Adatműködési szempontok
Ebben a cikkben megismerheti a konfiguráció adatműködési szempontjait. A naplófájlok és egyéb funkciók a Microsoft Entra-azonosítóval kapcsolatos működésével kapcsolatos információk, például a használati adatok és az operátorok biztonsága. A fizikai biztonsági szempontokat a Microsoft Entra csapata által az üzemelő példányok és a változások meghatározására vonatkozó útmutatás mellett megismerheti.
Naplófájlok
A Microsoft Entra ID naplófájlokat hoz létre a szolgáltatás műveleteinek és eseményeinek naplózásához, vizsgálatához és hibakereséséhez. A naplófájlok tartalmazhatnak adatokat a felhasználókról, eszközökről és a Microsoft Entra konfigurációjáról, például szabályzatokról, alkalmazásokról és csoportokról. A naplófájlok létrehozása és tárolása az Azure Storage-ban történik abban az adatközpontban, ahol a Microsoft Entra szolgáltatás fut.
A naplófájlok helyi hibakereséshez, biztonsághoz, használatelemzéshez, rendszerállapot-monitorozáshoz és szolgáltatásszintű elemzéshez használhatók. Ezek a naplók egy Transport Layer Security (TLS) kapcsolaton keresztül vannak átmásolva a Microsoft jelentéskészítési gépi tanulási rendszereihez, amelyek a Microsoft tulajdonában lévő adatközpontokban találhatók a kontinentális Egyesült Államok.
Használati adatok
A használati adatok a Microsoft Entra szolgáltatás által létrehozott metaadatok, amelyek jelzik a szolgáltatás használatát. Ez a metaadatok rendszergazdai és felhasználói jelentések létrehozására szolgálnak. A Microsoft Entra mérnöki csapata a metaadatok használatával értékeli ki a rendszerhasználatot, és azonosítja a szolgáltatás fejlesztésének lehetőségeit. Ezeket az adatokat általában naplófájlba írják, de bizonyos esetekben a szolgáltatásfigyelési és jelentéskészítési rendszerek gyűjtik össze.
Operátor biztonsága
A Microsoft munkatársai, alvállalkozói és szállítói (rendszeradminisztrátorai) erősen korlátozott hozzáféréssel rendelkeznek a Microsoft Entra-azonosítóhoz. Ahol csak lehetséges, az emberi beavatkozást automatizált, eszközalapú folyamat váltja fel, beleértve az olyan rutinfunkciókat, mint az üzembe helyezés, a hibakeresés, a diagnosztikai gyűjtemény és a szolgáltatások újraindítása.
Rendszergazda hozzáférés a képzett mérnökök egy részhalmazára korlátozódik, és megköveteli az adathalászatnak ellenálló hitelesítő adatokkal kapcsolatos hitelesítési feladat elvégzését. A rendszerhozzáférési és frissítési függvényeket a Microsoft igény szerinti (JIT) jogosultságalapú hozzáférés-kezelő rendszere kezeli. A rendszergazdák a JIT-rendszer használatával kérnek jogosultságszint-emelést, amely a manuális vagy automatizált jóváhagyásra vonatkozó kérést irányítja. Jóváhagyás után a JIT megemeli a fiókot. Az emelési, jóváhagyási, szerepkör-emelési és eltávolítási kérelmeket a rendszer naplózza a jövőbeli hibakereséshez vagy vizsgálatokhoz.
A Microsoft személyzete csak egy biztonságos hozzáférésű munkaállomásról hajthat végre műveleteket, amely egy belső, izolált, erős hitelesítési identitásplatformot használ. Más Microsoft-identitásrendszerekhez való hozzáférés nem biztosít hozzáférést a biztonsági hozzáférési munkaállomáshoz. Az identitásplatform más Microsoft-identitásrendszerektől függetlenül fut.
Fizikai biztonság
A Microsoft Entra szolgáltatást alkotó kiszolgálókhoz való fizikai hozzáférést és a Microsoft Entra háttérrendszereihez való hozzáférést az Azure létesítményei, telephelyei és fizikai biztonsága korlátozza. A Microsoft Entra ügyfelei nem férnek hozzá a fizikai eszközökhöz vagy helyekhez, ezért nem tudják megkerülni a logikai szerepköralapú hozzáférés-vezérlési (RBAC-) szabályzat-ellenőrzéseket. A kezelői hozzáféréssel rendelkező személyzet jogosult jóváhagyott munkafolyamatok futtatására karbantartás céljából.
További információ: Azure-létesítmények, létesítmények és fizikai biztonság
Változásvezérlési folyamat
A szolgáltatás adatközpontok közötti módosításának bevezetéséhez a Microsoft Entra csapata határozza meg az üzembehelyezési környezet rétegeit. A változási rétegek alkalmazását szigorú kilépési feltételek korlátozzák. A módosítások rétegek közötti gördítésének időtartamát az operatív csapat határozza meg, és a lehetséges hatásokon alapul. A bevezetés általában 1–2 hetet vesz igénybe. A kritikus módosítások, például a biztonsági javítások vagy a gyakori javítások gyorsabban üzembe helyezhetők. Ha egy módosítás nem felel meg a telepítési rétegre alkalmazott kilépési feltételeknek, a rendszer visszaállítja a korábbi, stabil állapotba.
Források
Következő lépések
- Microsoft Entra id és data residency
- Adatműködési szempontok (itt van)
- Adatvédelmi szempontok