Prije nekoliko tjedana, Microsoft je pokrenuo javni pregled Unified Tenant Configuration Management (ili UTCM), o čemu smo govorili ovdje i ovdje. Iako možete koristiti UTCM API samostalno, Microsoft ne planira lansirati samostalan proizvod, umjesto toga spaja UTCM bitove kao dio Tenant Governance, koji je upravo pokrenut u pretpregledu. Pa razgovarajmo o tome.
Prije nego zaboravim, pokretanje Tenant managementa također nam donosi opću dostupnost UTCM API-ja. Drugim riječima, UTCM API je sada dostupan pod krajnjom točkom /v1.0 Graph API i službeno je podržan!
Sadržaj objave
Što je upravljanje stanarima?
Mnogi korisnici završe s više Microsoft 365 zakupaca zbog niza razloga, uključujući, ali ne ograničavajući se na: spajanja, prodaje i akvizicije, zahtjeve usklađenosti, testna/razvojna okruženja, “virusne” pretplate i tako dalje. Iako su mnogi takvi stanari stvoreni iz valjanih razloga, nije neuobičajeno imati ograničeno upravljanje ili čak vidljivost u njima, što otvara mnoštvo problema. Microsoft je to iskusio iz prve ruke s napadom Midnight Blizzard i Tenant Governance je jedan od koraka koje su poduzeli za rješavanje takvih problema u budućnosti.
Ukratko, Upravljanje stanarima je proizvod koji ima za cilj riješiti probleme oko vidljivosti (mogućnosti otkrivanja) stanara relevantnih za organizaciju, pomoći u uspostavljanju odnosa upravljanja između njih i nametnuti skup potrebnih postavki i konfiguracija (“osnovne linije”). Potonje je mjesto gdje UTCM stupa na scenu, omogućujući vam da nadgledate odstupanje od željene konfiguracije za sve vaše upravljane stanare, te da u budućnosti ispravite sva odstupanja od osnovne linije.
Naposljetku, upravljanje stanarima omogućuje vam osiguravanje novih stanara na kontrolirani način putem Sigurno stvaranje stanara flow, značajka koja vam pomaže uspostaviti odnos upravljanja od samog početka. Također pomaže da naplata bude centralizirana na jednom od vaših komercijalnih računa za naplatu. Kasnije ćemo razgovarati o pojedinačnim značajkama upravljanja stanarima.
Za sada, razgovarajmo o zahtjevima za licenciranje. Microsoft planira ponuditi dvije vrste Tenant Governance. Upravljanje stanarima Osnovno bit će dostupni kupcima s Microsoft Unesite P1 licenciranje ili ekvivalent, i podržavat će većinu značajki. Upravljanje stanarima Premija ponudit će bolju skalabilnost i Povezani stanari značajku, a stanarima će biti dostupna s Microsoft Entra ID upravljanje ili Microsoft Entra Suite SKU-ovi. Odnosi se na službena dokumentacija za više detalja o licenciranju.
Osnove upravljačkih odnosa
Sastavni dio proizvoda je a odnos upravljanjanovi tip objekta koji predstavlja jednosmjernu vezu između dva stanara, pri čemu je jedan stanar vladao jedno, a drugo ono vladajući jedan. Kao dio uspostavljanja navedene veze, morate definirati skup dopuštenja koja će biti dodijeljena zakupcu koji upravlja, ukazivanjem na postojeću politiku/predložak upravljanja. Ovdje možete ići onoliko široko ili usko koliko god je potrebno, ali naravno, snažno se savjetuje držati se načela najmanje privilegije.
Prije nego što pokrijemo stvarni proces, prvo moramo raščistiti nekoliko detalja. Znajući potencijalni utjecaj ove značajke, Microsoft razumljivo postavlja niz zaštitnih ograda. Stvaranje odnosa upravljanja zahtijeva ručnu radnju korisnika administratora u oba zakupca. Za zakupca kojeg Microsoft smatra dovoljno “povezanim” s vladajućim, može se koristiti postupak u dva koraka koji se sastoji od slanja zahtjev za upravljanje od vladajućeg stanara i odobrava ga kod primajućeg stanara. Trenutačno je podskup scenarija u kojima je ovaj tijek omogućen ograničen na oba stanara koji dijele istu Azure naplatu ili imaju uspostavljen postojeći odnos upravljanja. Osim toga, zahtjev se može poslati bilo kojem “srodnom” najmoprimcu (vidi sljedeći odjeljak).
Za sve druge scenarije umjesto toga primjenjuje se postupak u tri koraka. A poziv za upravljanje mora se prvo poslati, što se uvijek događa sa strane reguliranog stanara. Primanje pozivnice za upravljanje omogućuje zakupcu koji upravlja da pošalje a zahtjev za upravljanjekoji nakon odobrenja uspostavlja odnos upravljanja. U ovom trenutku upravljačka strana može upravljati objektima i politikama unutar upravljanog stanara, a odgovarajući objekt odnosa upravljanja može se pronaći u oba stanara.
