從合理化移至動態層級的 IO 資源指南概觀
本文件提供技術藍圖,指示如何實作 Microsoft 基礎結構最佳化模型中強調的 IT 功能 (於下列各節中解說)。建議您使用本指南中概述的步驟來熟悉基礎結構最佳化模型中的工具、程序和概念。
這些資源指南並非用於部署新的 IT 服務或功能。其用途是概述您在實作這些功能和服務時,可以用來提高 IT 部門效率、組織力和獲利能力的高階考量、步驟、程序和 Microsoft 工具。
本頁內容
.gif){kind=icon}
對象
基礎結構最佳化概念
核心基礎結構最佳化功能
核心基礎結構最佳化模型層級
核心基礎結構最佳化功能概觀
對象
本文件適用對象為負責規劃、部署和操作 IT 系統與資料中心的 IT 專業人員,以及想要實作基礎結構最佳化模型技術和程序概念的 IT 專業人員。
基礎結構最佳化概念
Microsoft 基礎結構最佳化 (IO) 是以三個資訊技術模型為基礎所建構: 核心基礎結構最佳化、應用程式平台基礎結構最佳化,以及企業生產力基礎結構最佳化。每一個 IO 模型都內含四個層級的程序成熟度,而功能分類則是每個成熟度層級需求的邏輯分組。核心 IO 著重於 IT 服務和元件的基本元素;應用程式平台 IO 著重於軟體開發的最佳作法;企業生產力 IO 著重於充分發揮溝通、共同作業和使用者生產力所需要的基礎結構。下表重點摘要每一個 IO 模型的功能。
模型 |
功能 |
|---|---|
核心基礎結構最佳化模型 (核心 IOM) |
身分和存取管理 桌上型電腦、裝置與伺服器管理 資料保護與復原 安全性與網路 安全性程序 |
應用程式平台基礎結構最佳化模型 (AP IOM) |
使用者體驗 SOA 與業務程序 資料管理 開發 商務智慧 |
企業生產力基礎結構最佳化模型 (BP IOM) |
共同作業與通訊 企業內容管理 商務智慧 |
基礎結構最佳化概念可協助客戶移轉至安全、已定義且高度自動化的環境,以實現大幅節省 IT 基礎結構成本的目標。基礎結構最佳化會以邏輯順序的方式規範功能,協助組織以可度量、可達成的速度,逐步提高層級。隨著基本的 IT 基礎結構漸趨成熟,安全性也從脆弱發展成具備積極主動性,而行政與管理程序則從高度手動和被動轉為高度自動化且兼具主動性。
Microsoft 與其合作夥伴能提供技術、程序與流程,協助客戶完成基礎結構最佳化。程序會從分散或不存在,轉變為最佳化及可重複使用。當客戶從基本層級移轉至標準化層級、合理化層級,最終到動態層級時,即可逐漸提高其運用技術的能力,藉此提升企業的靈活度,並提高企業價值。本指南稍後將詳細定義這些層級。
基礎結構最佳化模型是結合產業分析師、麻省理工學院 (MIT) 資訊系統研究中心 (CISR),以及 Microsoft 與企業客戶之間的實際經驗所開發而成。Microsoft 建立基礎結構最佳化模型的主要目的在於發展出以簡易的方式使用彈性化的成熟度架構,並可作為技術功能與商業價值的基準。
使用此模型的第一步,就是評估您的 IT 基礎結構在此模型中目前的成熟度。這麼做有助於判斷您的組織所需的功能,以及部署這些功能應採取的順序。
本文件著重於從 IT 基礎結構和程序的合理化層級移至核心基礎結構最佳化模型的動態層級。本系列的其他資源指南則著重於從核心基礎結構最佳化模型的較低層級進行移轉作業的所需功能。
核心基礎結構最佳化功能
核心基礎結構最佳化模型定義五項功能,是建置一個更靈活的 IT 基礎結構的基本需求。這五項功能是各成熟度層級的基礎。
身分和存取管理
說明客戶應如何管理員工和資產身分識別、如何實作解決方案以管理和保護身分識別資料,以及如何管理企業行動使用者、客戶及/或防火牆外部合作夥伴之資源存取權限。
桌上型電腦、裝置與伺服器管理
說明客戶應如何管理桌上型電腦、行動裝置和伺服器,以及如何將修補程式、作業系統以及應用程式部署在整個網路上。
資料保護與復原
提供結構化和原則化的備份、儲存和還原管理。隨著資訊與資料儲存激增,組織更需要保護資訊並在必要時提供符合成本效益和時間效率的復原功能。
安全性與網路
說明客戶應考慮在 IT 基礎結構中實作哪些項目,以確保無法以未經授權的方式存取資訊與通訊。還有,提供適當的機制以保護 IT 基礎結構不受拒絕攻擊和病毒的威脅,同時保留企業資源的存取權限。
安全性程序
