Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule dowiesz się o kwestiach operacyjnych dotyczących danych w konfiguracji. Istnieją informacje o tym, jak działają pliki dziennika i inne funkcje w odniesieniu do Microsoft Entra ID, takie jak dane użycia i ochrona operatora. Oprócz wskazówek dotyczących sposobu definiowania wdrożeń i zmian przez zespół firmy Microsoft Entra dowiesz się więcej na temat zagadnień dotyczących zabezpieczeń fizycznych.
Pliki dziennika
Identyfikator Entra firmy Microsoft generuje pliki dziennika na potrzeby inspekcji, badania i debugowania akcji i zdarzeń w usłudze. Pliki dziennika mogą zawierać dane dotyczące użytkowników, urządzeń i konfiguracji firmy Microsoft Entra, na przykład zasad, aplikacji i grup. Pliki dziennika są tworzone i przechowywane w usłudze Azure Storage w centrum danych, w którym działa usługa Microsoft Entra.
Pliki dziennika są używane do lokalnego debugowania, zabezpieczeń, analizy użycia, monitorowania kondycji systemu i analizy całej usługi. Te dzienniki są kopiowane za pośrednictwem połączenia Transport Layer Security (TLS) z systemami uczenia maszynowego firmy Microsoft, które znajdują się w centrach danych należących do firmy Microsoft w kontynentalnych Stanach Zjednoczonych.
Dane użycia
Dane użycia to metadane generowane przez usługę Microsoft Entra, która wskazuje sposób używania usługi. Te metadane służą do generowania raportów administratora i użytkowników. Zespół inżynierów firmy Microsoft Entra używa metadanych do oceny użycia systemu i identyfikowania możliwości ulepszania usługi. Ogólnie rzecz biorąc, te dane są zapisywane w plikach dziennika, ale w niektórych przypadkach są zbierane przez nasze systemy monitorowania i raportowania usług.
Zabezpieczenia operatora
Dostęp pracowników firmy Microsoft, wykonawców i dostawców (administratorów systemu) do Entra ID jest wysoce ograniczony. Jeśli to możliwe, interwencja człowieka jest zastępowana przez zautomatyzowany, oparty na narzędziach proces, w tym rutynowe funkcje, takie jak wdrażanie, debugowanie, zbieranie danych diagnostycznych i ponowne uruchamianie usług.
Dostęp administratora jest ograniczony do podzbioru wykwalifikowanych inżynierów i wymaga ukończenia wyzwania uwierzytelniania z poświadczeniami odpornymi na wyłudzanie informacji. Funkcje dostępu i aktualizacji systemu są przypisywane do ról zarządzanych przez system zarządzania dostępem uprzywilejowanym (JIT) firmy Microsoft. Administratorzy systemu żądają uzyskania podwyższenia uprawnień przy użyciu systemu JIT, który kieruje żądanie do zatwierdzenia ręcznego lub automatycznego. Po zatwierdzeniu, system JIT podnosi poziom konta. Żądania dotyczące podniesienia uprawnień, zatwierdzenia, podniesienia uprawnień do ról i usunięcia z ról są rejestrowane na potrzeby przyszłego debugowania lub badania.
Personel firmy Microsoft może wykonywać operacje tylko z bezpiecznej stacji roboczej dostępu, która korzysta z wewnętrznej izolowanej platformy tożsamości silnego uwierzytelniania. Dostęp do innych systemów tożsamości firmy Microsoft nie udziela dostępu do stacji roboczej z dostępem do zabezpieczeń. Platforma tożsamości działa oddzielnie od innych systemów tożsamości firmy Microsoft.
Bezpieczeństwo fizyczne
Fizyczny dostęp do serwerów, które tworzą usługę Microsoft Entra, oraz dostęp do systemów zaplecza Microsoft Entra jest ograniczony przez obiekty Azure, tereny oraz zabezpieczenia fizyczne. Klienci firmy Microsoft Entra nie mają dostępu do zasobów fizycznych ani lokalizacji, dlatego nie mogą pominąć kontroli dostępu opartej na rolach (RBAC, logical role-based access control). Personel z dostępem operatora ma uprawnienia do uruchamiania zatwierdzonych przepływów pracy na potrzeby konserwacji.
Dowiedz się więcej: Obiekty platformy Azure, lokalne i zabezpieczenia fizyczne
Proces kontroli zmian
Aby wdrożyć zmiany w usłudze w centrach danych, zespół firmy Microsoft Entra definiuje warstwy środowiska wdrażania. Stosowanie warstw zmian jest ograniczone przez wyznaczone kryteria zakończenia. Czas wprowadzania zmian między warstwami jest definiowany przez zespół operacyjny i zależy od potencjalnego wpływu. Zazwyczaj wdrożenie trwa od 1 do 2 tygodni. Krytyczne zmiany, takie jak poprawki zabezpieczeń lub gorące poprawki, można wdrażać szybciej. Jeśli zmiana nie spełnia kryteriów zakończenia w przypadku zastosowania do warstwy wdrożenia, zostaje przywrócona do poprzedniego, stabilnego stanu.
Zasoby
- Dokumenty zaufania usług firmy Microsoft
- Zaufana chmura platformy Microsoft Azure
- Centra danych usługi Office 365