合规性和安全控制

本文可帮助你了解组织如何符合各种合规性要求和安全标准。

合规性

合规性覆盖范围

Microsoft托管桌面已获得以下合规性认证:

审核员报表和合规性证书

可以在服务信任门户 (STP) 中找到相关信息,包括控制措施和技术要求。 此门户是有关Microsoft Cloud Service产品/服务的中央存储库。 可以从 STP 的 “审核报告 ”部分下载审核报告、合规性证书等。

注意

由于 Microsoft 托管桌面在 Azure 上运行,因此相关文档通常具有“Microsoft Azure、Dynamics 365 和其他联机服务”这样的文件名。 在这些文档中,通常可以在类别“Microsoft 联机服务”或“监视 + 管理”下找到 Microsoft 托管桌面。

安全控制措施

设备控制

所有Microsoft托管桌面人员都使用批准的设备来管理服务和访问托管租户。 这些设备专用于生产操作,需要多重身份验证,具有自己的专用标识、监视和强化功能。 此外,这些特殊用途设备具有防止工程师共享设备的控件。

人员控件

Microsoft托管桌面维护并更新授权人员对包含客户数据的Microsoft系统的访问记录。 所有服务工程师必须遵守标准Microsoft安全策略和做法。 其中包括定期强制培训, (安全性、标识、隐私和合规性) 以及定期的背景和安全检查。

工程师不会保留对生产系统或客户数据的持续访问权限。 所有访问权限是时间限制的,必须由个人续订,并强制管理评审和批准。 所有权利都受到季度访问评审的约束。

Microsoft托管桌面具有与已分配所有者的进程,我们使用这些进程授予、更改和取消对数据和资源的访问授权。 例如,如果Microsoft托管桌面员工离开团队,则会及时撤销其凭据。

对任何交互式服务帐户的访问仅限于支持请求的上下文,并且仅限于使用这些设备的服务工程师。 这些帐户的请求和使用情况只能来自Microsoft安全访问工作站。

特权访问控制

处理支持请求时,服务工程师可能需要访问你的租户。 为此,必须请求对特定目录角色的访问权限。 如果获得批准,则向来宾帐户授予这些权限最多 8 小时。 此方法使特定用户能够与租户内执行的所有操作相关联。

服务帐户控制

所有Microsoft托管桌面服务帐户凭据都存储在受保护的 Azure 密钥保管库中。 凭据随机生成,每 13 天轮换一次,如果在过渡期间使用,则每 30 分钟轮换一次。 可以通过 托管桌面Microsoft请求审核日志。 审核所有“实时”使用,审核日志包含Microsoft托管桌面服务工程团队的服务请求的详细信息,并在 Azure 中存储 365 天。

有关详细信息,请参阅服务信任门户中 (STP ) 中的Microsoft托管桌面 - 数据存储、使用情况和安全做法文档。