startet und dann innerhalb des Protokolls die Betriebsart wechselt. Der Client stellt einen http-Request gegen den WebSocket Endpunkt:
GET /chathub HTTP/1.1 Host: copilot.microsoft.om Upgrade: WebSocket Connection: Upgrade
Die Gegenseite muss darauf mit einem „101 Switching“ antworten:
HTTP/1.1 101 Switching Protocols Upgrade: WebSocket Connection: Upgrade
Danach sehen Sie im WebSocket-Stream die Anfrage und den Aufbau der jeweiligen Antworten.
Rimscout und WebSocket-Prüfungen
Aufgrund der Funktionsweise von Websockets über HTTP/HTTPS können Sie schon heute mit Rimscout die Gegenstellen in einem Test mit einbeziehen und die wichtigen Faktoren ermitteln:
Über verschiedene Testarten (DNS, ICMP UDP, TCP, http etc.) kann Rimscout mit einem individuellen Test die generelle Erreichbarkeit prüfen.
Um aber die WebSocket-Funktion selbst zu testen, müsste Rimscout nicht nur das Upgrade der Verbindung von HTTPS auf WebSockets machen, sondern auch den WebSocket-Datenstrom simulieren können. Microsoft Copilot und anderen Dienste werden dazu aber immer eine Authentifizierung erfordern. Damit stellt sich die Frage der Sicherheit solcher Anmeldedaten und welchen Mehrwert so ein tiefgreifender Test liefert.
Aus unserer Sicht ist es ausreichend, die Qualität der Verbindung zum Copilot-Service zu ermitteln. Wir prüfen, ob einen WebSocket-Verbindung möglich ist, z. B. auch wenn Sie über einen HTTP-Proxy geleitet wird.
Weitere Bausteine in Microsoft Copilot
Die meisten Quellen behandeln nur die Kommunikation zwischen dem Anwender und dem Microsoft Copilot Backend, um Fragen und Prompts zu stellen und die Antworten zu erhalten. Zusätzlich kann Microsoft Copilot auch externe Datenquellen abfragen oder in den semantischen Index aufnehmen. Dazu gibt es zwei Wege:
Beide Anbindungen kommunizieren über das Netzwerk mit dem Service. Initiator ist dabei aber Microsoft Copilot und nicht der Client, so dass ein Netzwerk-Monitoring wie Rimscout hier keine Werte erfassen kann.
Zusammenfassung
Die Anforderungen an das Netzwerk, die durch die Anfragen der Benutzer an Microsoft Copilot entstehen, sind als unkritisch einzustufen. Es handelt sich nicht um Echtzeitverkehr, und die KI benötigt für die Zerlegung der Anfrage in Token, die Abfrage des semantischen Index und die Generierung der Ergebnisse in der Regel mehr Zeit, als dass die Latenz im Netzwerk spürbar wäre. Dennoch muss die Verbindung grundsätzlich möglich sein und darf nicht durch Proxy-Server o.ä. verhindert werden.