提供經過實證的最佳作法指南,說明如何以符合成本效益的方式設計、開發、操作和支援解決方案,同時達到高可靠性、可用性和安全性。雖然可靠、可用和安全性高的 IT 服務需要穩固的技術,但只靠技術還是不夠,同時需要的還有絕佳的程序和人員 (技術、角色和責任)。本文件在其他章節中說明安全性程序和 IT 程序 (以 ITIL/COBIT 為基礎的管理程序)。
核心基礎結構最佳化模型層級
除了功能外,核心基礎結構最佳化模型為每一項功能定義了四個最佳化層級 (基本、標準化、合理化和動態)。這些最佳化層級的特性如下:
最佳化層級 1: 基本
基本 IT 基礎結構的特色是手動而小範圍的程序、缺乏集中化管理、沒有或未強制執行 IT 原則和適用於安全性、備份、映像管理與部署、法規遵循的標準及其他常見的 IT 作法。由於缺乏工具與資源,因此應用程式與服務的整體健全狀況不明。一般而言,所有修補程式、軟體部署以及服務都是手動完成的。
最佳化層級 2: 標準化
標準化基礎結構提供控制機制的方法如下:使用標準和原則以管理桌上型電腦和伺服器;控制機器引入網路的方式;並使用 Active Directory® 目錄服務以管理資源、安全性原則以及存取控制。處於標準化狀態的客戶雖然能瞭解基本標準和部分原則的價值,卻仍有進步的空間。一般而言,所有修補程式、軟體部署以及桌上型電腦服務,精簡度都只有中等,而花費則為中高層級。這些組織的軟硬體清查程度合理,並開始管理授權。為加強安全性措施,採取鎖定周邊的作法,但內部的安全性仍有風險。
最佳化層級 3: 合理化
合理化基礎結構在管理桌上型電腦和伺服器方面,所需的花費是最低的,而程序和原則經過最佳化,在支援和擴充業務上開始擔任重要的角色。安全性具備高度的主動性,而且可以快速因應和控制威脅與挑戰。採用零接觸的部署可大幅降低成本、部署時間和技術上的挑戰。映像的數目極少,管理桌上型電腦的程序極為精簡。這些客戶的軟硬體清查十分清楚徹底,並且只採購需要的授權和電腦。所採取的原則和控制非常嚴格,因此從桌上型電腦到伺服器、防火牆和外部網路,都具備高度主動的安全性。
最佳化層級 4: 動態
具備動態基礎結構的客戶充分瞭解其基礎結構對於高效營運與保持領先競爭者等方面所帶來的策略價值。成本受到完全的控制;使用者與資料、桌上型電腦和伺服器之間有良好的整合;使用者與部門之間的共同作業十分普遍;以及行動使用者不論身在何處,都能擁有近乎在企業內部的服務與功能。程序已充分自動化,也往往融入技術本身,讓 IT 可依照業務需要進行調整和管理。對於技術層面的額外投資,可為企業帶來明確快速且可以評估的效益。使用自我佈建的軟體和類似隔離的系統以保護修補程式管理並遵循已確立的安全性原則,如此可讓具備動態基礎結構的組織將程序自動化,以提升可靠性、降低成本並提升服務層級。
核心基礎結構最佳化功能概觀
下圖列出進階發展最佳化層級時,各項功能的基本需求。
.gif)
圖 1. 各最佳化層級的功能需求
如需詳細資訊,包括客戶個案研究以及業務價值資訊,請造訪:https://www.microsoft.com/technet/infrastructure/default.mspx (英文)。
自我評估
Microsoft 已開發自我評估工具,可用於判斷您目前的最佳化層級。建議您先使用這項工具,再開始閱讀本指南。這項工具是以本指南的內容為基礎。若要存取自我評估工具,請造訪 https://www.microsoft.com/business/peopleready/coreinfra/ac/default.mspx (英文)。
下節提供與各項核心功能相關的問題,以引導您前往本規劃指南的相關章節。您的回答將指出哪些章節包含適用於貴組織的指引。下節多項需求有其最低程度的相關屬性。如果貴組織符合本節概述的每項需求和需求屬性,您就已經達到動態層級。此時,貴組織將會實作持續性的提升方法,以判斷如何在您的 IT 組織中達到動態層級以外的進一步組織成熟度層級。您可以將本節列印成計分卡,以判斷您的組織需要實作的需求及屬性。
功能: 身分和存取管理
最佳化動態層級需要跨越異質類似系統的集中式管理使用者佈建,以及跨越組織及平台界限的聯合身分管理。移至動態層級後,本指南假設客戶已達到合理化層級的需求,包括具備目錄工具和程序以執行桌上型電腦和伺服器設定及安全性原則、採用資訊保護程序和基礎結構,以及在桌上型電腦上實作受管理的本機原則和安全性範本。
需求: 身分和存取管理 |
是 |
否 |
|---|---|---|
