Microsoft 员工转移和离职

Microsoft 与其他组织一样，作为正常业务运营的一部分来处理员工转移和离职。 当员工更改职位或离开公司时，必须及时撤销不当的访问权限。 为了促进高效的访问更改和访问吊销，Microsoft 使用标准化过程和自动化流程将人力资源信息系统 (HRIS) 与标识管理 (IDM) 系统进行协调。 这两个系统之间的自动业务流程对于保持操作一致性、保护 Microsoft 的联机服务和数据、防止特权蠕变以及降低与内部威胁相关的风险至关重要。

Microsoft 联机服务设计为无需对工程师的生产环境进行长期管理访问即可运行。 Microsoft 使用实时 (JIT) 、Just-Enough-Access (JEA) 模型，为工程师提供在需要时支持其服务所需的临时访问权限。 若要请求和使用服务团队帐户进行 JIT 访问，工程师必须通过 IDM 工具请求和维护可视化。 当员工被转移或终止时，会自动修改其服务团队帐户和相关质限，以防止不当访问。

传输和重新分配

员工转移是通过员工经理的转移事务请求启动的。 经理创建一个申请，并参与全球人才采购的套餐信函过程。 员工接受新角色的产品/服务后，人力资源服务会在 HR 核心工具中完成转移，并触发 IDM 为所有员工的质限设置过期日期。 员工必须提交请求并获得新经理的批准才能保留其资格。 未能提交请求或接受经理批准，导致吊销被调职员工的资格。 对于包含特定安全影响的传输，系统访问和安全组成员身份会立即重新评估，以反映其新角色。

离职

当员工离职时，Microsoft 使用明确定义的策略和过程来立即撤销其对 Microsoft 系统和资源的物理和逻辑访问权限。 当员工发出通知时，员工的经理会将终止日期输入 HRIS。 员工最后一个工作日后，HRIS 将员工标记为已终止，并将信息共享给 IDM，IDM 会自动删除所有服务团队帐户和可取性。

对于非自愿解雇，HR 与员工的经理一起执行相应的步骤来终止和离职。 与自愿终止类似，终止信息会与任何必要的步骤（例如有效的日期协调、访问删除以及与角色转换相关的任何其他步骤）一起输入到 HRIS 中。