Microsoft Azure és Microsoft 365 biztonsági szempontjaiSecurity Considerations for Microsoft Azure and Microsoft 365

Fontos

A Operations Manager ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a Operations Manager 2019-re.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

Azure-integrációIntegration with Azure

Az Azure figyelési csomagja egy megadott ügynökön fut, és Microsoft Azure API-k használatával távolról gyűjt adatokat a kijelölt Microsoft Azure-alkalmazás rendszerállapotáról.The Azure monitoring pack runs on a specified agent and uses various Windows Azure APIs to remotely discover and collect instrumentation information about a specified Windows Azure application. Az Azure-ban a biztonságos kommunikációt és hitelesítést a tanúsítványalapú hitelesítés biztosítja, ami szükséges ahhoz, hogy az Azure-ban üzemeltetett alkalmazások és szolgáltatások megfigyelhetők legyenek az Operations Managerrel.Secure communication and authentication with Azure is performed by certificate authentication, which is required in order to successfully monitor workloads hosted in Azure with Operations Manager.

Ha még nem rendelkezik felügyeleti tanúsítvánnyal, első lépésként tekintse át a Certificates overview for Azure Cloud Services (A tanúsítványok áttekintése az Azure felhőalapú szolgáltatásaiban) című cikket.If you don’t have a management certificate already, begin here by reviewing Certificates overview for Azure Cloud Services.

További információt az Introducing the Windows Azure Service Management API (A Microsoft Azure szolgáltatásfelügyeleti API bemutatása) című Microsoft Azure-blogbejegyzésben talál.For more information, see Introducing the Windows Azure Service Management API on the Windows Azure team blog.

A Microsoft Azure-alkalmazások figyelési csomagja három futtató profilt hoz létre:The Monitoring Pack for Windows Azure Applications creates three Run As profiles:

  • Microsoft Azure Run As Profile Blob (Microsoft Azure-futtatóprofil – blob)Windows Azure Run As Profile Blob
  • Microsoft Azure Run As Profile Password (Microsoft Azure-futtatóprofil – jelszó)Windows Azure Run As Profile Password
  • Microsoft Azure Run As Profile Proxy (Microsoft Azure-futtatóprofil – proxy)Windows Azure Run As Profile Proxy

A Microsoft Azure Run As Profile Blob (Microsoft Azure-futtatóprofil – blob) és a Microsoft Azure Run As Profile Password (Microsoft Azure-futtatóprofil – jelszó) nevű profilhoz futtató fiókokat kell létrehoznia.You must create Run As accounts for Windows Azure Run As Profile Blob and Windows Azure Run As Profile Password. A Microsoft Azure Run As Profile Blob (Microsoft Azure-futtatóprofil – blob) nevű profilhoz tartozó fiók tárolja a tanúsítványt a Microsoft Azure-alkalmazás titkos kulcsával.The account for Windows Azure Run As Profile Blob stores the certificate with the private key for the Windows Azure application. A Microsoft Azure Run As Profile Password (Microsoft Azure-futtatóprofil – jelszó) nevű profilhoz tartozó fiók tárolja a titkos kulcs jelszavát.The account for Windows Azure Run As Profile Password stores the password for the private key.

A Microsoft Azure Run As Profile Proxy (Microsoft Azure-futtatóprofil – proxy) nevű profilhoz tartozó fiók létrehozása nem kötelező.Creating an account for Windows Azure Run As Profile Proxy is optional. A Microsoft Azure Run As Profile Proxy (Microsoft Azure-futtatóprofil – proxy) nevű profilhoz tartozó fiók tárolja a hitelesítő adatokat ahhoz a HTTP-proxykiszolgálóhoz, amely API-hívásokat bonyolít a Microsoft Azure-ral.The account for Windows Azure Run As Profile Proxy stores credentials for access to the HTTP proxy server that is used to make API calls to Windows Azure.

A futtató fiókokat társítani kell a futtató profilokkal.You must associate the Run As Account with an appropriate Run As profile. A Figyelés felvétele varázsló társítja majd a Windows Azure Run As Profile Blob (Microsoft Azure-futtatóprofil – blob) nevű és a Windows Azure Run As Profile Password (Microsoft Azure-futtatóprofil – jelszó) nevű profilt a megadott fiókokkal.The Add Monitoring Wizard will associate the Windows Azure Run As Profile Blob and Windows Azure Run As Profile Password profiles with the accounts that you specify. Ha létrehoz egy futtató fiókot a Windows Azure Run As Profile Proxy (Microsoft Azure-futtatóprofil – proxy) profilhoz, a kettőt kézileg kell társítani egymással.If you create a Run As account for Windows Azure Run As Profile Proxy, you must manually associate the Windows Azure Run As Profile Proxy profile with the account that you create.

