Microsoft Azure 與 Microsoft 365 的安全性考量
重要
此版本的 Operations Manager 已終止支援。 我們建議您 升級至 Operations Manager 2022。
與 Azure 整合
Azure 監視組件會在指定的代理程式上執行,並使用多種 Windows Azure API 遠端探索及收集指定之 Windows Azure 應用程式的相關檢測資訊。 與 Azure 的安全通訊和驗證是透過憑證驗證執行,才能成功監視裝載在 Azure 與 Operations Manager 中的工作負載。
如果您還沒有管理憑證,請從檢閱這裡的 Azure 雲端服務的憑證概觀開始。
Windows Azure 應用程式的監視組件會建立三個執行身分設定檔︰
- Windows Azure 執行身分設定檔 Blob
- Windows Azure 執行身分設定檔密碼
- Windows Azure 執行身分設定檔 Proxy
您必須建立 Windows Azure 執行身分設定檔 Blob 及 Windows Azure 執行身分設定檔密碼的執行身分帳戶。 Windows Azure 執行身分設定檔 Blob 的帳戶會為 Windows Azure 應用程式儲存具有私密金鑰的憑證。 Windows Azure 執行身分設定檔密碼的帳戶會儲存私密金鑰的密碼。
建立 Windows Azure 執行身分設定檔 Proxy 的帳戶是選擇性的。 Windows Azure 執行身分設定檔 Proxy 的帳戶所儲存的認證可存取用來對 Windows Azure 進行 API 呼叫的 HTTP Proxy 伺服器。
您必須將執行身分帳戶與適當的執行身分設定檔產生關聯。 [加入監視精靈] 會將 Windows Azure 執行身分設定檔 Blob 和 Windows Azure 執行身分設定檔密碼設定檔與您指定的帳戶產生關聯。 如果您要建立 Windows Azure 執行身分設定檔 Proxy 的執行身分帳戶,必須手動將 Windows Azure 執行身分設定檔 Proxy 設定檔與您所建立的帳戶產生關聯。
與 Microsoft 365 整合
Microsoft 365 管理元件使用無代理程序監視方法。 與 Microsoft 365 監視 API 進行通訊的所有監視工作流程僅會在管理伺服器上執行。 若要監視 Microsoft 365 訂用帳戶,需要對於訂用帳戶具有全域管理員權限的使用者帳戶。 強烈建議您將新的專用用戶帳戶新增至您想要監視的每個訂用帳戶。 使用 Microsoft 365 系統管理中心建立具有全域管理員權限的新使用者︰
- 移至 https://portal.office.com/Adminportal/ 以開啟系統管理中心。 以訂用帳戶全域管理員身分登入。
- 在 [使用者和群組] 索引標籤上:選取 [新增] 按鈕
- 輸入名字、姓氏、顯示名稱和用戶名稱,然後選取連結至訂用帳戶的網域。
請注意,具有全域管理員角色的帳戶需要有 [名字] 和 [姓氏]。
![[新增使用者詳細數據] 頁面的螢幕快照。](media/plan-security-microsoft-cloud/om2016-o365-new-user-details.png?view=sc-om-2019)
- 在 [設定] 索引標籤上,選取要指派給帳戶 全域管理員 角色。 指定備用電子郵件地址及使用者位置。
![[新增使用者設定] 頁面的螢幕快照。](media/plan-security-microsoft-cloud/om2016-o365-new-user-settings.png?view=sc-om-2019)
- 您不需要將 Microsoft 365 服務授權指派給監視帳戶。
- 指定要接收暫時密碼的電子郵件地址。 從 Microsoft 365 系統管理中心 註銷,然後使用電子郵件中收到的新認證再次登入。
- 使用新建立的認證登入 Microsoft 365 管理入口網站,並設定帳戶的密碼。 請記得使用強式複雜密碼,因為此帳戶具有 全域管理員 許可權。
注意
管理元件工作流程無法取得監視數據,連線狀態監視器會將訂用帳戶健康情況設定為「重大」狀態,併產生「 (401) 未經授權」警示,直到使用新的全域管理員帳戶至少登入 Microsoft 365 管理入口網站一次為止。
設定執行身分設定檔
Microsoft 365 管理組件會建立兩個執行身分設定檔︰
Microsoft 365 訂用帳戶密碼安全參考
Microsoft 365 訂閱密碼安全參考執行身分配置檔可用來儲存訂用帳戶認證,不應手動編輯
Microsoft 365 訂用帳戶 Proxy 安全參考
應該手動設定 Microsoft 365 訂用帳戶 Proxy 安全參考執行身分設定檔。 這個設定檔是由此管理組件中定義的所有規則和監視使用。 對應至此設定檔的所有執行身分帳戶都應該具有下列許可權:
- 屬於「Operations Manager 操作員」System Center Operations Manager 使用者角色的成員。
- 能夠建立管理伺服器至 Microsoft 365 入口網站端點的 HTTPS 連線。 檢查環境中的防火牆和 Proxy 設定,以確保允許上述連線。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應