Zatim, svaki stanar može kontrolirati može li mu se poslati pozivnica za upravljanje. Kao što je gore objašnjeno, pozivnice su obavezne za tijek u tri koraka, pa ako ikada planirate upravljati bilo kojim drugim stanarom, trebali biste promijeniti vrijednost ove postavke, koja se nalazi pod Postavke upravljanja stanarima stranica, do Omogućeno (zadano je Onesposobljeno). Također možete koristiti Graph API za ovo, ali imajte na umu da je operacija podržana samo za dopuštenja delegata (TenantGovernance-Setting.ReadWrite.All):
#Toggle the value of the "Allow other tenants to send governance invitations to this tenant" setting
PATCH https://graph.microsoft.com/beta/directory/tenantGovernance/settings
{
"canReceiveInvitations": true
}
Na kraju, trebate postaviti Predlošci politike upravljanjaza definiranje razine dopuštenja koja će biti dodijeljena kao dio uspostavljanja odnosa upravljanja. Možete koristiti GDAP model i dodijeliti Entra ID administratorske uloge ili iskoristiti aplikaciju s više zakupaca za scenarije automatizacije (zahtijeva TG Premium). Radi kratkoće, uputit ću vas na službena dokumentacija za više detalja o ovome. Ali svakako barem konfigurirajte zadani predložak!
Uspostavljanje odnosa upravljanja
Kako bismo pojednostavili stvari, ovdje ćemo pokriti samo proces u tri koraka. Kako se ovaj s dva koraka tehnički može promatrati kao kutno kućište, većina će detalja ostati ista, iako je malo jednostavnija za konfiguraciju. Posavjetujte se s službena dokumentacija za detalje o oba toka, prema potrebi.
Proces započinjemo od (kojeg ćemo) upravljati najmoprimca, gdje trebamo izdati a poziv za upravljanje. Podsjetimo se, pozivnica će zatim omogućiti (željenom) vladajućem stanaru da pošalje zahtjev za upravljanje, što je inače dopušteno samo za stanare koji dijele istu naplatu ili su već uspostavili upravljačke odnose. Na Vladajući stanari stranici kliknite na Poslane pozivnice karticu, a zatim pritisnite Nova pozivnica dugme. U okno s desne strane unesite GUID ili naziv domene za namjeravanog stanara, a zatim pritisnite Pošaljite pozivnicu dugme. Imajte na umu da proces neće uspjeti s pogreškom 403 ako stanar primatelj nije omogućio odgovarajuću postavku (vidi gore).
Naravno, također možete koristiti Graph API za slanje pozivnice. The operacija ponovno je moguće samo putem dopuštenja delegata (TenantGovernance-Invitation.ReadWrite.All), pa administrator s Administrator upravljanja stanarima bit će potrebna uloga. Korisni teret je jednostavno GUID stanara. Evo primjera:
#Issue a governance invitation
POST https://graph.microsoft.com/beta/directory/tenantGovernance/governanceInvitations
{
"governingTenantId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
Na strani primatelja, pozivnica će se pojaviti ispod Upravljani stanari > Primljene pozivnice karticu, s obavijesti e-poštom poslanom svim globalnim administratorima.
Za izdavanje novog zahtjeva za upravljanje pritisnite Pošalji zahtjev za upravljanje gumb, kao što je prikazano na gornjoj snimci zaslona. Drugi način je otvoriti Upravljani stanari stranici, odaberite Poslani zahtjevi karticu i pritisnite Novi zahtjev za upravljanje gumb u njemu. Budući da koristimo proces u tri koraka, nemojte se iznenaditi ako popis stanara u prve dvije kartice čarobnjaka bude prazan. Umjesto toga, koristite Primljene pozivnice tab. Slijedite upute čarobnjaka za odabir stanara i predloška pravila, a zatim pošaljite zahtjev.
Ako želite izdati zahtjev za upravljanje putem Graph API-ja, korisnik s bilo kojim Administrator upravljanja stanarima ili Administrator za odnose sa stanarima potrebna je uloga, kao i prijava s TenantGovernance-Request.ReadWrite.All dopuštenja dodijeljena, budući da je ponovno podržan samo model dopuštenja delegata. Tijelo zahtjeva treba sadržavati governedTenantId i predložak politike upravljanja koji planirate koristiti. Na primjer:
#Issue a new governance request
POST https://graph.microsoft.com/beta/directory/tenantGovernance/governanceRequests
{
"governedTenantId": "8fbddb8a-eb45-4305-b659-9e9af5a3d501",
"governancePolicyTemplate@odata.bind": "https://graph.microsoft.com/beta/directory/tenantGovernance/governancePolicyTemplates/default"
}
Ovdje kao napomena, čini se da postoji više scenarija kada izdavanje zahtjeva rezultira odgovorom 200 OK s poslužitelja. Po mom iskustvu, to su sve neuspjeli zahtjevi i neće biti stvoren odgovarajući objekt zahtjeva za upravljanje. Umjesto toga, odgovor 201 s navedenim svojstvima objekta zahtjeva za upravljanje je način na koji izgleda uspješno izvršenje. Nadamo se da će se iskustvo malo poboljšati za GA izdanje.