Integráció a Microsoft 365Integration with Microsoft 365

Microsoft 365 felügyeleti csomag ügynök nélküli figyelési módszert használ.Microsoft 365 management pack uses agentless monitoring approach. A Microsoft 365 monitoring API-val kommunikáló összes figyelési munkafolyamatot csak felügyeleti kiszolgálókon hajtja végre a rendszer.All monitoring workflows that communicate with Microsoft 365 Monitoring API are being executed on management servers only. Az előfizetéshez globális rendszergazdai jogosultsággal rendelkező felhasználói fiókra van szükség egy Microsoft 365 előfizetés figyeléséhez.A user account with Global Administrator permissions for the subscription is required for monitoring of a Microsoft 365 subscription. Javasoljuk, hogy adjon hozzá egy új dedikált felhasználói fiókot a figyelni kívánt előfizetésekhez.It is highly recommended to add a new dedicated user account to each subscription you want to monitor. Globális rendszergazdai engedélyekkel rendelkező új felhasználó létrehozása Microsoft 365 felügyeleti központban:To create a new user with Global Administrator permissions using Microsoft 365 admin center:

  1. https://portal.office.com/Adminportal/A megnyitásához nyissa meg a felügyeleti központot.Go to https://portal.office.com/Adminportal/ to open the admin center. Jelentkezzen be globális előfizetés-adminisztrátorként.Log in as Subscription Global Administrator.
  2. A Felhasználók és csoportok lapon kattintson a Hozzáadás gombra.On Users and Groups tab: click Add button
  3. Töltse ki az Utónév, a Vezetéknév, a Megjelenített név és a Felhasználónév mezőket, majd válassza ki az előfizetéshez társított tartományt.Enter First name, Last name, Display name and User name and select a domain linked to the subscription. Ne feledje, hogy az utónév és a vezetéknév megadása kötelező globális rendszergazdai szerepkörű fiók létrehozásakor.Note that First and Last names are required for account with Global Administrator role.
    Új felhasználó adatai oldal
  4. A Beállítások lapon rendelje hozzá a Globális rendszergazda jogosultságot a fiókhoz.On setting tab: select Global administrator role to be assigned to account. Adja meg a másodlagos e-mail-címet és a felhasználó helyét.Specify alternate email address and user location.
    Új felhasználó beállításai oldal
  5. Nem szükséges Microsoft 365 Services-licenceket hozzárendelni a figyelési fiókhozYou are not required to assign Microsoft 365 services licenses to the monitoring account
  6. Adjon meg egy e-mail-címet, amelyre elküldhetjük az ideiglenes jelszót.Specify an email address to receive a temporary password. Jelentkezzen ki Microsoft 365 felügyeleti központból, és jelentkezzen be újra az e-mailben kapott új hitelesítő adatok használatával.Log out from Microsoft 365 admin center and log in again using new credentials received in the email.
  7. Jelentkezzen be a Microsoft 365 felügyeleti portálra az újonnan létrehozott hitelesítő adatokkal, és állítsa be a fiók jelszavát.Login to the Microsoft 365 management portal using newly created credentials and set the password for the account. Erős, nehezen kitalálható jelszót adjon meg, hiszen a fiók globális rendszergazdai jogosultságokkal rendelkezik.Remember to use strong complex password because this account has Global administrator permissions.

    Megjegyzés

    A felügyeleti csomagok munkafolyamatai nem tudják beolvasni a figyelési adatokat, a kapcsolódási állapot figyelője az előfizetés állapotát "kritikus" állapotra állítja, és "(401) jogosulatlan" riasztást hoz létre, amíg az új globális rendszergazdai fiók nem használja a Microsoft 365 felügyeleti portálra való bejelentkezést legalább egyszer.Management Pack workflows are unable to obtain monitoring data, Connection State monitor sets Subscription health to “Critical” state and generates “(401) Unauthorized” Alert until new Global Administrator account is used to login to the Microsoft 365 management portal at least once.

Futtató profilok beállításaConfigure Run As profiles

A Microsoft 365 felügyeleti csomag két futtató profilt hoz létre:The Microsoft 365 management pack creates two Run As Profiles:

  • Microsoft 365 előfizetés jelszava biztonságos referenciájaMicrosoft 365 Subscription Password secure reference

    Az előfizetési hitelesítő adatok tárolásához Microsoft 365 előfizetés jelszavának biztonságos hivatkozását futtató profil, amely nem módosítható manuálisanMicrosoft 365 Subscription Password secure reference Run As Profile is used to store subscription credentials and shouldn’t be edited manually

  • Microsoft 365 előfizetés-proxy biztonságos referenciájaMicrosoft 365 Subscription Proxy secure reference

    Microsoft 365 előfizetési proxy biztonságos hivatkozás futtató profilt manuálisan kell konfigurálni.Microsoft 365 Subscription Proxy secure reference Run As Profile should be configured manually. A felügyeleti csomagban meghatározott összes szabály és figyelő ezt a profilt használja.This profile is used by all rules and monitors defined in this Management Pack. A profilhoz leképezett összes futtató fióknak az alábbi engedélyekkel kell rendelkeznie:All Run As Accounts mapped to this profile should have following permissions:

    • A System Center Operations Manager „Operations Manager-operátorok” felhasználói szerepköréhez kell tartoznia.Be a member of “Operations Manager Operators” System Center Operations Manager user role.
    • Létre kell hoznia egy HTTPS-kapcsolatot a felügyeleti kiszolgálóról a Microsoft 365 portál végpontra.Be able to establish an HTTPS connection from the Management Server to the Microsoft 365 portal endpoint. Ezt a környezetéhez tartozó tűzfal- és proxybeállítások áttekintésével ellenőrizheti.Please check firewall and proxy settings within your environment to ensure that aforementioned connection is allowed.