识别 Microsoft 托管帐户类型
在 Microsoft,我们通过零长期访问 (ZSA) 原则缓解与特权帐户相关的风险。 它使 Microsoft 能够在没有永久特权用户帐户的情况下运行其服务。 ZSA 与即时 (JIT) 和 Just-Enough-Access (JEA) 结合使用,提供可靠的框架来保护客户数据。
Microsoft 365 已确定三类帐户来支持组织任务和业务功能:服务团队帐户、服务帐户和客户帐户。 其中两个类别(服务团队帐户和服务帐户)由 Microsoft 管理,使我们能够运营和支持我们的产品和服务。 第三个类别(即客户帐户)由客户管理,使客户能够灵活地满足其内部访问控制要求。
Microsoft 托管的帐户
Microsoft 直接管理两类帐户:服务团队帐户和服务帐户。
服务团队帐户 由负责开发、维护和修复核心 Microsoft 365 服务的单个 Microsoft 人员使用。 使用基于角色的访问控制 (RBAC) 向服务团队帐户授予访问权限。 RBAC 强制实施职责分离,并确保团队成员只有执行经授权审批者批准的特定活动所需的最低访问权限。
服务帐户 也由 Microsoft 管理,但不分配给单个 Microsoft 人员。 相反,Microsoft 365 服务使用服务帐户向 Microsoft 云环境中的服务器和其他服务进行身份验证。 Microsoft 人员无法访问这些帐户,并且仅由自动化流程使用来操作我们的产品和服务。
客户管理的帐户
在云环境中,客户和云服务提供商共同负责实现合规且安全的计算环境。 Microsoft 使用 共享责任模型 在 Microsoft 365 服务中定义安全和运营责任。 虽然 Microsoft 365 保护底层云基础结构和服务,但客户需要了解其确保用户和数据的安全租户环境的责任。 在特权访问管理的上下文中,客户负责在其 Microsoft 365 租户中预配和管理客户帐户。
客户使用 客户帐户 来管理其 Microsoft 365 租户中的访问控制。 客户帐户允许客户定义的用户访问 Microsoft 365 服务。 这些帐户可由客户在 Microsoft Entra ID 中预配,也可以与本地 Active Directory (AD) 联合。 使用客户管理的帐户,客户能够灵活地满足其组织对用户的访问控制要求。 客户帐户不能用于访问客户租户外部的数据。
让我们探讨一下 Microsoft 如何管理服务团队帐户来保护 Microsoft 365 服务和客户数据。