合规性和安全控制

本文可帮助你了解组织如何符合各种合规性要求和安全标准。

合规性

合规性覆盖范围

Microsoft托管桌面已获得以下合规性认证：

• ISO 27001 信息安全管理标准 (ISMS)
• ISO 27701 隐私信息管理系统 (PIMS)
• ISO 27017 信息安全控制措施行为守则
• ISO 27018 云中个人数据保护行为守则
• ISO 9001 质量管理体系标准
• ISO 20000-1 信息技术服务管理
• ISO 22301 业务连续性管理标准
• 云安全联盟 (CSA) STAR 证明
• 云安全联盟 (CSA) STAR 认证
• 服务组织控制措施 (SOC) 1、2、3
• 信息安全注册评估员计划 (IRAP)
• 支付卡行业 (PCI) 数据安全标准 (DSS)
• 健康保险可携性与责任法案 (HIPAA)
• 健康信息信任联盟 (HITRUST) 共同安全框架 (CSF)

审核员报表和合规性证书

可以在服务信任门户 (STP) 中找到相关信息，包括控制措施和技术要求。 此门户是有关Microsoft云服务产品/服务信息的中央存储库。 可以从 STP 的 “审核报告 ”部分下载审核报告、合规性证书等。

注意

由于 Microsoft 托管桌面在 Azure 上运行，因此相关文档通常具有“Microsoft Azure、Dynamics 365 和其他联机服务”这样的文件名。 在这些文档中，通常可以在类别“Microsoft 联机服务”或“监视 + 管理”下找到 Microsoft 托管桌面。

安全控制措施

设备控制

所有Microsoft托管桌面人员都使用批准的设备来管理服务和访问托管租户。 这些设备专用于生产操作，需要多重身份验证，具有自己的专用标识、监视和强化功能。 此外，这些特殊用途设备具有防止工程师共享设备的控件。

人员控制

Microsoft托管桌面维护并更新授权人员对包含客户数据的Microsoft系统的访问记录。 所有服务工程师必须遵守标准Microsoft安全策略和做法。 其中包括定期强制培训， (安全性、标识、隐私和合规性) 以及定期的背景和安全检查。

工程师不会保留对生产系统或客户数据的持续访问权限。 所有访问权限是时间限制的，必须由个人续订，并强制管理评审和批准。 所有权利都受到季度访问评审的约束。

Microsoft托管桌面具有与已分配所有者的进程，我们使用这些进程授予、更改和取消对数据和资源的访问授权。 例如，如果Microsoft托管桌面员工离开团队，则会及时撤销其凭据。

对任何交互式服务帐户的访问仅限于支持请求的上下文，并且仅限于使用这些设备的服务工程师。 这些帐户的请求和使用情况只能来自Microsoft安全访问工作站。

特权访问控制

处理支持请求时，服务工程师可能需要访问你的租户。 为此，必须请求对特定目录角色的访问权限。 如果获得批准，则向来宾帐户授予这些权限最多 8 小时。 此方法使特定用户能够与租户内执行的所有操作相关联。

服务帐户控制

所有Microsoft托管桌面服务帐户凭据都存储在受保护的 Azure Key Vault 中。 凭据随机生成，每 13 天轮换一次，如果在过渡期间使用，则每 30 分钟轮换一次。 可以通过 托管桌面Microsoft请求审核日志。 审核所有“实时”使用，审核日志包含Microsoft托管桌面服务工程团队的服务请求的详细信息，并在 Azure 中存储 365 天。

有关详细信息，请参阅服务信任门户中 (STP ) 中的Microsoft托管桌面 - 数据存储、使用情况和安全做法文档。