Управление учетными записями в Microsoft 365

Корпорация Майкрософт инвестировала значительные средства в системы и средства управления, которые автоматизируют большинство операций Microsoft 365, намеренно ограничивая необходимость прямого доступа к серверам и данным клиентов для обслуживающего персонала. Люди управляют службой, а программное обеспечение управляет службой. Эта структура позволяет корпорации Майкрософт управлять Microsoft 365 в большом масштабе и сводит к минимуму риски как внутренних, так и внешних угроз. Корпорация Майкрософт подходит к управлению доступом, предполагая, что все пользователи могут представлять угрозу для служб Microsoft 365 и данных клиентов. По этой причине принцип нулевого постоянного доступа (ZSA) лежит в основе всей структуры управления доступом, используемой Microsoft 365.

По умолчанию персонал Майкрософт имеет нулевой привилегированный доступ к любой среде Microsoft 365 или данным клиентов для организации. Только благодаря надежной системе проверок и утверждений сотрудники группы обслуживания могут получить привилегированный доступ с узким действием и временем область. Благодаря этой системе корпорация Майкрософт может значительно снизить вероятность того, что сотрудники службы Microsoft 365 и злоумышленники могут получить несанкционированный доступ или причинить вредоносный или случайный вред службам и клиентам Майкрософт.

Типы учетных записей

Microsoft 365 отвечает всем организационным задачам и бизнес-функциям, используя три категории учетных записей: учетные записи группы обслуживания, учетные записи служб и учетные записи клиентов. Управление этими учетными записями является общей ответственностью корпорации Майкрософт и клиентов. Корпорация Майкрософт управляет как командой обслуживания, так и учетными записями служб, которые используются для эксплуатации и поддержки продуктов и служб Майкрософт. Учетные записи клиентов управляются клиентом и позволяют ему адаптировать доступ к учетной записи в соответствии с внутренними требованиями к управлению доступом. В этой модели корпоративные учетные записи Майкрософт считаются учетными записями клиентов и управляются корпорацией Майкрософт.

Совместная ответственность за учетные записи

Учетные записи под управлением Майкрософт

Учетные записи группы обслуживания используются сотрудниками службы Microsoft 365, разрабатывающими и обслуживающими службы Microsoft 365. Эти учетные записи не имеют постоянного привилегированного доступа к службам Microsoft 365, вместо этого их можно использовать для запроса временного и ограниченного привилегированного доступа для выполнения указанной функции задания. Не каждая учетная запись группы обслуживания может выполнять одни и те же действия. Разделение обязанностей применяется с помощью управления доступом на основе ролей (RBAC). Роли гарантируют, что члены группы обслуживания и их учетные записи имеют только минимальный доступ, необходимый для выполнения определенных заданий. Кроме того, учетные записи группы обслуживания не могут принадлежать нескольким ролям, где они могут выступать в качестве утверждающего для своих действий.

Учетные записи служб используются службами Microsoft 365 для проверки подлинности при обмене данными с другими службами с помощью автоматизированных процессов. Так же, как учетным записям группы обслуживания предоставляется только минимальный доступ, необходимый для выполнения обязанностей конкретного персонала, учетным записям служб предоставляется только минимальный доступ, необходимый для их целевого назначения. Кроме того, существует несколько типов учетных записей служб, предназначенных для удовлетворения конкретных потребности. Одна служба Microsoft 365 может иметь несколько учетных записей служб, каждая из которых имеет разные роли.

Учетные записи под управлением клиента

Учетные записи клиентов используются для доступа к службе Microsoft 365 и являются единственными учетными записями, за которые отвечает каждый клиент. Клиент обязан создавать учетные записи в своей организации и управлять ими для поддержания безопасной среды. Управление учетными записями клиентов осуществляется с помощью Microsoft Entra ID или федерации с локальная служба Active Directory (AD). У каждого клиента есть уникальный набор требований к управлению доступом, которым он должен соответствовать, и учетные записи клиентов предоставляют каждому клиенту возможность удовлетворять свои индивидуальные потребности. Учетные записи клиентов не могут получить доступ к данным за пределами организации клиента.

Управление учетными записями группы обслуживания

Microsoft 365 управляет учетными записями группы обслуживания на протяжении всего их жизненного цикла с помощью системы управления учетными записями под названием Identity Management (IDM). IDM использует сочетание автоматизированных процессов проверки и утверждения руководителем для соблюдения требований безопасности, связанных с доступом к учетной записи группы обслуживания.

Члены группы обслуживания не получают учетную запись группы обслуживания автоматически, они должны сначала соответствовать требованиям и получить одобрение от авторизованного руководителя. Чтобы иметь право на учетную запись группы обслуживания, сотрудники группы обслуживания должны как минимум пройти проверку персонала до трудоустройства, облачный фон проверка и пройти все стандартные и необходимые курсы обучения на основе ролей. В зависимости от сценария могут потребоваться дополнительные требования. После выполнения всех требований к требованиям можно отправить запрос на учетную запись группы обслуживания, который должен быть утвержден авторизованным менеджером.

Процесс проверки персонала

IDM также отвечает за отслеживание периодического повторного экрана и обучения, необходимых для обслуживания учетной записи группы обслуживания. Фоновая проверка Microsoft Cloud должна быть завершена каждые два года, а все учебные материалы должны проверяться ежегодно. Если одно из этих требований не удовлетворяется к дате окончания срока действия, их право на участие отменяется, а учетная запись группы обслуживания автоматически отключается.

Кроме того, право на получение учетной записи группы обслуживания автоматически обновляется путем перевода и увольнения персонала. Изменения, внесенные в информационную систему кадров (HRIS), активируют IDM для принятия мер, которые зависят от ситуации. Сотрудники, которые переводятся в другую группу обслуживания, будут иметь дату окончания срока действия для своих прав, и запрос на сохранение прав должен быть отправлен участником группы обслуживания и утвержден их новым руководителем. Уволенный персонал автоматически отменяет все права на участие, а учетная запись команды обслуживания отключена в последний день. Для принудительного прекращения может быть сделан срочный запрос на отзыв учетной записи.

По умолчанию учетные записи группы обслуживания имеют ограниченный доступ на чтение к широким системным метаданным, используемым для регулярного устранения неполадок. Кроме того, учетные записи базовой группы обслуживания не могут запрашивать привилегированный доступ к Microsoft 365 или данным клиентов. Еще один запрос должен быть сделан для добавления учетной записи группы обслуживания в роль, которая позволяет участнику команды обслуживания запрашивать повышенные привилегии для выполнения определенных задач и операций.