Zagadnienia dotyczące działania danych

W tym artykule przedstawiono zagadnienia dotyczące działania danych dla konfiguracji. Istnieją informacje o sposobie działania plików dziennika i innych funkcji w odniesieniu do identyfikatora Entra firmy Microsoft, takiego jak dane użycia i zabezpieczenia operatora. Oprócz wskazówek dotyczących sposobu definiowania wdrożeń i zmian przez zespół firmy Microsoft Entra dowiesz się więcej na temat zagadnień dotyczących zabezpieczeń fizycznych.

Plik dzienników

Identyfikator Entra firmy Microsoft generuje pliki dziennika na potrzeby inspekcji, badania i debugowania akcji i zdarzeń w usłudze. Pliki dziennika mogą zawierać dane dotyczące użytkowników, urządzeń i konfiguracji firmy Microsoft Entra, na przykład zasad, aplikacji i grup. Pliki dziennika są tworzone i przechowywane w usłudze Azure Storage w centrum danych, w którym działa usługa Microsoft Entra.

Pliki dziennika są używane do lokalnego debugowania, zabezpieczeń, analizy użycia, monitorowania kondycji systemu i analizy całej usługi. Te dzienniki są kopiowane za pośrednictwem połączenia Transport Layer Security (TLS) z systemami uczenia maszynowego firmy Microsoft, które znajdują się w centrach danych należących do firmy Microsoft w kontynentalnych Stany Zjednoczone.

Dane użycia

Dane użycia to metadane generowane przez usługę Microsoft Entra, która wskazuje sposób używania usługi. Te metadane służą do generowania raportów administratora i użytkowników. Zespół inżynierów firmy Microsoft Entra używa metadanych do oceny użycia systemu i identyfikowania możliwości ulepszania usługi. Ogólnie rzecz biorąc, te dane są zapisywane w plikach dziennika, ale w niektórych przypadkach są zbierane przez nasze systemy monitorowania i raportowania usług.

Zabezpieczenia operatora

Dostęp do identyfikatora Entra firmy Microsoft według personelu, wykonawców i dostawców (administratorów systemu) jest wysoce ograniczony. Jeśli to możliwe, interwencja człowieka jest zastępowana przez zautomatyzowany, oparty na narzędziach proces, w tym rutynowe funkcje, takie jak wdrażanie, debugowanie, zbieranie danych diagnostycznych i ponowne uruchamianie usług.

Administracja istrator dostępu jest ograniczony do podzbioru wykwalifikowanych inżynierów i wymaga ukończenia wyzwania uwierzytelniania przy użyciu poświadczeń odpornych na wyłudzanie informacji. Funkcje dostępu i aktualizacji systemu są przypisywane do ról zarządzanych przez system zarządzania dostępem uprzywilejowanym (JIT) firmy Microsoft. Administratorzy systemu żądają podniesienia uprawnień przy użyciu systemu JIT, który kieruje żądanie ręcznego lub zautomatyzowanego zatwierdzania. Po zatwierdzeniu dostęp JIT podnosi poziom konta. Żądania dotyczące podniesienia uprawnień, zatwierdzenia, podniesienia uprawnień do ról i usunięcia z ról są rejestrowane na potrzeby przyszłego debugowania lub badania.

Personel firmy Microsoft może wykonywać operacje tylko z bezpiecznej stacji roboczej dostępu, która korzysta z wewnętrznej izolowanej platformy tożsamości silnego uwierzytelniania. Dostęp do innych systemów tożsamości firmy Microsoft nie udziela dostępu do stacji roboczej z dostępem do zabezpieczeń. Platforma tożsamości działa oddzielnie od innych systemów tożsamości firmy Microsoft.

Zabezpieczenia fizyczne

Fizyczny dostęp do serwerów składających się na usługę Microsoft Entra oraz dostęp do systemów zaplecza firmy Microsoft Entra jest ograniczony przez usługę Azure Facility, premises i physical security. Klienci firmy Microsoft Entra nie mają dostępu do zasobów fizycznych ani lokalizacji, dlatego nie mogą pominąć kontroli dostępu opartej na rolach (RBAC, logical role-based access control). Personel z dostępem operatora ma uprawnienia do uruchamiania zatwierdzonych przepływów pracy na potrzeby konserwacji.

Dowiedz się więcej: Obiekty platformy Azure, lokalne i zabezpieczenia fizyczne

Proces zmiany kontrolki

Aby wdrożyć zmiany w usłudze w centrach danych, zespół firmy Microsoft Entra definiuje warstwy środowiska wdrażania. Stosowanie warstw zmian jest ograniczone przez ścisłe kryteria zakończenia. Czas wprowadzania zmian między warstwami jest definiowany przez zespół operacyjny i zależy od potencjalnego wpływu. Zazwyczaj wdrożenie trwa od 1 do 2 tygodni. Krytyczne zmiany, takie jak poprawki zabezpieczeń lub gorące poprawki, można wdrażać szybciej. Jeśli zmiana nie spełnia kryteriów zakończenia w przypadku zastosowania do warstwy wdrożenia, zostanie wycofana z poprzedniego, stabilnego stanu.

Zasoby

• Dokumenty zaufania usług firmy Microsoft
• Zaufana chmura platformy Microsoft Azure
• Centra danych usługi Office 365

Następne kroki

• Microsoft Entra ID i miejsce przechowywania danych
• Zagadnienia dotyczące działania danych (jesteś tutaj)
• Zagadnienia dotyczące ochrony danych