Необходимые условия для создания учетной записи команды службы
Теперь, когда вы понимаете различные средства и технологии, которые Microsoft 365 использует для обеспечения управления доступом, давайте обсудим, как создаются учетные записи команд обслуживания. Среда для служб Microsoft 365 отделена от корпоративной среды Майкрософт. Это означает, что учетные записи пользователей корпоративной среды Майкрософт не предоставляют доступ к среде служб Microsoft 365. Учетные записи команды обслуживания создаются только для сотрудников, чьи обязанности требуют доступа к рабочей среде для управления службами Microsoft 365. Кроме того, невозможно создать учетные записи команды обслуживания без начального выполнения требований соответствия, изложенных в этом модуле.
Когда инженер назначается в команду обслуживания для поддержки рабочих служб, он запрашивает право на получение учетной записи команды обслуживания с помощью средства управления удостоверениями (IDM). Такой запрос запускает серию проверок персонала, чтобы убедиться, что инженер прошел все требования проверки, завершил необходимое обучение и получил соответствующее утверждение руководства перед созданием учетной записи. Создать учетную запись команды обслуживания для запрашиваемой среды можно только после выполнения всех требований соответствия.
Проверка персонала
Методы проверки в Microsoft 365 соответствуют корпоративным стандартам Майкрософт и Национального института стандартов и технологий (NIST) 800-53 в отношении проверки персонала.
В той степени, в которой это разрешено местным законодательством, проверки перед приемом на работу включают следующее:
- подтверждение личности;
- проверку данных о совершенных правонарушениях;
- подтверждение наивысшего достигнутого академического уровня;
- проверку сведений о работе;
- проверку на предмет международных санкций и проблем с правоохранительными органами.
Сотрудники, участвующие в разработке, эксплуатации или доставке веб-служб государственным или коммерческим облачным клиентам, могут подвергаться дополнительным проверкам в соответствии с действующими законами о конфиденциальности. Кроме того, чтобы учетная запись команды службы постоянно соответствовала критериям, каждые два года необходимо проводить повторную проверку. Доступ будет автоматически отозван для персонала, который не пройдет повторную проверку или не выполнит требования к повторной проверке.
IDM применяет требования к проверке персонала и отказывает в праве на учетную запись команды обслуживания всем, кто не отвечает соответствующим требованиям к проверке. Кроме того, IDM автоматически отключает учетные записи команды обслуживания для пользователей, которые не прошли обязательную повторную проверку.
Обучение
Каждый инженер, работающий в командах обслуживания Microsoft 365, проходит обучение, соответствующее его роли. Начальное обучение проводится, когда новый сотрудник начинает работу в корпорации Майкрософт, а затем каждый год проводится ежегодное повышение квалификации. Обучение обеспечивает понимание сотрудником подхода Майкрософт к безопасности.
Требования к обучению применяются IDM. Если обязательное обучение не завершено, это лишает права на получение новых учетных записей команды обслуживания и автоматически отключает существующие учетные записи команды обслуживания.
Утверждение руководством и создание учетной записи
После того как IDM подтвердит выполнение всех требований соответствия, запрос учетной записи команды обслуживания отправляется уполномоченным руководителям для проверки и утверждения. Только после утверждения запроса можно создать учетную запись команды обслуживания.
Базовые учетные записи команды обслуживания ограничены широким доступом на чтение метаданных системы, используемым для устранения регулярных неполадок. Этот доступ по умолчанию предоставляет права только на чтение без привилегий администратора или доступа к контенту клиента. Кроме того, базовые учетные записи команды обслуживания не могут запрашивать доступ с повышенными привилегиями через защищенное хранилище без назначения определенных ролей, разрешающих запросы на повышение привилегий для определенных задач и операций. Эти ограничения являются основой стратегии Управления привилегированным доступом Microsoft Purview, которая основана на принципе отсутствия постоянного доступа.