從標準化移至合理化層級的 IO 資源指南概觀
本文件提供技術藍圖,指示如何實作 Microsoft 基礎結構最佳化模型中強調的資訊技術 (IT) 功能 (於下列各節中解說)。建議您使用本指南中概述的步驟來熟悉基礎結構最佳化模型中的工具、程序和概念。
這些資源指南並非用於部署新的 IT 服務或功能。其用途是概述您在實作這些功能和服務時,可以用來提高 IT 部門效率、組織力和獲利能力的高階考量、步驟、程序和 Microsoft 工具。您可以使用本指南所包含的資訊,協助您從標準化層級移至合理化層級。
本頁內容
.gif){kind=icon}
對象
基礎結構最佳化概念
核心基礎結構最佳化功能
核心基礎結構最佳化模型層級
核心基礎結構最佳化功能概觀
對象
本文件適用對象為負責規劃、部署和操作 IT 系統與資料中心的 IT 專業人員,以及想要實作核心基礎結構最佳化模型技術和程序概念的 IT 專業人員。
基礎結構最佳化概念
Microsoft 基礎結構最佳化 (IO) 是以三個資訊技術模型為基礎所建構: 核心基礎結構最佳化、應用程式平台基礎結構最佳化,以及企業生產力基礎結構最佳化。每一個 IO 模型都內含四個層級的程序成熟度,而功能分類則是每個成熟度層級需求的邏輯分組。核心 IO 著重於 IT 服務和元件的基本元素;應用程式平台 IO 著重於軟體開發的最佳作法;企業生產力 IO 著重於充分發揮溝通、共同作業和使用者生產力所需要的基礎結構。下表重點摘要每一個 IO 模型的功能。
模型 |
功能 |
|---|---|
核心基礎結構最佳化模型 (核心 IOM) |
身分和存取管理 桌上型電腦、裝置與伺服器管理 安全性與網路 資料保護與復原 IT 與安全性程序 |
應用程式平台基礎結構最佳化模型 (AP IOM) |
使用者體驗 SOA 與業務程序 資料管理 開發 商務智慧 |
企業生產力基礎結構最佳化模型 (BP IOM) |
共同作業與通訊 企業內容管理 商務智慧 |
基礎結構最佳化概念可協助客戶移轉至安全、已定義且高度自動化的環境,以實現大幅節省 IT 基礎結構成本的目標。基礎結構最佳化會以邏輯順序的方式規範功能,協助組織以可度量、可達成的速度,逐步提高層級。隨著基本的 IT 基礎結構漸趨成熟,安全性也從脆弱發展成具備積極主動性,而行政與管理程序則從高度手動和被動轉為高度自動化且兼具主動性。
Microsoft 與其合作夥伴能提供技術、程序與流程,協助客戶完成基礎結構最佳化。程序會從分散或不存在,轉變為最佳化及可重複使用。當客戶從基本層級移轉至標準化層級、合理化層級,最終到動態層級時,即可逐漸提高其運用技術的能力,藉此提升企業的靈活度,並提高企業價值。本指南稍後將詳細定義這些層級。
基礎結構最佳化模型是結合產業分析師、麻省理工學院 (MIT) 資訊系統研究中心 (CISR),以及 Microsoft 與企業客戶之間的實際經驗所開發而成。Microsoft 建立基礎結構最佳化模型的主要目的在於發展出以簡易的方式使用彈性化的成熟度架構,並可作為技術功能與商業價值的基準。
使用此模型的第一步,就是評估您的 IT 基礎結構在此模型中目前的成熟度。這麼做有助於判斷您的組織所需的功能,以及部署這些功能應採取的順序。
本文件著重於從 IT 基礎結構和程序的標準化層級移至核心基礎結構最佳化模型的合理化層級。本系列的其他資源指南則著重於在核心基礎結構最佳化模型中移至其他層級的所需功能。
核心基礎結構最佳化功能
核心基礎結構最佳化模型定義五項功能,是建置一個更靈活的 IT 基礎結構的基本需求。這五項功能是各成熟度層級的基礎。
身分和存取管理
說明客戶應如何管理員工和資產身分識別、如何實作解決方案以管理和保護身分識別資料,以及如何管理企業行動使用者、客戶及/或防火牆外部合作夥伴之資源存取權限。
桌上型電腦、裝置與伺服器管理
