Типы управляемых учетных записей Майкрософт

  • 3 мин

Корпорация Майкрософт снижает риски, связанные с привилегированными учетными записями, с помощью принципа отсутствия постоянного доступа (ZSA). Это позволяет корпорации Майкрософт управлять своими службами без постоянных привилегированных учетных записей пользователей. В сочетании с методами JIT (Just-In-Time) и JEA (Just-Enough-Access) принцип ZSA предоставляет надежную платформу для защиты данных клиентов.

В Microsoft 365 определены три категории учетных записей для поддержки целей организации и бизнес-функций: учетные записи команды обслуживания, учетные записи служб и учетные записи клиентов. Две из этих категорий (учетные записи команды обслуживания и учетные записи служб) управляются корпорацией Майкрософт и позволяют нам управлять нашими продуктами и службами, а также поддерживать их. Третья категория (учетные записи клиентов) управляется клиентами и позволяет им гибко соответствовать своим внутренним требованиям к управлению доступом.

Визуальное представление общей ответственности при управлении учетными записями. Учетные записи двух типов: групповые учетные записи служб и учетные записи служб управляются корпорацией Майкрософт. Учетные записи клиентов управляются клиентами.

Учетные записи под управлением Майкрософт

Корпорация Майкрософт напрямую управляет двумя категориями учетных записей: учетными записями команды обслуживания и учетными записями служб.

Учетные записи команд обслуживанияиспользуются сотрудниками Майкрософт, которые занимаются разработкой, обслуживанием и восстановлением основных служб Microsoft 365. Права доступа предоставляются учетным записям команды обслуживания с помощью управления доступом на основе ролей (RBAC). RBAC обеспечивает разделение обязанностей и гарантирует участникам команды только минимальный доступ, необходимый для выполнения определенных действий, утвержденных авторизованным утверждающим лицом.

Учетные записи служб также управляются корпорацией Майкрософт, но не назначаются отдельным сотрудникам Майкрософт. Вместо этого учетные записи служб применяются службами Microsoft 365 для проверки подлинности на серверах и в других службах облачной среды Майкрософт. Эти учетные записи недоступны персоналу Майкрософт и используются только автоматизированными процессами для управления нашими продуктами и службами.

Учетные записи под управлением клиента

В облачных средах заказчики и поставщики облачных служб сообща отвечают за обеспечение безопасной и соответствующей требованиям вычислительной среды. Для определения областей ответственности при эксплуатации и обеспечении безопасности в службах Microsoft 365 корпорация Майкрософт использует модель общей ответственности. Несмотря на то что Microsoft 365 обеспечивает безопасность базовой облачной инфраструктуры и служб, заказчики должны знать свои обязанности по обеспечению безопасной среды клиента для своих пользователей и данных. В контексте управления привилегированным доступом клиенты отвечают за подготовку учетных записей клиентов в среде Microsoft 365 и управление ими.

Клиенты управляют доступом в среде Microsoft 365 с помощью учетных записей клиентов. Учетные записи клиентов позволяют пользователям, которые определены клиентом, получать доступ к службам Microsoft 365. Эти учетные записи могут быть подготовлены клиентом в Microsoft Entra ID или федеративны с локальной службой Active Directory (AD). Учетные записи, управляемые клиентами, предоставляют клиентам гибкие возможности по соблюдению требований организации к управлению доступом для своих пользователей. Учетные записи клиентов нельзя использовать для доступа к данным за пределами клиента.

Давайте рассмотрим, как корпорация Майкрософт управляет учетной записью команды обслуживания для защиты служб Microsoft 365 и данных клиентов.