Partager via


Aperçu sur la gestion des identités et des accès

Comment Microsoft services en ligne protéger les systèmes de production contre les accès non autorisés ou malveillants ?

Les services en ligne Microsoft sont conçues pour permettre aux ingénieurs de Microsoft d’exploiter les services sans accéder au contenu client. Par défaut, les ingénieurs Microsoft ont un accès permanent zéro (ZSA) au contenu client et aucun accès privilégié à l’environnement de production. Microsoft services en ligne utiliser un modèle Juste-à-temps (JIT), Just-Enough-Access (JEA) pour fournir aux ingénieurs de l’équipe de service un accès privilégié temporaire aux environnements de production lorsque cet accès est nécessaire pour prendre en charge Microsoft services en ligne. Le modèle d’accès JIT remplace l’accès administratif traditionnel et persistant avec un processus permettant aux ingénieurs de demander une élévation temporaire des rôles privilégiés lorsque nécessaire.

Les ingénieurs affectés à une équipe de service pour prendre en charge les services de production demandent l’éligibilité à un compte d’équipe de service via une solution de gestion des identités et des accès. La demande d’éligibilité déclenche une série de vérifications du personnel pour s’assurer que l’ingénieur a réussi toutes les exigences de filtrage cloud, effectué la formation nécessaire et reçu l’approbation de gestion appropriée avant la création du compte. Une fois que toutes les conditions d’éligibilité ont été respectées, un compte d’équipe de service peut être créé pour l’environnement demandé. Pour maintenir l’éligibilité à un compte d’équipe de service, le personnel doit suivre une formation basée sur les rôles chaque année et effectuer une nouvelle vérification tous les deux ans. Le fait de ne pas effectuer ou de réussir ces vérifications entraîne la révocation automatique des éligibilités.

Les comptes d’équipe de service n’accordent pas de privilèges d’administrateur permanent ou d’accès au contenu client. Lorsqu’un ingénieur a besoin d’un accès supplémentaire pour prendre en charge Microsoft services en ligne, il demande un accès temporaire élevé aux ressources dont il a besoin à l’aide d’un outil de gestion des accès appelé Lockbox. La boîte de saisie sécurisée restreint l’accès élevé aux privilèges, ressources et temps nécessaires à l’exécution de la tâche attribuée. Si un réviseur autorisé approuve la demande d’accès JIT, l’ingénieur se voit accorder un accès temporaire avec uniquement les privilèges nécessaires pour effectuer le travail qui lui est attribué. Cet accès temporaire nécessite une authentification multifacteur et est automatiquement révoqué après l’expiration de la période approuvée.

JEA est appliqué par les éligibilités et les rôles Lockbox au moment de la demande d’accès JIT. Seules les demandes d’accès aux ressources dans le cadre des éligibilités de l’ingénieur sont acceptées et transmises à l’approbateur. Lockbox rejette automatiquement les demandes JIT qui sont en dehors de l’étendue des éligibilités de l’ingénieur et des rôles Lockbox, y compris les demandes qui dépassent les seuils autorisés.

Comment Microsoft services en ligne utiliser le contrôle d’accès en fonction du rôle (RBAC) avec Lockbox pour appliquer le privilège minimum ?

Les comptes d’équipe de service n’accordent pas de privilèges d’administrateur permanent ou d’accès au contenu client. Les demandes JIT pour des privilèges d’administrateur limités sont gérées via Lockbox. Lockbox utilise RBAC pour limiter les types de demandes d’élévation JIT que les ingénieurs peuvent effectuer, fournissant une couche de protection supplémentaire pour appliquer les privilèges minimum. RBAC permet également d’appliquer la séparation des tâches en limitant les comptes d’équipe de service aux rôles appropriés. Les ingénieurs qui prennent en charge un service se voient accorder l’appartenance à des groupes de sécurité en fonction de leur rôle. L’appartenance à un groupe de sécurité n’accorde aucun accès privilégié. Au lieu de cela, les groupes de sécurité permettent aux ingénieurs d’utiliser Lockbox pour demander une élévation JIT lorsque cela est nécessaire pour prendre en charge le système. Les demandes JIT spécifiques qu’un ingénieur peut effectuer sont limitées par leurs appartenances au groupe de sécurité.

Comment Microsoft services en ligne gérer l’accès à distance aux systèmes de production ?

Les composants système microsoft services en ligne sont hébergés dans des centres de données séparés géographiquement des équipes d’exploitation. Le personnel du centre de données n’a pas d’accès logique aux systèmes services en ligne Microsoft. Par conséquent, le personnel de l’équipe de service Microsoft gère l’environnement via l’accès à distance. Le personnel de l’équipe de service qui a besoin d’un accès à distance pour prendre en charge Microsoft services en ligne se voit accorder l’accès à distance uniquement après approbation d’un responsable autorisé. Tout accès à distance utilise un TLS compatible FIPS 140-2 pour les connexions à distance sécurisées.