說明客戶應如何管理桌上型電腦、行動裝置和伺服器,以及如何將修補程式、作業系統以及應用程式部署在整個網路上。
安全性與網路
說明客戶應考慮在 IT 基礎結構中實作哪些項目,以確保無法以未經授權的方式存取資訊與通訊。還有,提供適當的機制以保護 IT 基礎結構不受拒絕攻擊和病毒的威脅,同時保留企業資源的存取權限。
資料保護與復原
提供結構化和原則化的備份、儲存和還原管理。隨著資訊與資料儲存激增,組織更需要保護資訊並在必要時提供符合成本效益和時間效率的復原功能。
IT 與安全性程序
提供經過實證的最佳作法指南,說明如何以符合成本效益的方式設計、開發、操作和支援解決方案,同時達到高可靠性、可用性和安全性。雖然可靠、可用和安全性高的 IT 服務需要穩固的技術,但只靠技術還是不夠,同時需要的還有絕佳的程序和人員 (技術、角色和責任)。本文件在其他章節中說明安全性程序和 IT 程序 (以 ITIL/COBIT 為基礎的管理程序)。
核心基礎結構最佳化模型層級
除了功能外,核心基礎結構最佳化模型為每一項功能定義了四個最佳化層級 (基本、標準化、合理化和動態)。這些最佳化層級的特性於下列各節提出說明。
最佳化層級 1: 基本
基本 IT 基礎結構的特色是手動而小範圍的程序、缺乏集中化管理、沒有或未強制執行 IT 原則和適用於安全性、備份、映像管理與部署、法規遵循的標準及其他常見的 IT 作法。由於缺乏工具與資源,因此應用程式與服務的整體健全狀況不明。一般而言,所有修補程式、軟體部署以及服務都是手動完成的。
最佳化層級 2: 標準化
標準化基礎結構提供控制機制的方法如下:使用標準和原則以管理桌上型電腦和伺服器;控制機器引入網路的方式;並使用 Active Directory® 目錄服務以管理資源、安全性原則以及存取控制。處於標準化狀態的客戶雖然能瞭解基本標準和部分原則的價值,卻仍有進步的空間。一般而言,所有修補程式、軟體部署以及桌上型電腦服務,精簡度都只有中等,而花費則為中高層級。這些組織的軟硬體清查程度合理,並開始管理授權。為加強安全性措施,採取鎖定周邊的作法,但內部的安全性仍有風險。
最佳化層級 3: 合理化
合理化基礎結構在管理桌上型電腦和伺服器方面,所需的花費是最低的,而程序和原則經過最佳化,在支援和擴充業務上開始擔任重要的角色。安全性具備高度的主動性,而且可以快速因應和控制威脅與挑戰。採用零接觸的部署可大幅降低成本、部署時間和技術上的挑戰。映像的數目極少,管理桌上型電腦的程序極為精簡。這些客戶的軟硬體清查十分清楚徹底,並且只採購需要的授權和電腦。所採取的原則和控制非常嚴格,因此從桌上型電腦到伺服器、防火牆和外部網路,都具備高度主動的安全性。
最佳化層級 4: 動態
具備動態基礎結構的客戶充分瞭解其基礎結構對於高效營運與保持領先競爭者等方面所帶來的策略價值。成本受到完全的控制;使用者與資料、桌上型電腦和伺服器之間有良好的整合;使用者與部門之間的共同作業十分普遍;以及行動使用者不論身在何處,都能擁有近乎在企業內部的服務與功能。程序已充分自動化,也往往融入技術本身,讓 IT 可依照業務需要進行調整和管理。對於技術層面的額外投資,可為企業帶來明確快速且可以評估的效益。使用自我佈建的軟體和類似隔離的系統以保護修補程式管理並遵循已確立的安全性原則,如此可讓具備動態基礎結構的組織將程序自動化,以提升可靠性、降低成本並提升服務層級。
核心基礎結構最佳化功能概觀
下圖列出進階發展最佳化層級時,各項功能的基本需求。
.gif)
圖 1. 各最佳化層級的功能需求
如需詳細資訊,包括客戶個案研究以及業務價值資訊,請造訪:https://www.microsoft.com/technet/infrastructure/default.mspx (英文)。
自我評估
