了解建立服務小群帳戶的先決條件
您現在已了解 Microsoft 365 用來強制執行存取控制的各種工具和技術,讓我們討論如何建立服務小組帳戶。 Microsoft 365 服務的環境與 Microsoft Corporate 環境分開。 這表示 Microsoft Corporate 環境的使用者帳戶不會提供 Microsoft 365 服務環境的任何存取權。 只有工作職責需要存取生產環境以管理 Microsoft 365 服務的人員才能建立服務小組帳戶。 此外,若未先符合此單元中所列的資格需求,就無法建立服務小組帳戶。
當工程師被指派給服務小組以支援生產服務時,他們會透過身分識別管理工具 (IDM) 要求服務小組帳戶的資格。 資格要求會觸發一系列的人員檢查,以確保工程師已通過所有檢測要求、完成必要的訓練,並且在帳戶建立之前獲得適當的管理階層核准。 只有在符合所有資格要求之後,才能為要求的環境建立服務小組帳戶。
人員檢測
Microsoft 365 檢測做法符合 Microsoft 的公司標準和國家標準暨技術研究院 (NIST) 800-53 進行的人員檢測。
在當地法律允許的範圍內,雇用前檢測會檢查包括下列項目:
- 確認身分識別
- 刑事案件記錄檢查
- 確認最高等級的學術成就
- 雇用記錄
- 全球制裁與強制檢查
參與開發、營運或提供線上服務給政府或商業雲端客戶的員工可能會受到額外檢查,以遵守相關的隱私權法律。 此外,若要維持服務小組帳戶的資格,必須每兩年重新進行一次檢測。 未通過重新檢測或無法達成重新檢測需求的人員的存取權會自動被撤銷。
IDM 會強制執行人員檢測需求,並且會拒絕任何不符合相關檢測需求的服務小組帳戶資格。 此外,IDM 會自動為未通過必要的重新檢測的使用者停用服務小組帳戶。
訓練
每個在 Microsoft 365 服務小組工作的工程師都可獲得適合其角色的訓練。 當新員工開始在 Microsoft 工作時,即會進行初始訓練,之後每年進行年度復習訓練。 此訓練讓員工了解 Microsoft 的安全性方法。
訓練需求是由 IDM 強制執行。 無法完成必要的訓練,會妨礙新服務小組帳戶的資格,並自動停用現有的服務小組帳戶。
管理階層核准和帳戶建立
在 IDM 確認符合所有資格要求之後,服務小組帳戶要求會發送給授權的管理員進行審閱和核准。 只有在核准要求之後,才能建立服務小組帳戶。
只有一般疑難排解的廣泛系統中繼資料讀取存取權才能使用基準服務小組帳戶。 此預設存取是唯讀的,沒有系統管理權限或客戶內容的存取權。 此外,如果沒有特定的角色分配以允許對特定工作和作業的提高權限請求,基準服務小組帳戶無法透過 Lockbox 要求提高存取權。 這些限制是 Microsoft Purview 特殊權限存取管理策略的基礎,此策略以 Zero Standing 存取原則為根據。