合规性和安全控制

本文可帮助你了解组织如何符合各种合规性要求和安全标准。

合规性

合规性覆盖范围

Microsoft 托管桌面已获得以下合规性认证：

• ISO 27001 信息安全管理标准 (ISMS)
• ISO 27701 隐私信息管理系统 (PIMS)
• ISO 27017 信息安全控制措施行为守则
• ISO 27018 云中个人数据保护行为守则
• ISO 9001 质量管理体系标准
• ISO 20000-1 信息技术服务管理
• ISO 22301 业务连续性管理标准
• 云安全联盟 (CSA) STAR 证明
• 云安全联盟 (CSA) STAR 认证
• 服务组织控制措施 (SOC) 1、2、3
• 信息安全注册评估员计划 (IRAP)
• 支付卡行业 (PCI) 数据安全标准 (DSS)
• 健康保险可携性与责任法案 (HIPAA)
• 健康信息信任联盟 (HITRUST) 共同安全框架 (CSF)

审核员报表和合规性证书

可以在服务信任门户 (STP) 中找到相关信息，包括控制措施和技术要求。 此门户是有关Microsoft Cloud Service产品/服务的中央存储库。 可以从 STP 的 “审核报告 ”部分下载审核报告、合规性证书等。

注意

由于 Microsoft 托管桌面在 Azure 上运行，因此相关文档通常具有“Microsoft Azure、Dynamics 365 和其他联机服务”这样的文件名。 在这些文档中，通常可以在类别“Microsoft 联机服务”或“监视 + 管理”下找到 Microsoft 托管桌面。

安全控制措施

设备控制

所有 Microsoft 托管桌面人员都使用批准的设备来管理服务和访问托管租户。 这些设备专用于生产操作，需要多重身份验证，具有自己的专用标识、监视和强化功能。 此外，这些特殊用途设备具有防止工程师共享设备的控件。

人员控件

Microsoft 托管桌面维护并更新授权人员对包含客户数据的 Microsoft 系统的访问记录。 所有服务工程师必须遵守标准的 Microsoft 安全策略和做法。 其中包括定期强制培训， (安全性、标识、隐私和合规性) 以及定期的背景和安全检查。

工程师不会保留对生产系统或客户数据的持续访问权限。 所有访问权限是时间限制的，必须由个人续订，并强制管理评审和批准。 所有权利都受到季度访问评审的约束。

Microsoft 托管桌面具有与已分配所有者的流程，我们使用这些流程授予、更改和取消对数据和资源的访问授权。 例如，如果 Microsoft 托管桌面员工离开团队，则会及时撤销其凭据。

对任何交互式服务帐户的访问仅限于支持请求的上下文，并且仅限于使用这些设备的服务工程师。 这些帐户的请求和使用情况只能来自 Microsoft 安全访问工作站。

特权访问控制

处理支持请求时，服务工程师可能需要访问你的租户。 为此，必须请求对特定目录角色的访问权限。 如果获得批准，则向来宾帐户授予这些权限最多 8 小时。 此方法使特定用户能够与租户内执行的所有操作相关联。

服务帐户控制

所有 Microsoft 托管桌面服务帐户凭据都存储在受保护的 Azure 密钥保管库中。 凭据随机生成，每 13 天轮换一次，如果在过渡期间使用，则每 30 分钟轮换一次。 可以通过 Microsoft 托管桌面请求审核日志。 审核所有“实时”使用，审核日志包含 Microsoft 托管桌面服务工程团队的服务请求的详细信息，并在 Azure 中存储 365 天。

有关详细信息，请参阅服务信任门户中的 Microsoft 托管桌面 - 数据存储、使用情况和安全实践 文档 ， (STP) 。