Freigeben über


Identitäts- und Zugriffsverwaltung (Übersicht)

Wie schützt Microsoft Onlinedienste Produktionssysteme vor nicht autorisiertem oder böswilligem Zugriff?

Microsoft Onlinedienste sind so konzipiert, dass Techniker von Microsoft Dienste betreiben können, ohne auf Kundeninhalte zuzugreifen. Microsoft-Techniker verfügen standardmäßig über Zero Standing Access (ZSA) auf Kundeninhalte und keinen privilegierten Zugriff auf die Produktionsumgebung. Microsoft Onlinedienste ein JIT-Modell (Just-In-Time), Just-Enough-Access (JEA) verwenden, um Serviceteamtechnikern temporären privilegierten Zugriff auf Produktionsumgebungen zu gewähren, wenn ein solcher Zugriff zur Unterstützung von Microsoft Onlinedienste erforderlich ist. Das JIT-Zugriffsmodell ersetzt den traditionellen, dauerhaften administrativen Zugriff durch einen Prozess, bei dem Techniker bei Bedarf eine vorübergehende Erhöhung in privilegierte Rollen beantragen können.

Techniker, die einem Serviceteam zur Unterstützung von Produktionsdiensten zugewiesen sind, fordern über eine Identitäts- und Zugriffsverwaltungslösung die Berechtigung für ein Serviceteamkonto an. Die Anforderung der Berechtigung löst eine Reihe von Personalprüfungen aus, um sicherzustellen, dass der Techniker alle Anforderungen an das Cloud-Screening erfüllt, die erforderlichen Schulungen abgeschlossen und vor der Kontoerstellung eine entsprechende Verwaltungsgenehmigung erhalten hat. Erst nach Erfüllung aller Berechtigungsanforderungen kann ein Serviceteamkonto für die angeforderte Umgebung erstellt werden. Um die Berechtigung für ein Serviceteamkonto aufrechtzuerhalten, müssen die Mitarbeiter jährlich rollenbasierte Schulungen durchlaufen und alle zwei Jahre ein erneutes Screening durchführen. Wenn diese Überprüfungen nicht abgeschlossen oder bestanden werden, werden Berechtigungen automatisch widerrufen.

Dienstteamkonten gewähren keine ständigen Administratorrechte oder Zugriff auf Kundeninhalte. Wenn ein Techniker zusätzlichen Zugriff benötigt, um Microsoft Onlinedienste zu unterstützen, fordert er mithilfe eines Zugriffsverwaltungstools namens Lockbox temporären zugriff mit erhöhten Rechten auf die benötigten Ressourcen an. Lockbox schränkt den erweiterten Zugriff auf die minimalen Privilegien, Ressourcen und Zeit ein, die für die Erledigung der zugewiesenen Aufgabe erforderlich sind. Wenn ein autorisierter Prüfer die JIT-Zugriffsanforderung genehmigt, erhält der Techniker temporären Zugriff mit nur den Berechtigungen, die zum Abschließen der zugewiesenen Arbeit erforderlich sind. Dieser temporäre Zugriff erfordert eine mehrstufige Authentifizierung und wird nach Ablauf des genehmigten Zeitraums automatisch widerrufen.

JEA wird durch Berechtigungs- und Lockboxrollen zum Zeitpunkt der Anforderung für JIT-Zugriff erzwungen. Nur Anforderungen für den Zugriff auf Ressourcen im Rahmen der Berechtigung des Ingenieurs werden akzeptiert und an die genehmigende Person weitergeleitet. Lockbox lehnt JIT-Anforderungen automatisch ab, die außerhalb des Bereichs der Berechtigungs- und Lockbox-Rollen des Technikers liegen, einschließlich Anforderungen, die zulässige Schwellenwerte überschreiten.

Wie verwendet Microsoft Onlinedienste die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) mit Lockbox, um die geringsten Rechte zu erzwingen?