Microsoft 已開發自我評估工具,可用於判斷您目前的最佳化層級。建議您先使用這項工具,再開始閱讀本指南。這項工具是以本指南的內容為基礎。若要存取這項自我評估工具,請造訪: https://www.microsoft.com/business/peopleready/coreinfra/ac/default.mspx (英文)。
下節提供與各項核心功能相關的問題,以引導您前往本規劃指南的相關章節。您的回答將指出哪些章節包含適用於貴組織的指引。下節多項需求有其最低程度的相關屬性。如果貴組織符合本節中所概述的需求和需求屬性,表示您已達到合理化層級,並可繼續移往核心基礎結構最佳化中的動態層級。您可以將本節列印成計分卡,以判斷您的組織需要實作的需求及屬性。
功能: 身分和存取管理
最佳化的合理化層級要求以目錄型的工具來集中管理您組織中 80% 以上桌上型電腦的設定與安全性。
需求: 身分和存取管理 |
是 |
否 |
|---|---|---|
實作目錄型的工具來集中管理 80% 以上桌上型電腦的設定與安全性 |
|
|
屬性:
識別應監視或強制執行的設定。
選取用來監視和強制遵循設定的工具。
針對透過群組原則管理的設定,定義群組原則物件。
實作群組原則管理主控台以管理群組原則物件。
將群組原則套用到至少 80% 的桌上型電腦。
如需更多詳細資訊,請參閱本文件中的以集中化目錄為基礎的設定與安全性,或造訪下列網站:
如需更多資訊,請參閱用戶端設定的中型企業解決方案 (英文)。
功能: 桌上型電腦、裝置與伺服器管理
最佳化的合理化層級要求貴組織具備程序與工具,以自動化作業系統的部署、追蹤桌上型電腦資產、測試應用程式的相容性、以分層映像的方式精簡桌上型電腦的部署、自動化伺服器修補程式管理、提供行動裝置的安全存取,及透過虛擬化技術來探索伺服器整合。
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
作業系統部署的自動化軟體發佈解決方案 |
|
|
屬性:
識別自動化作業系統部署所需的工具和技術。
針對應用程式相容性及封裝、基礎結構修正、映像處理、使用者狀態移轉和桌上型電腦安全性,執行必要的部署前工作。
在實驗環境及試驗計畫中測試及驗證零接觸安裝。
執行自動化作業系統部署至使用者。
如需更多詳細資訊,請參閱本文件中的自動化作業系統發佈,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
自動追蹤 80% 以上桌上型電腦的軟硬體資產 |
|
|
屬性:
部署工具及程序以自動化桌上型電腦資產清查。
實作程序與技術以自動化應用程式與作業系統的部署
實作工具及程序以執行及分析軟體使用狀況追蹤報告。
實作最佳自動化軟體更新管理作法。
部署工具及程序以監視桌上型電腦系統狀態,包括產品的法規遵循及系統狀態監視。
如需更多詳細資訊,請參閱本文件中的自動化追蹤桌上型電腦的軟硬體,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
80% 以上的桌上型電腦執行兩種最新作業系統版本中的一種 |
|
|
屬性:
清查現有的生產作業系統。
判定新電腦並重新整理策略以淘汰舊版的作業系統。
將兩種最新的作業系統版本部署到至少 80% 的桌上型電腦。
如需更多詳細資訊,請參閱本文件中的桌上型電腦上最新的兩種作業系統版本及 Service Pack,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
80% 以上的桌上型電腦執行 Microsoft Office 2003 或 2007 Microsoft Office 系統 |
|
|
屬性:
評估最新版本的 Office 及定義規畫以整合生產工作站上的 Office 版本。
將最新版本的 Office 部署至桌上型電腦。
定義管理 Office 設定的計畫
