従業員の異動および退職時のアクセス制御管理について
アクセス制御の観点からいうと、従業員の転勤と退職は、移行後の不正アクセスを防ぐために、タイムリーかつ一貫して調整する必要があります。 別のチームに移行する従業員は、現在保持している資格のサブセットのみを必要とするか、現在保持している資格がまったく必要ない場合があります。 退職した従業員は、正式に雇用を終了した後、適時にアクセスを無効にする必要があります。 Microsoft は、従業員とそのアクセスに対して一貫した正確な移行を行うために、手順と自動化されたワークフローを十分に確立しています。
転送
従業員の転送プロセスは、従業員のマネージャーから人事への要求が行われたときに開始されます。 要求は人事情報システム (HRIS) に記録され、Global Talent Acquisition は従業員に新しいロールに関するオファー レターを出すように求められます。 レターが受け入れられると、人事は HRIS で転送要求を完了し、これにより IDM がトリガーされて、従業員のアクティブな資格の有効期限が設定されます。 従業員が新しいロールで同じアクセス許可のいずれかを必要とする場合は、それぞれについて要求を送信し、新しいマネージャーから承認を受ける必要があります。 承認されていない要求は、資格の有効期限が切れ、取り消されます。 担当者の新しいロールに特定のセキュリティへの影響が含まれている場合、システム アクセスとセキュリティ グループ メンバーシップがすぐに再評価され、新しいロールが反映されます。
終了
終了については、特に不本意な終了の場合は慎重に処理する必要があります。 このため、Microsoft では明確に定義されたポリシーと手順を使用して、インサイダー関連の潜在的なリスクを防ぐために、きわめて適正なタイミングで物理的および論理的なアクセスを取り消します。
従業員が Microsoft を退職することを通知すると、マネージャーは HRIS に退職日を入力します。 従業員の退職日の 1 日の終わりに、HRIS は従業員を退職としてマークし、IDM を自動的にトリガーしてすべてのサービス チーム アカウントを無効にし、すべての資格とロックボックス ロールを取り消します。
不本意な退職の場合でも、従業員のマネージャーが HRIS に退職日を入力するのは同じで、これにより IDM は指定した日付に当該従業員のアクセスを削除します。 さらに、Microsoft やその顧客が脅威に晒される危険性がある場合には、緊急要求を行って、従業員のアカウントを無効にして、その資格を即時取り消すこともできます。