Considérations opérationnelles sur les données

Dans cet article, découvrez les considérations opérationnelles relatives aux données pour votre configuration. Il existe des informations sur le fonctionnement des fichiers journaux et d’autres fonctionnalités par rapport à Microsoft Entra ID, telles que les données d’utilisation et la sécurité de l’opérateur. Vous allez découvrir les considérations relatives à la sécurité physique en plus d’une aide sur la façon dont l’équipe Microsoft Entra définit des déploiements et des modifications.

Fichiers journaux

Microsoft Entra ID génère des fichiers journaux pour l’audit, l’investigation et le débogage des actions et des événements dans le service. Les fichiers journaux peuvent contenir des données sur les utilisateurs, les appareils et la configuration de Microsoft Entra, par exemple les stratégies, les applications et les groupes. Les fichiers journaux sont créés et stockés dans le Stockage Azure, dans le centre de données où le service Microsoft Entra s’exécute.

Les fichiers journaux sont utilisés pour le débogage local, la sécurité, l’analyse de l’utilisation, la surveillance de l’intégrité du système et l’analyse à l’échelle du service. Ces journaux sont copiés via une connexion TLS (Transport Layer Security) aux systèmes de Machine Learning de création de rapports Microsoft, qui se trouvent dans des centres de données appartenant à Microsoft sur le territoire des États-Unis continentaux.

Données d’utilisation

Les données d’utilisation sont des métadonnées générées par le service Microsoft Entra qui indiquent comment le service est utilisé. Ces métadonnées sont utilisées pour générer des rapports accessibles aux administrateurs et aux utilisateurs. L’équipe d’ingénierie Microsoft Entra utilise les métadonnées pour évaluer l’utilisation du système et identifier les opportunités d’amélioration du service. En règle générale, ces données sont écrites dans des fichiers journaux, mais dans certains cas, elles sont collectées par nos systèmes de surveillance et de création de rapports de service.

Sécurité de l’opérateur

L'accès à Microsoft Entra ID par le personnel, les sous-traitants et les fournisseurs (administrateurs système) de Microsoft est strictement limité. Dans la mesure du possible, l’intervention humaine est remplacée par un processus automatisé, basé sur des outils, y compris les fonctions de routine comme le déploiement, le débogage, la collecte de diagnostics et le redémarrage des services.

L’accès administrateur est limité à un sous-ensemble d’ingénieurs qualifiés et nécessite d’obtenir l’approbation d’une demande d’authentification avec des informations d’identification résistantes au hameçonnage. Les fonctions d’accès système et de mise à jour sont affectées à des rôles gérés par le système de gestion des accès privilégiés juste-à-temps (JIT) de Microsoft. Les administrateurs système demandent une élévation à l’aide du système JIT, qui achemine la demande pour une approbation manuelle ou automatisée. Une fois l’approbation obtenue, le système JIT élève le compte. Les demandes d’élévation de privilège, d’approbation, d’élévation de rôles et de suppression de rôles sont consignées pour un débogage ou des investigations ultérieurs.

Le personnel Microsoft peut exécuter des opérations uniquement à partir d’une station de travail à accès sécurisé, qui utilise une plateforme d’identité avec une authentification renforcée et isolée en interne. L’accès à d’autres systèmes d’identité Microsoft n’accorde pas l’accès à la station de travail d’accès de sécurité. La plateforme d’identité s’exécute séparément des autres systèmes d’identité Microsoft.

Sécurité physique

L’accès physique aux serveurs qui composent le service Microsoft Entra et l’accès aux systèmes principaux Microsoft Entra sont limités par les installations, les locaux et la sécurité physique d’Azure. Les clients Microsoft Entra n’ayant aucun accès aux ressources physiques ni aux emplacements, ils ne peuvent pas contourner les vérifications de stratégie de contrôle d’accès en fonction du rôle (RBAC) logiques. Le personnel disposant d’un accès opérateur est autorisé à exécuter des workflows approuvés pour la maintenance.

En savoir plus : Sécurité locale et physique des centres de données Azure

Processus de contrôle des modifications

Pour déployer des modifications apportées au service dans les centres de données, l’équipe Microsoft Entra définit les couches d’un environnement de déploiement. L’application des couches de modification est limitée par des critères de sortie stricts. La durée de déploiement d’une modification sur plusieurs couches est définie par l’équipe en charge des opérations et est basée sur les effets potentiels. En règle générale, un déploiement prend entre une et deux semaines. Les modifications critiques, telles que les correctifs de sécurité ou les correctifs à chaud, peuvent être déployées plus rapidement. Si une modification ne répond pas aux critères de sortie lorsqu’elle est appliquée à une couche de déploiement, elle est restaurée à l’état stable précédent.

Ressources

• Documents d’approbation de service Microsoft
• Cloud de confiance Microsoft Azure
• Centres de données Office 365

Étapes suivantes

• Microsoft Entra ID et résidence des données
• Considérations opérationnelles relatives sur les données (Vous êtes ici)
• Considérations relatives à la protection des données