Upravit

Sdílet prostřednictvím

Správa konfigurace tenanta Microsoft 365 pomocí Microsoft365DSC a Azure DevOps

Azure DevOps
Azure Key Vault
Azure Windows Virtual Machines
Microsoft 365

Tento článek popisuje řešení, které sleduje změny, které správci služeb dělají, a přidává proces schvalování do nasazení do tenantů Microsoftu 365. Pomůže vám zabránit nesledovaným změnám tenantů Microsoftu 365 a zabránit posunu konfigurace mezi několika tenanty Microsoftu 365.

Architektura

Diagram znázorňující architekturu pro automatizaci změn v konfiguracích tenantů Microsoftu 365

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

  1. Správce 1 přidá, aktualizuje nebo odstraní položku ve forku Office 1 konfiguračního souboru Microsoftu 365.
  2. Správce 1 potvrdí a synchronizuje změny do forku úložiště Admin 1.
  3. Správce 1 vytvoří žádost o přijetí změn pro sloučení změn v hlavním úložišti.
  4. Kanál buildu běží v žádosti o přijetí změn.
  5. Správci zkontrolují kód a sloučí žádost o přijetí změn.
  6. Sloučená žádost o přijetí změn aktivuje kanál pro kompilaci souborů MOF (Managed Object Format). Kanál volá Službu Azure Key Vault, aby načetl přihlašovací údaje, které se používají v souborech MOF.
  7. Úloha Azure PowerShellu v kanálu s více fázemi používá kompilované soubory MOF k nasazení změn konfigurace prostřednictvím Microsoft365DSC.
  8. Správci ověřují změny ve fázovaném tenantovi Microsoftu 365.
  9. Správci dostanou oznámení z procesu schvalování v Azure DevOps pro produkčního tenanta Microsoftu 365. Správci změny schválí nebo zamítnou.

Komponenty

  • azure Pipelines je služba Azure DevOps pro kontinuální integraci a průběžné doručování (CI/CD). Pomocí Azure Pipelines otestujte a sestavte kód a odešlete ho do libovolného cíle. Azure Pipelines můžete také použít k implementaci bran pro zvýšení kvality, abyste zajistili, že nasadíte změny řízeným a konzistentním způsobem.
  • Key Vault zlepšuje zabezpečení úložiště pro tokeny, hesla, certifikáty, klíče rozhraní API a další tajné kódy. Poskytuje také úzce řízený přístup k těmto tajným kódům. Pomocí služby Key Vault můžete ukládat instanční objekty a certifikáty, které používáte k nasazení změn konfigurace do tenantů Microsoftu 365.
  • Microsoft365DSC poskytuje automatizaci pro nasazení, konfiguraci a monitorování tenantů Microsoftu 365 prostřednictvím konfigurace požadované fáze PowerShellu (DSC). Pomocí Microsoft365DSC nasaďte změny konfigurace do tenantů Microsoftu 365 prostřednictvím Azure Pipelines.
  • Windows PowerShell DSC je platforma pro správu v PowerShellu. Můžete ji použít ke správě vývojové infrastruktury pomocí modelu konfigurace jako kódu. Tento model je základní technologie, kterou Microsoft365DSC používá.

Alternativy

Pomocí DSC ve službě Azure Automation můžete ukládat konfigurace do centrálního umístění a přidávat sestavy dodržování předpisů s požadovaným stavem.

Tato architektura používá službu Key Vault k ukládání certifikátů služby Aplikace Azure service nebo uživatelských přihlašovacích údajů, které se používají k ověřování v tenantovi Microsoftu 365. Key Vault poskytuje škálovatelnost. Jako alternativu můžete použít proměnné kanálu ke snížení složitosti řešení. Pomocí virtuálního počítače Azure pro Windows a DSC můžete použít a monitorovat konfiguraci pro tenanty Microsoftu 365, kteří používají Microsoft365DSC. Skupiny akcí Azure můžete použít k odesílání e-mailů správcům Microsoftu 365, když virtuální počítač Azure s Windows zjistí posun konfigurace pomocí Microsoftu 365DSC. Kromě toho může skupina akcí Azure spustit webhook, který aktivuje runbook Azure, aby vygeneroval sestavu odchylek konfigurace v tenantech Microsoftu 365.

