數據作業考慮

在本文中，瞭解設定的數據作業考慮。 有記錄檔和其他功能如何與 Microsoft Entra 識別碼有關的資訊，例如使用數據和操作員安全性。 除了 Microsoft Entra 小組如何定義部署和變更的指引之外，您也將了解實體安全性考慮。

記錄檔

Microsoft Entra ID 會針對服務中的動作和事件產生稽核、調查和偵錯的記錄檔。 記錄檔可能包含使用者、裝置和 Microsoft Entra 設定的相關數據，例如原則、應用程式和群組。 記錄檔會建立並儲存在 Microsoft Entra 服務執行所在數據中心的 Azure 儲存體 中。

記錄檔用於本機偵錯、安全性、使用分析、系統健康情況監視，以及全服務分析。 這些記錄會透過傳輸層安全性 （TLS） 連線複製到 Microsoft 報告機器學習系統，這些系統位於大陸 美國 的 Microsoft 擁有資料中心。

使用方式資料

使用量數據是由 Microsoft Entra 服務所產生的元數據，指出服務的使用方式。 此元數據可用來產生系統管理員和使用者面向報表。 Microsoft Entra 工程小組會使用元數據來評估系統使用量，並識別改善服務的機會。 一般而言，這項數據會寫入記錄檔，但在某些情況下，會由我們的服務監視和報告系統收集。

操作員安全性

Microsoft 人員、承包商和廠商（系統管理員）對 Microsoft Entra 識別碼的存取權受到高度限制。 盡可能由自動化的工具型程式取代人為介入，包括部署、偵錯、診斷收集及重新啟動服務等例行功能。

管理員 istrator 存取權僅限於合格工程師的子集，且需要完成具有網路釣魚防護認證的驗證挑戰。 系統存取和更新函式會指派給 Microsoft Just-In-Time （JIT） 特殊許可權存取管理系統所管理的角色。 系統管理員會使用 JIT 系統來要求提高許可權，以路由傳送手動或自動化核准的要求。 核准後，JIT 會提高帳戶的許可權。 系統會記錄提高許可權、核准、提高角色許可權，以及從角色中移除的要求，以供日後偵錯或調查使用。

Microsoft 人員只能從使用內部隔離的強式驗證身分識別平臺的安全存取工作站執行作業。 存取其他 Microsoft 身分識別系統不會授與安全性存取工作站的存取權。 身分識別平臺會與其他 Microsoft 身分識別系統分開執行。

實體安全性

實體存取組成 Microsoft Entra 服務的伺服器，以及 Microsoft Entra 後端系統的存取權，受限於 Azure 設施、內部部署和實體安全性。 Microsoft Entra 客戶無法存取實體資產或位置，因此無法略過邏輯角色型訪問控制 （RBAC） 原則檢查。 具有操作員存取權的人員有權執行核准的工作流程以進行維護。

深入瞭解： Azure 設施、內部部署和實體安全性

變更控制程式

為了跨數據中心推出服務的變更，Microsoft Entra 小組會定義部署環境的層級。 套用變更層會受限於嚴格的結束準則。 跨層變換變更的時間量是由作業小組所定義，並且以潛在影響為基礎。 一般而言，首度發行需要 1 到 2 周的時間。 重大變更，例如安全性修正或經常性修正，可以更快速地部署。 如果變更在套用至部署層時不符合結束準則，則會回復到先前穩定狀態。

資源

• Microsoft 服務信任檔
• Microsoft Azure 信任的雲端
• Office 365 數據中心

下一步

• Microsoft Entra 標識碼和數據落地
• 資料作業考慮 （您在這裡）
• 數據保護考慮