了解特殊權限存取
無常設存取權 (ZSA)
Microsoft 使用 ZSA 原則來處理特殊權限存取。 ZSA 表示根據預設,Microsoft 人員沒有生產環境的持續性特殊權限存取權。 透過 Just-In-Time (JIT) 存取提供的存取權是最低存取權,只夠存取手邊的特定工作。 ZSA 除了非常在意帳戶洩露的可能性之外,也要確保遭到入侵的帳戶無法用來在生產環境中執行特殊權限命令或存取客戶內容。
ZSA 是依據 Microsoft 365 產品和服務的結構來提供的。 自動化服務程式碼會處理 Microsoft 365 中的例行作業。 這可讓我們的工程師在沒有常設系統管理權限或客戶內容存取權的情況下支援服務。 不過,我們的工程師有時仍需要提高的權限,才能為客戶提供即時支援,或解決 Microsoft 365 生產環境中的問題。 當服務團隊工程師需要特殊權限存取權時,Microsoft 365 會使用 JIT 存取模型來提供有限的限時存取。
Just-In-Time (JIT) 和 Just-Enough-Access (JEA)
當服務團隊工程師需要生產環境的暫時特殊權限存取權,才能支援 Microsoft 365 時,Microsoft 365 會使用 JIT 存取模型來提供這類存取權。 JIT 存取模型可讓工程師在必要時要求暫時提升到具有特殊權限的角色,以此取代傳統的持續性系統管理存取權。
Microsoft 365 中的 JIT 會透過 Lockbox 啟用。 Lockbox 是強制執行 JIT 工作流程並提供細微權限管理的工具。 Lockbox 會將提升的存取權限制在完成指定工作所需的最低權限、資源和時間。 我們將此最低權限實作稱為 Just-Enough-Access (JEA)。 Lockbox 會針對所有 JIT 存取要求實作 JEA,以強制工程師在要求中指定存取範圍,並提供需要存取權的原因。
您可以搭配使用 IDM 資格和 Lockbox 角色,以確保 JIT 要求僅限於 JEA。 工程師只能要求存取其服務團隊帳戶資格範圍內的資產。 例如,支援 Microsoft 365 服務或功能的工程師有資格要求存取與該功能相關的資產。 此外,工程師只能要求存取權來執行其 Lockbox 核准角色所允許的動作。 並非所有工程師都需要存取相同類型的系統管理功能,而 Lockbox 角色會限制工程師只能提出工作職責所需的 JIT 要求類型。 Lockbox 會自動拒絕超出工程師資格和 Lockbox 角色範圍的 JIT 要求,以及超過允許閾值的要求。
JIT 工作流程會使用 Lockbox 來初始化 JIT 要求、協助 Lockbox 核准者進行審查、根據核准者決策授予或拒絕存取權,以及稽核 JIT 要求。 下圖說明工程師要求 JIT 存取權時的 Lockbox 工作流程。
當服務團隊工程師因為業務需求而需要特殊權限存取權來存取生產資源時,他們會透過 Lockbox 來要求存取權。 要求會指定完成工作所需的特殊權限角色、資源和時間。 其中也包含為什麼需要進行此工作的業務理由。 工程師只能要求提升為其安全性群組成員資格所允許的特殊權限角色,而且只能指定其服務團隊帳戶資格範圍內的資源。
Lockbox 會傳送 JIT 要求給指定的存取核准者,該核准者會審查要求並做出授予或拒絕存取的決定。 工程師無法核准自己的 JIT 要求。 如果存取核准者拒絕要求,或讓要求到期而不執行任何動作,則不會授予存取權。
如果存取核准者核准要求,則工程師會獲得暫時存取權,特別受限於要求中指定的資源。
工程師可使用這些暫時性的特殊權限,透過安全存取工作站 (SAW) 和多重要素驗證 (MFA) 連線到生產環境。 暫時性特殊權限存取的使用情況會自動受到監視並進行記錄,以確保責任歸屬及偵測異常行為。 當要求中指定的期間到期之後,暫時性會自動撤銷存取權。
JIT 存取模型會確保服務團隊帳戶沒有生產環境的常設特殊權限存取權,藉此限制服務團隊帳戶遭入侵時的影響。 此外,透過 Lockbox 所授予的暫時性特殊權限存取權會有範圍限制,並且會在指定期間之後過期。 這表示資料外洩並不會讓攻擊者有無限或持續性的存取權來存取生產資源。 使用 SAW 來連線到生產環境,則會進一步限制帳戶遭到入侵時的可能影響。