
Getty Images/iStockphoto
Die Konfiguration von Microsoft 365 überwachen und klonen
Microsoft 365 DSC erlaubt es Admins, die Konfiguration von Microsoft-365-Mandanten und -Diensten zu automatisieren und die Einstellungen zu überwachen, um Probleme zu vermeiden.
Die Desired-State-Konfiguration (DSC) auf dem Microsoft-365-Mandanten ist eine Möglichkeit, die Vorteile der Automatisierung zu nutzen, um die Plattform zuverlässig am Laufen zu halten.
Für Administratoren, die neu in PowerShell und Microsoft 365 sind, gibt es eine Lernkurve, um zu verstehen, wie Microsoft 365 Desired State Configuration (DSC) verwendet wird. Es ist jedoch von großem Vorteil, den aktuellen Status Ihres Mandanten regelmäßig über die Automatisierung zu kennen. Dieses Tool eignet sich ideal für Aufgaben im Zusammenhang mit der Konfiguration, dem Klonen, der Überwachung und der Berichterstattung über Ihren Microsoft-365-Mandanten und ist besonders hilfreich für Administratoren, die mit mehreren Microsoft-365-Mandanten arbeiten.
Warum Configuration as Code mit Microsoft 365 DSC notwendig ist
Angesichts der schnellen Verbreitung von Cloud-basierten Diensten wie Microsoft 365 ist es unerlässlich, über ein System zur Verwaltung und Sicherung von Diensten zu verfügen.
Das Konzept Configuration as Code besteht darin, Skripte zu schreiben, die den gewünschten Konfigurationsstatus der Umgebung einer Plattform definieren, und Automatisierungs-Tools zu verwenden, um diesen Konfigurationsstatus anzuwenden und durchzusetzen. Mit Microsoft 365 DSC verwalten und setzen Administratoren Konfigurationseinstellungen mithilfe dieses Ansatzes Configuration as Code durch. Diese Funktion basiert auf dem PowerShell DSC Framework und deckt auch die einzelnen Arbeitslasten in Microsoft 365 ab, einschließlich Microsoft Teams, Exchange Online und Dienste in den Bereichen Sicherheit und Compliance.
Mit Microsoft 365 DSC definieren Administratoren Konfigurationseinstellungen, die in der gesamten Microsoft-365-Umgebung durchgesetzt werden sollen, und verwenden Automatisierungs-Tool, um diese Einstellungen anzuwenden und durchzusetzen. Mit dem deklarativen Ansatz von Microsoft 365 DSC automatisieren Administratoren sich wiederholende Aufgaben, reduzieren manuelle Fehler und verbessern die Effizienz bei der Verwaltung der Konfigurationseinstellungen für die Cloud-Zusammenarbeit von Microsoft.
Automatisierung ist unerlässlich, um Fehler zu reduzieren, die Effizienz zu steigern und wertvolle Zeit für IT-Mitarbeiter zu schaffen, damit sie sich auf wichtigere Aufgaben konzentrieren können. Mit Microsoft 365 DSC können Administratoren den Zustand ihrer Microsoft-365-Umgebung kontinuierlich überwachen. Microsoft 365 DSC überprüft die Konfiguration auf Abweichungen und kann Administratoren benachrichtigen, wenn sich Einstellungen ändern, sodass sie sofort reagieren können. Dieser proaktive Ansatz kann Probleme beheben, bevor sie zu Ausfällen und Datenverlusten führen.
Microsoft 365 DSC vereinfacht auch die Bereitstellung, indem es eine konsistente Möglichkeit bietet, Microsoft-365-Dienste über mehrere Mandanten hinweg zu konfigurieren, neue Mandanten bereitzustellen oder bestehende zu aktualisieren. Microsoft 365 DSC automatisiert sich wiederholende Aufgaben, wie das Anlagen neuer Benutzer, das Einrichten von Postfächern und das Konfigurieren von SharePoint-Websites, um die Effizienz und Konsistenz zu maximieren.
So installieren Sie Microsoft 365 DSC
Vor der Einrichtung von Microsoft 365 DSC müssen Administratoren die folgenden Voraussetzungen erfüllen:
- PowerShell Version 5.1 oder höher
- Microsoft Exchange Online Remote PowerShell- Modul
- Microsoft Graph PowerShell SDK
- Teams-PowerShell-Modul
- Microsoft-PowerApps-PowerShell-Modul
- PnP-PowerShell-Modul
Microsoft 365 unterstützt zwei Arten der Authentifizierung: Benutzeranmeldeinformationen und Dienstprinzipal. Benutzeranmeldeinformationen sind benutzerspezifische Anmeldeinformationen. Bei der Dienstprinzipalauthentifizierung werden Parameter wie eine Microsoft-Entra-ID (früher Azure Active Directory), eine Anwendungs-ID, eine Mandanten-ID und ein Geheimnis oder Zertifikat angegeben. Aufgrund der Abhängigkeiten der zugrunde liegenden Module kann jede Microsoft-365-Arbeitslast jedoch nur eine bestimmte Kombination von Authentifizierungsmethoden unterstützen. Für jede Arbeitslast kann eine andere Authentifizierungsmethode erforderlich sein, und Administratoren müssen diese Anforderungen kennen, wenn sie die Authentifizierung für ihre Microsoft-365-Umgebung konfigurieren.
Die Service Principal Authentication bietet eine granulare Zugriffssteuerung und ist sicherer als Benutzeranmeldeinformationen. Microsoft empfiehlt, die Service Principal Authentication nach Möglichkeit für Microsoft 365 zu verwenden, da sie eine hohe Sicherheit bietet und das Risiko vermeidet, hochprivilegierte Anmeldeinformationen zur Authentifizierung über das Netzwerk zu senden. Da es sich bei Microsoft 365 DSC außerdem um einen unbeaufsichtigten Prozess handelt, wird die Verwendung der Multifaktor-Authentifizierung für Benutzeranmeldeinformationen nicht unterstützt.
Sobald die Voraussetzungen erfüllt sind, können Sie Microsoft 365 DSC einrichten.
Microsoft verwaltet den Quellcode von Microsoft 365 DSC auf GitHub und veröffentlicht ihn in der PowerShell Gallery. Um das PowerShell-Modul Microsoft365DSC zu installieren, führen Sie dieselben Installations- und Importbefehle aus, die für alle PowerShell-Module verwendet werden.
Install-Module Microsoft365DSC -Force
Import-Module Microsoft365DSC
Um den Status des Moduls zu überprüfen, führen Sie den folgenden Befehl aus:
Get-Command -Module Microsoft365DSC

