Reconnaître les types de comptes gérés Microsoft
Chez Microsoft, nous réduisons les risques associés aux comptes privilégiés à l’aide du principe de Zero Standing Access (ZSA). Il permet à Microsoft de faire fonctionner ses services sans compte d’utilisateur privilégié persistant. Combiné à l’exécution juste-à-temps et juste-assez, ZSA fournit une infrastructure fiable pour la protection des données client.
Microsoft 365 a identifié trois catégories de comptes pour la prise en charge des missions d’entreprise et des fonctions métier : les comptes d’équipe de service, les comptes de service et les comptes client. Deux de ces catégories, les comptes d’équipe de service et les comptes de service, sont gérés par Microsoft et nous permettent de proposer et de prendre en charge nos produits et services. La troisième catégorie, les comptes client, est gérée par le client et offre aux clients la flexibilité nécessaire pour répondre aux exigences de contrôle d’accès interne.
Comptes gérés par Microsoft
Microsoft gère directement deux catégories de comptes : les comptes d’équipe de service et les comptes de service.
Les comptes d’équipe de service sont utilisés par les membres individuels de Microsoft chargés du développement, de la maintenance et de la réparation de principaux services Microsoft 365. Les droits d’accès sont octroyés aux comptes d’équipe de service à l’aide du contrôle d’accès en fonction du rôle. Le contrôle d’accès en fonction du rôle applique la séparation des tâches et permet aux membres de l’équipe de bénéficier uniquement de l’accès minimal nécessaire pour effectuer des activités spécifiques approuvées par un approbateur autorisé.
Les comptes de service sont également gérés par Microsoft Corporation, mais ils ne sont pas attribués à des membres individuels de Microsoft Corporation. Au lieu de cela, les comptes de service sont utilisés par les services Microsoft 365 pour s’authentifier auprès de serveurs et d’autres services au sein de l’environnement cloud Microsoft. Ces comptes ne sont pas accessibles par les membres du personnel de Microsoft et sont utilisés uniquement par les processus automatisés pour faire fonctionner nos produits et services.
Comptes gérés par le client
Dans les environnements cloud, les clients et les fournisseurs de services cloud partagent la responsabilité de la réalisation d’un environnement informatique compatible et sécurisé. Microsoft utilise un modèle de responsabilité partagée pour définir les responsabilités opérationnelles et les responsabilités en matière de sécurité au sein des services Microsoft 365. Bien que Microsoft 365 sécurise l’infrastructure et les services cloud sous-jacents, les clients doivent être conscients de leurs responsabilités afin de garantir un environnement client sécurisé pour leurs utilisateurs et leurs données. Dans le cadre de la gestion des accès privilégiés, les clients sont responsables de la mise en service et de la gestion des comptes client au sein de leur client Microsoft 365.
Les clients gèrent le contrôle d’accès au sein de leur client Microsoft 365 à l’aide de comptes client. Les comptes client permettent aux utilisateurs définis par l’utilisateur d’accéder aux services Microsoft 365. Ces comptes peuvent être provisionnés par le client dans Microsoft Entra ID ou fédérés avec Active Directory local (AD). Les comptes gérés par le client offrent aux clients la flexibilité nécessaire afin de répondre aux exigences de contrôle d’accès de leur organisation pour leurs utilisateurs. Les comptes client ne peuvent pas être utilisés pour accéder aux données en dehors client du client.
Voyons comment Microsoft gère les comptes d’équipe de service pour protéger les services et les données client de Microsoft 365.