合规性和安全控制
本文可帮助你了解组织如何符合各种合规性要求和安全标准。
合规性
合规性覆盖范围
Microsoft托管桌面已获得以下合规性认证:
- ISO 27001 信息安全管理标准 (ISMS)
- ISO 27701 隐私信息管理系统 (PIMS)
- ISO 27017 信息安全控制措施行为守则
- ISO 27018 云中个人数据保护行为守则
- ISO 9001 质量管理体系标准
- ISO 20000-1 信息技术服务管理
- ISO 22301 业务连续性管理标准
- 云安全联盟 (CSA) STAR 证明
- 云安全联盟 (CSA) STAR 认证
- 服务组织控制措施 (SOC) 1、2、3
- 信息安全注册评估员计划 (IRAP)
- 支付卡行业 (PCI) 数据安全标准 (DSS)
- 健康保险可携性与责任法案 (HIPAA)
- 健康信息信任联盟 (HITRUST) 共同安全框架 (CSF)
审核员报表和合规性证书
可以在服务信任门户 (STP) 中找到相关信息,包括控制措施和技术要求。 此门户是有关Microsoft云服务产品/服务信息的中央存储库。 可以从 STP 的 “审核报告 ”部分下载审核报告、合规性证书等。
注意
由于 Microsoft 托管桌面在 Azure 上运行,因此相关文档通常具有“Microsoft Azure、Dynamics 365 和其他联机服务”这样的文件名。 在这些文档中,通常可以在类别“Microsoft 联机服务”或“监视 + 管理”下找到 Microsoft 托管桌面。
安全控制措施
设备控制
所有Microsoft托管桌面人员都使用批准的设备来管理服务和访问托管租户。 这些设备专用于生产操作,需要多重身份验证,具有自己的专用标识、监视和强化功能。 此外,这些特殊用途设备具有防止工程师共享设备的控件。
人员控制
Microsoft托管桌面维护并更新授权人员对包含客户数据的Microsoft系统的访问记录。 所有服务工程师必须遵守标准Microsoft安全策略和做法。 其中包括定期强制培训, (安全性、标识、隐私和合规性) 以及定期的背景和安全检查。
工程师不会保留对生产系统或客户数据的持续访问权限。 所有访问权限是时间限制的,必须由个人续订,并强制管理评审和批准。 所有权利都受到季度访问评审的约束。
Microsoft托管桌面具有与已分配所有者的进程,我们使用这些进程授予、更改和取消对数据和资源的访问授权。 例如,如果Microsoft托管桌面员工离开团队,则会及时撤销其凭据。
对任何交互式服务帐户的访问仅限于支持请求的上下文,并且仅限于使用这些设备的服务工程师。 这些帐户的请求和使用情况只能来自Microsoft安全访问工作站。
特权访问控制
处理支持请求时,服务工程师可能需要访问你的租户。 为此,必须请求对特定目录角色的访问权限。 如果获得批准,则向来宾帐户授予这些权限最多 8 小时。 此方法使特定用户能够与租户内执行的所有操作相关联。
服务帐户控制
所有Microsoft托管桌面服务帐户凭据都存储在受保护的 Azure Key Vault 中。 凭据随机生成,每 13 天轮换一次,如果在过渡期间使用,则每 30 分钟轮换一次。 可以通过 托管桌面Microsoft请求审核日志。 审核所有“实时”使用,审核日志包含Microsoft托管桌面服务工程团队的服务请求的详细信息,并在 Azure 中存储 365 天。
有关详细信息,请参阅服务信任门户中 (STP ) 中的Microsoft托管桌面 - 数据存储、使用情况和安全做法文档。