Dienstteamkonten gewähren keine ständigen Administratorrechte oder Zugriff auf Kundeninhalte. JIT-Anforderungen für eingeschränkte Administratorrechte werden über Lockbox verwaltet. Lockbox verwendet RBAC, um die Typen von JIT-Erhöhungsanforderungen einzuschränken, die Entwickler stellen können, und bietet eine zusätzliche Schutzebene, um die geringsten Berechtigungen zu erzwingen. RBAC hilft auch, die Trennung von Aufgaben zu erzwingen, indem Dienstteamkonten auf geeignete Rollen beschränkt werden. Technikern, die einen Dienst unterstützen, wird die Mitgliedschaft in Sicherheitsgruppen basierend auf ihrer Rolle gewährt. Die Mitgliedschaft in einer Sicherheitsgruppe gewährt keinen privilegierten Zugriff. Stattdessen ermöglichen Sicherheitsgruppen es Entwicklern, die Lockbox zu verwenden, um JIT-Rechteerweiterungen anzufordern, wenn dies für die Unterstützung des Systems erforderlich ist. Die spezifischen JIT-Anforderungen, die ein Techniker stellen kann, werden durch die Mitgliedschaften in Sicherheitsgruppen eingeschränkt.

Wie behandelt Microsoft Onlinedienste den Remotezugriff auf Produktionssysteme?

Die Systemkomponenten von Microsoft Onlinedienste befinden sich in Rechenzentren, die geografisch von den Betriebsteams getrennt sind. Rechenzentrumsmitarbeiter haben keinen logischen Zugriff auf Microsoft Onlinedienste-Systeme. Daher verwalten Mitarbeiter des Microsoft-Serviceteams die Umgebung über Remotezugriff. Serviceteammitarbeiter, die Remotezugriff benötigen, um Microsoft Onlinedienste zu unterstützen, erhalten nur nach genehmigung durch einen autorisierten Vorgesetzten Remotezugriff. Für den Remotezugriff wird ausschließlich FIPS 140-2-kompatibles TLS für sichere Remoteverbindungen verwendet.

Microsoft Onlinedienste Secure Admin Workstations (SAW) für den Remotezugriff des Serviceteams verwenden, um Microsoft-Onlinedienstumgebungen vor Kompromittierung zu schützen. Diese Arbeitsstationen sollen den absichtlichen oder unbeabsichtigten Verlust von Produktionsdaten verhindern, einschließlich des Sperrens von USB-Anschlüssen und der Beschränkung der auf der Secure Admin Workstation verfügbaren Software auf das, was für die Unterstützung der Umgebung erforderlich ist. Sichere Admin Workstations werden genau nachverfolgt und überwacht, um böswillige oder unbeabsichtigte Kompromittierung von Kundendaten durch Microsoft-Techniker zu erkennen und zu verhindern.

Privilegierter Zugriff durch Microsoft-Mitarbeiter folgt einem bestimmten Pfad über von Microsoft kontrollierte TSGs mit zweistufiger Authentifizierung. Alle Zugriffe und Aktivitäten über TSGs werden genau überwacht, und Warnungen und Berichte werden verwendet, um anomale Verbindungen zu identifizieren. Serviceteams implementieren auch eine trendbasierte Überwachung, um die Dienstintegrität sicherzustellen und ungewöhnliche Nutzungsmuster zu erkennen.

Wie fügt Kunden-Lockbox zusätzlichen Schutz für Kundeninhalte hinzu?

