Gestione degli account in Microsoft 365
Microsoft ha investito molto in sistemi e controlli che automatizzano la maggior parte delle operazioni di Microsoft 365, limitando intenzionalmente la necessità di accesso diretto ai server e ai dati dei clienti da parte del personale del servizio. Gli esseri umani controllano il servizio e il software gestisce il servizio. Questa struttura consente a Microsoft di gestire Microsoft 365 su larga scala e riduce al minimo i rischi delle minacce interne ed esterne. Microsoft affronta il controllo di accesso presupponendo che tutti siano una potenziale minaccia per i servizi e i dati dei clienti di Microsoft 365. Per questo motivo, il principio Zero Standing Access (ZSA) pone le basi per l'intera struttura di controllo di accesso usata da Microsoft 365.
Per impostazione predefinita, il personale Microsoft non ha accesso con privilegi permanenti a qualsiasi ambiente Microsoft 365 o ai dati dei clienti per un'organizzazione. Solo attraverso un solido sistema di controlli e approvazioni il personale del team di servizio può ottenere l'accesso con privilegi con un ambito di azione e di tempo limitato. Attraverso questo sistema, Microsoft può ridurre significativamente il potenziale del personale del servizio Microsoft 365 e degli utenti malintenzionati di ottenere l'accesso non autorizzato o causare danni dannosi o accidentali ai servizi e ai clienti Microsoft.
Tipi di account
Microsoft 365 soddisfa tutte le missioni aziendali e le funzioni aziendali usando tre categorie di account: account del team di servizio, account del servizio e account del cliente. La gestione di questi account è una responsabilità condivisa tra Microsoft e i clienti. Microsoft gestisce sia gli account del team di servizio che gli account del servizio, usati per gestire e supportare prodotti e servizi Microsoft. Gli account dei clienti vengono gestiti dal cliente e consentono loro di personalizzare l'accesso all'account per soddisfare i requisiti di controllo di accesso interni.
Account gestiti da Microsoft
Gli account del team di servizio vengono usati dal personale del team di servizio di Microsoft 365 che sviluppa e gestisce i servizi di Microsoft 365. Questi account non hanno accesso con privilegi permanenti ai servizi di Microsoft 365, ma possono essere usati per richiedere l'accesso con privilegi temporanei e limitati per eseguire una funzione di processo specificata. Non tutti gli account del team del servizio possono eseguire le stesse azioni, la separazione dei compiti viene applicata usando il controllo degli accessi in base al ruolo. I ruoli assicurano che i membri del team di servizio e i relativi account dispongano solo dell'accesso minimo necessario per eseguire compiti di lavoro specifici. Inoltre, gli account del team di servizio non possono appartenere a più ruoli in cui possono fungere da responsabili approvazione per le proprie azioni.
Gli account del servizio vengono usati dai servizi di Microsoft 365 per l'autenticazione quando si comunica con altri servizi tramite processi automatizzati. Così come agli account del team di servizio viene concesso solo l'accesso minimo necessario per svolgere i compiti di lavoro del personale specifico, agli account del servizio viene concesso solo l'accesso minimo indispensabile per lo scopo previsto. Inoltre, esistono più tipi di account del servizio progettati per soddisfare una specifica esigenza. Un servizio Microsoft 365 può avere più account di servizio, ognuno con un ruolo diverso da eseguire.
Account gestiti dal cliente
Gli account dei clienti vengono usati per accedere al servizio Microsoft 365 e sono gli unici account di cui ogni cliente è responsabile. È compito del cliente creare e gestire gli account nell'organizzazione per mantenere un ambiente sicuro. La gestione degli account dei clienti viene eseguita tramite MICROSOFT ENTRA ID o federato con Active Directory locale (AD). Ogni cliente ha un set univoco di requisiti di controllo di accesso che deve soddisfare e gli account dei clienti concedono a ogni cliente la possibilità di soddisfare le proprie esigenze individuali. Gli account dei clienti non possono accedere a dati all'esterno dell'organizzazione del cliente.
Gestione degli account del team di servizio
Microsoft 365 gestisce gli account del team di servizio per tutto il ciclo di vita usando un sistema di gestione degli account denominato Identity Management (IDM). IDM usa una combinazione di processi di verifica automatizzati e approvazione dirigenziale per applicare i requisiti di sicurezza correlati all'accesso all'account del team di servizio.
I membri del team di servizio non ottengono automaticamente un account del team di servizio, devono prima soddisfare i requisiti di idoneità e ottenere l'approvazione da un responsabile autorizzato. Per essere idoneo per un account del team di servizio, il personale del team di servizio deve prima passare attraverso lo screening del personale pre-impiego, un controllo in background cloud e completare tutta la formazione basata sul ruolo standard e necessaria. Dopo aver soddisfatto tutti i requisiti di idoneità, è possibile inviare una richiesta per un account del team di servizio e approvarne l'approvazione da parte di un responsabile autorizzato.
IDM è anche responsabile del monitoraggio della riprotezione periodica e della formazione necessaria per gestire un account del team di servizio. Il controllo in background del cloud Microsoft deve essere completato ogni due anni e tutto il materiale di formazione deve essere esaminato ogni anno. Se uno di questi requisiti non viene soddisfatto entro la data di scadenza, l'idoneità viene revocata e l'account del team del servizio viene disabilitato automaticamente.
Inoltre, l'idoneità dell'account del team di servizio viene aggiornata automaticamente in base al trasferimento e alla terminazione del personale. Le modifiche apportate in Human Resources Information System (HRIS) attivano l'azione IDM, che varia a seconda della situazione. Il personale che si trasferisce a un altro team di servizio avrà una data di scadenza impostata per le loro eligibilità e una richiesta di mantenere le autorizzazioni deve essere inviata dal membro del team di servizio e approvata dal nuovo manager. Il personale terminato ha automaticamente revocato tutte le eligibilità e l'account del team di servizio è disabilitato nell'ultimo giorno. È possibile effettuare una richiesta urgente di revoca dell'account per le terminazioni involontarie.
Per impostazione predefinita, gli account del team di servizio hanno accesso in lettura limitato ai metadati di sistema generali usati per la risoluzione dei problemi regolare. Inoltre, gli account del team del servizio di base non possono richiedere l'accesso con privilegi ai dati di Microsoft 365 o dei clienti. È necessario effettuare un'altra richiesta affinché l'account del team del servizio venga aggiunto a un ruolo che consenta al membro del team del servizio di richiedere privilegi elevati per eseguire attività e operazioni specifiche.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per