Sadržaj objave
Iskoristite snimke za jednostavnije iskustvo
Do sada smo govorili o tome kako možete iskoristiti UTCM za nadzor resursa unutar Microsoft 365 zakupca. S obzirom na broj podržanih resursa, stvaranje skupa monitora koji pokrivaju sve objekte i svojstva do kojih vam je stalo može biti zastrašujući zadatak i podložan pogreškama. Kako bi pojednostavio proces, UTCM nudi način za snimanje “snimke” ili prikaza trenutnog stanja određenog objekta ili skupa objekata unutar vaše organizacije, koje zatim možete iskoristiti kao unos u novim zadacima pružanja nadzora i kao artefakt koji možete pohraniti unutar vanjskog sustava kontrole verzija.
Da biste izradili snimku, trebate pripremiti JSON sadržaj s njim displayName, opis i skup od sredstva želite uključiti, za zahtjev protiv /admin/configurationManagement/configurationSnapshots/createSnapshot krajnja točka. Međutim, za razliku od korisnog opterećenja monitora, ne morate navesti pojedinačnu instancu ili svojstva resursa. Zamislite to kao opciju “skupnog izvoza”, dok su monitori više ciljani. U svakom slučaju, evo primjera kako stvoriti snimku:
#Create a new snapshot
POST https://graph.microsoft.com/beta/admin/configurationManagement/configurationSnapshots/createSnapshot
{
"displayName": "Snapshot for Entra CA policies",
"description": "This is a snapshot created via the Graph API that exports the Entra ID Conditional access policies",
"resources": [
"microsoft.entra.conditionalAccessPolicy"
]
}
Imajte na umu da ne postoji krajnja točka za LISTANJE svih objekata snimke. Zadatak se umjesto toga delegira konfiguracijaSnapshotJob krajnju točku i metode u njoj. Svaka operacija stvaranja snimke rezultirat će stvaranjem i izvršenjem posla (jednom!), s odgovarajućim artefaktom generiranim nakon uspjeha. The resourceLocation svojstvo vam daje URI gdje možete dohvatiti rezultirajući artefakt. Tehnički, to je URI GET snimke.
Rad s konfiguracijaSnapshotJobs krajnja točka je prilično jednostavna. Primjer u nastavku pokazuje kako koristiti $odaberi i $top operateri, sa $filter također podržan. Posavjetujte se s službena dokumentacija za više detalja ako je potrebno.
#Get the latest run snapshot and its artefact location GET https://graph.microsoft.com/beta/admin/configurationManagement/configurationSnapshotJobs?$select=displayName,resourceLocation&$top=1
Budući da snimke stvaraju prikaz određenog resursa u određenom trenutku, generirani artefakti čuvaju se samo 7 dana, nakon čega se uklanjaju. Odgovornost je korisnika izvesti/pohraniti snimku za buduću upotrebu, možda korištenjem sustava kontrole verzija. Evo primjera kako izvršiti izvoz:
GET https://graph.microsoft.com/beta/admin/configurationManagement/configurationSnapshots('36de784b-ef2b-4523-b69c-726194655e66')
U našem scenariju, rezultirajući JSON sadržavat će cijeli skup pravila uvjetnog pristupa konfiguriranih unutar stanara, zajedno s njihovim svojstvima, što je prilično dugo kao što možete očekivati, tako da ovdje nećemo prikazivati izlaz. Taj se izlaz može koristiti kao ulaz za korisni teret stvaranja monitora. Umjesto da morate popuniti osnovna linija objekt ručno, možemo kopirati izlaz snimke. Da bismo to ilustrirali, evo kako izgleda snimka Entrinog resursa pravila autorizacije:
Usporedite ovo s korisnim opterećenjem koje smo koristili za naš zadatak stvaranja monitora u prethodnom odjeljku. Primijetit ćete da sredstva odjeljak vrlo nalikuje osnovna linija koristili smo gore. Glavna je razlika u tome što se snimka ponaša slično skupnom dohvaćanju, dohvatit će sve instance i svojstva određenog resursa. Nasuprot tome, kada pružamo osnovnu liniju za naš monitor, možemo granularno odrediti koje objekte i svojstva nadzirati.
Također možete primijetiti da se nazivi svojstava mogu razlikovati od njihovih “očekivanih” vrijednosti. Na primjer, nema imenovanog svojstva DefaultUserRoleAllowedToReadOtherUsers u definiciji izvor politike autorizacije. Ovo je zapravo samo prikaz dozvoljenoČitanjeDrugihKorisnika vlasništvo pronađeno unutar defaultUserRolePermissions resurs. Također možete naići na neka interna svojstva, kao što je Osigurati jedan, ili IsSingleInstance (za Entra resurse), oba koristi UTCM, ali ih inače nema u definiciji izvornog izvora.