80% 以上異質系統的集中式自動化使用者帳戶佈建 (例如,發出新帳戶、變更密碼、同步處理權限,或啟用對企業應用程式的存取權)。 |
|
|
屬性:
定義組織中目前的身分物件佈建工作流程,以及要改進或最佳化的區塊。
識別用於管理物件身分識別生命週期的技術。
實作整合式解決方案,以自動化一般使用者帳戶佈建工作流程。
如需更多詳細資訊,請參閱本文件中的自動化使用者帳戶佈建,或造訪下列網站:
需求: 身分和存取管理 |
是 |
否 |
|---|---|---|
實作聯合目錄工具,以啟用對外部客戶、服務提供者和業務夥伴的驗證存取權。 |
|
|
屬性:
確認對外部實體提供驗證存取權的需求。
決定提供定義資源外部存取的策略和原則。
實作技術以確保已定義的外部使用者可安全存取定義的服務。
如需更多詳細資訊,請參閱本文件中的聯合目錄服務以驗證外部使用者,或造訪下列網站:
功能: 桌上型電腦、裝置與伺服器管理
最佳化動態層級要求貴組織採用程序和工具,以便將行動裝置的服務管理自動化,使其可管理性和安全性都能接近桌上型電腦的水準。此外,動態層級要求在生產上使用虛擬化技術,以整合及平衡伺服器的工作負載。移至動態層級後,本指南假設客戶已達到合理化層級的需求,包括自動化軟硬體資產管理、對桌上型電腦和伺服器的自動化修補程式管理、自動化作業系統映像部署、桌上型電腦映像整合、以最新軟體和作業系統使用精簡映像來整合桌上型電腦映像,並計劃開始在生產上使用虛擬化技術。
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
使用工具以針對主要 IT 服務 (例如電子郵件) 執行自動化基礎結構容量計畫。 |
|
|
屬性:
識別主要 IT 服務對象,以進行自動化容量計畫。
建立可自動化功能規劃的容量模型,或實作容量計畫工具。
如需更多詳細資訊,請參閱本文件中的自動化基礎結構容量計劃,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
管理行動裝置以及存取 IT 服務和應用程式,如同管理桌上型電腦和筆記型電腦。 |
|
|
屬性:
實作安全技術,透過行動裝置提供對主要特定業務應用程式 (例如 LOB 應用程式、CRM 或供應鏈) 的存取權。
建立一套已定義的行動裝置標準基本映像。
實作自動化解決方案以持續更新行動裝置中的組態設定及/或應用程式。
部署行動裝置的自動化隔離解決方案。
實作行動裝置的自動化修補程式管理解決方案。
實作行動裝置的自動化資產管理解決方案。
如需更多詳細資訊,請參閱本文件中的動態行動裝置管理和存取,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
實作虛擬化,根據資源需求或營運規則在伺服器之間動態移動工作負載。 |
|
|
屬性:
將生產 IT 服務或應用程式的子集部署至虛擬機器。
積極管理和最佳化共用硬體裝置上的系統資源。
如需更多詳細資訊,請參閱本文件中的實作虛擬化,或造訪下列網站:
功能: 安全性與網路
最佳化動態層級要求貴組織在用戶端和伺服器邊緣實作整合式威脅管理與減輕作業、從資料中心延伸到使用者執行已定義服務的實際服務層級監視,以及未修補或受感染電腦的隔離方案。移至動態層級後,本指南假設客戶已達到合理化層級的需求,包括伺服器和桌上型電腦上的原則管理本端防火牆、部署安全無線網路、實作 IPsec 解決方案、採用公開金鑰基礎結構 (PKI) 和憑證服務、透過虛擬私人網路 (VPN) 的安全遠端存取,以及與分公司的最佳化廣域網路 (WAN) 鏈結。
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
整合式用戶端與伺服器邊緣的威脅管理和減輕。 |
|
|
屬性:
評估伺服器邊緣安全性威脅與評估威脅減輕解決方案。
實作技術解決方案,以保護用戶端與伺服器邊緣防範網際網路威脅。
如需更多詳細資訊,請參閱本文件中的威脅管理和減輕,或造訪下列網站:
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
監視桌上型電腦、應用程式及伺服器基礎結構的啟用模型服務層級 |
|
|
屬性:
定義桌上型電腦、應用程式及伺服器基礎結構服務模型。
評估技術以監視已定義服務的連線及元件的可用性。
實作自動化解決方案,以定義和監視服務層級。
