Рекомендации по работе с данными

В этой статье описаны рекомендации по работе с данными для конфигурации. Сведения о том, как работают файлы журналов и другие функции в отношении идентификатора Microsoft Entra, например данных об использовании и безопасности оператора. Вы узнаете о рекомендациях по обеспечению физической безопасности, а также о том, как команда Microsoft Entra определяет развертывания и изменения.

Файлы журналов

Идентификатор Microsoft Entra создает файлы журналов для аудита, исследования и отладки действий и событий в службе. Файлы журналов могут содержать данные о пользователях, устройствах и конфигурации Microsoft Entra, например политиках, приложениях и группах. Файлы журналов создаются и хранятся в служба хранилища Azure в центре обработки данных, где выполняется служба Microsoft Entra.

Файлы журналов используются для локальной отладки, безопасности, анализа использования, мониторинга работоспособности системы и анализа на уровне служб. Эти журналы копируются через подключение TLS к системам машинного обучения Майкрософт, которые находятся в центрах обработки данных корпорации Майкрософт в континентальной США.

Данные об использовании

Данные об использовании — это метаданные, созданные службой Microsoft Entra, которая указывает, как используется служба. Эти метаданные используются для создания отчетов с правами администратора и пользователей. Команда разработчиков Microsoft Entra использует метаданные для оценки использования системы и выявления возможностей для улучшения службы. Как правило, эти данные записываются в файлы журналов, но в некоторых случаях собираются нашими системами мониторинга и отчетности службы.

Безопасность оператора

Доступ к идентификатору Microsoft Entra от персонала Майкрософт, подрядчиков и поставщиков (системных администраторов) очень ограничен. Когда это возможно, вмешательство человека заменяется автоматизированным процессом на основе инструментов, включая стандартные функции, такие как развертывание, отладка, сбор диагностических данных и перезапуск служб.

доступ Администратор istrator ограничен подмножеством квалифицированных инженеров и требует завершения проверки подлинности с помощью фишинговых учетных данных. Функции доступа к системе и обновления назначаются ролям, управляемым системой управления привилегированным доступом (JIT) Майкрософт. Системные администраторы запрашивают повышение прав с помощью системы JIT, которая направляет запрос на ручное или автоматическое утверждение. При утверждении JIT повышает учетную запись. Запросы на повышение прав, утверждение, повышение прав на роли и удаление из ролей регистрируются для будущих отладки или расследований.

Персонал Майкрософт может выполнять операции только с рабочей станции безопасного доступа, которая использует внутреннюю изолированную платформу удостоверений строгой проверки подлинности. Доступ к другим системам удостоверений Майкрософт не предоставляет доступ к рабочей станции безопасности. Платформа удостоверений работает отдельно от других систем удостоверений Майкрософт.

Физическая безопасность

Физический доступ к серверам, составляющим службу Microsoft Entra, и доступ к внутренним системам Microsoft Entra, ограничен объектом Azure, локальной и физической безопасностью. Клиенты Microsoft Entra не имеют доступа к физическим ресурсам или расположениям, поэтому они не могут обойти политику управления доступом на основе ролей (RBAC) проверка. Персонал с доступом к оператору авторизован для запуска утвержденных рабочих процессов для обслуживания.

Дополнительные сведения: объекты Azure, локальные и физические средства безопасности

Процесс управления изменениями

Чтобы развернуть изменения в службе в центрах обработки данных, команда Microsoft Entra определяет уровни среды развертывания. Применение слоев изменений ограничено строгими критериями выхода. Время, затраченное на смену на разных уровнях, определяется командой операций и основывается на потенциальных последствиях. Обычно развертывание занимает от 1 до 2 недель. Критические изменения, такие как исправления безопасности или исправления горячего режима, могут быть развернуты быстрее. Если изменение не соответствует критериям выхода при применении к уровню развертывания, оно откатывается к предыдущему стабильному состоянию.

Ресурсы

• Документы доверия служб Майкрософт
• Доверенное облако Microsoft Azure
• Центры обработки данных Office 365

Следующие шаги

• Идентификатор и место расположения данных Microsoft Entra
• Рекомендации по работе с данными (здесь)
• Рекомендации по защите данных