Comprendre les conditions préalables pour la création d’un compte d’une équipe de service
Maintenant que vous comprenez les différents outils et technologies que Microsoft 365 utilise pour renforcer le contrôle d’accès, voyons comment les comptes d’équipe de service sont créés. L’environnement pour les services Microsoft 365 est séparé de l’environnement d’entreprise Microsoft. Cela signifie que les comptes d’utilisateur de l’environnement d’entreprise Microsoft ne fournissent aucun accès à l’environnement des services Microsoft 365. Les comptes d’équipe de service sont créés uniquement pour les membres du personnel qui ont besoin d’accéder à l’environnement de production pour gérer les services Microsoft 365. En outre, les comptes d’équipe de service ne peuvent pas être créés sans répondre au départ aux conditions d’éligibilité indiquées dans cette unité.
Lorsqu’un ingénieur est attribué à une équipe de service pour prendre en charge les services de production, il demande l’éligibilité d’un compte d’équipe de service via l’outil de gestion des identités (IDM). La demande d’éligibilité déclenche une série de vérifications du personnel pour s’assurer que l’ingénieur ait réussi à répondre à toutes les exigences en matière de filtrage, suivi de la formation requise et reçu l’approbation de gestion appropriée avant la création du compte. Une fois que toutes les conditions d’éligibilité ont été respectées, un compte d’équipe de service peut être créé pour l’environnement demandé.
Filtrage du personnel
Les pratiques de filtrage Microsoft 365 s'alignent sur les normes d'entreprise de Microsoft et sur les normes 800-53 du National Institute of Standards and Technology (NIST) pour le filtrage du personnel.
Dans la mesure où la législation locale le permet, les vérifications préalables à l'emploi incluent les suivants :
- Confirmation de l’identité
- Vérification du casier judiciaire
- Confirmation du niveau de réussite scolaire le plus élevé
- Expérience professionnelle
- Sanctions mondiales et contrôle de l’exécution
Le personnel impliqué dans le développement, l'exploitation ou la fourniture de services en ligne à des clients gouvernementaux ou commerciaux dans le cloud peut être soumis à des contrôles supplémentaires pour se conformer aux lois pertinentes sur la confidentialité. De plus, un nouvel filtrage tous les deux ans est nécessaire pour conserver l'éligibilité à un compte de l'équipe de service. L’accès est automatiquement révoqué pour les membres du personnel qui ne passent pas ou qui ne parviennent pas à remplir les conditions requises du nouveau contrôle.
L’outil de gestion des identités (IDM) applique les exigences de filtrage du personnel et refuse l’éligibilité du compte d’équipe de service à toute personne qui ne répond pas aux conditions requises de filtrage pertinentes. En outre, IDM désactive automatiquement les comptes d’équipe de service des utilisateurs qui ne passent pas le nouveau filtrage requis.
Formation
Chaque ingénieur travaillant sur des équipes de service Microsoft 365 est fourni avec une formation appropriée à son rôle. Une formation initiale se produit lorsqu’un nouvel employé commence à travailler chez Microsoft, et une session annuelle de remise à niveau s’effectue tous les ans par la suite. La formation permet à l’employé de comprendre l’approche de Microsoft en matière de sécurité.
Les exigences en matière de formation sont appliquées par IDM. Le non-respect de la formation requise empêche de bénéficier de nouveaux comptes d’équipe de service et désactive automatiquement les comptes d’équipe de service existants.
Approbation de la direction et création de compte
Une fois que IDM a confirmé que toutes les conditions d’éligibilité sont réunies, la demande de compte d’équipe de service est envoyée aux responsables autorisés pour révision et approbation. Une fois la demande approuvée, vous pouvez créer un compte d’équipe de service.
Les comptes de l'équipe de service de base sont limités à un large accès en lecture des métadonnées du système, utilisé pour le dépannage régulier. Cet accès par défaut est en lecture seule, sans privilèges administratifs ni accès au contenu du client. En outre, les comptes d’équipe de service de référence ne peuvent pas demander d’accès élevé via Lockbox sans attributions de rôles spécifiques autorisant les demandes d’élévation pour des tâches et des opérations spécifiques. Ces limitations sont les fondements de la stratégie Privileged Access Management de Microsoft Purview, basée sur le principe de l’Accès permanent zéro.