Ovo je drugi dio naše serije “prvi pogled” o Microsoftovom proizvodu Tenant Governance. Odnosi se na dio 1 u seriji za osnove, kao i naše prethodne članke o UTCM-u (ovdje i ovdje) za više detalja.
Proces otkrivanja stanara
Izborni dio TG proizvoda je povezani proces otkrivanja stanara, dizajniran da vam pruži bolju vidljivost stanara koji bi mogli biti od interesa. Sada ću biti prvi koji će reći da su neki od “signala” koji se koriste za proces otkrivanja jednostavno previše oportunistički i da će vjerojatno generirati mnogo nepotrebnih unosa. Srećom, možete lako filtrirati manje relevantne unose i usredotočiti se samo na jače signale.
Da biste omogućili tijek otkrivanja stanara, idite na Povezani stanari stranica i pogodak Otkrijte povezane stanare. Imajte na umu da je ovo jednokratna, nepovratna operacija i može potrajati do 48 sati dok se proces ne završi. Možete ga omogućiti i putem Graph APInedostatak je to što su za ovu metodu trenutačno podržana samo dopuštenja delegata. Provjerite imate li TenantGovernance-Setting.ReadWrite.All dopuštenje i izdati POST zahtjev protiv sljedeće krajnje točke:
POST https://graph.microsoft.com/beta/directory/tenantGovernance/settings/enableRelatedTenants
Nakon što uključite otkrivanje, usluga će ispitati stvari kao što su Azure Billing odnosi, GDAP, Entra zapisnici prijave, B2B pravila, B2B pristup gosta i tako dalje, i predstavit će vam popis “srodnih” stanara. Potpuni popis signala i metrika koje treba ispitati naveden je u službena dokumentacijazajedno s nekim preporukama kako interpretirati rezultate. Čini se da povezani zakupci vraćeni putem signala “Multitenat aplikacije” predstavljaju izdavače aplikacija kao što su PowerShell Gallery ili LinkedIn, tako da možete očekivati da ćete vidjeti više Microsoftovih i ISV zakupaca. Moja bi preporuka ovdje bila da se uvijek oslonite na više signala ili da potpuno zanemarite signal “Multitenant applications”.
Još jedna preporuka bila bi prilagoditi popis stupaca za prikaz popisa, budući da je većina dohvaćenih metapodataka skrivena prema zadanim postavkama. Alternativno, možete dobiti dodatne pojedinosti klikom na odgovarajuću vezu za svaki unos koji vrati proces otkrivanja. Na stranici s detaljima zakupca moći ćete dobiti detaljnu analizu po signalu. Brza ulazna točka za stvaranje novog upravljačkog odnosa također je izložena ispod stranice s detaljima. Naravno, iste pojedinosti možete dobiti putem Graph API-ja:
List all related tenants GET https://graph.microsoft.com/beta/directory/tenantGovernance/relatedTenants #Get details on particular tenant GET https://graph.microsoft.com/beta/directory/tenantGovernance/relatedTenants/9b65415d-edd3-45ec-b77b-f30286e25fa7
Obje metode zahtijevaju TenantGovernance-RelatedTenant.Read.All dopuštenje i podržani su za dopuštenja delegata i aplikacija.
Popis povezanih stanara i odgovarajućih signala osvježava se svakodnevno. Iako korisničko sučelje ne izlaže nikakvu kontrolu za ručno pokretanje osvježavanja, to možete učiniti putem Graph API-ja:
POST https://graph.microsoft.com/beta/directory/tenantGovernance/relatedTenants/refresh
Nažalost, ovo je još jedna metoda za koju su podržane samo delegirane dozvole. Da budemo precizniji, trebat će vam TenantGovernance-RelatedTenant.ReadWrite.All djelokrug.
Općenito, otkrivanje stanara lako je omogućiti i raditi s njim. Čisto je izborno i vrlo dobro možete koristiti upravljanje stanarima bez omogućavanja otkrivanja. Ako ga odlučite omogućiti (i imate potrebnu licencu za to, naime Entra ID Suite ili Entra ID Governance SKU-ove), budite spremni potrošiti neko vrijeme na sortiranje popisa povezanih stanara. Ne tretirajte unose s popisa kao “mora”, već više kao “možda”. Zapravo, evo što Microsoft kaže o tome:
Ne. Povezani stanari ne podrazumijevaju vlasništvo nad otkrivenim najmoprimcem. Povezani zakupci predstavljaju zakupce koji imaju povijesne ili aktivne odnose s vašim zakupcem na temelju signala otkrića. Značajka pruža svijest o situaciji otkrivanjem veza stanara na temelju dokaza koji su već prisutni u sustavima identiteta, aplikacija i naplate. Ova svijest omogućuje organizacijama donošenje informiranih odluka o upravljanju.
Ipak, otkrivanje stanara/povezani stanari važna su ulazna točka za slanje zahtjeva za upravljanje u nekim scenarijima, stoga razmislite o ovoj funkciji dok se pripremate za korištenje upravljanja stanarima.
