Entender os pré-requisitos para criar a conta da equipe de serviço

Concluído

Agora que você entende várias ferramentas e tecnologias Microsoft 365 para impor o controle de acesso, vamos discutir como as contas da equipe de serviço são criadas. O ambiente para Microsoft 365 Services é separado do ambiente Corporativo da Microsoft. Isso significa que as contas de usuário do ambiente Corporativo da Microsoft não fornecem nenhum acesso ao ambiente de Serviços do Microsoft 365. As contas da equipe de serviço são criadas apenas para funcionários cujas responsabilidades de trabalho exigem acesso ao ambiente de produção para gerenciar Microsoft 365 Serviços. Além disso, as contas da equipe de serviço não podem ser criadas sem primeiro atender aos requisitos de qualificação descritos nesta unidade.

Quando um engenheiro é atribuído a uma equipe de serviço para dar suporte aos serviços de produção, ele solicita qualificação para uma conta de equipe de serviço por meio da Ferramenta de Gerenciamento de Identidade (IDM). A solicitação de qualificação dispara uma série de verificações de pessoal para garantir que o engenheiro tenha aprovado todos os requisitos de triagem, concluído o treinamento necessário e recebido a aprovação de gerenciamento apropriada antes da criação da conta. Somente depois de atender a todos os requisitos de qualificação, uma conta de equipe de serviço pode ser criada para o ambiente solicitado.

Um diagrama de fluxo de trabalho, começando com o Engenheiro de Serviço da Microsoft ingressando na equipe de serviço. Eles devem passar pela triagem de pessoal e treinamento baseado na função para se qualificar para solicitar a Conta da equipe de serviço. Após a aprovação do gerente autorizado, a conta é criada.

Triagem de pessoal

As práticas de triagem do Microsoft 365 se alinham com os Padrões Corporativos da Microsoft e o Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 para a triagem de pessoal.

Até o limite permitido por lei local, as verificações de triagem de pré-emprego incluem o seguinte:

  • Confirmação de identidade
  • Verificação de histórico criminal
  • Confirmação do nível mais alto de conquista acadêmica
  • Histórico de empregos
  • Sanções globais e verificação de imposição

A equipe envolvida no desenvolvimento, operação ou entrega de serviços online para clientes governamentais ou de nuvem comercial pode estar sujeita a verificações adicionais para cumprir as leis de privacidade relevantes. Além disso, é necessária uma nova triagem a cada dois anos para manter a qualificação para uma conta de equipe de serviço. O acesso é automaticamente revogado para a equipe que não passar na nova triagem ou não completar os requisitos da nova triagem.

O IDM impõe os requisitos de triagem de pessoal e nega a qualificação da conta da equipe de serviço a qualquer pessoa que não atenda aos requisitos de triagem relevantes. Além disso, o IDM desabilita automaticamente as contas da equipe de serviço para os usuários que não passarem na nova triagem necessária.

Treinamento

Cada engenheiro que trabalha em Microsoft 365 de serviço é fornecido com treinamento apropriado para sua função. O treinamento inicial ocorre quando um novo funcionário começa a trabalhar na Microsoft e o treinamento de atualização anual ocorre todos os anos depois disso. O treinamento fornece ao funcionário uma compreensão da abordagem da Microsoft em relação à segurança.

Os requisitos de treinamento são impostos pelo IDM. A falha ao concluir o treinamento necessário impede a qualificação para novas contas de equipe de serviço e desabilita automaticamente as contas de equipe de serviço existentes.

Aprovação de gerenciamento e criação de conta

Depois que o IDM confirmar que todos os requisitos de qualificação foram atendidos, a solicitação de conta de equipe de serviço será enviada aos gerentes autorizados para revisão e aprovação. Somente depois que a solicitação for aprovada, uma conta de equipe de serviço poderá ser criada.

As contas da equipe de serviço de linha de base são limitadas ao amplo acesso de leitura de metadados do sistema usado para solução de problemas regulares. Esse acesso padrão é somente leitura, sem privilégios administrativos ou acesso ao conteúdo do cliente. Além disso, as contas da equipe de serviço de linha de base não podem solicitar acesso elevado através do Lockbox sem atribuições de função específicas que permitam solicitações de elevação para tarefas e operações específicas. Essas limitações são a base da estratégia do Gerenciamento de Acesso Privilegiado do Microsoft Purview, que se baseia no princípio do Acesso Permanente Zero.

Saiba mais