标识和访问管理概述

Microsoft 联机服务如何保护生产系统免受未经授权的或恶意访问?

Microsoft 联机服务旨在允许Microsoft的工程师在不访问客户内容的情况下操作服务。 默认情况下,Microsoft工程师对客户内容 (ZSA) 具有零长期访问权限,并且对生产环境没有特权访问权限。 Microsoft 联机服务使用实时 (JIT) 、Just-Enough-Access (JEA) 模型为服务团队工程师提供对生产环境的临时特权访问,而需要此类访问才能支持Microsoft 联机服务。 JIT 访问模型将传统的长期管理访问权限替换为工程师在需要时请求临时提升为特权角色的过程。

分配给服务团队以支持生产服务的工程师通过标识和访问管理解决方案请求服务团队帐户的资格。 资格请求会触发一系列人员检查,以确保工程师在创建帐户之前通过了所有云筛选要求,完成了必要的培训,并获得了适当的管理批准。 只有在满足所有资格要求后,才能为申请环境创建服务团队帐户。 为了保持服务团队帐户的资格,人员必须每年进行基于角色的培训,并每两年重新筛选一次。 未能完成或通过这些检查会导致资格自动撤销。

服务团队帐户不授予任何长期管理员权限或对客户内容的访问权限。 当工程师需要额外的访问权限来支持Microsoft 联机服务时,他们会使用名为“密码箱”的访问管理工具请求对所需的资源的临时提升访问权限。 密码箱将提升的访问权限限制为完成所分配任务需要的最低权限、资源和时间。 如果授权审阅者批准 JIT 访问请求,则仅授予工程师完成分配工作所需的权限的临时访问权限。 此临时访问需要多重身份验证,并在批准期限到期后自动撤销。

在请求 JIT 访问时,资格和密码箱角色强制实施 JEA。 仅接受在工程师资格范围内访问资产的请求,并将其传递给审批者。 密码箱会自动拒绝超出工程师资格和密码箱角色范围的 JIT 请求,包括超过允许阈值的请求。

Microsoft 联机服务如何将基于角色的访问控制 (RBAC) 与密码箱配合使用来强制实施最低特权?

服务团队帐户不授予任何长期管理员权限或对客户内容的访问权限。 有限管理员权限的 JIT 请求通过密码箱进行管理。 密码箱使用 RBAC 来限制工程师可以发出的 JIT 提升请求的类型,从而提供额外的保护层来强制实施最低特权。 RBAC 还通过将服务团队帐户限制为适当的角色来帮助强制实施职责分离。 支持服务的工程师根据其角色向其授予安全组成员身份。 安全组中的成员身份不授予任何特权访问权限。 相反,安全组允许工程师在支持系统时使用密码箱请求 JIT 提升。 工程师可以发出的特定 JIT 请求受其安全组成员身份的限制。

Microsoft 联机服务如何处理对生产系统的远程访问?

Microsoft 联机服务系统组件位于地理上与运营团队分开的数据中心内。 数据中心人员对Microsoft 联机服务系统没有逻辑访问权限。 因此,Microsoft服务团队人员通过远程访问来管理环境。 需要远程访问以支持Microsoft 联机服务的服务团队人员只有在获得授权经理的批准后才能获得远程访问。 所有远程访问都使用与 FIPS 140-2 兼容的 TLS 进行安全远程连接。

Microsoft 联机服务使用安全管理员工作站 (SAW) 进行服务团队远程访问,以帮助保护Microsoft联机服务环境免受入侵。 这些工作站旨在防止有意或无意地丢失生产数据,包括锁定 USB 端口,并将安全管理员工作站上可用的软件限制为支持环境所需的软件。 安全管理员工作站受到密切跟踪和监视,以检测和防止Microsoft工程师恶意或无意泄露客户数据。

Microsoft人员通过具有双重身份验证Microsoft控制的 TSG 遵循特定路径进行特权访问。 通过 TSG 进行的所有访问和活动都受到密切监视,并使用警报和报告来识别任何异常连接。 服务团队还实施基于趋势的监视,以确保服务运行状况并检测异常使用模式。

客户密码箱如何为客户内容添加额外的保护?

客户可以通过启用客户密码箱为其内容添加额外的访问控制级别。 当密码箱提升请求涉及访问客户内容时,客户密码箱需要客户的批准,这是审批工作流中的最后一步。 此过程使组织可以选择批准或拒绝这些请求,并为客户提供直接访问控制。 如果客户拒绝客户密码箱请求,则拒绝访问所请求的内容。 如果客户未在特定期限内拒绝或批准请求,则请求将自动过期,而不会Microsoft获取对客户内容的访问权限。 如果客户批准请求,则Microsoft对客户内容的临时访问将在分配完成故障排除操作的时间过期后自动记录、可审核和撤销。

定期审核Microsoft联机服务是否符合外部法规和认证。 有关与标识和访问控制相关的控件的验证,请参阅下表。

Azure 和 Dynamics 365

外部审核 Section 最新报告日期
ISO 27001

适用性声明
证书
A.9.1:访问控制的业务要求
A.9.2:用户访问管理
A.9.3:用户责任
A.9.4:系统和应用程序访问控制
A.15.1:供应商关系中的信息安全
2024 年 4 月 8 日
ISO 27017

适用性声明
证书
A.9.1:访问控制的业务要求
A.9.2:用户访问管理
A.9.3:用户责任
A.9.4:系统和应用程序访问控制
A.15.1:供应商关系中的信息安全
2024 年 4 月 8 日
SOC 1
SOC 2
SOC 3
OA-2:预配访问权限
OA-7:JIT 访问
OA-21:保护管理员工作站和 MFA
2024 年 8 月 16 日

Microsoft 365

外部审核 Section 最新报告日期
FedRAMP AC-2:帐户管理
AC-3:访问强制实施
AC-5:职责分离
AC-6:最低特权
AC-17:远程访问
2024 年 8 月 21 日
ISO 27001/27017

适用性声明
认证 (27001)
认证 (27017)
A.9.1:访问控制的业务要求
A.9.2:用户访问管理
A.9.3:用户责任
A.9.4:系统和应用程序访问控制
A.15.1:供应商关系中的信息安全
2024 年 3 月
SOC 1 CA-33:帐户修改
CA-34:用户身份验证
CA-35:特权访问
CA-36:远程访问
CA-57:客户密码箱Microsoft管理审批
CA-58:客户密码箱服务请求
CA-59:客户密码箱通知
CA-61:JIT 审查和批准
2024 年 8 月 1 日
SOC 2 CA-32:共享帐户策略
CA-33:帐户修改
CA-34:用户身份验证
CA-35:特权访问
CA-36:远程访问
CA-53:第三方监视
CA-56:客户密码箱客户批准
CA-57:客户密码箱Microsoft管理审批
CA-58:客户密码箱服务请求
CA-59:客户密码箱通知
CA-61:JIT 审查和批准
2024 年 1 月 23 日
SOC 3 CUEC-15:客户密码箱请求 2024 年 1 月 23 日