Drugim riječima, snažno se preporučuje da iskoristite funkciju snimke za izradu svojih monitora, umjesto da to radite od nule.
Otkrivanje pomaka konfiguracije
Do sada smo vidjeli kako možemo postaviti UTCM za nadzor Microsoft 365 resursa. Također smo vidjeli da će objekt rezultata monitora sadržavati informacije o svim odstupanjima od željenog stanja koje smo deklarirali unutar osnovne linije monitora, putem OperatingCount vlasništvo. Da bismo točno vidjeli koji objekti/svojstva uzrokuju pomicanje, možemo iskoristiti configurationDrift resurskoji podržava metode LIST i GET.
Izlaz navedenih metoda daje nam pojedinosti o tome koji su monitor, vrsta resursa i osnovna linija rezultirali otkrivanjem pomaka. Što se tiče stvarnih pomaknutih vrijednosti, ove informacije sadržane su unutar driftedProperty resourceu obliku parova ključ-vrijednost s nazivom svojstva (propertyName), otkriveno je (trenutnaVrijednost) i očekivano (željenaVrijednost) vrijednost. Evo primjera:
#Fetch the latest detected drift GET https://graph.microsoft.com/beta/admin/configurationManagement/configurationDrifts?$top=1&$select=driftedProperties
Iz gornjeg izlaza možemo odrediti koje točne vrijednosti svojstava za naš nadzirani resurs pravila autorizacije trenutno ne odgovaraju njihovom željenom stanju. UTCM trenutačno ne nudi nikakve metode za ispravljanje driftova, ali takva je funkcionalnost visoko u zaostatku tima. Za sada možete izvršiti sve potrebne promjene izvan alata i pričekati sljedeće pokretanje monitora kako biste potvrdili da konfiguracija vašeg stanara sada odgovara željenom stanju.
U kombinaciji s funkcionalnošću snimke, to omogućuje UTCM-u da omogući mnoštvo scenarija. Neki od zanimljivijih među njima vrte se oko “izdvajanja” konfiguracije stanara, a zatim ga koriste kao “osnove” za jednog ili više dodatnih stanara. Scenarij koji će svakako biti zanimljiv svakoj tvrtki koja se bavi višestrukim zakupom, kao i partnerima koji ih administriraju u ime korisnika. Dodajte automatiziranu sanaciju u mješavinu i dobit ćete proizvod koji morate imati.
Ograničenja i rješavanje problema
Budući da je ovo još uvijek proizvod za pretpremijeru, za očekivati je neka ograničenja i grubosti. Kao što je već spomenuto, UTCM ne pokriva svaki Microsoft 365 resurs ili radno opterećenje u tom slučaju. Iako možemo očekivati da će se stvari poboljšati u tom pogledu, postoji temeljna ovisnost o različitim grupama proizvoda unutar Microsofta, a svi znamo koliko često ili učinkovito one međusobno komuniciraju.
Iako Microsoft nije dao nikakve informacije o trošku/cijeni UTCM-a, oni provode provjere licenciranja za bilo koju krajnju točku API-ja. To znači da ćete trebati planove Microsoft 365 E3 ili Entra ID Premium P1 za rad s javnim pregledom.
Postoje i neka ograničenja prigušivanja/potrošnje resursa kojih morate biti svjesni. Za objekte monitora, svakom će zakupcu biti dopušteno stvoriti do 30. Svi će se izvoditi prema unaprijed definiranom rasporedu, koji se trenutno ne može prilagoditi. Monitor se također ne može pokrenuti na zahtjev, morate čekati sljedeće planirano vrijeme. Na svim monitorima može biti pokriveno do 800 izvora dnevno.
Snimke se mogu koristiti za izvoz najviše 20 tisuća resursa mjesečno, a možete ih imati do 12 aktivnih u bilo kojem trenutku. Artefakt generiran izvođenjem snimke bit će dostupan najviše 7 dana, nakon čega će biti izbrisan. Ne postoji plan da se ponudi bilo kakva kontrola verzije unutar samog alata, a vaše bi se snimke umjesto toga trebale izvesti/pohraniti unutar vanjskog alata, kao što je Azure DevOps ili GitHub.
