Prije nekoliko sedmica, Microsoft je pokrenuo javnu pretpregledu Unified Tenant Configuration Management (ili UTCM), o kojoj smo govorili ovdje i ovdje. Iako UTCM API možete koristiti samostalno, Microsoft ne planira lansirati samostalni proizvod, umjesto toga spajanje UTCM bitova zajedno kao dio Tenant Governance, koji je upravo lansiran u pregledu. Pa hajde da pričamo o tome.
Prije nego što zaboravim, pokretanje Tenant managementa nam također donosi opću dostupnost UTCM API-ja. Drugim riječima, UTCM API je sada dostupan na /v1.0 Graph API krajnjoj tački i službeno je podržan!
Šta je upravljanje stanarima?
Mnogi kupci na kraju imaju više Microsoft 365 zakupaca iz različitih razloga, uključujući, ali ne ograničavajući se na: spajanja, prodaje i akvizicije, zahtjeve usklađenosti, okruženja za testiranje/razvoj, “virusne” pretplate itd. Iako su mnogi takvi zakupci stvoreni iz valjanih razloga, nije neuobičajeno imati ograničen menadžment ili čak vidljivost u njima, što otvara mnoštvo problema. Microsoft je to iz prve ruke iskusio s napadom Midnight Blizzard-a, a upravljanje stanarima je jedan od koraka koje su poduzeli za rješavanje takvih problema u budućnosti.
ukratko, Menadžment stanara je proizvod koji ima za cilj da riješi probleme oko vidljivosti (otkrivanja) stanara relevantnih za organizaciju, pomogne u uspostavljanju upravljačkih odnosa između njih i provede skup potrebnih postavki i konfiguracija („osnovne linije“). Potonje je mjesto gdje UTCM ulazi u igru, omogućavajući vam da nadgledate odstupanje od željene konfiguracije za sve vaše upravljane stanare i da ispravite sva odstupanja od osnovne linije u budućnosti.
Na kraju, upravljanje stanarima omogućava vam da osigurate nove stanare na kontrolisan način putem Sigurno stvaranje stanara flow, karakteristika koja vam pomaže da uspostavite odnos upravljanja od samog početka. Također pomaže da naplata bude centralizirana na jednom od vaših komercijalnih računa za naplatu. Kasnije ćemo razgovarati o karakteristikama upravljanja pojedinačnim stanarima.
Za sada, hajde da pričamo o uslovima licenciranja. Microsoft planira ponuditi dvije vrste upravljanja stanarima. Menadžment stanara Basic će biti dostupan kupcima sa Microsoft Unesite P1 licenciranje ili ekvivalentno, i podržavat će većinu funkcija. Menadžment stanara Premium ponudiće bolju skalabilnost i Pridruženi stanari i biće dostupna zakupcima sa Upravljanje Microsoft Entra ID-om ili Microsoft Entra Suite SKU-ovi. Za više detalja o licenciranju pogledajte zvaničnu dokumentaciju.
Osnove upravljačkih odnosa
Sastavni dio proizvoda je a odnos upravljanjanovi tip objekta koji predstavlja jednosmjernu vezu između dva stanara, gdje je jedan stanar vladao jedno a drugo ono vladajući jedan. Kao dio uspostavljanja pomenute veze, morate definirati skup dozvola koje će se dodijeliti upravljačkom zakupcu upućivanjem na postojeću politiku upravljanja/šablon. Ovdje možete ići onoliko široko ili usko koliko je potrebno, ali naravno, preporučuje se da se pridržavate principa najmanje privilegija.
Prije nego što pokrijemo stvarni proces, prvo moramo razjasniti nekoliko detalja. Znajući potencijalni uticaj ove funkcije, Microsoft razumljivo postavlja brojne zaštitne mere. Kreiranje odnosa upravljanja zahtijeva ručnu akciju korisnika administratora u oba stanara. Za zakupca za kojeg Microsoft smatra da je dovoljno “povezan” sa upravnom upravom, može se koristiti proces u dva koraka koji se sastoji od slanja zahtjev menadžmenta od vladajućeg zakupca i odobrava ga sa zakupcem koji prima. Trenutno, podskup scenarija u kojima je ovaj tok omogućen je ograničen na oba zakupca koji dijele istu Azure naplatu ili imaju postojeći odnos upravljanja. Osim toga, zahtjev se može poslati bilo kom „povezanom“ zakupcu (pogledajte sljedeći odjeljak).
Za sve ostale scenarije umjesto toga primjenjuje se proces u tri koraka. I poziv menadžmenta prvo se mora poslati, što se uvek dešava od strane regulisanog zakupca. Primanje pozivnice za upravljanje omogućava upravljačkom zakupcu da pošalje a zahtjev menadžmentakoji nakon odobrenja utvrđuje odnos upravljanja. U ovom trenutku, upravljačka strana može upravljati objektima i politikama unutar upravljanog zakupca, a odgovarajući objekt odnosa upravljanja može se naći u oba stanara.
