A Microsoft Azure és a Microsoft 365 biztonsági szempontjai

Fontos

Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.

Azure-integráció

Az Azure figyelési csomagja egy megadott ügynökön fut, és Microsoft Azure API-k használatával távolról gyűjt adatokat a kijelölt Microsoft Azure-alkalmazás rendszerállapotáról. Az Azure-ban a biztonságos kommunikációt és hitelesítést a tanúsítványalapú hitelesítés biztosítja, ami szükséges ahhoz, hogy az Azure-ban üzemeltetett alkalmazások és szolgáltatások megfigyelhetők legyenek az Operations Managerrel.

Ha még nem rendelkezik felügyeleti tanúsítvánnyal, első lépésként tekintse át a Certificates overview for Azure Cloud Services (A tanúsítványok áttekintése az Azure felhőalapú szolgáltatásaiban) című cikket.

A Microsoft Azure-alkalmazások figyelési csomagja három futtató profilt hoz létre:

• Microsoft Azure Run As Profile Blob (Microsoft Azure-futtatóprofil – blob)
• Microsoft Azure Run As Profile Password (Microsoft Azure-futtatóprofil – jelszó)
• Microsoft Azure Run As Profile Proxy (Microsoft Azure-futtatóprofil – proxy)

A Microsoft Azure Run As Profile Blob (Microsoft Azure-futtatóprofil – blob) és a Microsoft Azure Run As Profile Password (Microsoft Azure-futtatóprofil – jelszó) nevű profilhoz futtató fiókokat kell létrehoznia. A Microsoft Azure Run As Profile Blob (Microsoft Azure-futtatóprofil – blob) nevű profilhoz tartozó fiók tárolja a tanúsítványt a Microsoft Azure-alkalmazás titkos kulcsával. A Microsoft Azure Run As Profile Password (Microsoft Azure-futtatóprofil – jelszó) nevű profilhoz tartozó fiók tárolja a titkos kulcs jelszavát.

A Microsoft Azure Run As Profile Proxy (Microsoft Azure-futtatóprofil – proxy) nevű profilhoz tartozó fiók létrehozása nem kötelező. A Microsoft Azure Run As Profile Proxy (Microsoft Azure-futtatóprofil – proxy) nevű profilhoz tartozó fiók tárolja a hitelesítő adatokat ahhoz a HTTP-proxykiszolgálóhoz, amely API-hívásokat bonyolít a Microsoft Azure-ral.

A futtató fiókokat társítani kell a futtató profilokkal. A Figyelés felvétele varázsló társítja majd a Windows Azure Run As Profile Blob (Microsoft Azure-futtatóprofil – blob) nevű és a Windows Azure Run As Profile Password (Microsoft Azure-futtatóprofil – jelszó) nevű profilt a megadott fiókokkal. Ha létrehoz egy futtató fiókot a Windows Azure Run As Profile Proxy (Microsoft Azure-futtatóprofil – proxy) profilhoz, a kettőt kézileg kell társítani egymással.

Integráció a Microsoft 365-kel

A Microsoft 365 felügyeleti csomagja az ügynök nélküli monitorozási megközelítést használja. A Microsoft 365 Monitoring API-val kommunikáló összes figyelési munkafolyamat csak felügyeleti kiszolgálókon fut. Egy Microsoft 365-előfizetés figyeléséhez globális rendszergazdai engedélyekkel rendelkező felhasználói fiókra van szükség. Erősen ajánlott új dedikált felhasználói fiókot hozzáadni minden figyelni kívánt előfizetéshez. Új, globális rendszergazdai engedélyekkel rendelkező felhasználó létrehozása Microsoft 365 Felügyeleti központ használatával:

1. https://portal.office.com/Adminportal/ Nyissa meg a Felügyeleti központot. Jelentkezzen be előfizetés globális rendszergazdájaként.
2. Felhasználók és csoportok lapon: válassza a Hozzáadás gombot
3. Adja meg az Utónevet, a Vezetéknevet, a Megjelenítendő nevet és a Felhasználónevet, és válasszon ki egy, az előfizetéshez társított tartományt. Ne feledje, hogy az utónév és a vezetéknév megadása kötelező globális rendszergazdai szerepkörű fiók létrehozásakor.
   
4. A Beállítás lapon válassza globális rendszergazda fiókhoz hozzárendelendő szerepkört. Adja meg a másodlagos e-mail-címet és a felhasználó helyét.
   
5. Nem kell Microsoft 365-ös szolgáltatási licenceket hozzárendelnie a figyelési fiókhoz.
6. Adjon meg egy e-mail-címet, amelyre elküldhetjük az ideiglenes jelszót. Jelentkezzen ki Microsoft 365 Felügyeleti központ, és jelentkezzen be újra az e-mailben kapott új hitelesítő adatokkal.
7. Jelentkezzen be a Microsoft 365 felügyeleti portálra az újonnan létrehozott hitelesítő adatokkal, és állítsa be a fiók jelszavát. Ne felejtse el erős összetett jelszót használni, mert ez a fiók globális rendszergazda engedélyekkel rendelkezik.

   Megjegyzés

   A felügyeleti csomag munkafolyamatai nem tudják lekérni a figyelési adatokat, a Kapcsolat állapota figyelő "Kritikus" állapotra állítja az előfizetés állapotát, és "(401) Jogosulatlan" riasztást hoz létre, amíg a rendszer legalább egyszer nem használ új globális rendszergazdai fiókot a Microsoft 365 felügyeleti portálra való bejelentkezéshez.

Futtató profilok beállítása

A Microsoft 365 felügyeleti csomag két futtató profilt hoz létre:

• Microsoft 365-előfizetés – Jelszó biztonságos referenciája

  A Microsoft 365-előfizetés jelszóval kapcsolatos biztonságos referenciája A futtató profil az előfizetés hitelesítő adatainak tárolására szolgál, és nem szabad manuálisan szerkeszteni

• Microsoft 365-előfizetési proxy biztonságos referenciája

  A Microsoft 365-előfizetési proxy biztonságos referenciáját, a futtató profilt manuálisan kell konfigurálni. A felügyeleti csomagban meghatározott összes szabály és figyelő ezt a profilt használja. Az ehhez a profilhoz leképezett összes futtató fióknak a következő engedélyekkel kell rendelkeznie:

  • A System Center Operations Manager „Operations Manager-operátorok” felhasználói szerepköréhez kell tartoznia.
  • Https-kapcsolatot létesíthet a felügyeleti kiszolgáló és a Microsoft 365 portálvégpont között. Ellenőrizze a tűzfal- és proxybeállításokat a környezetben, hogy a fent említett kapcsolat engedélyezve legyen.