Microsoft services en ligne utiliser des stations de travail Administration sécurisées (SAW) pour l’accès à distance de l’équipe de service afin de protéger les environnements de service en ligne microsoft contre toute compromission. Ces stations de travail sont conçues pour empêcher la perte intentionnelle ou involontaire de données de production, notamment le verrouillage des ports USB et la limitation des logiciels disponibles sur la station de travail Secure Administration à ce qui est nécessaire pour prendre en charge l’environnement. Les stations de travail Administration sécurisées sont suivies et surveillées de près pour détecter et empêcher la compromission malveillante ou involontaire des données client par les ingénieurs Microsoft.

L’accès privilégié par le personnel Microsoft suit un chemin spécifique via des TSG contrôlés par Microsoft avec l’authentification à deux facteurs. Tous les accès et activités par le biais de TSG sont étroitement surveillés, et les alertes et les rapports sont utilisés pour identifier les connexions anormales. Les équipes de service implémentent également une surveillance basée sur les tendances pour garantir l’intégrité du service et détecter les modèles d’utilisation anormaux.

Comment Customer Lockbox ajoute-t-il une protection supplémentaire pour le contenu client ?

Les clients peuvent ajouter un niveau supplémentaire de contrôle d’accès à leur contenu en activant Customer Lockbox. Lorsqu’une demande d’élévation lockbox implique l’accès au contenu client, Customer Lockbox nécessite l’approbation du client comme dernière étape du flux de travail d’approbation. Ce processus donne aux organisations la possibilité d’approuver ou de refuser ces demandes et fournit un contrôle d’accès direct au client. Si le client rejette une demande Customer Lockbox, l’accès au contenu demandé est refusé. Si le client ne rejette pas ou n’approuve pas la demande dans un certain délai, la demande expire automatiquement sans que Microsoft n’obtienne l’accès au contenu du client. Si le client approuve la demande, l’accès temporaire de Microsoft au contenu client est journalisé, auditable et révoqué automatiquement après l’expiration du délai imparti pour terminer l’opération de résolution des problèmes.

Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés au contrôle d’identité et d’accès.

Azure et Dynamics 365

Audits externes Section Date du dernier rapport
ISO 27001

Déclaration d’applicabilité
Certificat
A.9.1 : Exigences métier du contrôle d’accès
A.9.2 : Gestion de l’accès utilisateur
A.9.3 : Responsabilités de l’utilisateur
A.9.4 : Contrôle d’accès système et application
A.15.1 : Sécurité des informations dans les relations avec les fournisseurs
8 avril 2024
ISO 27017

Déclaration d’applicabilité
Certificat
A.9.1 : Exigences métier du contrôle d’accès
A.9.2 : Gestion de l’accès utilisateur
A.9.3 : Responsabilités de l’utilisateur
A.9.4 : Contrôle d’accès système et application
A.15.1 : Sécurité des informations dans les relations avec les fournisseurs
8 avril 2024
SOC 1
SOC 2
SOC 3
OA-2 : Provisionnement de l’accès
OA-7 : Accès JIT
OA-21 : Sécuriser les stations de travail Administration et l’authentification multifacteur
16 août 2024

Microsoft 365

Audits externes Section Date du dernier rapport
FedRAMP AC-2 : Gestion des comptes
AC-3 : Application de l’accès
AC-5 : Séparation des tâches
AC-6 : Privilège minimum
AC-17 : Accès à distance
21 août 2024
ISO 27001/27017

Déclaration d’applicabilité
Certification (27001)
Certification (27017)
A.9.1 : Exigences métier du contrôle d’accès
A.9.2 : Gestion de l’accès utilisateur
A.9.3 : Responsabilités de l’utilisateur
A.9.4 : Contrôle d’accès système et application
A.15.1 : Sécurité des informations dans les relations avec les fournisseurs
Mars 2024
SOC 1 CA-33 : Modification du compte
CA-34 : Authentification utilisateur
CA-35 : Accès privilégié
CA-36 : Accès à distance
CA-57 : Approbation de la gestion Microsoft customer Lockbox
CA-58 : Demandes de service Customer Lockbox
CA-59 : Notifications Customer Lockbox
CA-61 : Examen et approbation JIT
1er août 2024
SOC 2 CA-32 : Stratégie de compte partagé
CA-33 : Modification du compte
CA-34 : Authentification utilisateur
CA-35 : Accès privilégié
CA-36 : Accès à distance
CA-53 : Supervision tierce
CA-56 : Approbation du client Customer Lockbox
CA-57 : Approbation de la gestion Microsoft customer Lockbox
CA-58 : Demandes de service Customer Lockbox
CA-59 : Notifications Customer Lockbox
CA-61 : Examen et approbation JIT
23 janvier 2024
SOC 3 CUEC-15 : Demandes customer Lockbox 23 janvier 2024