Gerenciar a configuração de locatário do Microsoft 365 usando o Microsoft365DSC e o Azure DevOps

Este artigo descreve uma solução que rastreia as alterações feitas pelos administradores de serviço e adiciona um processo de aprovação às implantações em locatários do Microsoft 365. Ele pode ajudá-lo a evitar alterações não rastreadas em locatários do Microsoft 365 e evitar descompassos de configuração entre vários locatários do Microsoft 365.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Workflow

1. O Administrador 1 adiciona, atualiza ou exclui uma entrada na bifurcação do Administrador 1 do arquivo de configuração do Microsoft 365.
2. O administrador 1 faz commit e sincroniza as alterações no repositório bifurcado do administrador 1.
3. O administrador 1 cria um PR (pull request) para mesclar as alterações no repositório principal.
4. O pipeline de build é executado no PR.
5. Os administradores revisam o código e mesclam a PR.
6. O PR mesclado dispara um pipeline para compilar arquivos MOF (Managed Object Format). O pipeline chama o Azure Key Vault para recuperar as credenciais usadas nos arquivos MOF.
7. A tarefa do Azure PowerShell em um pipeline de várias etapas usa os arquivos MOF compilados para implantar alterações de configuração por meio do Microsoft365DSC.
8. Os administradores validam as alterações em um locatário do Microsoft 365 em estágios.
9. Os administradores recebem uma notificação do processo de aprovação no Azure DevOps para o ambiente de produção do Microsoft 365. Os administradores aprovam ou rejeitam as alterações.

Componentes

• do Azure Pipelines é um serviço do Azure DevOps para CI/CD (integração contínua e entrega contínua). Use o Azure Pipelines para testar e criar seu código e enviá-lo para qualquer destino. Você também pode usar o Azure Pipelines para implementar portões de qualidade para ajudar a garantir que você implante as alterações de maneira controlada e consistente.
• O Key Vault melhora a segurança do armazenamento de tokens, senhas, certificados, chaves de API e outros segredos. Ele também fornece acesso fortemente controlado a esses segredos. Use o Key Vault para armazenar entidades de serviço e certificados que você usa para implantar alterações de configuração em locatários do Microsoft 365.
• O Microsoft365DSC fornece automação para a implantação, configuração e monitoramento de locatários do Microsoft 365 por meio da DSC (Configuração de Estágio Desejado) do PowerShell. Use o Microsoft365DSC para implantar alterações de configuração em locatários do Microsoft 365 por meio do Azure Pipelines.
• O DSC do Windows PowerShell é uma plataforma de gerenciamento no PowerShell. Você pode usá-la para gerenciar sua infraestrutura de desenvolvimento usando um modelo de configuração como código. Esse modelo é a tecnologia subjacente que o Microsoft365DSC usa.

Alternativas

Você pode usar o DSC na Automação do Azure para armazenar configurações em um local central e adicionar relatórios de conformidade com o estado desejado.

Essa arquitetura usa o Key Vault para armazenar certificados do Serviço de Aplicativo do Azure ou credenciais de usuário que são usadas para autenticação no locatário do Microsoft 365. O Key Vault fornece escalabilidade. Como alternativa, você pode usar variáveis de pipeline para reduzir a complexidade da solução. Usando uma VM (máquina virtual) do Azure para Windows e DSC, você pode aplicar e monitorar uma configuração para locatários do Microsoft 365 que usam Microsoft365DSC. Você pode usar grupos de ações do Azure para enviar emails para administradores do Microsoft 365 quando a VM do Windows do Azure detectar um descompasso de configuração usando o Microsoft 365DSC. Além disso, um grupo de ações do Azure pode executar um webhook para disparar um runbook do Azure para gerar um relatório de descompasso de configuração nos locatários do Microsoft 365.

