Microsoft 365 中的帳戶管理
Microsoft 在自動化大部分 Microsoft 365 作業的系統和控件上投入了大量投資,同時刻意限制服務人員直接存取伺服器和客戶數據的需求。 人類會控管服務,而軟體會操作服務。 此結構可讓 Microsoft 大規模管理 Microsoft 365,並將內部和外部威脅的風險降至最低。 Microsoft 採用訪問控制的方法,假設每個人都是 Microsoft 365 服務和客戶數據的潛在威脅。 因此,零常設存取 (ZSA) 原則會為 Microsoft 365 所使用的整個訪問控制結構打下基礎。
根據預設,Microsoft 人員對組織的任何 Microsoft 365 環境或客戶數據沒有特殊許可權存取權。 只有透過健全的檢查和核准系統,服務小組人員才能透過縮小動作和時間範圍來取得特殊許可權存取權。 透過此系統,Microsoft 可以大幅降低 Microsoft 365 服務人員和攻擊者取得未經授權存取,或對 Microsoft 服務和客戶造成惡意或意外傷害的可能性。
帳戶類型
Microsoft 365 會使用三種帳戶類別來滿足所有組織任務和商務功能:服務小組帳戶、服務帳戶和客戶帳戶。 管理這些帳戶是 Microsoft 與客戶的共同責任。 Microsoft 會管理服務小組和服務帳戶,這些帳戶可用來操作及支援 Microsoft 產品和服務。 客戶帳戶由客戶管理,並允許他們量身訂做帳戶存取權,以符合其內部訪問控制需求。 Microsoft 公司帳戶會被視為此模型中的客戶帳戶,並由 Microsoft 管理。
受 Microsoft 管理的帳戶
開發和維護 Microsoft 365 服務的 Microsoft 365 服務小組人員會使用服務小組帳戶。 這些帳戶沒有 Microsoft 365 服務的常設特殊許可權存取權,而是可用來要求暫時且有限的特殊許可權存取,以執行指定的作業功能。 並非每個服務小組帳戶都可以執行相同的動作,系統會使用角色型訪問控制 (RBAC) 來強制執行職責區分。 角色可確保服務小組成員及其帳戶只有執行特定工作職責所需的最低存取權。 此外,服務小組帳戶不能屬於多個角色,他們可以在其中作為自己動作的核准者。
透過 自動化程式與其他服務通訊時,Microsoft 365 服務會使用服務帳戶進行驗證。 如同服務小組帳戶只獲得執行特定人員工作職責所需的最低存取權,服務帳戶只會獲得其預定用途所需的最低存取權。 此外,還有多種類型的服務帳戶,其設計目的是為了滿足特定需求。 一個 Microsoft 365 服務可能有多個服務帳戶,每個帳戶各有不同的角色可執行。
受客戶管理的帳戶
客戶帳戶 是用來存取 Microsoft 365 服務,且是每個客戶唯一負責的帳戶。 客戶有責任在其組織中建立和管理帳戶,以維護安全的環境。 客戶帳戶的管理是透過 Microsoft Entra ID 或與 內部部署的 Active Directory (AD) 同盟來完成。 每個客戶都有一組必須符合的唯一訪問控制需求,而客戶帳戶會授與每個客戶滿足其個別需求的能力。 客戶帳戶無法存取其客戶組織以外的任何數據。
服務小組帳戶管理
Microsoft 365 會使用名為 Identity Management (IDM) 的帳戶管理系統,在其整個生命週期中管理服務小組帳戶。 IDM 使用自動化驗證程式和管理核准的組合,來強制執行與服務小組帳戶存取相關的安全性需求。
服務小組成員不會自動取得服務小組帳戶,他們必須先符合資格需求,並取得授權管理員的核准。 若要符合服務小組帳戶的資格,服務小組人員至少必須先通過 僱用前人員檢測、 雲端背景檢查,並完成所有標準和必要的角色型訓練。 視案例而定,可能需要額外的資格需求。 一旦符合所有資格需求,就可以提出服務小組帳戶的要求,而且必須經過授權的管理員核准。
IDM 也負責追蹤維護服務小組帳戶所需的定期重新篩選和訓練。 Microsoft 雲端背景檢查必須每兩年完成一次,而且必須每年檢閱所有訓練教材。 如果到期日不符合上述任一需求,則會撤銷其資格,並自動停用服務小組帳戶。
此外, 人員轉移和終止會自動更新服務小組帳戶資格。 人力資源信息系統中所做的變更 (HRIS) 觸發 IDM 採取動作,這會因情況而有所不同。 移轉至另一個服務小組的人員將會設定其省略性的到期日,而維護省略性的要求必須由服務小組成員提交,並由其新經理核准。 已終止的人員會自動撤銷所有許可權,並在最後一天停用其服務小組帳戶。 您可以針對非循環終止提出帳戶撤銷的緊急要求。
根據預設,服務小組帳戶對於用於一般疑難解答的廣泛系統元數據具有有限的讀取許可權。 此外,基準服務小組帳戶無法要求 Microsoft 365 或客戶數據的特殊許可權存取權。 您必須對服務小組帳戶提出另一個要求,以新增至可讓服務小組成員要求提高許可權以執行特定工作和作業的角色。