Zatim svaki zakupac može kontrolisati da li mu se može poslati poziv za upravljanje. Kao što je gore objašnjeno, pozivnice su potrebne za proces u tri koraka, tako da ako ikada planirate upravljati drugim stanarima, trebali biste promijeniti vrijednost ove postavke, koja se nalazi pod Postavke upravljanja stanarima stranica, do Omogućeno (to je podrazumevano Onemogućeno). Za ovo možete koristiti i Graph API, ali imajte na umu da je operacija podržana samo za ovlaštenja delegata (TenantGovernance-Setting.ReadWrite.All):
#Toggle the value of the "Allow other tenants to send governance invitations to this tenant" setting
PATCH https://graph.microsoft.com/beta/directory/tenantGovernance/settings
{
"canReceiveInvitations": true
}Konačno, morate podesiti Predlošci politike upravljanjada se definiše nivo dozvole koji se daje kao deo uspostavljanja odnosa upravljanja. Možete koristiti GDAP model i dodijeliti Entra ID ulogama administratora ili iskoristiti aplikaciju s više korisnika za scenarije automatizacije (zahtijeva TG Premium). Radi kratkoće, uputit ću vas na zvaničnu dokumentaciju za više detalja o tome. Ali budite sigurni da ste barem konfigurirali zadani predložak!
Uspostavljanje upravljačkog odnosa
Da stvari budu jednostavne, ovdje ćemo pokriti samo proces u tri koraka. Kako se ovaj dvokorak tehnički može posmatrati kao kutno kućište, većina detalja će ostati ista, iako je malo jednostavnija za konfiguraciju. Konsultujte zvaničnu dokumentaciju za detalje o oba toka, prema potrebi.
Počinjemo proces od (koji ćemo) upravljati zakupcem, gdje trebamo izdati a poziv menadžmenta. Podsjećamo, poziv će tada omogućiti (željenom) vladajućem zakupcu da pošalje zahtjev za upravljanje, što je obično dozvoljeno samo zakupcima koji dijele istu naknadu ili su već uspostavili upravljačke odnose. On Vladajući stanari kliknite na stranicu Pozivnice su poslane tab, a zatim pritisnite Novi poziv dugme. U oknu s desne strane unesite GUID ili ime domene za namjeravanog zakupca, a zatim pritisnite Pošaljite pozivnicu dugme. Imajte na umu da proces neće uspjeti sa greškom 403 ako zakupac koji prima nije omogućio odgovarajuću postavku (pogledajte gore).
Naravno, možete koristiti i Graph API za slanje pozivnice. Operacija je opet moguća samo uz dozvolu delegata (TenantGovernance-Invitation.ReadWrite.All), zatim administrator sa Administrator za upravljanje stanarima uloga će biti potrebna. Korisno opterećenje je jednostavno GUID zakupca. Evo primjera:
#Issue a governance invitation
POST https://graph.microsoft.com/beta/directory/tenantGovernance/governanceInvitations
{
"governingTenantId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}Na strani primaoca, pozivnica će se pojaviti ispod Upravljani stanari > Pozivnice primljene kartice, sa obavještenjem putem e-pošte svim globalnim administratorima.
Pritisnite za izdavanje novog zahtjeva za upravljanje Pošaljite zahtjev za upravljanje dugme, kao što je prikazano na slici iznad. Drugi način je da ga otvorite Upravljani stanari stranicu, izaberite Zahtjevi poslani karticu i pritisnite Novi zahtjev za upravljanje dugme u njemu. Budući da koristimo proces u tri koraka, nemojte se iznenaditi ako je lista stanara u prve dvije kartice čarobnjaka prazna. Umjesto toga, koristite Pozivnice primljene tab. Slijedite čarobnjaka da odaberete zakupca i predložak politike, a zatim pošaljite svoj zahtjev.
