Considerazioni sulla sicurezza per Microsoft Azure e Microsoft 365

  • Articolo

Importante

Questa versione di Operations Manager ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a Operations Manager 2022.

Integrazione con Azure

Il Monitoring Pack di Azure viene eseguito su un agente specificato e usa diverse API di Microsoft Azure per individuare e raccogliere in modalità remota informazioni di strumentazione riguardo a un'applicazione di Microsoft Azure specificata. La sicurezza dell'autenticazione e della comunicazione con Azure viene ottenuta mediante l'autenticazione del certificato, operazione necessaria per il monitoraggio corretto dei carichi di lavoro ospitati in Azure con Operations Manager.

Se non si dispone già di un certificato di gestione, vedere le informazioni disponibili in Panoramica sui certificati per i servizi cloud di Azure.

Il Monitoring Pack per le applicazioni Azure crea tre profili RunAs:

  • Windows Azure Run As Profile Blob
  • Windows Azure Run As Profile Password
  • Windows Azure Run As Profile Proxy

È necessario creare account RunAs per Windows Azure Run As Profile Blob e Windows Azure Run As Profile Password. L'account per Windows Azure Run As Profile Blob memorizza il certificato con la chiave privata per l'applicazione Azure. L'account per Windows Azure Run As Profile Password memorizza la password per la chiave privata.

La creazione di un account per Windows Azure Run As Profile Proxy è facoltativa. L'account per Windows Azure Run As Profile Proxy memorizza le credenziali per l'accesso al server proxy usate per effettuare chiamate all'API in Microsoft Azure.

È necessario associare l'account RunAs a un profilo RunAs appropriato. L'Aggiunta guidata monitoraggio assocerà i profili Windows Azure Run As Profile Blob e Windows Azure Run As Profile Password agli account specificati. Se si crea un account per Windows Azure Run As Profile Proxy, è necessario associare manualmente il profilo Windows Azure Run As Profile Proxy all'account in fase di creazione.

Integrazione con Microsoft 365

Il Management Pack di Microsoft 365 usa l'approccio di monitoraggio senza agente. Tutti i flussi di lavoro di monitoraggio che comunicano con l'API di monitoraggio di Microsoft 365 vengono eseguiti solo su server di gestione. Per il monitoraggio di una sottoscrizione Microsoft 365 è necessario un account utente di Microsoft 365 con autorizzazioni di amministratore globale per la sottoscrizione. È consigliabile aggiungere un nuovo account utente dedicato a ogni sottoscrizione da monitorare. Per creare un nuovo utente con autorizzazioni di amministratore globale usando l'interfaccia di amministrazione di Microsoft 365:

  1. Andare a https://portal.office.com/Adminportal/ per aprire l'interfaccia di amministrazione. Accedere come amministratore globale della sottoscrizione.
  2. Nella scheda Utenti e gruppi selezionare il pulsante Aggiungi
  3. Immettere Nome, Cognome, Nome visualizzato e Nome utente e selezionare un dominio collegato alla sottoscrizione. I campi Nome e Cognome sono obbligatori per un account con il ruolo di amministratore globale.
    Screenshot della pagina New User Details (Dettagli nuovo utente).
  4. Nella scheda impostazione selezionare amministratore globale ruolo da assegnare all'account. Specificare un indirizzo di posta elettronica e una località utente alternativi.
    Screenshot della pagina Nuove impostazioni utente.
  5. Non è necessario assegnare licenze ai servizi di Microsoft 365 all'account di monitoraggio.
  6. Specificare un indirizzo di posta elettronica per ricevere una password temporanea. Disconnettersi da interfaccia di amministrazione di Microsoft 365 e accedere di nuovo usando le nuove credenziali ricevute nel messaggio di posta elettronica.
  7. Accedere al portale di gestione di Microsoft 365 usando le credenziali appena create e impostare la password per l'account. Ricordarsi di usare una password complessa complessa perché questo account dispone di autorizzazioni amministratore globale.

    Nota

    I flussi di lavoro del Management Pack non sono in grado di ottenere dati di monitoraggio, il monitoraggio stato connessione imposta lo stato della sottoscrizione sullo stato "Critico" e genera l'avviso "(401) Non autorizzato" finché non viene usato il nuovo account amministratore globale per accedere almeno una volta al portale di gestione di Microsoft 365.

Configurare profili RunAs

Il Management Pack di Microsoft 365 crea due profili RunAs:

  • Microsoft 365 Subscription Password secure reference

    Il riferimento sicuro per la password della sottoscrizione di Microsoft 365 viene usato per archiviare le credenziali di sottoscrizione e non deve essere modificato manualmente

  • Microsoft 365 Subscription Proxy secure reference

    Il profilo RunAs Microsoft 365 Subscription Proxy secure reference deve essere configurato manualmente. Questo profilo viene usato da tutte le regole e i monitoraggi definiti in questo Management Pack. Tutti gli account RunAs mappati a questo profilo devono avere le autorizzazioni seguenti:

    • Essere membri del ruolo utente "Operatori di Operations Manager" di System Center Operations Manager.
    • Essere in grado di stabilire una connessione HTTPS dal server di gestione all'endpoint del portale di Microsoft 365. Controllare le impostazioni del firewall e del proxy all'interno dell'ambiente per assicurarsi che la connessione precedente sia consentita.