서비스 팀 계정 만들기를 위한 필수 구성 요소 이해
이제 Microsoft 365에서 액세스 제어를 적용하는 데 사용하는 다양한 도구와 기술을 이해했으므로 서비스팀 계정을 만드는 방법을 살펴보겠습니다. Microsoft 365 Services 환경은 Microsoft Corporate 환경과 분리됩니다. 즉, Microsoft Corporate 환경 사용자 계정은 Microsoft 365 Services 환경에 대한 액세스를 제공하지 않습니다. 서비스팀 계정은 Microsoft 365 Services를 관리하기 위해 프로덕션 환경에 대한 액세스 권한이 필요한 직원만 만듭니다. 또한, 이 단원에 설명된 자격 요구 사항을 먼저 충족하지 않으면 서비스팀 계정을 만들 수 없습니다.
프로덕션 서비스를 지원하기 위해 서비스팀에 엔지니어가 할당되면 IDM(ID 관리 도구)을 통해 서비스팀 계정에 대한 자격을 요청합니다. 자격 요청은 엔지니어가 계정을 만들기 전에 모든 심사 요구 사항을 통과하고, 필요한 교육을 완료하고, 적절한 관리 승인을 받았는지 확인하기 위해 일련의 직원 검사를 트리거합니다. 모든 자격 요구 사항을 충족한 후에만 요청된 환경에 대한 서비스팀 계정을 만들 수 있습니다.
직원 심사
Microsoft 365 선별 업무에는 인사 선별을 위한 Microsoft 기업 표준 및 NIST(National Institute of Standards and Technology) 800-53에 따릅니다.
현지 법률이 허용하는 한도 내에서 고용 전 선별 검사에는 다음이 포함됩니다.
- 신원 확인
- 범죄 기록 확인
- 최종 학력 확인서
- 고용 이력
- 글로벌 제재 및 집행 점검
정부 또는 상업용 클라우드 고객에 대한 온라인 서비스의 개발, 운영 또는 제공과 관련된 직원은 관련 개인정보 보호법을 준수하기 위해 추가 검사를 받을 수 있습니다. 또한 서비스 팀 계정에 대한 자격을 유지하려면 2년마다 재심사가 필요합니다. 재선별을 통과하지 못하거나 재선별 요구 사항을 완료하지 못한 직원에 대한 액세스는 자동으로 취소됩니다.
IDM은 직원 심사 요구 사항을 적용하고 관련 심사 요구 사항을 충족하지 않는 모든 사용자에게 서비스팀 계정 자격을 거부합니다. 또한, IDM은 필요한 재심사를 통과하지 못한 사용자에 대해 서비스 팀 계정을 자동으로 비활성화합니다.
교육
Microsoft 365 서비스팀에서 작업하는 각 엔지니어는 자신의 역할에 적합한 교육을 받습니다. 초기 교육은 신입 사원이 일하기 시작할 때 이루어지며, 그 후 매년 갱신 교육이 시행됩니다. 이 교육을 통해 직원은 보안에 대한 Microsoft의 접근 방식을 이해할 수 있습니다.
교육 요구 사항은 IDM에 의해 적용됩니다. 필수 교육을 완료하지 못하면 새 서비스팀 계정에 대한 자격이 박탈되고 기존 서비스팀 계정이 자동으로 비활성화됩니다.
관리 승인 및 계정 만들기
IDM에서 모든 자격 요구 사항이 충족되었음을 확인한 후에는 검토 및 승인을 위해 서비스팀 계정 요청이 권한 있는 관리자에게 전송됩니다. 요청이 승인된 후에만 서비스팀 계정을 만들 수 있습니다.
기준 서비스팀 계정은 정기적인 문제 해결에 사용되는 광범위한 시스템 메타데이터 읽기 액세스로 제한됩니다. 이 기본 액세스는 관리자 권한이나 고객 콘텐츠에 대한 액세스 권한 없이 읽기 전용입니다. 또한, 기준 서비스팀 계정은 특정 작업 및 작업에 대한 권한 상승 요청을 허용하는 특정 역할 할당 없이는 Lockbox를 통해 상승된 액세스를 요청할 수 없습니다. 이러한 제한 사항은 제로 스탠딩 액세스 원칙을 기반으로 하는 Microsoft Purview Privileged Access Management 전략의 기초입니다.