Microsoft 365 标识和访问管理简介
在此模块中,你将了解 Microsoft 365 如何控制服务团队工程师的访问权限,以保护 Microsoft 365 云环境中的客户数据。
Microsoft 用于操作 Microsoft 365 的访问控制分为三类:
| 隔离控制 | 人员控制 | 技术控制 |
|---|---|---|
| - 与服务运营隔离的客户内容 - 具有最低权限访问的基于任务的执行模型 - 最少的人类接触 |
- 背景调查和审查 - 培训 - 多级审批 |
- 零长期访问 - 即时 (JIT) - Just-Enough-Access (JEA) - 多重身份验证 - 安全访问工作站 - 日志记录和审核 |
隔离控件内置于 Microsoft 365 服务的体系结构中。 它们确保租户中的客户内容与其他租户以及 Microsoft 365 管理中使用的操作和系统数据隔离。 隔离通过防止未经适当授权访问系统和数据来支持访问控制实施。 此外,Microsoft 365 服务设计为通过自动服务代码运行。 它最大限度地减少了工程师直接与生产环境交互的需要。
人员控制可防止内部威胁,并确保为支持 Microsoft 365 服务的 Microsoft 人员提供充分培训。 身份管理工具 (IDM) 强制实施人员控制要求,然后才能创建服务团队帐户或授权访问任何 Microsoft 365 资源。
技术控制使 Microsoft 能够使用即时 (JIT) 和 Just-Enough-Access (JEA) 实现零长期访问 (ZSA) 原则。 多重身份验证 (MFA)、安全访问工作站 (SAW) 以及集中处理日志记录和审核为防止未经授权的访问提供了额外的基于技术的保护。