Microsoft 365 身分識別與存取管理簡介
在此單元中,您將了解 Microsoft 365 如何控制服務小組工程師在 Microsoft 365 雲端環境中保護客戶資料的存取權。
Microsoft 用於操作 Microsoft 365 的存取控制措施分為三個類別:
隔離控制措施 | 人員控制措施 | 技術控制措施 |
---|---|---|
- 與服務作業隔離的客戶內容 - 具有最低權限存取權的工作型執行模型 - 最少的人際互動 |
- 背景檢查和清除 - 訓練 - 多個核准層級 |
- Zero Standing Access - Just-In-Time (JIT) - Just-Enough-Access (JEA) - 多重要素驗證 - 安全存取工作站 - 記錄與稽核 |
隔離控制措施內建於 Microsoft 365 服務的架構中。 它們可確保租用戶中的客戶內容與其他租用戶以及用於管理 Microsoft 365 的作業和系統資料隔離。 隔離會防止在沒有適當授權的情況下存取系統和資料,以支援存取控制強制執行。 此外,Microsoft 365 服務旨在透過自動化服務程式碼進行操作。 它可將工程師直接與生產環境互動的需求降至最低。
人員控制措施可防範內部威脅,並確保對支援 Microsoft 365 服務的 Microsoft 人員接受適當的訓練。 身分識別管理工具 (IDM) 會先強制執行人員控制需求,再允許建立服務小群組帳戶或授權存取任何 Microsoft 365 資源。
技術控制措施可讓 Microsoft 使用 Just-In-Time (JIT) 和 Just-Enough-Access (JEA) 實作 Zero Standing Access (ZSA) 原則。 多重要素驗證 (MFA)、安全存取工作站 (SAW) 以及集中記錄和稽核,可提供額外的技術型保護,以防止未經授權的存取。