了解创建服务团队帐户的先决条件
现在,已了解 Microsoft 365 用于强制实施访问控制的各种工具和技术,接下来讨论如何创建服务团队帐户。 Microsoft 365 服务环境与 Microsoft 公司环境分离。 这意味着 Microsoft 公司环境用户帐户不提供任何对 Microsoft 365 服务环境的访问权限。 仅为需要访问生产环境以管理 Microsoft 365 服务的人员创建服务团队帐户。 此外,如果不先满足本单元中概述的资格要求,则无法创建服务团队帐户。
当工程师分配给服务团队以支持生产服务时,他们会通过标识管理工具 (IDM) 申请服务团队帐户资格。 资格申请会触发一系列人员检查,以确保工程师在创建帐户之前已通过所有筛选要求、已完成必要的培训,并获得了适当的管理批准。 只有在满足所有资格要求后,才能为申请环境创建服务团队帐户。
人员筛选
Microsoft 365 筛选做法与 Microsoft 企业标准和国家标准与技术所(NIST) 800-53 的人员筛选一致。
在当地法律允许的范围内,雇佣前的筛选检查包括:
- 身份确认
- 犯罪记录调查
- 确认最高教育程度
- 工作经历
- 全球制裁和强制检查
参与开发、运营或向政府或商业云客户交付联机服务的员工,还可能接受其他调查,以遵守相关隐私法律。 此外,每隔两年需要进行重新筛选,以保留服务团队帐户资格。 对于未通过重新筛选或无法完成重新筛选要求的人员,会自动撤销访问权限。
IDM 强制实施人员筛选要求,并拒绝向任何不符合相关筛选要求的人员提供服务团队帐户资格。 此外,对于未通过所需的重新筛选的用户,IDM 会自动禁用服务团队帐户。
培训
每一位在 Microsoft 365 服务团队工作的员工都接受了适合其职责的培训。 新员工开始在 Microsoft 工作时将接受初始培训,此后每年都会进行年度进修培训。 培训可帮助员工了解 Microsoft 的安全方法。
培训要求由 IDM 强制执行。 未能完成所需的培训将无法获得新服务团队帐户的资格,并自动禁用现有服务团队帐户。
管理审批和帐户创建
在 IDM 确认满足所有资格要求后,服务团队帐户申请将发送给授权的经理进行审核和审批。 只有在申请获得批准后,才能创建服务团队帐户。
基线服务团队帐户仅限于用于定期故障排除的广泛系统元数据读取访问权限。 此访问默认为只读形式,对客户内容没有设置管理或访问权限。 此外,如果没有特定的角色分配允许针对特定任务和操作的提升请求,则基线服务团队帐户无法通过密码箱请求提升的访问权限。 这些限制是 Microsoft Purview 特权访问管理策略的基础,该策略基于零长期访问原则。