サービス チームのアカウント作成の前提条件を理解する
Microsoft 365 でアクセス制御を適用するために使用されるさまざまなツールやテクノロジについて理解しましたので、サービス チームのアカウントの作成方法について説明します。 Microsoft 365 サービス用の環境は、Microsoft の企業環境から分離されています。 つまり、Microsoft の企業環境のユーザーアカウントにより、Microsoft 365 サービス環境へのアクセス権は提供されません。 サービス チームのアカウントは、Microsoft 365 サービスを管理する業務の責任上、運用環境へのアクセスが必要な担当者にのみ作成されます。 また、サービス チームのアカウントは、このユニットに記載されている資格要件をまず満たさなければ、作成することはできません。
運用サービスをサポートするサービス チームにエンジニアが配属されると、ID 管理ツール (IDM) を通して、サービス チームのアカウント資格を要求します。 資格を要求すると、エンジニアがすべての審査要件を通過し、必要な研修を完了し、アカウント作成前に適切な管理者の承認を受けていることを確認するために、一連の人事による確認が行われます。 すべての資格要件を満たしている場合にのみ、要求した環境のサービス チーム アカウントを作成できます。
従業員スクリーニング
Microsoft 365 の審査の方法は、Microsoft の社内基準と米国国立標準技術研究所 (NIST) の人事審査に関する特別刊行物 800-53 に準拠しています。
現地の法律で許容される範囲内では、採用前の審査の確認には次のものが含まれます。
- ID の確認
- 犯罪歴のチェック
- 最終学歴の確認
- 職歴
- 世界的な制裁及び執行の確認
政府機関や商業用クラウド カスタマーへのオンライン サービスの開発、運用、または提供に従事するスタッフは、プライバシーに関連する法律を遵守するために追加の確認を受ける場合があります。 さらに、サービス チームのアカウントを維持するには、2年ごとに再審査を受ける必要があります。 再審査を完了しなかった場合や、再審査要件を満たせなかった場合、担当者のアクセス許可は自動的に取り消されます。
IDM は人事審査の要件を適用し、関連する審査要件を満たさない全員に対して、サービス チームのアカウントを取得する資格を否定します。 また、IDM は、必要な再審査に合格しないユーザーのサービス チーム アカウントを自動的に無効にします。
トレーニング
Microsoft 365 のサービス チームに従事する各エンジニアには、各自の役割に応じた研修が用意されています。 初任者研修は、新しい従業員が Microsoft で仕事を開始したときに実施され、その後毎年更新研修が行われます。 このトレーニングにより、従業員は Microsoft のセキュリティに対するアプローチを理解できます。
研修要件は、IDM によって適用されます。 必要な研修を完了していない場合は、サービス チーム アカウントが更新されないため、既存のサービス チーム アカウントが自動的に無効化されます。
管理者の承認とアカウントの作成
IDM がすべての資格要件を満たしていることを確認した後、サービス チーム アカウントの要求が確認及び承認の権限を持つ上司に送信されます。 要求が承認された場合のみ、サービス チームのアカウントを作成できます。
ベースライン サービス チーム アカウントは、定期的なトラブルシューティングに使用される広範なシステム メタデータ読み取りアクセスに制限されています。 この既定のアクセスは読み取り専用で、管理者特権や顧客コンテンツへのアクセス権はありません。 さらに、ベースラインのサービス チーム アカウントでは、特定のタスクや操作を行うための要求の昇格を認めるロールの割り当てがない限り、ロックボックス経由のアクセス権昇格を要求することはできません。 これらの制限は、ゼロ スタンディング アクセスの原則に基づいて構築された Microsoft Purview の特権アクセス管理戦略の基盤となります。