如需更多詳細資訊,請參閱本文件中的桌上型電腦上最新版本的 Microsoft Office,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
測試並認證 80% 的新應用程式或更新版本應用程式的應用程式相容性,再部署到桌上型電腦 |
|
|
屬性:
收集和分析組織中的應用程式清查以建置應用程式專案組合。
實作安全防護功能策略的標準測試,以建立應用程式安全防護功能套件。
實作標準程序以解決任何顯著的相容性問題,以便向管理階層報告相容性問題的安全防護功能。
為所有相容性安全防護功能套件實作自動化部署。
如需更多詳細資訊,請參閱本文件中的軟體發佈的相容性測試和憑證,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
80% 以上伺服器的修補程式管理解決方案 |
|
|
屬性:
實作程序和工具以清查軟硬體資產。
實作程序和工具以掃描伺服器,找出軟體更新。
建立程序以自動識別可用的修補程式。
建立適用於每個修補程式的標準測試。
實作修補程式發佈軟體。
如需更多詳細資訊,請參閱本文件中的伺服器的修補程式管理,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
以安全且有保障的方式驗證企業網路與行動裝置之間的安全通訊 |
|
|
屬性:
清查連接至您網路的行動裝置。
決定符合您需求的通訊安全性策略。
將行動裝置驗證實作至所有連線的裝置。
如需更多詳細資訊,請參閱本文件中的確保行動裝置的通訊安全,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
讓行動裝置透過 WAP 或 HTTP 存取 Web 應用程式 |
|
|
屬性:
清查連接至您網路的行動裝置,以及行動裝置使用者目前所使用或可能會使用的 Web 應用程式。
開發及實作策略以最佳化行動裝置使用者的 Web 應用程式、更新行動裝置硬體,或兩者皆是。
如需更多詳細資訊,請參閱本文件中的行動裝置使用 WAP 或 HTTP 以存取 Web 應用程式,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
以虛擬化規劃伺服器整合 |
|
|
屬性:
清查組織中所有的 IT 服務和 LOB 應用程式,包括效能與流量資料。
透過實作虛擬機器技術開發計畫,以整合伺服器基礎結構。
如需更多詳細資訊,請參閱本文件中的以虛擬化整合伺服器,或造訪下列網站:
需求: 桌上型電腦、裝置與伺服器管理 |
是 |
否 |
|---|---|---|
實作分層映像的策略以管理您的桌上型電腦映像 |
|
|
屬性:
清查及合理化您的組織中,目前受管理的桌上型電腦映像組合。
開發與實作策略,以桌上型電腦部署的精簡或混合分層映像來整合桌上型電腦映像。
如需更多詳細資訊,請參閱本文件中的桌上型電腦的分層映像處理,或造訪下列網站:
功能: 安全性與網路
最佳化的合理化層級要求貴組織必須在用戶端電腦上安裝標準防毒軟體、集中化的周邊防火牆、基本網路服務,以及關鍵伺服器的可用性監視。
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
80% 以上的伺服器和桌上型電腦具備以原則管理的防火牆 |
|
|
屬性:
清查您的桌上型電腦及伺服器電腦,以識別目前擁有主機型防火牆技術的硬體。
將主機型防火牆技術部署至缺少防火牆功能的硬體,或將伺服器更新成 Windows Server 2003 SP1 或更新版本。
強制執行原則,以確保主機型防火牆永遠啟用,並且無法停用。
如需更多詳細資訊,請參閱本文件中的伺服器及桌上型電腦上以原則管理的防火牆,或造訪下列網站:
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