Detalhes do cenário

Muitas empresas estão adotando práticas de DevOps e desejam aplicar essas práticas aos locatários do Microsoft 365. Se você não adotar o DevOps para o Microsoft 365, poderá encontrar alguns problemas comuns:

• Configuração incorreta
• Desafios com o acompanhamento de alterações de configuração
• Nenhum processo de aprovação para modificações de locatário

Você pode usar a solução descrita neste artigo para automatizar alterações nas configurações de locatário do Microsoft 365 usando o Azure DevOps e o Microsoft365DSC. O Microsoft365DSC é um módulo DSC do PowerShell. Você pode usá-lo para configurar e gerenciar locatários do Microsoft 365 em um verdadeiro estilo DevOps, que é a configuração como código.

Possíveis casos de uso

Essa solução pode ajudá-lo a gerenciar a configuração de locatário do Microsoft 365 de maneira controlada e automatizada usando ferramentas e práticas de DevOps em:

• Ambientes de desenvolvimento, teste, aceitação e produção.
• Vários locatários do cliente, como em um cenário de provedor de serviços gerenciados.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

A maioria das pessoas que começam com o DSC do PowerShell acha que leva algum tempo para aprender. Ajudará se você tiver uma compreensão sólida do PowerShell e da experiência com a criação de scripts.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.

A maioria dos recursos do Microsoft365DSC dá suporte à autenticação por meio de nome de usuário e senha. Não recomendamos esse tipo de autenticação porque as práticas recomendadas da Microsoft recomendam a autenticação multifator. Se os recursos do Microsoft 365 derem suporte a eles, as credenciais do aplicativo serão o método preferencial. O SharePoint no Microsoft 365, a ID do Microsoft Entra e outros recursos dão suporte a credenciais de aplicativo.

Se você criar uma solução do Microsoft365DSC no Azure DevOps, também poderá aproveitar a segurança no Azure Pipelines e um processo de aprovação para proteger a implantação em seu locatário de produção.

Otimização de custos

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.

Para obter informações sobre os preços do Azure DevOps, consulte Preços do Azure DevOps. Se você incorporar o Key Vault em sua solução, consulte Preços do Key Vault.

Também é possível usar a Calculadora de Preços do Azure para estimar os custos.

Excelência operacional

A Excelência operacional abrange os processos de operações que implantam uma aplicação e as mantêm em execução em produção. Para obter mais informações, consulte Lista de verificação de revisão de design para Excelência Operacional.

Algumas equipes de operações consideram o Azure DevOps uma ferramenta para desenvolvedores. Mas essas equipes podem se beneficiar do uso do Azure DevOps. As equipes de operações podem:

• Armazenar seus scripts em um repositório e adicionar controle de código-fonte e de versão.
• Automatizar implantações de scripts.
• Use quadros para rastrear tarefas e projetos.

Usar um modelo de configuração como código não é uma tarefa única. É uma mudança em sua maneira de trabalhar e uma mudança fundamental para todos os membros da equipe. Você não faz mais alterações manualmente. Em vez disso, tudo é implementado em scripts e implantado automaticamente. Todos os membros da equipe precisam ter as habilidades para fazer essa mudança.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar a carga de trabalho para atender às demandas exigidas pelos usuários de maneira eficiente. Para obter mais informações, consulte Lista de verificação de revisão de design para eficiência de desempenho.

Você pode usar essa solução quando trabalha com vários ambientes, várias cargas de trabalho ou várias equipes. Você pode configurar o processo de validação para que os especialistas precisem aprovar cada carga de trabalho. Você também pode estender a solução para implantar em vários locatários para cenários, incluindo cenários de desenvolvimento, teste, aceitação e produção, ou para várias organizações.

Implantar este cenário

O white paper do Microsoft 365 DSC, Gerenciando o Microsoft 365 no verdadeiro estilo DevOps com o Microsoft365DSC e o Azure DevOps, fornece etapas detalhadas para implantar esse cenário.

Colaboradores

Este artigo está sendo mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Derek Smay | Arquiteto Sênior de Soluções de Nuvem

Próximas etapas

• Gerenciar o Microsoft 365 no verdadeiro estilo DevOps com Microsoft365DSC e Azure DevOps
• Código-fonte do Microsoft365DSC
• Canal do YouTube do Microsoft365DSC
• Site do Microsoft365DSC
• Ferramenta de gerador de exportação do Microsoft365DSC

Recurso relacionado

centro de arquitetura e solução do Microsoft 365