Microsoft 365 Desired State Configuration

Im Umfeld von Microsoft 365 mit seiner Vielfalt der Konfigurationen und mit mehreren zu verwaltenden Mandanten ist Desired State Configuration (DSC) eine ideale Möglichkeit, um den Überblick zu behalten und Änderungen einfach nachzuvollziehen. Microsoft stellt zum Projekt viele Informationen [1] bereit, allerdings sind diese unserer Erfahrung nach zum Teil veraltet. Unser Artikel wurde derweil im März dieses Jahres verfasst und bezieht sich auf diesen Stand.

Vorbereitungen für DSC

Bevor wir mit der Einrichtung von DSC in Microsoft 365 (M365DSC) beginnen, müssen wir eine Azure-Active-Directory-(AAD)-Anwendung erstellen, die wir später zur Authentifizierung des PowerShell-Skripts nutzen. Alternativ ist auch eine Anmeldung per Benutzername und Passwort möglich – die Vor- und Nachteile der Verfahren betrachten wir später noch im Detail.

Bei der Authentifizierung mit einer AAD-Anwendung kommt entweder ein Zertifikat oder ein Client-Secret zum Einsatz. In unserem Beispiel nutzen wir ein Zertifikat, weil dies der aktuell von Microsoft empfohlene Weg ist. Das Zertifikat erstellen wir dabei selbst. Im Zuge des Anlegens besagter AAD-Anwendung landet das Zertifikat im Zertifikatsspeicher des aktuell angemeldeten Benutzers – nur für ihn funktioniert also die Authentifizierung.

Da in Microsoft 365 die Arbeit mit Share­Point Online unerlässlich ist, nutzen die meisten Administratoren das PowerShell-Modul "Office PnP". Mit diesem legen wir unsere AAD-Applikation an. Das klappt selbstverständlich auch auf anderen Wegen, zum Beispiel im AAD-Webportal. Wir gehen hier jedoch den Weg über Office PnP und falls Sie das Modul nicht installiert haben, erledigt dies folgender Befehl in einer administrativen PowerShell:

Install-module PnP.PowerShell

Um der PnP-Management-Shell die notwendigen Rechte zu gewähren, ist nach der Installation das

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.