安全的遠端存取電子郵件以外的內部資源和特定業務 (LOB) 應用程式 (即 VPN 及/或終端機服務) |
|
|
屬性:
評估遠端用戶端及分公司的遠端存取需求。
設計安全的虛擬私人網路或類似的服務,並實作至遠端用戶端及分公司。
如需更多詳細資訊,請參閱本文件中的確保遠端存取內部資源及 LOB 應用程式的安全,或造訪下列網站:
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
具備安全並有保障的方式可驗證關鍵伺服器 (例如網域控制站和電子郵件伺服器) 之間的通訊 |
|
|
屬性:
評估網際網路通訊協定安全性 (IPsec) 所影響網路基礎結構的目前狀態。
識別組織需求,以確保伺服器之間通訊安全而有保障,包括法規遵循的影響。
開發並實作整體組織運用 IPsec 以滿足所定義需求的計畫。
如需更多詳細資訊,請參閱本文件中的伺服器之間的通訊安全而有保障,或造訪下列網站:
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
監視 80% 以上的伺服器,並且進行服務層級報告,以確保一致而可靠的使用者經驗 |
|
|
屬性:
在服務類別目錄中定義組織的 IT 服務。
判斷適用於已定義服務的基準或目前的服務層級。
定義適合組織的服務層級,並決定自動化服務層級監視的計畫。
實作自動化的可用性監視解決方案。
如需更多詳細資訊,請參閱本文件中的伺服器的服務等級協定監視與報告,或造訪下列網站:
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
提供狀態的安全通訊機制 |
|
|
屬性:
評估任何狀態和立即通訊所使用的目前未受管理方法。
建立符合產業或當地法規及原則的狀態和立即通訊的需求規格。
評估狀態與立即訊息的技術,建立實作選定解決方案的計畫。
至少透過管理的立即通訊,或透過共同作業及電子郵件基礎結構 (選擇性) 實作狀態。
如需更多詳細資訊,請參閱本文件中的確保安全的狀態通訊機制,或造訪下列網站:
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
部署以 Active Directory 和 IAS/RADIUS 進行驗證和授權的安全無線網路 |
|
|
屬性:
識別目前的無線存取及相關拓撲。
評估無線技術、通訊協定及標準。
開發及實作安全無線驗證基礎結構的計畫。
如需更多詳細資訊,請參閱本文件中的使用Active Directory 與 IAS/RADIUS 執行無線網路驗證與授權,或造訪下列網站:
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
集中化管理憑證服務基礎結構 (PKI) |
|
|
屬性:
執行網路探索以清查所有元件。
識別有關憑證授權和公開金鑰基礎結構 (PKI) 方面中對於人員、程序和技術的設計考量。
建立詳細的部署計畫以啟用 PKI。
實作 PKI 部署計畫。
如需更多詳細資訊,請參閱本文件中的集中化管理憑證服務,或造訪下列網站:
需求: 安全性與網路 |
是 |
否 |
|---|---|---|
主動管理分公司頻寬 |
|
|
屬性:
識別及記錄分公司拓撲。
根據所有分公司類型的需求建立需求規格。
建立適用於分公司服務整合的計畫和架構,並識別重新調查分公司 WAN 需求的效能閾值。
實作計畫以根據 WAN 連線限制,最佳化分公司服務。
如需更多詳細資訊,請參閱本文件中的主動管理分公司頻寬,或造訪下列網站:
功能: 資料保護與復原
最佳化的合理化層級要求貴組織具備程序與工具,以管理伺服器的資料備份和復原,並且控制分公司資料的集中備份。
需求: 資料保護與復原 |
