必要な状態構成を使用して Microsoft 365 テナントの構成をスナップショット化する

必要な状態構成を使用して Microsoft 365 テナントの構成をスナップショット化する [ad_1]

広範で深いプラットフォームとして、Microsoft 365 は適切な技術変更管理を実施することは困難です。SharePoint 構成が Teams の機能に影響を与えるなど、複数のワークロードに影響を与える設定は言うまでもなく、提供される各ワークロードを考慮すると、利用可能な構成オプションの数は驚異的です。これは、Microsoft 365 の真の構成レベルのバックアップ サービスが存在しないという事実によって助けにはなりません。

その結果、Microsoft 365 の構成項目に変更を加える方法は、テストが非常に困難で、追跡と元に戻す際に非常に面倒です。 警告 特定の変更や、 Office 365 構成アナライザーのマイクロソフト ディフェンダー は時間の経過に応じて設定のスキューを検出するのに役立ちますが、これはプラットフォームの他の部分には及びません。

マイクロソフト 365 必要な状態の構成

Microsoft 365 構成の効果的な 「スナップショット」のギャップを埋めるために、多くの組織が コードとしての構成.ここでの基本原則は、 望ましい状態の構成 (DSC) のスクリプトは、環境に対してスクリプトを再実行することで、合意されたベースラインに戻すことができるようにスクリプト化されます。DSC は新しい概念ではなく、 その他の多くの技術 しかし、年間を通じて、 マイクロソフト 365 DSC は、DSC を活用して、テナント構成の課題を解決するのに役立ちます。

Microsoft 365 DSC は、Microsoft 365 テナント内の構成の抽出、比較、さらには修復を可能にする、オープン ソース、マイクロソフトリード、コミュニティ主導のプロジェクトです。この記事では、テナント構成の 「スナップショット」を使用して、このスナップショットと更新された構成を比較して環境の変更を検出する方法について詳しく説明します。

Azure AD アプリを準備する

リソースへの認証をセキュリティで保護するには、新しい Azure AD アプリを登録する必要があります。モジュールはユーザーの資格情報を直接渡すことができますが、セキュリティで保護された環境では難しい場合があるため、DSC モジュールのすべてのコンポーネントは、Microsoft Graph PowerS hell SDK モジュールを活用するためにアップグレードされています。

新しい Azure AD アプリ登録を作成します (この手順で行ったように 記事)をクリックし、テナント ID、クライアント IP、クライアント シークレットをメモします (実稼働環境では証明書認証を使用することをお勧めしますが、クライアント シークレットはテストに適しています)。

次に、アプリにアクセス許可を付与するには、 ドキュメンテーション を含める関連リソースに対して。たとえば、私は追加します。 アプリケーション 条件付きアクセスのアクセス許可 – “アダコン条件付アクセスポリシー" (図 1) をクリックすると、アクセス許可が追加された後に、許可を忘れずに許可します。エクスポートの場合は、[エクスポート]の下にリストされているアクセス許可のみが必要です。

含める各リソースに対するアクセス許可を追加する
図 1: 含める各リソースのアクセス許可を追加する

より大きなリソースのセットについては、以下に詳しく説明する DSC モジュールに cmドレット リソースの一覧を渡し、必要なアクセス許可を返すことができる Get-M365DSCCompileDPermissionList:

マイクロソフト 365DSC モジュールをインストールします。

マイクロソフト 365 DSC は、簡単な PowerShell モジュールの形式で提供されています。開始するには、PowerShell セッションを開き、コマンドを実行します。

DSC モジュールがジョブを実行できるようにするために多くの依存関係をダウンロードする必要があるため、これには少し時間がかかる場合があります。

構成の抽出

構成を抽出するには、 M365DSC のエクスポート構成 図 2 に示すように、抽出するリソースとアプリの詳細を渡すコマンドレット。

エクスポート-M365DSC構成 -コンポーネント @(<コンポーネントリスト>) -アプリケーション Id <アプリID> -テナントID <テナント名> -アプリケーションシークレット <シークレット> -パス <エクスポートパス> -構成名 <構成名> -ファイル名 <エクスポート ファイル .ps1 の名前>

構成の詳細をエクスポートするには、Export-M365Configuration コマンドレットを実行します。
図 2: 構成の詳細をエクスポートするのには、エクスポート M365Configuration コマンドレットを実行します。

これにより、構成が指定されたパスに DSC 構成としてエクスポートされます。PS1 ファイル。ファイルには、指定したリソースのエクスポートされた構成の詳細が表示されます (この場合は条件付きアクセス ポリシーですが、さらに多くのオプションを使用できます)。Web ベースの機能を使用することもできます。 エクスポートツール をクリックしてエクスポート コマンドを生成し、含めるリソースとワークロードを選択します。

構成レポートの作成

DSC によってエクスポートされた PS1 構成ファイルは、テナント構成を確認するユーザーにわかりやすい方法ではありません。構成は、Excel または HTML 形式にエクスポートできます。 構成から新しい M365DSC レポート コマンドレット (図 3)。

構成からのレポートの生成
図 3: 構成からのレポートの生成

エクスポートされた構成は、読みやすい形式でエクスポートされます (図 4)。

構成用の HTML および Excel エクスポート ファイル
FIgure 4: 構成用の HTML および Excel エクスポート ファイル

構成の比較

レポートは優れたものですが、エクスポートされた構成を現在の構成と比較して、元のエクスポート以降の変更を特定することもできます。比較を生成するには、条件付きアクセスに変更を加え、エクスポートをもう一度実行して別のファイル名を指定します。これにより、同じフォルダ内の最新の構成を持つ別のファイルが生成されます。

ファイルは、次の実行によって比較することができます。 新しいM365DSCデルタレポート コマンドレットで、ソース (初期)、宛先 (更新) 構成、および結果の HTML ファイルの出力パスを指定します。コマンドの構文は、次のとおりです。

このコマンドは、図 5 に示す HTML デルタ・レポートを生成します。このレポートでは、比較で検出された不足、追加、または異なるコンポーネントが強調表示されます。

デルタ レポートは、構成間の不一致を強調表示します。
図 5: デルタ レポートは、構成間の不一致を強調表示します。

この例では、デルタ レポートは、条件付きアクセス ポリシー “MCAS を使用するチーム" が存在しなくなり、ポリシー “MFA" の “IncludeApplications" 設定が “All" から単一のアプリケーションに変更されたことを示しています。

単なる比較以上のもの

レポートと比較は、Microsoft 365 DSC の可能性の始まりに過ぎません。実際の価値は、定期的な整合性チェック、さらには構成ドリフトの自動修復を持つために、この概念を拡張することによって来ます。DSC は、テスト用のテナンシーのクローン作成にも役立ちます。コンテナー、Azure オートメーション、Azure DevOps にデプロイして、構成のガバナンス、デプロイ、および更新を強化することもできます。Microsoft 365 DSC の詳細については、プロジェクトの web サイトを参照してください。 ここは.



[ad_2]

未分類

Posted by admin