識別 Microsoft 受管理帳戶類型
在 Microsoft,我們透過無常設存取權 (ZSA) 原則來降低與特殊權限帳戶相關聯的風險。 它可讓 Microsoft 在缺乏持續的特殊權限使用者帳戶的情況下操作其服務。 ZSA 結合 Just-In-Time (JIT) 和 Just-Enough-Access (JEA),提供可保護客戶資料的穩定架構。
Microsoft 365 已識別出三種可支援組織任務和商務功能的帳戶類別:服務小組帳戶、服務帳戶和客戶帳戶。 其中兩個類別是受 Microsoft 管理的服務小組帳戶和服務帳戶,並讓我們可以操作及支援我們的產品和服務。 第三個類別是由客戶管理的客戶帳戶,且讓客戶可以靈活地滿足其內部存取控制需求。
受 Microsoft 管理的帳戶
由 Microsoft 直接管理的兩種帳戶類別:服務小組帳戶和服務帳戶。
服務小組帳戶 由負責開發、維護和修復 Microsoft 365 核心服務的 Microsoft 個別人員使用。 透過使用角色型存取控制 (RBAC),將存取權限授予服務小組帳戶。 RBAC 會強化職責劃分,並確保小組成員僅具有經授權核准者所核准之執行特定活動所需的最低存取權。
服務帳戶 也由 Microsoft 管理,但並未指派給個別的 Microsoft 人員。 相反地,Microsoft 365 服務會使用服務帳戶以驗證 Microsoft 雲端環境內的伺服器和其他服務。 這些帳戶無法由 Microsoft 人員進行存取,僅可使用自動化程序以操作我們的產品與服務。
受客戶管理的帳戶
在雲端環境中,客戶和雲端服務提供者會共同承擔達成相容和安全運算環境的責任。 Microsoft 使用共用責任模型來定義 Microsoft 365 服務的安全性與營運責任。 雖然 Microsoft 365 會保護基礎雲端基礎結構和服務,但客戶必須了解他們對於確保使用者和資料之安全租用戶環境的責任。 在特殊權限存取管理的內容中,客戶負責在其 Microsoft 365 租用戶中進行佈建和管理客戶帳戶。
客戶在使用 客戶帳戶 的 Microsoft 365 租用戶中管理存取控制。 客戶帳戶允許由客戶定義的使用者存取 Microsoft 365 服務。 這些帳戶可由客戶在 Microsoft Entra ID 中布建,或與 內部部署的 Active Directory (AD) 同盟。 受客戶管理的帳戶可提供客戶彈性,靈活的符合其使用者的組織存取控制要求。 客戶帳戶無法用於存取非客戶租用戶的資料。
讓我們探索 Microsoft 管理服務小組帳戶的方式,以保護 Microsoft 365 服務和客戶資料。