Der nächste Schritt besteht darin, eine Verbindung zu einem Microsoft-365-Mandanten herzustellen. Am einfachsten ist es, die Get-Credential-Methode zu verwenden, obwohl sie keine Zwei-Faktor-Authentifizierung unterstützt. Wenn Sie beispielsweise eine aktuelle Konfiguration abrufen, können Sie die folgenden Befehle verwenden:
$creds = Get-Credential
Export-M365DSCConfiguration -Credential $creds

Der Exportvorgang schreibt ein Fehlerprotokoll zur Überprüfung und gibt dann die PowerShell-Datendatei und das Skript für die abgerufene Konfiguration aus.
So richten Sie Microsoft 365 DSC sicher ein
Microsoft 365 DSC unterstützt je nach verwendetem Dienst mehrere Authentifizierungsmethoden. Die meisten Dienste unterstützen Anmeldeinformationen, Dienstprinzipale und verwaltete Identitäten. Mit einem Dienstprinzipal erhalten Sie Unterstützung für Zertifikatsfingerabdrücke, Zertifikatpfade und Anwendungsgeheimnisse.
Wenn Sie die Verbindung über einen Dienstprinzipal herstellen und dann die grundlegenden Microsoft-365-Einstellungen überprüfen möchten, müssen Sie ihn zunächst in Microsoft Entra ID, ehemals Azure Active Directory, erstellen, die erforderlichen Berechtigungen zuweisen und dann die Werte dafür im PowerShell-Code verwenden.