Kunden können ihren Inhalten eine zusätzliche Zugriffssteuerungsstufe hinzufügen, indem sie die Kunden-Lockbox aktivieren. Wenn eine Anforderung zur Erhöhung der Lockbox-Rechte den Zugriff auf Kundeninhalte umfasst, erfordert die Kunden-Lockbox als letzten Schritt im Genehmigungsworkflow die Genehmigung durch den Kunden. Dieser Prozess bietet Organisationen die Möglichkeit, diese Anforderungen zu genehmigen oder zu verweigern, und bietet dem Kunden eine direkte Zugriffssteuerung. Wenn der Kunde eine Kunden-Lockbox-Anforderung ablehnt, wird der Zugriff auf den angeforderten Inhalt verweigert. Wenn der Kunde die Anforderung nicht innerhalb eines bestimmten Zeitraums ablehnt oder genehmigt, läuft die Anforderung automatisch ab, ohne dass Microsoft Zugriff auf Kundeninhalte erhält. Wenn der Kunde die Anforderung genehmigt, wird der temporäre Zugriff von Microsoft auf Kundeninhalte protokolliert, überprüfbar und automatisch widerrufen, nachdem die Zum Abschließen des Problembehandlungsvorgangs zugewiesene Zeit abgelaufen ist.

Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit Identitäts- und Zugriffssteuerung finden Sie in der folgenden Tabelle.

Azure und Dynamics 365

Externe Überwachungen Section Datum des letzten Berichts
ISO 27001

Erklärung der Anwendbarkeit
Zertifikat
A.9.1: Geschäftliche Anforderungen an die Zugriffssteuerung
A.9.2: Benutzerzugriffsverwaltung
A.9.3: Verantwortlichkeiten des Benutzers
A.9.4: System- und Anwendungszugriffssteuerung
A.15.1: Informationssicherheit in Lieferantenbeziehungen
8. April 2024
ISO 27017

Erklärung der Anwendbarkeit
Zertifikat
A.9.1: Geschäftliche Anforderungen an die Zugriffssteuerung
A.9.2: Benutzerzugriffsverwaltung
A.9.3: Verantwortlichkeiten des Benutzers
A.9.4: System- und Anwendungszugriffssteuerung
A.15.1: Informationssicherheit in Lieferantenbeziehungen
8. April 2024
SOC 1
SOC 2
SOC 3
OA-2: Bereitstellen des Zugriffs
OA-7: JIT-Zugriff
OA-21: Sichere Admin Workstations und MFA
Dienstag, 16. August 2024

Microsoft 365

Externe Überwachungen Section Datum des letzten Berichts
FedRAMP AC-2: Kontoverwaltung
AC-3: Zugriffserzwingung
AC-5: Aufgabentrennung
AC-6: Geringste Rechte
AC-17: Remotezugriff
Dienstag, 21. August 2024
ISO 27001/27017

Erklärung der Anwendbarkeit
Zertifizierung (27001)
Zertifizierung (27017)
A.9.1: Geschäftliche Anforderungen an die Zugriffssteuerung
A.9.2: Benutzerzugriffsverwaltung
A.9.3: Verantwortlichkeiten des Benutzers
A.9.4: System- und Anwendungszugriffssteuerung
A.15.1: Informationssicherheit in Lieferantenbeziehungen
März 2024
SOC 1 CA-33: Kontoänderung
CA-34: Benutzerauthentifizierung
CA-35: Privilegierter Zugriff
CA-36: Remotezugriff
CA-57: Genehmigung der Microsoft-Verwaltung durch Kunden-Lockbox
CA-58: Kunden-Lockbox-Serviceanfragen
CA-59: Kunden-Lockbox-Benachrichtigungen
CA-61: JIT-Überprüfung und -Genehmigung
Dienstag, 1. August 2024
SOC 2 CA-32: Richtlinie für gemeinsame Konten
CA-33: Kontoänderung
CA-34: Benutzerauthentifizierung
CA-35: Privilegierter Zugriff
CA-36: Remotezugriff
CA-53: Überwachung durch Drittanbieter
CA-56: Kunden-Lockbox-Kundengenehmigung
CA-57: Genehmigung der Microsoft-Verwaltung durch Kunden-Lockbox
CA-58: Kunden-Lockbox-Serviceanfragen
CA-59: Kunden-Lockbox-Benachrichtigungen
CA-61: JIT-Überprüfung und -Genehmigung
23. Januar 2024
SOC 3 CUEC-15: Kunden-Lockbox-Anforderungen 23. Januar 2024