Ako želite izdati zahtjev za upravljanje putem Graph API-ja, korisnik sa bilo kojim Administrator za upravljanje stanarima ili Administrator odnosa sa stanarima potrebna je uloga, kao i login sa TenantGovernance-Request.ReadWrite.All odobrene dozvole, jer je ponovo podržan samo model dozvole delegata. Tijelo zahtjeva treba da sadrži upravljaniTenantId i predložak politike upravljanja koji planirate koristiti. na primjer:
#Issue a new governance request
POST https://graph.microsoft.com/beta/directory/tenantGovernance/governanceRequests
{
"governedTenantId": "8fbddb8a-eb45-4305-b659-9e9af5a3d501",
"governancePolicyTemplate@odata.bind": "https://graph.microsoft.com/beta/directory/tenantGovernance/governancePolicyTemplates/default"
}
Kao napomena, čini se da postoji više scenarija u kojima izdavanje zahtjeva rezultira odgovorom od 200 OK od servera. Prema mom iskustvu, ovo su sve neuspjeli zahtjevi i neće biti kreiran odgovarajući objekt zahtjeva za upravljanje. Umjesto toga, 201 odgovor s navedenim svojstvima objekta zahtjeva za upravljanje je kako izgleda uspješno izvršenje. Nadamo se da će se iskustvo malo poboljšati za GA izdanje.
Poslednji korak u procesu od tri koraka je stvarno prihvatanje zahteva menadžmenta. U ovoj fazi je već trebalo da se desi sledeće: zakupac (koji će biti) je poslao poziv, zakupac (koji će biti) ga je primio i iskoristio kao osnovu za slanje zahteva za upravljanje. Zahtjev za upravljanje je ono što „nosi“ dozvole, u obliku pridruženog predloška upravljanja, zbog čega je u ovom trenutku potreban još jedan korak pregleda. Ako zakupac (kojim će se upravljati) prihvati zahtjev, priložene dodjele uloga i/ili dozvole aplikacije će biti dodijeljene odgovarajućim principalima u upravljajućem zakupcu.
Da bi prihvatio zahtjev za upravljanje, administrator stanara (koji će se upravljati) mora ići na Vladajući stanari stranicu i odaberite Zahtjevi primljeni tab. Kliknite na Zatražite ID povežite u njega da biste prikazali okno s detaljima, gdje možete vidjeti povezane metapodatke, što je najvažnije skup dozvola koje će vam biti dodijeljene ako prihvatite zahtjev. Kliknite na Prihvati dugme za uspostavljanje odnosa upravljanja ili Odbij jedan da to odbije. Kao sporedna napomena, klik na vezu Ime stanara vodi vas do pridruženog unosa zakupca, što u ovom trenutku nije ono što tražite.
Da biste djelovali na zahtjev upravljanja putem Graph API-ja, koristite metodu PATCH. Kao što je gore navedeno, dostupna su samo ovlaštenja delegata (TenantGovernance-Request.ReadWrite.All) i aktivni korisnik mora držati Administrator za upravljanje stanarima uloga. Za tijelo zahtjeva navedite željeni status vrijednost: na čekanju, prihvaćenoili odbijeno. Evo primjera:
PATCH https://graph.microsoft.com/beta/directory/tenantGovernance/governanceRequests/f84c59bf-504c-4949-9fdd-45d366ec53cd
{
"status":"accepted"
}
Ono što se dešava u ovom trenutku je da a odnos upravljanja objekat je predviđen za oba stanara. Na strani upravljanog stanara, potrebne uloge administratora su povezane s odgovarajućim principalima. Ako umjesto toga odaberete da omogućite aplikaciju s više korisnika, dodaje se odgovarajući principal usluge i daje se pristanak za tražene dozvole. Također će vam biti poslana e-poruka koja vas obavještava o uspostavljanju veze.
Upravljani zakupac sada može koristiti odobrene dozvole za obavljanje bilo kojeg dozvoljenog zadatka unutar upravljanog zakupca. Za stanare koji žele da iskoriste mogućnosti praćenja i otkrivanja u paketu kao dio upravljanja stanarima, ima još dobrih vijesti – osnovno korisničko sučelje za konfiguriranje monitora je sada dostupno, ali je još uvijek daleko od podrške punom skupu UTCM funkcija. Podsjećamo, UTCM smo pokrili ovdje i ovdje.
Da zatvorimo ovaj odjeljak, nekoliko kratkih spomena. Svaki zakupac može raskinuti postojeći upravljački odnos, iako zahtjev za raskidom inicira upravni zakupac, bit će potrebna potvrda reguliranog zakupca. Odgovarajuća operacija je također podržana kroz Graph API. Također možete ažurirati postojeći odnos modificiranjem pridruženog predloška upravljanja. Nismo spomenuli osnovne operacije poput štampanja postojećih objekata ili pregledanja metapodataka, ali ove operacije su očito moguće putem korisničkog sučelja i Graph API-ja. Takođe, postoji rok trajanja za zahtjeve: 14 dana za zahtjev za upravljanje i 30 dana za zahtjev za poziv. Za više detalja pogledajte zvaničnu dokumentaciju.
U drugom dijelu ćemo detaljno ispitati proces otkrivanja stanara prije nego što pređemo na proces kreiranja sigurnog zakupca i konačno završimo naš početni pogled na upravljanje zakupcima.