資料作業考量

在本文中，了解設定的資料作業考量。 其中包含關於記錄檔和其他與 Microsoft Entra ID 相關的功能 (例如使用方式資料和操作員安全性) 如何運作的資訊。 除了 Microsoft Entra 小組如何定義部署和變更的指導之外，您也將了解實體的安全性考量。

記錄檔

Microsoft Entra ID 會針對服務中的動作和事件產生稽核、調查和偵錯的記錄檔。 記錄檔可能包含使用者、裝置和 Microsoft Entra 設定的相關資料，例如原則、應用程式和群組。 記錄檔會建立並儲存在 Microsoft Entra 服務執行的資料中心的 Azure 儲存體中。

記錄檔會用於本機偵錯、安全性、流量分析、系統狀況監控，以及全服務分析。 這些記錄會透過傳輸層安全性 (TLS) 連線複製到 Microsoft 報告機器學習系統，這些系統位於美國大陸 Microsoft 擁有的資料中心。

使用方式資料

使用方式資料是由 Microsoft Entra 服務所產生的中繼資料，會指出服務的使用方式。 此中繼資料可用來產生系統管理員和使用者面向的報告。 Microsoft Entra 工程小組會使用中繼資料來評估系統使用量，並識別改善服務的機會。 一般而言，這項資料會寫入記錄檔，但在某些情況下，會由我們的服務監控和報告系統收集。

操作員安全性

Microsoft 人員、承包商和廠商 (系統管理員) 對 Microsoft Entra ID 的存取權受到高度限制。 盡可能由自動化的工具型流程取代人為介入，包括部署、偵錯、診斷收集及重新啟動服務等例行功能。

系統管理員存取權僅限於合格的工程師子集，而且需要完成具有網路釣魚防護認證的驗證挑戰。 系統存取和更新函式會指派給 Microsoft Just-In-Time (JIT) 特殊權限存取管理系統所管理的角色。 系統管理員會使用 JIT 系統來要求提高權限，以路由傳送手動或自動化核准的要求。 核准後，JIT 會提高帳戶的權限。 系統會記錄提高權限、核准、提高角色權限，以及從角色中移除的要求，以供日後偵錯或調查使用。

Microsoft 人員只能從使用內部隔離的強式驗證身分識別平台的安全存取工作站執行作業。 存取其他 Microsoft 身分識別系統不會授與安全性存取工作站的存取權。 身分識別平台會與其他 Microsoft 身分識別系統分開執行。

實體安全性

對構成 Microsoft Entra 服務之伺服器的實際存取，以及對 Microsoft Entra ID 後端系統的存取，會受到 Azure 設施、廠房和實體安全性的限制。 Microsoft Entra 客戶無法存取實體資產或位置，因此無法略過邏輯角色型存取控制 (RBAC) 原則檢查。 具有操作員存取權的人員有權執行核准的工作流程以進行維護。

深入了解：Azure 設施、廠房和實體安全性

變更控制流程

為了跨資料中心推出服務的變更，Microsoft Entra 小組會定義部署環境的層級。 套用變更層級會受限於嚴格的結束準則。 跨層級推出變更的時間會由作業小組所定義，並且以潛在影響為基礎。 一般而言，推出需要 1 到 2 週的時間。 重大變更，例如安全性修正或經常性修正，可以更快速地部署。 如果變更在套用至部署層級時不符合結束準則，則會回復到先前穩定的狀態。

資源

• Microsoft 服務信任文件
• Microsoft Azure 受信任的雲端
• Office 365 資料中心

下一步

• Microsoft Entra ID 和資料落地
• 資料作業考量 (您在這裡)
• 資料保護考量