Podrobnosti scénáře

Řada společností přijímá postupy DevOps a chce tyto postupy aplikovat na tenanty Microsoftu 365. Pokud nepřijmete DevOps pro Microsoft 365, můžete narazit na některé běžné problémy:

  • Chybná konfigurace
  • Problémy se sledováním změn konfigurace
  • Žádný proces schvalování pro úpravy tenanta

Pomocí řešení popsaného v tomto článku můžete automatizovat změny konfigurací tenantů Microsoftu 365 pomocí Azure DevOps a Microsoft365DSC. Microsoft365DSC je modul PowerShell DSC . Můžete ho použít ke konfiguraci a správě tenantů Microsoftu 365 ve skutečném stylu DevOps, což je konfigurace jako kód.

Potenciální případy použití

Toto řešení vám pomůže spravovat konfiguraci tenanta Microsoftu 365 řízeným a automatizovaným způsobem pomocí nástrojů a postupů DevOps napříč:

  • Vývoj, testování, přijetí a produkční prostředí
  • Několik tenantů zákazníků, jako je ve scénáři poskytovatele spravovaných služeb.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Většina lidí, kteří začínají s PowerShell DSC, zjistí, že jeho učení nějakou dobu trvá. Pomůže vám to, pokud máte solidní znalosti PowerShellu a zkušenosti s vytvářením skriptů.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.

Většina prostředků Microsoft365DSC podporuje ověřování prostřednictvím uživatelského jména a hesla. Tento typ ověřování nedoporučujeme, protože osvědčené postupy Microsoftu doporučují vícefaktorové ověřování. Pokud je prostředky Microsoftu 365 podporují, jsou upřednostňovanou metodou přihlašovací údaje aplikace. SharePoint v Microsoftu 365, Microsoft Entra ID a dalších prostředcích podporují přihlašovací údaje aplikace.

Pokud vytváříte řešení Microsoft365DSC v Azure DevOps, můžete také využít zabezpečení v Azure Pipelines a schvalovací proces k ochraně nasazení do produkčního tenanta.

Optimalizace nákladů

Optimalizacenákladůch Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

Informace o cenách Azure DevOps najdete v tématu Ceny Pro Azure DevOps. Pokud do svého řešení zahrnete službu Key Vault, přečtěte si informace o cenách služby Key Vault.

K odhadu nákladů můžete použít také cenovou kalkulačku Azure.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu.

Některé provozní týmy považují Azure DevOps za nástroj pro vývojáře. Tyto týmy ale můžou využívat Azure DevOps. Provozní týmy můžou:

  • Uložte skripty v úložišti a přidejte správu zdrojového kódu a správu verzí.
  • Automatizujte nasazení skriptů.
  • Pomocí panelů můžete sledovat úkoly a projekty.

Použití modelu konfigurace jako kódu není jednorázová úloha. Je to posun ve vaší práci a zásadní změna pro všechny členy týmu. Změny už neproděláte ručně. Místo toho se všechno implementuje ve skriptech a nasazuje se automaticky. Všichni členové týmu musí mít k provedení této změny dovednosti.

Efektivita výkonu

Efektivita výkonu je schopnost vaší úlohy škálovat tak, aby splňovala požadavky, které na ni mají uživatelé efektivním způsobem. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

Toto řešení můžete použít při práci s více prostředími, více úlohami nebo více týmy. Proces ověřování můžete nakonfigurovat tak, aby odborníci museli schvalovat jednotlivé úlohy. Můžete také rozšířit řešení pro nasazení do více tenantů pro scénáře, včetně vývoje, testování, přijetí a produkčních scénářů nebo pro více organizací.

Nasazení tohoto scénáře

Dokument white paper o Microsoftu 365 DSC, který spravuje Microsoft 365 ve skutečném stylu DevOps pomocí Microsoft365DSC a Azure DevOps, poskytuje podrobný postup nasazení tohoto scénáře.

Přispěvatelé

Tento článek udržuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

  • Derek Smay | Vedoucí architekt cloudových řešení

Další kroky

řešení a centra architektury Microsoftu 365