Reconocimiento de los tipos de cuenta administrada por Microsoft
En Microsoft, mitigamos los riesgos asociados a las cuentas con privilegios mediante el principio de acceso permanente cero (ZSA). Permite a Microsoft ejecutar sus servicios sin cuentas de usuario con privilegios persistentes. ZSA proporciona un marco sólido para proteger los datos de los clientes en combinación con Just-In-Time (JIT) y Just-Enough-Access (JEA).
Microsoft 365 ha identificado tres categorías de cuentas para dar soporte a las misiones organizativas y funciones empresariales: cuentas de equipo de servicio, cuentas de servicio y cuentas de cliente. Microsoft administra dos de estas categorías, las cuentas de equipo de servicio y las cuentas de servicio, y nos permiten ejecutar y dar soporte a nuestros productos y servicios. La tercera categoría, las cuentas de cliente, son administradas por el cliente y ofrecen a los clientes la flexibilidad necesaria para cumplir sus requisitos internos de control de acceso.
Cuentas administradas por Microsoft
Microsoft administra directamente dos categorías de cuentas: cuentas de equipo de servicio y cuentas de servicio.
Las cuentas de equipo de servicio son utilizadas por el personal individual de Microsoft encargado de desarrollar, mantener y reparar los servicios principales de Microsoft 365. Los derechos de acceso se conceden a las cuentas de equipo de servicio mediante el control de acceso basado en roles (RBAC). El RBAC exige la separación de tareas y garantiza que los miembros del equipo solo tengan el acceso mínimo necesario para realizar actividades específicas aprobadas por un aprobador autorizado.
Microsoft también administra las cuentas de servicio, pero estas no se asignan al personal individual de Microsoft. En su lugar, los servicios de Microsoft 365 usan cuentas de servicio para autenticarse en servidores y otros servicios dentro del entorno en la nube de Microsoft. El personal de Microsoft no puede acceder a estas cuentas y solo se utilizan mediante procesos automatizados para el funcionamiento de nuestros productos y servicios.
Cuentas administradas por el cliente
En entornos en la nube, los clientes y los proveedores de servicios en la nube comparten la responsabilidad de lograr un entorno informático compatible y seguro. Microsoft usa un modelo de responsabilidad compartida para definir la seguridad y la responsabilidad operativa en los servicios de Microsoft 365. Aunque Microsoft 365 protege la infraestructura y los servicios en la nube subyacentes, los clientes deben ser conscientes de sus responsabilidades para garantizar un entorno de espacio empresarial seguro para sus usuarios y datos. En el contexto de la administración del acceso con privilegios, los clientes son responsables del aprovisionamiento y la administración de cuentas de cliente dentro de su espacio empresarial de Microsoft 365.
Los clientes administran el control de acceso dentro de su espacio empresarial de Microsoft 365 mediante cuentas de cliente. Las cuentas de cliente permiten a los usuarios definidos por el cliente acceder a los servicios de Microsoft 365. El cliente puede aprovisionar estas cuentas en el identificador de Microsoft Entra o federarse con Active Directory (AD) local. Las cuentas administradas por el cliente proporcionan a los clientes la flexibilidad de cumplir con los requisitos de control de acceso de su organización para sus usuarios. Las cuentas de cliente no se pueden usar para acceder a datos fuera del espacio empresarial del cliente.
Exploraremos cómo Microsoft administra las cuentas de equipo de servicio para proteger los servicios de Microsoft 365 y los datos de los clientes.