如需更多詳細資訊,請參閱本文件中的啟用模型服務層級監視,或造訪下列網站:
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
適用於未修補或受感染電腦的自動化隔離解決方案 |
|
|
屬性:
評估技術,以啟用遠端與企業內部使用者的網路隔離。
實作適用於遠端使用者的 VPN 隔離解決方案。
如需更多詳細資訊,請參閱本文件中的自動化隔離服務,或造訪下列網站:
功能: 資料保護與復原
最佳化動態層級要求貴組織設立程序和工具,以管理桌上型電腦上的資料備份和復原。移至動態層級後,本指南假設客戶已達到合理化層級的需求,包括在中央、集線器和分公司位置對所有受管理伺服器進行已定義的備份和復原服務。
需求: 資料保護與復原 |
是 |
否 |
|---|---|---|
對 80% 以上的桌上型電腦實作具有服務等級協定 (SLA) 的已定義備份和還原服務。 |
|
|
屬性:
確立桌上型電腦備份和復原服務的目標。
定義和實作適合組織中桌上型電腦的備份和還原服務,以及建立 SLA。
如需更多詳細資訊,請參閱本文件中的桌上型電腦的受管理備份,或造訪下列網站:
功能: 安全性與以 ITIL/COBIT 為基礎的管理程序
最佳化動態層級要求貴組織最佳化和持續提升 IT 服務。合理化層級已採用服務等級協定以進行伺服器監視和備份及復原服務。在動態層級,SLA 必須延伸至所有受管理的 IT 服務,此外,利用生物辨識掃描的進階雙重要素驗證或同等的技術來存取高度機密或重要的資料,安全性也變得更複雜。
需求: 安全性與以 ITIL/COBIT 為基礎的管理程序 |
是 |
否 |
|---|---|---|
建立安全性程序和技術,對高度機密的資料使用進階雙重要素使用者驗證 (例如生物辨識掃描) 功能。 |
|
|
屬性:
- 為高度機密的資料開發及實作進階雙重要素驗證身分以及存取管理原則。
如需更多詳細資訊,請參閱本文件中的進階雙重要素使用者驗證,或造訪下列網站:
需求: 安全性與以 ITIL/COBIT 為基礎的管理程序 |
是 |
否 |
|---|---|---|
實作進一步最佳化 IT 組織的最佳作法。 |
|
|
屬性:
實作最佳可用性管理作法。
實作最佳財務管理作法。
實作最佳基礎結構工程作法。
實作最佳 IT 服務持續性管理作法。
實作最佳工作團隊管理作法。
如需更多詳細資訊,請參閱本文件中的最佳化程序,或造訪下列網站:
準備實作核心 IO 需求
《核心基礎結構最佳化實作人員資源指南: 合理化至動態層級》指南中的詳細功能與需求章節會呈現必要的高層級程序和技術背景,以協助實作核心基礎結構最佳化動態層級的需求。這些章節提供注意事項的詳細說明、程序與技術簡介,並在全文提供相關實作指南的連結。
Microsoft 核心 IO 要求目錄服務以 Microsoft Windows Server® 產品中的 Active Directory 為基礎。如果功能符合定義需求,使用 Microsoft 合作夥伴和協力廠商解決方案可以滿足模型中的所有需求。
階段式方法
Microsoft 建議採行階段式方法,以符合每一項 IO 功能的需求。四個階段如下圖所示。
.gif)
圖 2. IO 功能的四個階段
在「評估」階段,您要判斷組織內目前的功能和資源。
在「識別」階段,您要判斷需要達成的目標以及要採用的功能。
在「評估與規劃」階段,您要判斷實作「識別」階段中所列出的功能所需執行的步驟。
在「部署」階段,您要執行上一個階段建立的計畫。
解決方案變動
《核心基礎結構最佳化實作人員資源指南: 合理化至動態層級》指南中的詳細功能與需求章節會強調截至本文件發行日為止,Microsoft 提供的指引和技術。我們預期這些技術和相關的指南都將持續發展。撰寫本指南時,部分產品或技術仍在發行中,在這些情況下,會簡要說明相關產品,並在提供對應的 Microsoft TechNet 網站超連結。請定期造訪 Microsoft TechNet,以取得本文件所述及之產品與功能更新。
實作服務
Microsoft 合作夥伴及 Microsoft 服務提供本文件所說明的專案實作服務。如需協助實作「核心基礎結構最佳化實作人員資源」指南中強調的核心基礎結構最佳化專案,請聯絡您當地的 Microsoft 合作夥伴或造訪 Microsoft 服務網站 (英文) 以取得詳細資訊。