Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto článku se dozvíte o provozních aspektech dat pro vaši konfiguraci. Informace o tom, jak soubory protokolů a další funkce fungují ve vztahu k ID Microsoft Entra, jako jsou data o využití a zabezpečení operátora. Kromě pokynů k tomu, jak tým Microsoft Entra definuje nasazení a změnu, se dozvíte o aspektech fyzického zabezpečení.
Soubory protokolu
Microsoft Entra ID generuje soubory protokolu pro auditování, šetření a ladění akcí a událostí ve službě. Soubory protokolů můžou obsahovat data o uživatelích, zařízeních a konfiguraci Microsoft Entra, například zásady, aplikace a skupiny. Soubory protokolů se vytvářejí a ukládají ve službě Azure Storage v datacentru, kde běží služba Microsoft Entra.
Soubory protokolů se používají pro místní ladění, zabezpečení, analýzu využití, monitorování stavu systému a analýzu pro celou službu. Tyto protokoly se kopírují přes připojení TLS (Transport Layer Security) k systémům strojového učení od Microsoftu, které jsou ve vlastních datacentrech Microsoftu v kontinentálních Spojených státech.
Údaje o využití
Data o využití jsou metadata generovaná službou Microsoft Entra, která indikují, jak se služba používá. Tato metadata slouží ke generování sestav s oprávněními správce a uživatelů. Technický tým Microsoft Entra používá metadata k vyhodnocení využití systému a identifikaci příležitostí ke zlepšení služby. Obecně platí, že tato data se obvykle zapisují do souborů protokolů, ale v některých případech je shromažďují naše systémy pro monitorování a vykazování služeb.
Zabezpečení operátora
Přístup k Microsoft Entra ID zaměstnanců, dodavatelů a prodejců Microsoftu (správci systému) je vysoce omezený. Pokud je to možné, nahradí se lidský zásah automatizovaným procesem založeným na nástrojích, včetně rutinních funkcí, jako je nasazení, ladění, shromažďování diagnostických dat a restartování služeb.
Přístup správce je omezený na podmnožinu kvalifikovaných techniků a vyžaduje dokončení ověřovací výzvy s přihlašovacími údaji odolnými proti útokům phishing. Systémové přístupové a aktualizační funkce jsou přiřazeny rolím spravovaným systémem Microsoft pro správu privilegovaného přístupu just-in-time (JIT). Správci systému požadují zvýšení oprávnění pomocí systému JIT, který směruje žádost o ruční nebo automatizované schválení. Po schválení JIT zvýší účet. Žádosti o zvýšení oprávnění, schválení, přidělení do rolí a odebrání z rolí se protokolují pro budoucí ladění nebo vyšetřování.
Pracovníci Microsoftu můžou provádět operace pouze z pracovní stanice zabezpečeného přístupu, která používá interní izolovanou platformu identit silného ověřování. Přístup k jiným systémům identit Microsoftu neuděluje přístup k pracovní stanici s přístupem k zabezpečení. Platforma identit běží odděleně od jiných systémů identit Microsoftu.
Fyzické zabezpečení
Fyzický přístup k serverům, které tvoří službu Microsoft Entra a přístup k back-endovým systémům Microsoft Entra, je omezen zařízením, místním prostředím a fyzickým zabezpečením Azure. Zákazníci Microsoft Entra nemají přístup k fyzickým prostředkům ani umístěním, proto nemůžou obejít kontroly zásad řízení přístupu na základě logické role (RBAC). Pracovníci s přístupem operátora mají oprávnění ke spouštění schválených pracovních postupů pro údržbu.
Další informace: Zařízení Azure, místní a fyzické zabezpečení
Proces řízení změn
Pokud chcete zavést změny služby napříč datovými centry, tým Microsoft Entra definuje vrstvy prostředí nasazení. Použití vrstev změn je omezené striktními výstupními kritérii. Doba, po kterou se má změna měnit napříč vrstvami, je definována provozním týmem a je založena na potenciálních dopadech. Zavedení obvykle trvá 1 až 2 týdny. Kritické změny, jako jsou opravy zabezpečení nebo urgentní opravy, lze nasadit rychleji. Pokud změna nesplňuje kritéria ukončení při použití na vrstvu nasazení, vrátí se zpět do předchozího stabilního stavu.
Prostředky
- Dokumenty důvěryhodnosti služeb Microsoftu
- Důvěryhodný cloud Microsoft Azure
- Datová centra Office 365