Überlegungen zur Sicherheit für Microsoft Azure und Microsoft 365
Wichtig
Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.
Integration in Azure
Das Azure-Überwachungspaket wird auf einem bestimmten Agent ausgeführt und verwendet verschiedene Microsoft Azure-APIs, um Instrumentierungsinformationen über eine bestimmte Azure-Anwendung remote zu ermitteln und zu sammeln. Die sichere Kommunikation und Authentifizierung mit Azure erfolgt per Zertifikatauthentifizierung, die erforderlich ist, um in Azure gehostete Arbeitsauslastungen mit Operations Manager zu überwachen.
Wenn Sie noch nicht über ein Verwaltungszertifikat verfügen, lesen Sie den Artikel Übersicht über Zertifikate für Azure Cloud Services.
Weitere Informationen finden Sie im Azure-Teamblog Introducing the Windows Azure Service Management API (Einführung in die Microsoft Azure-Dienstverwaltungs-API).
Das Überwachungspaket für Microsoft Azure-Anwendungen erstellt drei ausführende Profile:
- Ausführendes Microsoft Azure-Profil (Blob)
- Ausführendes Microsoft Azure-Profil (Kennwort)
- Ausführendes Microsoft Azure-Profil (Proxy)
Sie müssen ausführende Konten für die ausführenden Microsoft Azure-Profile für ein Blob und ein Kennwort erstellen. Das Konto für das ausführende Microsoft Azure-Profil für ein Blob speichert das Zertifikat mit dem privaten Schlüssel für die Microsoft Azure-Anwendung. Das Konto für das ausführende Microsoft Azure-Profil für ein Kennwort speichert das Kennwort für den privaten Schlüssel.
Die Erstellung eines Kontos für das ausführende Microsoft Azure-Profil für einen Proxy ist optional. Das Konto für das ausführende Microsoft Azure-Profil für einen Proxy speichert Anmeldeinformationen für den Zugriff auf den HTTP-Proxyserver, der für API-Aufrufe in Microsoft Azure verwendet wird.
Sie müssen dem ausführenden Konto ein geeignetes ausführendes Profil zuordnen. Der Assistent zum Hinzufügen von Monitoren ordnet die ausführenden Microsoft Azure-Profile für ein Blob und ein Kennwort den von Ihnen angegebenen Konten zu. Wenn Sie ein ausführendes Konto für das ausführende Microsoft Azure-Profil für einen Proxy erstellen, müssen Sie diesem das ausführende Microsoft Azure-Profil für einen Proxy manuell zuordnen.
Integration in Microsoft 365
Die Microsoft 365-Management Packs verwenden einen Überwachungsansatz ohne Agents. Alle Überwachungsworkflows, die mit der Microsoft 365-Überwachungs-API kommunizieren, werden ausschließlich auf Verwaltungsservern ausgeführt. Für die Überwachung eines Microsoft 365-Abonnements ist ein Microsoft 365-Benutzerkonto mit globalen Administratorberechtigungen für das Abonnement erforderlich. Es wird dringend empfohlen, jedem Abonnement, das Sie überwachen möchten, ein neues dediziertes Benutzerkonto hinzufügen. Gehen Sie folgendermaßen vor, um über das Microsoft 365 Admin Center einen neuen Benutzer mit globalen Administratorberechtigungen zu erstellen:
- Wechseln Sie zu https://portal.office.com/Adminportal/, um das Admin Center zu öffnen. Melden Sie sich als globaler Abonnementadministrator an.
- Klicken Sie auf der Registerkarte „Benutzer und Gruppen“ auf die Schaltfläche „Hinzufügen“.
- Geben Sie Vorname, Nachname, Anzeigename und Benutzername ein, und wählen Sie eine Domäne aus, die mit dem Abonnement verknüpft ist. Beachten Sie, dass Vor- und Nachname für ein Konto mit der globalen Administratorrolle erforderlich sind.

- Wählen Sie auf der Registerkarte „Einstellungen“ die globale Administratorrolle, die dem Konto zugewiesen werden soll. Geben Sie eine alternative E-Mail-Adresse und den Benutzerstandort an.

- Es ist nicht erforderlich, dem Überwachungskonto Lizenzen für Microsoft 365-Dienste zuzuweisen.
- Geben Sie eine E-Mail-Adresse an, um ein temporäres Kennwort zu erhalten. Melden Sie sich vom Microsoft 365 Admin Center ab, und melden Sie sich mit den neuen Anmeldeinformationen an, die Sie per E-Mail erhalten haben.
- Melden Sie sich mit den neu erstellten Anmeldeinformationen beim Microsoft 365-Verwaltungsportal an, und legen Sie das Kennwort für das Konto fest. Denken Sie daran, ein sicheres komplexes Kennwort zu verwenden, da dieses Konto globale Administratorberechtigungen besitzt.
Hinweis
Management Pack-Workflows können keine Überwachungsdaten abrufen, und der Verbindungsstatusmonitor legt die Abonnementintegrität auf den Zustand „Kritisch“ fest und generiert eine Warnung vom Typ „401 – Nicht autorisiert“, bis das neue globale Administratorkonto mindestens einmal für die Anmeldung beim Microsoft 365-Verwaltungsportal verwendet wurde.
Konfigurieren von ausführenden Profilen
Das Microsoft 365-Management Pack erstellt zwei ausführende Profile:
Microsoft 365-Abonnementkennwort (sicherer Verweis)
Microsoft 365-Abonnementkennwort (sicherer Verweis) wird zum Speichern von Abonnementanmeldeinformationen verwendet und darf nicht manuell bearbeitet werden.
Microsoft 365-Abonnementproxy (sicherer Verweis)
Das ausführende Profil „Microsoft 365-Abonnementproxy (sicherer Verweis)“ sollte manuell konfiguriert werden. Dieses Profil wird von allen Regeln und Monitoren verwendet, die in diesem Management Pack definiert sind. Alle diesem Profil zugeordneten ausführenden Konten sollten über folgende Berechtigungen verfügen:
- Muss Mitglied der System Center Operations Manager-Benutzerrolle „Operations Manager-Operatoren“ sein.
- Muss in der Lage sein, eine HTTPS-Verbindung vom Verwaltungsserver zum Microsoft 365-Portalendpunkt herzustellen. Überprüfen Sie die Firewall- und Proxyeinstellungen in Ihrer Umgebung, um sicherzustellen, dass die oben genannte Verbindung zulässig ist.