Descripción de los requisitos previos para la creación de cuentas de equipo de servicio
Ahora que comprende varias herramientas y tecnologías Microsoft 365 usa para aplicar el control de acceso, vamos a analizar cómo se crean las cuentas de equipo de servicio. El entorno de Microsoft 365 Services se separa del entorno corporativo de Microsoft. Esto significa que las cuentas de usuario del entorno corporativo de Microsoft no proporcionan acceso al entorno de servicios de Microsoft 365. Las cuentas de equipo de servicio solo se crean para el personal cuyas responsabilidades de trabajo requieren acceso al entorno de producción para administrar Microsoft 365 Services. Además, no se pueden crear cuentas de equipo de servicio sin cumplir primero los requisitos de idoneidad descritos en esta unidad.
Cuando un ingeniero se asigna a un equipo de servicio para admitir servicios de producción, solicita la idoneidad de una cuenta de equipo de servicio a través de Identity Management Tool (IDM). La solicitud de idoneidad desencadena una serie de comprobaciones del personal para asegurarse de que el ingeniero ha superado todos los requisitos de filtrado, completado el entrenamiento necesario y recibido la aprobación de administración adecuada antes de crear la cuenta. Solo después de cumplir todos los requisitos de idoneidad, se puede crear una cuenta de equipo de servicio para el entorno solicitado.
Selección de personal
Los procedimientos de filtrado de Microsoft 365 se alinean con los estándares corporativos de Microsoft y el Instituto Nacional de Estándares y Tecnología (NIST) 800-53 para el filtrado del personal.
En la medida en que lo permita la legislación local, las comprobaciones previas al empleo incluyen lo siguiente:
- Confirmación de identidad
- Comprobación de antecedentes penales
- Confirmación del nivel más alto de logros académicos
- Historial de empleo
- Comprobaciones de demandas y sanciones globales
El personal implicado en el desarrollo, el funcionamiento o la entrega de servicios en línea a clientes gubernamentales o de la nube comercial puede estar sujeto a comprobaciones adicionales para cumplir con las leyes de privacidad pertinentes. Además, es necesario volver a realizar la evaluación cada dos años para mantener la idoneidad para una cuenta de equipo de servicio. El acceso se revoca automáticamente para el personal que no pasa la nueva evaluación o no cumple con los requisitos de la nueva evaluación.
IDM aplica los requisitos de filtrado de personal y deniega la idoneidad de la cuenta de equipo de servicio a cualquier persona que no cumpla los requisitos de filtrado pertinentes. Además, IDM deshabilita automáticamente las cuentas del equipo de servicio para los usuarios que no pasan la revisión requerida.
Aprendizaje
A cada ingeniero que trabaja en Microsoft 365 equipo de servicio se le proporciona formación adecuada para su rol. El entrenamiento inicial se produce cuando un nuevo empleado comienza a trabajar en Microsoft y, a partir de ese momento, hay un aprendizaje de actualización anual cada año. El aprendizaje proporciona al empleado una comprensión del enfoque de Microsoft para la seguridad.
IDM aplica los requisitos de entrenamiento. Si no se completa el entrenamiento necesario, se impide la idoneidad para las nuevas cuentas de equipo de servicio y se deshabilitan automáticamente las cuentas de equipo de servicio existentes.
Aprobación de administración y creación de cuentas
Después de que IDM haya confirmado que se cumplen todos los requisitos de elegibilidad, la solicitud de la cuenta del equipo de servicio se envía a los administradores autorizados para su revisión y aprobación. Solo después de aprobar la solicitud, se puede crear una cuenta de equipo de servicio.
Las cuentas de equipo de servicio de línea de base están limitadas a un amplio acceso de lectura de metadatos del sistema que se usa para solucionar problemas habituales. Este acceso predeterminado es de solo lectura, sin privilegios administrativos ni acceso al contenido del cliente. Además, las cuentas de equipo de servicio de línea base no pueden solicitar acceso elevado a través de la Caja de seguridad sin asignaciones de roles específicas que permitan solicitudes de elevación para tareas y operaciones específicas. Estas limitaciones son la base de la estrategia de administración de acceso con privilegios de Microsoft Purview, que se basa en el principio de acceso permanente cero.