Sigurno stvaranje stanara
Posljednja značajka uključena u proizvod za upravljanje zakupcem je sigurno stvaranje zakupca – proces koji osigurava da se novostvorenim zakupcem upravlja od samog početka. Kako bi se to olakšalo, novi odnos upravljanja osigurava se u trenutku stvaranja, a naplata za zakupca povezana je s Microsoftovim računom za naplatu upravljačkog zakupca. Kao što je ranije spomenuto, dijeljena naplata je najjači mogući signal “povezanog stanara” i onaj koji vas kvalificira da iskoristite tok u dva koraka, kad god se pojavi potreba za ručnim stvaranjem odnosa upravljanja.
Sada, korisničko sučelje spominje da je značajka Secure Tenant Creation trenutno u privatnom pregledu, iako će vas klik na gumb odvesti na relevantnu stranicu, bez obzira na to. Sam proces prilično je standardan: navedite željeno ime stanara i početnu vrijednost domene (MOERA). Zatim odaberite zemlju/regiju stanara. Novi korak je odabir pretplate za novog zakupca, koja mora biti jedna od pretplata dostupnih vladajućem zakupcu.
Kao dio procesa stvaranja, osigurat će se odnos automatskog upravljanja. The zadana vrijednost predložak će se koristiti i nemate mogućnost odabira drugog. Zakupcu će biti dodijeljena razina Microsoft Entra ID Free, stoga neće nastati nikakvi dodatni troškovi od samog početka. Umjesto toga, pretplata za naplatu koristi se kao snažan signal povezanosti i kao sredstvo za potencijalni oporavak stanara, ako se ukaže potreba.
Dodatne napomene i sažetak
Prije nego što zatvorimo članak potrebno je dodati nekoliko dodatnih bilješki. Kao što smo spomenuli u 1. dijelu, odnosi upravljanja mogu se koristiti za dodjelu uloga administratora Entra ID-a u upravljanom zakupcu, u modelu sličnom GDAP-u. Međutim, ako se pronađe postojeći GDAP odnos koji je dodan putem Partnerskog centra, morat ćete ga najprije ukloniti, ako želite upravljati istim zakupcem putem funkcije odnosa upravljanja zakupca. Stoga CSP-ovi, MSP-ovi i MSSP-ovi moraju odlučiti koji će model i alati najbolje funkcionirati u njihovom slučaju.
Svaki stanar može biti samo na jednoj strani odnosa upravljanja. Drugim riječima, ne možete dopustiti da Zakupac A upravlja svojim bratom i sestrom Zakupca B, dok postojeći odnos upravljanja ima Zakupca B konfiguriranog kao upravljačkog zakupca za Zakupca A. Osim toga, višeslojni odnosi upravljanja nisu podržani. Ako zakupac A upravlja zakupcem B, zakupac B ne može nikada biti postavljen kao zakupac koji upravlja ni u jednom drugom odnosu upravljanja.
Iako i službena objava i dokumentacija Tenant Governancea vole govoriti o tome kako je proizvod dizajniran za upravljanje stanarima na razini, jedna očita kontradikcija s ovim izjavama je nedostatak podrške za dopuštenja aplikacija za temeljne krajnje točke i metode Graph API-ja. Velika većina njih trenutačno podržava samo delegirane dozvole, što je doista velika prepreka kada je u pitanju automatizacija zadataka upravljanja. Sigurno je nešto što će biti riješeno u nadolazećim ažuriranjima, ali svejedno, treba spomenuti.
Za razliku od UTCM pregleda, pretpregled upravljanja stanarima ima odgovarajuću podršku za reviziju i možete pronaći odgovarajuće događaje u Entrinom dnevniku revizija. Za najbolje iskustvo filtrirajte zapis prema Servis vrijednost od Upravljanje stanarima. Na snimci zaslona u nastavku možete vidjeti unose revizijskog dnevnika za svakog od otkrivenih povezanih stanara, mijenjanje postavke poziva, konfiguriranje zadanog predloška i sve faze uspostavljanja odnosa upravljanja putem tijeka u tri koraka.
Ukratko, Tenant Governance ima za cilj riješiti neke od glavnih bolnih točaka upravljanja višestrukim Entra/Microsoft 365 zakupcima. Osim što možete iskoristiti skup značajki UTCM za uspostavljanje “osnovnih linija” za osnovne ili vrlo kritične postavke, robustan (iako pomalo bučan) proces otkrivanja omogućuje vam da sve svoje “povezane” stanare dovedete u jedan prikaz. Koristeći tok od tri ili dva koraka, možete staviti stanare pod upravljanje, kao i omogućiti novim stanarima odgovarajući odnos upravljanja od samog početka. S obzirom na utjecaj koji proizvod može imati na postojeća okruženja i činjenicu da većinu njegovih funkcija dobivamo praktički besplatno, Tenant Governance jedno je od najvažnijih izdanja u posljednjih nekoliko godina i pred njim je svijetla budućnost!
