Dela via

Överväganden för datadrift

  • Artikel

I den här artikeln får du lära dig mer om datadriftsöverväganden för din konfiguration. Det finns information om hur loggfiler och andra funktioner fungerar i förhållande till Microsoft Entra-ID, till exempel användningsdata och operatörssäkerhet. Du får lära dig mer om fysiska säkerhetsöverväganden utöver vägledning om hur Microsoft Entra-teamet definierar distributioner och ändringar.

Loggfiler

Microsoft Entra-ID genererar loggfiler för granskning, undersökning och felsökning för åtgärder och händelser i tjänsten. Loggfiler kan innehålla data om användare, enheter och Microsoft Entra-konfiguration, för instansprinciper, appar och grupper. Loggfiler skapas och lagras i Azure Storage i det datacenter där Microsoft Entra-tjänsten körs.

Loggfiler används för lokal felsökning, säkerhet, användningsanalys, övervakning av systemhälsa och tjänstomfattande analys. Dessa loggar kopieras via en TLS-anslutning (Transport Layer Security) till Microsofts rapporteringsmaskininlärningssystem, som finns i Microsoft-ägda datacenter i kontinentala USA.

Användningsdata

Användningsdata är metadata som genereras av Microsoft Entra-tjänsten som anger hur tjänsten används. Dessa metadata används för att generera administratörs- och användarriktade rapporter. Microsoft Entra-teknikteamet använder metadata för att utvärdera systemanvändningen och identifiera möjligheter att förbättra tjänsten. I allmänhet skrivs dessa data till loggfiler, men i vissa fall samlas de in av våra tjänstövervaknings- och rapporteringssystem.

Operatörssäkerhet

Åtkomst till Microsoft Entra-ID av Microsofts personal, leverantörer och leverantörer (systemadministratörer) är mycket begränsad. Där det är möjligt ersätts mänsklig inblandning av en automatiserad, verktygsbaserad process, inklusive rutinfunktioner som distribution, felsökning, diagnostikinsamling och omstart av tjänster.

Administratörsåtkomst är begränsad till en delmängd av kvalificerade tekniker och kräver slutförande av en autentiseringsuppgift med nätfiskeresistenta autentiseringsuppgifter. Systemåtkomst och uppdateringsfunktioner tilldelas till roller som hanteras av microsofts jit-hanteringssystem (just-in-time). Systemadministratörer begär utökade privilegier med hjälp av JIT-systemet, som dirigerar begäran om manuellt eller automatiserat godkännande. Vid godkännande höjer JIT kontot. Begäranden om utökade privilegier, godkännande, utökade roller och borttagning från roller loggas för framtida felsökning eller undersökningar.

Microsofts personal kan endast utföra åtgärder från en säker arbetsstation för åtkomst, som använder en intern isolerad identitetsplattform för stark autentisering. Åtkomst till andra Microsoft-identitetssystem ger inte åtkomst till arbetsstationen för säkerhetsåtkomst. Identitetsplattformen körs separat från andra Microsoft-identitetssystem.

Fysisk säkerhet

Fysisk åtkomst till servrar som utgör Microsoft Entra-tjänsten och åtkomst till Microsoft Entra-serverdelssystem begränsas av Azure-anläggning, lokal och fysisk säkerhet. Microsoft Entra-kunder har ingen åtkomst till fysiska tillgångar eller platser, därför kan de inte kringgå rbac-principkontrollerna (logisk rollbaserad åtkomstkontroll). Personal med operatörsåtkomst har behörighet att köra godkända arbetsflöden för underhåll.

Läs mer: Azure-anläggningar, lokaler och fysisk säkerhet

Ändringskontrollprocess

För att distribuera ändringar i tjänsten mellan datacenter definierar Microsoft Entra-teamet lagren i en distributionsmiljö. Tillämpning av ändringsskikten begränsas av strikta avslutsvillkor. Hur lång tid det går att rulla en ändring mellan lager definieras av driftsteamet och baseras på potentiella effekter. Vanligtvis tar en distribution mellan 1 och 2 veckor. Viktiga ändringar, till exempel säkerhetskorrigeringar eller snabbkorrigeringar, kan distribueras snabbare. Om en ändring inte uppfyller avslutsvillkoren när den tillämpas på ett distributionslager återställs den till det tidigare stabila tillståndet.

Resurser

Nästa steg