Voraussetzungen für die Erstellung von Dienstkonten verstehen

  • 4 Minuten

Da Sie nun die verschiedenen Tools und Technologien kennen gelernt haben, die Microsoft 365 zur Durchsetzung der Zugriffskontrolle einsetzt, lassen Sie uns erörtern, wie Serviceteamkonten erstellt werden. Die Umgebung für Microsoft 365-Dienste ist von der Microsoft-Unternehmensumgebung getrennt. Dies bedeutet, dass Benutzerkonten der Microsoft-Unternehmensumgebung keinen Zugriff auf die Microsoft 365-Dienstumgebung bieten. Serviceteamkonten werden nur für Mitarbeiter erstellt, deren Aufgaben und Zuständigkeiten den Zugriff auf die Produktionsumgebung zur Verwaltung von Microsoft 365-Diensten erfordern. Darüber hinaus können keine Dienstteamkonten erstellt werden, ohne zuvor die in dieser Einheit beschriebenen Berechtigungsvoraussetzungen zu erfüllen.

Wenn ein Techniker einem Serviceteam zur Unterstützung der Produktionsdienste zugewiesen wird, fordert er über das Identity Management Tool (IDM) die Berechtigungen für ein Serviceteamkonto an. Die Anforderung der Berechtigung bewirkt, dass eine Reihe von personellen Prüfungen durchgeführt wird, um vor der Kontoerstellung sicherzustellen, dass der Techniker alle Anforderungen der Mitarbeiterüberprüfung erfüllt, erforderliche Schulungen abgeschlossen hat und entsprechende Genehmigungen erhalten hat. Erst nach Erfüllung aller Berechtigungsanforderungen kann ein Serviceteamkonto für die angeforderte Umgebung erstellt werden.

Ein Workflowdiagramm, beginnend mit dem Beitritt von Microsoft-Servicetechnikern zum Serviceteam. Sie müssen die Personalüberprüfung und rollenbasierte Schulungen durchlaufen, um ein Serviceteamkonto anfordern zu können. Nach der Genehmigung des autorisierten Managers wird das Konto erstellt.

Personalscreening

Die Microsoft 365-Überprüfungsmethoden entsprechen den Microsoft-Unternehmensstandards und den Regelungen 800-53 des National Institute of Standards and Technology (NIST) für die Personalüberprüfung.

Sofern gemäß lokalen Gesetzen zulässig, umfassen die Überprüfungen vor der Einstellung Folgendes:

  • Bestätigung der Identität
  • Überprüfung des Vorstrafenregisters
  • Bestätigung des höchsten akademischen Abschlusses
  • Beruflicher Lebenslauf
  • Globale Sanktions- und Vollstreckungsüberprüfung

Mitarbeiter, die in die Entwicklung, den Betrieb oder die Bereitstellung von Onlinediensten für Kunden aus Regierungs- oder gewerblichen Kreisen involviert sind, können zusätzlichen Prüfungen unterzogen werden, um den relevanten Datenschutzbestimmungen zu entsprechen. Darüber hinaus ist eine erneute Überprüfung alle zwei Jahre erforderlich, um die Berechtigung für ein Serviceteamkonto aufrechtzubehalten. Der Zugriff wird automatisch für Mitarbeiter widerrufen, die die erneute Überprüfung nicht bestehen oder die Anforderungen der erneuten Überprüfung nicht erfüllen.

IDM erzwingt Personalüberprüfungsanforderungen und verweigert die Berechtigung für Dienstteamkonten für Personen, die die relevanten Überprüfungsanforderungen nicht erfüllen. Darüber hinaus deaktiviert IDM automatisch Service-Team-Konten für Benutzer, die die erforderliche erneute Überprüfung nicht bestehen.

Schulungen

Jeder Techniker in Microsoft 365-Serviceteams erhält Schulungen, die seiner Rolle entsprechen. Die Erstschulung findet statt, wenn ein neuer Mitarbeiter seine Arbeit bei Microsoft aufnimmt, und danach findet jedes Jahr eine jährliche Auffrischungsschulung statt. Die Schulung vermittelt dem Mitarbeiter ein Verständnis für den Sicherheitsansatz von Microsoft.

Die Schulungsanforderungen werden vom IDM durchgesetzt. Versäumt ein Mitarbeiter, die erforderliche Schulung abzuschließen, erhält er keine Berechtigung für ein neues Serviceteamkonto bzw. wird sein bestehendes Serviceteamkonto automatisch deaktiviert.

Managementgenehmigung und Kontoerstellung

Nachdem das IDM bestätigt hat, dass alle Anspruchsvoraussetzungen erfüllt sind, wird die Anforderung des Serviceteamkontos zur Überprüfung und Genehmigung an autorisierte Manager gesendet. Erst nachdem der Antrag genehmigt wurde, kann ein Serviceteamkonto erstellt werden.

Baseline-Serviceteamkonten sind auf einen umfassenden Lesezugriff auf Systemmetadaten beschränkt, die für die regelmäßige Problembehandlung verwendet werden. Dieser Standardzugriff ist Nur-Lese-Zugriff, ohne administrative Privilegien und ohne Zugriff auf Kundeninhalte. Darüber hinaus können Baseline-Dienstteamkonten keinen erhöhten Zugriff über Lockbox anfordern, ohne dass bestimmte Rollenzuweisungen erhöhte Anforderungen für bestimmte Aufgaben und Vorgänge zulassen. Diese Einschränkungen bilden die Grundlage der Microsoft Purview Privileged Access Management-Strategie, die auf dem Prinzip des Zero Standing Access aufbaut.

Mehr erfahren