Posljednji korak u procesu od tri koraka je stvarno prihvaćanje zahtjeva za upravljanje. U ovoj fazi se već trebalo dogoditi sljedeće: (koji će biti) upravljani stanar je poslao pozivnicu, (koji će) upravljati stanar ju je primiti i iskoristiti kao osnovu za slanje zahtjeva za upravljanje. Zahtjev za upravljanje je ono što “nosi” dopuštenja, u obliku pridruženog predloška upravljanja, zbog čega je u ovom trenutku potreban još jedan korak pregleda. Ako zakupac (kojim će se upravljati) prihvati zahtjev, priložene dodjele uloga i/ili dozvole za aplikacije bit će dodijeljene odgovarajućim principalima u zakupcu koji upravlja.
Kako bi prihvatio zahtjev za upravljanje, administrator zakupca (kojim će se upravljati) mora otići na Vladajući stanari stranicu i odaberite Zaprimljeni zahtjevi tab. Kliknite na ID zahtjeva poveznicu u njega kako biste prikazali okno s detaljima, gdje možete vidjeti povezane metapodatke, što je najvažnije skup dopuštenja koja će biti dodijeljena ako prihvatite zahtjev. Kliknite na Prihvatiti gumb za uspostavljanje odnosa upravljanja ili Odbiti jedan to odbiti. Kao usporedna napomena, klikom na vezu Naziv stanara umjesto toga dolazite do povezanog unosa stanara, što nije ono što tražite u ovom trenutku.
Da biste djelovali na zahtjev za upravljanje putem Graph API-ja, koristite PATCH metoda. Kao i gore, dostupna su samo ovlaštenja delegata (TenantGovernance-Request.ReadWrite.All) i korisnik koji trči mora držati Administrator upravljanja stanarima uloga. Za tijelo zahtjeva navedite željeni status vrijednost: na čekanju, prihvaćenoili odbijena. Evo primjera:
PATCH https://graph.microsoft.com/beta/directory/tenantGovernance/governanceRequests/f84c59bf-504c-4949-9fdd-45d366ec53cd
{
"status":"accepted"
}
Ono što se događa u ovom trenutku je da a odnos upravljanja objekt je predviđen u oba stanara. Na strani upravljanog stanara, tražene administratorske uloge pridružene su odgovarajućim principalima. Ako ste umjesto toga odlučili omogućiti aplikaciju s više zakupaca, dodaje se odgovarajući principal usluge i daje se pristanak za tražena dopuštenja. Također će biti poslana e-pošta s obavijesti o uspostavljanju odnosa.
Upravljajući zakupac sada može iskoristiti dodijeljena dopuštenja za obavljanje bilo kojeg dopuštenog zadatka unutar upravljanog zakupca. Za stanare koji žele iskoristiti mogućnosti praćenja i otkrivanja pomaka u paketu kao dio upravljanja zakupcem, ima još dobrih vijesti – sada je dostupno osnovno korisničko sučelje za konfiguriranje monitora, ali još je daleko od podrške punog skupa UTCM značajki. Podsjećamo, pokrivali smo UTCM ovdje i ovdje.
Da zatvorimo ovaj odjeljak, nekoliko kratkih spomena. Može bilo koji stanar prekinuti postojeći odnos upravljanjaiako je zahtjev za raskid pokrenut od strane upravljačkog stanara, bit će potrebna potvrda na strani reguliranog stanara. Odgovarajuća operacija je također podržano putem Graph API-ja. Možete također ažurirati postojeći odnos izmjenom pridruženog predloška upravljanja. Nismo spomenuli osnovne operacije kao što je ispisivanje postojećih objekata ili pregled metapodataka, ali te su operacije očito moguće putem korisničkog sučelja i Graph API-ja. Također, postoji rok isteka za zahtjeve: 14 dana za zahtjev za upravljanje i 30 dana za pozivni zahtjev. Za više detalja pogledajte službena dokumentacija.
U 2. dijelu detaljno ćemo ispitati proces otkrivanja stanara prije nego što prijeđemo na proces stvaranja sigurnog stanara i konačno završimo naš početni pogled na upravljanje stanarima.
