Sdílet prostřednictvím


Důležité informace o provozu dat

V tomto článku se dozvíte o provozních aspektech dat pro vaši konfiguraci. Informace o tom, jak soubory protokolů a další funkce fungují ve vztahu k ID Microsoft Entra, jako jsou data o využití a zabezpečení operátora. Kromě pokynů k tomu, jak tým Microsoft Entra definuje nasazení a změnu, se dozvíte o aspektech fyzického zabezpečení.

Soubory protokolu

Microsoft Entra ID generuje soubory protokolu pro auditování, šetření a ladění akcí a událostí ve službě. Soubory protokolů můžou obsahovat data o uživatelích, zařízeních a konfiguraci Microsoft Entra, například zásady, aplikace a skupiny. Soubory protokolů se vytvářejí a ukládají ve službě Azure Storage v datacentru, kde běží služba Microsoft Entra.

Soubory protokolů se používají pro místní ladění, zabezpečení, analýzu využití, monitorování stavu systému a analýzu pro celou službu. Tyto protokoly se kopírují přes připojení TLS (Transport Layer Security) k systémům strojového učení Od Microsoftu, které jsou v datacentrech vlastněných Microsoftem v kontinentálním USA.

Údaje o využití

Data o využití jsou metadata generovaná službou Microsoft Entra, která indikují, jak se služba používá. Tato metadata slouží ke generování sestav s oprávněními správce a uživatelů. Technický tým Microsoft Entra používá metadata k vyhodnocení využití systému a identifikaci příležitostí ke zlepšení služby. Obecně platí, že tato data se zapisují do souborů protokolů, ale v některých případech je shromažďuje naše systémy monitorování a generování sestav služeb.

Zabezpečení operátora

Přístup k Microsoft Entra ID pracovníků, dodavatelů a dodavatelů Microsoftu (správci systému) je vysoce omezený. Pokud je to možné, nahradí se lidský zásah automatizovaným procesem založeným na nástrojích, včetně rutinních funkcí, jako je nasazení, ladění, shromažďování diagnostických dat a restartování služeb.

Správa istrator je omezený na podmnožinu kvalifikovaných techniků a vyžaduje dokončení ověřovací výzvy s přihlašovacími údaji odolnými proti útokům phishing. Systémová přístupová a aktualizační funkce jsou přiřazeny rolím spravovaným systémem pro správu privilegovaného přístupu (JIT) Microsoftu za běhu. Správci systému požadují zvýšení oprávnění pomocí systému JIT, který směruje žádost o ruční nebo automatizované schválení. Po schválení jit zvýší úroveň účtu. Žádosti o zvýšení oprávnění, schválení, zvýšení oprávnění do rolí a odebrání z rolí se protokolují pro budoucí ladění nebo šetření.

Pracovníci Microsoftu můžou provádět operace pouze z pracovní stanice zabezpečeného přístupu, která používá interní izolovanou platformu identit silného ověřování. Přístup k jiným systémům identit Microsoftu neuděluje přístup k pracovní stanici s přístupem k zabezpečení. Platforma identit běží odděleně od jiných systémů identit Microsoftu.

Fyzické zabezpečení

Fyzický přístup k serverům, které tvoří službu Microsoft Entra a přístup k back-endovým systémům Microsoft Entra, je omezen zařízením, místním prostředím a fyzickým zabezpečením Azure. Zákazníci Microsoft Entra nemají přístup k fyzickým prostředkům ani umístěním, proto nemůžou obejít kontroly zásad řízení přístupu na základě logické role (RBAC). Pracovníci s přístupem operátora mají oprávnění ke spouštění schválených pracovních postupů pro údržbu.

Další informace: Zařízení Azure, místní a fyzické zabezpečení

Proces řízení změn

Pokud chcete zavést změny služby napříč datovými centry, tým Microsoft Entra definuje vrstvy prostředí nasazení. Použití vrstev změn je omezené striktními výstupními kritérii. Doba, po kterou se má změna měnit napříč vrstvami, je definována provozním týmem a je založena na potenciálních dopadech. Zavedení obvykle trvá 1 až 2 týdny. Kritické změny, jako jsou opravy zabezpečení nebo opravy za provozu, je možné nasadit rychleji. Pokud změna nesplňuje kritéria ukončení při použití na vrstvu nasazení, vrátí se zpět do předchozího stabilního stavu.

Zdroje informací

Další kroky