$appId = Read-Host -Prompt '<App Id>'
$appSecret = Read-Host -Prompt '<App Secret>'
$tenantId = Read-Host -Prompt '<Tenant Id>'
Export-M365DSCConfiguration `
-Components @(
"O365AdminAuditLogConfig",
"O365OrgCustomizationSetting",
"O365OrgSettings") `
-ApplicationId $appId `
-ApplicationSecret $appSecret `
-TenantId $tenantId
Wie man mit Microsoft 365 DSC die Konfigurationen von Mandanten verwaltet
Die meisten Administratoren verwenden Microsoft 365 DSC, um einen Snapshot ihres Microsoft-365-Mandanten zu erstellen. Die DSC-Web-Benutzeroberfläche generiert die PowerShell-Befehle und die PowerShell-Skripte für diese Aufgabe. Sie können entweder direkt zur URL export.microsoft365dsc.com navigieren oder den folgenden PowerShell-Befehl ausführen:
Export-M365DSCConfiguration -LaunchWebUI

Verwenden Sie die Web-Benutzeroberfläche, um den Dienst und die zu überprüfenden Konfigurationselemente auszuwählen. Sie können die Elemente beispielsweise manuell auswählen, wenn Sie in der Dropdown-Liste Auswahlmodus (Selection mode) die Option Keine (None) auswählen.
Sie können auch die Authentifizierungsoption auswählen. Wählen Sie abschließend die erforderlichen Elemente aus und klicken Sie auf die Schaltfläche Generieren (Generate), um den PowerShell-Code anzuzeigen.

Klicken Sie auf der PowerShell-Seite auf In Zwischenablage kopieren (Copy to clipboard), um diese zu verwenden.
# Abrufen von Anwendungsinformationen für die Anwendung + geheime Authentifizierung
$ApplicationId = Read-Host -Prompt 'Application Id.'
$ApplicationSecret = Read-Host -Prompt 'Application Secret.'
$TenantId = Read-Host -Prompt 'Tenant Id.'
# Exportieren von Ressourcen mithilfe einer Anwendung
Export-M365DSCConfiguration `
-Components @(
"SPOAccessControlSettings",
"SPOSharingSettings",
"SPOSite",
"SPOUserProfileProperty") `
-ApplicationId $ApplicationId `
-ApplicationSecret $ApplicationSecret `
-TenantId $TenantId
Exportieren Sie die Konfiguration, um den aktuellen Status dem Microsoft-365-Mandanten anzuzeigen. Von hier aus können Sie zu erweiterten Funktionen wechseln, zum Beispiel zur Bereitstellung benutzerdefinierter Konfigurationen und zur Nachverfolgung von Änderungen.
Microsoft 365 DSC erstellt Berichte in verschiedenen Formaten, zum Beispiel Excel, HTML und JSON. Bei Ausführung des Befehls New-M365DSCReportFromConfiguration werden exportierte Ergebnisse verwendet, um den Bericht im gewünschten Format zu erstellen.
New-M365DSCReportFromConfiguration `
-Type 'JSON' `
-ConfigurationPath 'C:\Code\DSC\M365TenantConfig.ps1' `
-OutputPath 'C:\Code\DSC\Microsoft_365_Report.json'
New-M365DSCReportFromConfiguration `
-Type 'HTML' `
-ConfigurationPath 'C:\Code\DSC\M365TenantConfig.ps1' `
-OutputPath 'C:\Code\DSC\Microsoft_365_Report.html'
New-M365DSCReportFromConfiguration `
-Type 'Excel' `
-ConfigurationPath 'C:\Code\DSC\M365TenantConfig.ps1' `
-OutputPath 'C:\Code\DSC\Microsoft_365_Report.xlsx'
Neben der Berichterstattung über den aktuellen Status können Sie Snapshots der Konfiguration für verschiedene Zwecke erstellen, zum Beispiel für einen Vergleich, um nach Änderungen zu suchen.
New-M365DSCDeltaReport `
-Source 'C:\Code\DSC\M365TenantConfig_INITIAL.ps1' `
-Destination 'C:\Code\DSC\M365TenantConfig_UPDATED.ps1' `
-OutputPath 'C:\Code\DSC\Microsoft_365_DELTA_Report.html'
Wenn Sie den Parameter -DriftOnly $true hinzufügen, werden nur die Abweichungen im Bericht ausgegeben.
Sie können eine von Ihnen definierte Konfiguration bereitstellen und dann die lokale Engine für DSC zur automatischen Überwachung von Änderungen gegenüber der ursprünglichen Konfiguration verwenden. Der folgende Link enthält weitere Informationen zum Erstellen und Bereitstellen von Konfigurationen in Microsoft 365.