Microsoft 员工转移和离职

与其他组织一样，Microsoft 将员工调动和解雇作为其正常业务运营的一部分。 当员工更改职位或离开公司时，必须立即撤销其访问权限和资格，或者不再需要其新角色。 为了促进有效的访问更改和吊销，Microsoft 使用标准化过程和自动化流程来协调人力资源信息系统 (HRIS) 与标识管理 (IDM) 系统。 这两个系统之间的自动协调对于保持操作一致性、防止特权爬行以及降低与内部威胁相关的风险至关重要。

Microsoft 联机服务在没有对生产环境的长期管理访问权限的情况下运行，而是使用实时 (JIT) 、Just-Enough-Access (JEA) 模型，为工程师提供支持服务所需的基于角色的临时访问。

若要详细了解 Microsoft 如何实现此访问系统，请参阅 标识和访问管理。

转移和重新分配

员工转移是通过员工经理的转移事务请求启动的。 经理创建一个申请，并参与全球人才招聘的聘书流程。 员工接受新角色的产品/服务后，人力资源服务将完成 HR 核心工具中的转移，触发 IDM 为所有员工的资格设置到期日期。 员工必须提交请求并得到新经理的批准才能保留其资格。 如果未提交请求或未获得经理批准，将吊销已转移员工资格。 对于包含特定安全隐患的传输，系统会立即重新评估系统访问和安全组成员身份，以反映其新角色。

离职

当员工离职时，Microsoft 使用明确定义的策略和过程来立即撤销其对 Microsoft 系统和资源的物理和逻辑访问权限。 当员工发出通知时，该员工的经理在 HRIS 中输入终止日期。 在员工的最后一个工作日之后，HRIS 会将员工标记为已终止，并将信息共享给 IDM，这会自动删除所有服务团队帐户和资格。

对于非自愿解雇，HR 会与员工的经理合作，按照适当的步骤解雇和离职员工。 与自愿终止类似，终止信息将连同任何必要的步骤（例如生效日期协调、访问删除和与角色转换相关的任何其他步骤）输入到 HRIS 中。