是 |
否 |
|---|---|---|
集中化管理分公司的資料備份 |
|
|
屬性:
為組織中的分公司建立集中化的資料備份計畫與復原計畫。
透過網路集中化的工具或本機備份及復原的作業準則,以定義的服務層級,實作備份及復原計畫以集中化控制備份和復原作業。
如需更多詳細資訊,請參閱本文件中的集中化管理分公司的資料備份,或造訪下列網站:
需求: 資料保護與復原 |
是 |
否 |
|---|---|---|
具備服務等級協定 (SLA) 以進行系統備份與還原,且替 80% 的伺服器定義復原時間 |
|
|
屬性:
為組織中至少 80% 的伺服器,建立資料備份計畫與復原計畫。
使用逐層分析測試您的計畫並驗證定義的復原時間。
如需更多詳細資訊,請參閱本文件中的伺服器的備份、還原及定義復原時間,或造訪下列網站:
功能: 安全性與以 ITIL/COBIT 為基礎的管理程序
最佳化的合理化層級要求貴組織具備已定義的程序,以進行風險管理、事件管理與回應、應用程式測試、問題管理、使用者支援、建構管理,及變更管理。
需求: 安全性與以 ITIL/COBIT 為基礎的管理程序 |
是 |
否 |
|---|---|---|
確立安全性程序以進行雙重要素使用者驗證、採購新軟體的標準安全性審查,以及資料分類 |
|
|
屬性:
開發及實作雙重要素身分識別與存取管理原則。
開發程序以管理對所有取得或開發的軟體安全性需求進行的測試。
建立標準且可重複使用的程序以分類機密資料。
如需更多詳細資訊,請參閱本文件中的雙重要素使用者驗證、採購新軟體的標準安全性審查,以及資料分類程序,或造訪下列網站:
需求: 安全性與以 ITIL/COBIT 為基礎的管理程序 |
是 |
否 |
|---|---|---|
實作 IT 組織中,操作、最佳化,以及變更程序的最佳作法 |
|
|
屬性:
對整個 IT 作業實作服務層級管理。
實作最佳發行管理作法。
最佳化網路及系統管理程序。
實作最佳工作排程作法。
如需更多詳細資訊,請參閱本文件中的操作、最佳化,以及變更程序,或造訪下列網站:
準備實作核心 IO 需求
《核心基礎結構最佳化實作人員資源指南: 標準化至合理化層級》指南中的詳細功能與需求章節會呈現必要的高層級程序和技術背景,以協助實作核心基礎結構最佳化模型的合理化層級需求。這些章節提供強調重點的詳細說明、程序與技術簡介,並在全文提供相關實作指南的連結。
Microsoft 核心 IO 要求目錄服務以 Microsoft Windows Server 產品中的 Active Directory 為基礎。如果功能符合定義需求,使用 Microsoft 合作夥伴和協力廠商解決方案可以滿足模型中的所有需求。
階段式方法
Microsoft 建議採行階段式方法,以符合每一項 IO 功能的需求。四個階段如下圖所示。
.gif)
圖 2. IO 功能的四個階段
在「評估」階段,您要判斷組織內目前的功能和資源。
在「識別」階段,您要判斷需要達成的目標以及要採用的功能。
在「評估與規劃」階段,您要判斷實作「識別」階段中所列出的功能所需執行的步驟。
在「部署」階段,您要執行上一個階段建立的計畫。
解決方案變動
《核心基礎結構最佳化實作人員資源指南: 標準化至合理化層級》指南中的詳細功能與需求章節會強調截至本文件發行日為止,Microsoft 提供的指引和技術。我們預期這些技術和相關的指南都將持續發展。請定期造訪 Microsoft TechNet,以取得本文件所述及之產品與功能更新。
實作服務
Microsoft 合作夥伴及 Microsoft 服務提供本文件所說明的專案實作服務。如需協助實作「核心基礎結構最佳化實作人員資源」指南中強調的核心基礎結構最佳化專案,請聯絡您當地的 Microsoft 合作夥伴或造訪 Microsoft 服務網站 (英文) 以取得詳細資訊。