Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo articolo, scopri le considerazioni operative sui dati per la tua configurazione. Sono disponibili informazioni sul funzionamento dei file di log e di altre funzionalità in relazione all'ID Microsoft Entra, ad esempio i dati di utilizzo e la sicurezza dell'operatore. Verranno fornite informazioni sulle considerazioni sulla sicurezza fisica oltre alle indicazioni su come il team di Microsoft Entra definisce le distribuzioni e il cambiamento.
File di registro
Microsoft Entra ID genera file di log per il controllo, l'analisi e il debug per azioni ed eventi nel servizio. I file di log possono contenere dati relativi a utenti, dispositivi e configurazione di Microsoft Entra, ad esempio criteri, app e gruppi. I file di log vengono creati e archiviati in Archiviazione Azure nella sede del data center in cui viene eseguito il servizio Microsoft Entra.
I file di log vengono usati per il debug locale, la sicurezza, l'analisi dell'utilizzo, il monitoraggio dell'integrità del sistema e l'analisi a livello di servizio. Questi log vengono copiati tramite una connessione Tls (Transport Layer Security) ai sistemi di Machine Learning di Microsoft, che si trovano nei data center di proprietà di Microsoft negli Stati Uniti continentali.
Dati di utilizzo
I dati di utilizzo sono metadati generati dal servizio Microsoft Entra che indica come viene usato il servizio. Questi metadati vengono usati per generare report con privilegi di amministratore e utenti. Il team di progettazione di Microsoft Entra usa i metadati per valutare l'utilizzo del sistema e identificare le opportunità per migliorare il servizio. In genere, questi dati vengono scritti nei file di log, ma in alcuni casi vengono raccolti dai sistemi di monitoraggio e creazione di report dei servizi.
Sicurezza degli operatori
L'accesso all'ID Microsoft Entra da parte del personale Microsoft, dei terzisti e dei fornitori (amministratori di sistema) è altamente limitato. Laddove possibile, l'intervento umano viene sostituito da un processo automatizzato basato su strumenti, incluse funzioni di routine, ad esempio distribuzione, debug, raccolta diagnostica e riavvio dei servizi.
L'accesso amministratore è limitato a un subset di tecnici qualificati e richiede il completamento di una richiesta di autenticazione con credenziali resistenti al phishing. Le funzioni di accesso e aggiornamento del sistema sono assegnate ai ruoli gestiti dal sistema di gestione dei privilegi JIT (just-in-time) di Microsoft. Gli amministratori di sistema richiedono l'elevazione dei privilegi usando il sistema JIT, che instrada la richiesta di approvazione manuale o automatica. Dopo l'approvazione, JIT eleva l'account. Le richieste di elevazione, approvazione, assegnazione ai ruoli e rimozione dai ruoli vengono registrate per debugging o indagini future.
Il personale Microsoft può eseguire operazioni solo da una workstation di accesso sicuro, che usa una piattaforma di identità di autenticazione avanzata isolata interna. L'accesso ad altri sistemi di identità Microsoft non concede l'accesso alla workstation di accesso alla sicurezza. Identity Platform viene eseguito separatamente da altri sistemi di gestione delle identità Microsoft.
Sicurezza fisica
L'accesso fisico ai server che comprendono il servizio Microsoft Entra e l'accesso ai sistemi back-end Microsoft Entra sono limitati dalla struttura di Azure, dall'ambiente locale e dalla sicurezza fisica. I clienti di Microsoft Entra non hanno accesso a risorse fisiche o posizioni, pertanto non possono ignorare i controlli dei criteri di controllo degli accessi logici basati sui ruoli. Il personale con accesso operatore è autorizzato a eseguire flussi di lavoro approvati per la manutenzione.
Altre informazioni: Strutture, locali e sicurezza fisica di Azure
Processo di controllo delle modifiche
Per implementare le modifiche al servizio nei data center, il team di Microsoft Entra definisce i livelli di un ambiente di distribuzione. L'applicazione dei livelli di modifica è vincolata da criteri di uscita rigorosi. Il tempo necessario per implementare una modifica tra i livelli è determinato dal team delle operazioni ed è basato sugli effetti potenziali. In genere, un'implementazione richiede da 1 a 2 settimane. Le modifiche critiche, ad esempio correzioni di sicurezza o correzioni ad accesso frequente, possono essere distribuite più velocemente. Se una modifica non soddisfa i criteri di uscita quando viene applicata a un livello di distribuzione, viene eseguito il rollback allo stato precedente e stabile.
Risorse
- Documenti attendibili dei servizi Microsoft
- Cloud attendibile di Microsoft Azure
- Data center di Office 365