Consideraciones operativas sobre datos
En este artículo, obtendrá información sobre las consideraciones operativas de datos para la configuración. Hay información sobre cómo funcionan los archivos de registro y otras características en relación con Microsoft Entra ID, como los datos de uso y la seguridad del operador. Obtendrá información sobre las consideraciones de seguridad física, además de instrucciones sobre cómo el equipo de Microsoft Entra define las implementaciones y los cambios.
Archivos de registro
Microsoft Entra ID genera archivos de registro para auditar, investigar y depurar acciones y eventos del servicio. Los archivos de registro pueden contener datos sobre usuarios, dispositivos y configuración de Microsoft Entra, por ejemplo, directivas, aplicaciones y grupos. Los archivos de registro se crean y almacenan en Azure Storage en el centro de datos donde se ejecuta el servicio Microsoft Entra.
Los archivos de registro se usan para la depuración local, la seguridad, el análisis de uso, la supervisión del estado del sistema y el análisis en todo el servicio. Estos registros se copian a través de una conexión de Seguridad de la capa de transporte (TLS) a los sistemas de aprendizaje automático de informes de Microsoft, que se encuentran en centros de datos propiedad de Microsoft en el área continental de Estados Unidos.
Datos de uso
Los datos de uso son metadatos generados por el servicio Microsoft Entra que indica cómo se usa el servicio. Estos metadatos se usan para generar informes orientados al administrador y al usuario. El equipo de ingeniería de Microsoft Entra usa los metadatos para evaluar el uso del sistema e identificar las oportunidades para mejorar el servicio. Por lo general, estos datos se escriben en archivos de registro, pero en algunos casos, nuestros sistemas de supervisión e informes de servicios recopilan estos datos.
Seguridad del operador
El acceso a Microsoft Entra ID por parte del personal, contratistas y proveedores de Microsoft (administradores de sistema) está muy restringido. Siempre que sea posible, la intervención humana se reemplaza por un proceso automatizado basado en herramientas, incluidas las funciones rutinarias como la implementación, la depuración, la recopilación de diagnósticos y el reinicio de servicios.
El acceso de administrador está limitado a un subconjunto de ingenieros cualificados y requiere la finalización de un desafío de autenticación con credenciales resistentes a suplantación de identidad (phishing). Las funciones de acceso y actualización del sistema se asignan a los roles administrados por el sistema de administración de acceso con privilegios Just-In-Time (JIT) de Microsoft. Los administradores del sistema solicitan elevación de privilegios mediante el sistema JIT que enruta la solicitud de aprobación manual o automatizada. Tras la aprobación, JIT eleva los privilegios de la cuenta. Las solicitudes de elevación, aprobación, elevación a roles y eliminación de roles se registran para depuraciones o investigaciones futuras.
El personal de Microsoft solo puede ejecutar operaciones desde una estación de trabajo de acceso seguro que usa una plataforma interna de identidad de autenticación sólida aislada. El acceso a otros sistemas de identidad de Microsoft no concede acceso a la estación de trabajo de acceso de seguridad. La plataforma de identidad se ejecuta por separado de otros sistemas de identidad de Microsoft.
Seguridad física
El acceso físico a los servidores que componen el servicio Microsoft Entra y el acceso a los sistemas back-end de Microsoft Entra está restringido por la seguridad física y en el entorno local de Azure. Los clientes de Microsoft Entra no tienen acceso a los recursos físicos o las ubicaciones, por lo que no pueden omitir las comprobaciones de directiva de control de acceso basado en roles lógicos (RBAC). El personal con acceso de operador está autorizado para ejecutar los flujos de trabajo aprobados para el mantenimiento.
Más información: Seguridad física y en el entorno local de Azure
Proceso de control de cambios
Para implementar los cambios en el servicio en los centros de datos, el equipo de Microsoft Entra define las capas de un entorno de implementación. Criterios de salida estrictos restringen la aplicación de las capas de cambio. El equipo de operaciones define la cantidad de tiempo para implementar un cambio entre capas y se basa en posibles efectos. Normalmente, una implementación tarda entre 1 y 2 semanas. Los cambios críticos, como las correcciones de seguridad o las correcciones de acceso rápido, se pueden implementar más rápido. Si un cambio no cumple los criterios de salida cuando se aplica a una capa de implementación, se revierte al estado estable anterior.
Recursos
- Documentos de confianza de servicios de Microsoft
- Nube de confianza de Microsoft Azure
- Centros de datos de Office 365