Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Microsoft Entra-Mandantenverwaltung befindet sich derzeit in der Vorschau. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.
Mit der Konfigurationsverwaltung in der Microsoft Entra Mandantengovernance können Sie Konfigurationsgrundlagen definieren, Mandanten auf Abweichungen überwachen und Momentaufnahmen der aktuellen Einstellungen erstellen. In diesem Artikel werden die Kernkonzepte erläutert: Ressourcen, Basispläne, Monitore, Überwachungsergebnisse, Konfigurationsabweichungen und Momentaufnahmenaufträge.
Hinweis
Die Konfigurationsverwaltung basiert auf den Microsoft Graph Mandantenkonfigurationsverwaltungs-APIs, die allgemein verfügbar sind. Diese APIs bieten die in diesem Artikel beschriebenen Funktionen für Konfiguration als Code, einschließlich Snapshots, Baselines, Monitoren und Drift-Erkennung.
Ressourcen
Eine Ressource stellt eine Makrokonfigurationskomponente dar, die Sie über Konfigurationscode verwalten können. Die Mandantenkonfigurationsverwaltungslösung unterstützt Hunderte von Ressourcentypen, die Sie in Ihre Konfigurationsbaselines einbeziehen können. Jede Ressource definiert mehrere Eigenschaften, die die Lösung verwalten kann.
Beispielsweise wird eine Richtlinie für bedingten Zugriff in der Microsoft Entra-ID durch die microsoft.entra.conditionalaccesspolicy Ressource dargestellt. Diese Ressource macht Eigenschaften wie ExcludedUsers, IncludedGroups und State frei, die Sie in Ihrer Konfigurationsbasislinie definieren können. Eine vollständige Liste der Ressourcen finden Sie unter Übersicht über die Mandantenkonfigurationsverwaltung.
Basislinien
Ein Basisplan ist die JSON-Darstellung der Konfiguration, die Sie für einen bestimmten Mandanten überwachen möchten. Sie besteht aus einer Liste von Ressourcen und den definierten Werten für die zugehörigen Eigenschaften. Ein Basisplan kann mehrere Instanzen eines bestimmten Ressourcentyps enthalten.
Beispielsweise kann ein Konfigurationsbasisplan mehrere Instanzen von Exchange Online-Transportregeln als Teil seiner Definition definieren. Weitere Informationen zu Konfigurationsbaselines finden Sie unter "Konfigurationsbasisplan".
Monitore
Monitore sind der Kern der Mandantenkonfigurationsverwaltungslösung. Sie führen die Prozesse aus, die für die kontinuierliche Überwachung Ihrer Mandanten auf Konfigurationsdriften verantwortlich sind. Jeder Monitor verweist auf einen JSON-Konfigurationsbasisplan, der die zu überprüfenden Ressourcen angibt. Die Monitordefinition enthält außerdem einen Namen, eine Beschreibung, eine Zeitplanhäufigkeit und einen Konfigurationsmodus, der die auszuführenden Aktionen angibt, wenn Drifts erkannt werden.
Hinweis
Der Dienstprinzipal des Unified Tenant Configuration Management muss über Leseberechtigungen für die Ressourcentypen verfügen, die in den zugehörigen Baselines definiert sind. Diese Anforderung gilt sowohl für Monitore als auch für Momentaufnahmenaufträge. Informationen zum Erteilen der erforderlichen Berechtigungen finden Sie unter "Authentifizierungssetup" .
Weitere Informationen zu Monitoren finden Sie unter configurationMonitor.
Überwachen von Ergebnissen
Jedes Mal, wenn ein Monitor basierend auf seinem angegebenen Zeitplan ausgeführt wird, erzeugt es ein Überwachungsergebnis , das die Ausführung zusammenfasst. Ein Überwachungsergebnis enthält die Ausführungsdauer, einen Status, der angibt, ob die Ressourcenauswertung erfolgreich war, und eine Anzahl erkannter Abweichungen.
Wenn Drifts erkannt werden, meldet das Überwachungsergebnis deren Anwesenheit, enthält jedoch keine Driftdetails. Um detaillierte Informationen zu den einzelnen Drifts zu erhalten, fragen Sie die zugehörigen Konfigurationsdrift-Objekte ab.
Weitere Informationen zur Überwachung von Ergebnissen finden Sie unter configurationMonitoringResult.
Konfigurationsabweichungen
Wenn ein Delta zwischen der Definition einer Konfigurationsbasislinie und den tatsächlichen Einstellungen für einen Mandanten vorhanden ist, meldet Mandantengovernance eine Konfigurationsabweichung. Konfigurationsabweichungen sind einem Monitor zugeordnet und enthalten detaillierte Informationen zum erkannten Delta. Jedes Driftobjekt identifiziert die betroffene Ressource und listet jede Eigenschaft auf, deren aktueller Wert sich von der Basisplandefinition unterscheidet.
Nachdem Sie eine erkannte Abweichung behoben haben, markiert die nächste Monitorausführung automatisch das Konfigurationsabweichungsobjekt als fixed. Weitere Informationen zu Konfigurationsabweichungen finden Sie unter configurationDrift.
Momentaufnahmeaufträge
Wenn Sie eine Anforderung zum Generieren einer Momentaufnahme initiieren, erfasst ein asynchroner Auftrag den aktuellen Status der angegebenen Ressourcen. Dieser Momentaufnahmeauftrag generiert den tatsächlichen JSON-Inhalt der angeforderten Momentaufnahme. Wenn der Auftrag abgeschlossen ist, wird ein Status von succeeded und eine resourceLocation URL zurückgegeben, damit Sie die JSON-Momentaufnahme herunterladen können.
Von Bedeutung
Momentaufnahmenaufträge und die zugehörigen Momentaufnahmen haben einen Aufbewahrungszeitraum von 7 Tagen, nach dem sie gelöscht werden. Laden Sie generierte Momentaufnahmen herunter und speichern Sie sie, bevor der Aufbewahrungszeitraum abläuft.
Das generierte Schnappschussschema entspricht dem Schema der Konfigurationsbaselines. Verwenden Sie eine Momentaufnahme im Istzustand, um Monitore zu erstellen.
Weitere Informationen zu Snapshotaufträgen finden Sie unter configurationSnapshotJob.