S obzirom na velik broj kontrola koje su trenutno izložene različitim radnim opterećenjima Microsofta 365, gore spomenuta ograničenja mogla bi se pokazati kao problem za neke organizacije. Imajte na umu da je ovo još uvijek pregled i to besplatan. Microsoft će vjerojatno prilagoditi ograničenja u budućnosti, osiguravajući da UTCM može zadovoljiti potrebe većih korisnika, dok je financijski održiv i bez utjecaja na ukupnu izvedbu usluge.
Osim ograničenja, postoje neke smetnje na koje biste mogli naići kada igrate s UTCM API-jem. Neke metode mogu generirati @odata.sljedeća veza faceta koja je nepotrebna i vodi do prazne “stranice”. Statusni kodovi koje vraćaju pogreške možda neće odgovarati očekivanom ponašanju. Što je još važnije, prilikom kreiranja monitora i objekata brze snimke ne provodi se provjera ima li principal usluge UTCM dovoljna dopuštenja za pristup traženim resursima. U takvim slučajevima posao monitora ili snimke neće uspjeti.
Svaki objekt posla pohranjuje informacije o svim greškama na koje je naišao, iako odgovarajući errorDetails imovina neće biti vraćena prema zadanim postavkama. Umjesto toga, morate to posebno zatražiti putem $odaberi operater. Primjer u nastavku ilustrira ovo za instancu posla monitora koja ne uspijeva zbog nedovoljnih dozvola:
#Fetch error details for a monitor run GET https://graph.microsoft.com/beta/admin/configurationManagement/configurationMonitoringResults/470432ef-6e37-4517-95ff-be478904457e?$select=errorDetails
Slično tome, provjera vrijednosti svojstva ponekad može pobjeći kroz fazu stvaranja objekta, samo da rezultira neuspjehom monitora niz liniju. Kao i kod problema povezanih s dozvolama, ispitajte errorDetails podatke za temeljni uzrok i po potrebi ga riješiti.
Zanimljivo, UTCM nameće ograničenje jedinstvenosti za displayName preko svojih resursa. Ovo morate imati na umu kada dodjeljujete nove monitore ili snimke jer će duple vrijednosti naziva rezultirati pogreškama.
Na kraju, alat trenutno ne generira nikakav trag revizijskog dnevnika. Iako je ovo svakako razočaravajuće, to je jednostavno nuspojava određivanja prioriteta koje je Microsoft morao učiniti kako bi dosegao prekretnicu javnog pregleda. Budite uvjereni da su dobri ljudi koji pokreću proizvod itekako svjesni važnosti revizije, a alat se neće lansirati bez nje.
Sažetak
Ukratko, istražili smo javni pregled alata UTCM, poznatog i kao podržana verzija Microsoft 365 DSC. Iako trenutačno ne postoji blistavo korisničko sučelje s kojim se možete poigrati, alat bi ipak trebao izazvati interes kod svakog kupca koji želi ostati u tijeku s konfiguracijom svog stanara. Zapravo, API-prvi pristup je upravo ono što vam je potrebno za potpuno automatizirani konfiguracija-kao-kod proizvod, i dok UTCM još ima puno vremena prije nego što ga možemo tako nazvati, obećanje je tu.
Postoji dugačak plan koji uključuje UTCM bitove u potpuno razvijen proizvod temeljen na korisničkom sučelju za automatizaciju upravljanja višestrukim zakupcima koji Microsoft namjerava objaviti ove godine… ali još nam nije dopušteno javno govoriti o tome. Za sada budite uvjereni da je Microsoft ozbiljno predan izradi proizvoda na temelju UTCM-a, kao i tome da on služi kao platforma za kupce i partnere na kojoj se mogu nadograđivati.
Jedna stvar ipak treba biti jasna – ovo nije rezervni proizvod. Dok vam UTCM dopušta izdvajanje snimke trenutnog stanja danog resursa, i više ste nego dobrodošli da to zadržite kao artefakt u trenutku, korištenje ovoga kao osnove za potencijalne operacije oporavka neće uvijek biti moguće. Stavljajući na stranu da alat trenutačno ne izvodi nikakve operacije “pisanja” nad resursima, nećete moći oporaviti objekte u njihovom izvornom stanju, s očuvanim GUID-om i odnosima. Ispravno postavite svoja očekivanja!
Na kraju, za korisnike koji su koristili Microsoft 365 DSC, postoje neke smjernice o put migracije prema UTCM-u. Još uvijek nema punog pariteta između njih dvoje.
