合規性和安全性控制
本文可協助您了解貴組織如何符合各種合規性需求和安全性標準。
合規性
合規性涵蓋範圍
Microsoft受控桌面已達到下列合規性認證:
- ISO 27001 資訊安全性管理標準 (ISMS)
- ISO/IEC 27701 隱私權資訊管理系統 (PIMS)
- 資訊安全性控制的 ISO/IEC ISO 27017 工作條例規定
- 保護雲端中個人資料的 ISO 27018 工作條例規定
- ISO 9001 品質管理系統標準
- ISO 20000-1 資訊技術服務管理
- ISO 22301 商務持續性管理標準
- 雲端安全性聯盟 (CSA) STAR 證明
- 雲端安全性聯盟 (CSA) STAR 認證
- 服務組織控制 (SOC) 1, 2, 3
- 資訊安全性註冊評估者計畫 (IRAP)
- 支付卡行業 (PCI) 資料安全標準 (DSS)
- 健康保險流通與責任法案 (HIPAA)
- 健康資訊信任聯盟 (HITRUST) 一般安全性架構 (CSF)
稽核員報告和合規性憑證
您可以在服務信任入口網站 (STP) 找到相關資訊,包括控制和技術需求。 此入口網站是 Microsoft Cloud Service 供應專案相關信息的中央存放庫。 您可以從 STP 的 [稽核報告] 區段下載稽核員 報告 、合規性憑證等等。
注意事項
由於 Microsoft 受管理的電腦在 Azure 上執行,因此相關文件通常會有如「Microsoft Azure、Dynamics 365 和其他線上服務」的檔案名稱。 在這些文件中,您通常可以在「Microsoft 線上服務」或「監視與管理」類別下找到 Microsoft 受管理的電腦。
安全性控制項
裝置控制
所有Microsoft受控桌面人員都會使用已核准的裝置來管理服務及存取受控租使用者。 這些裝置專門用於生產作業,而且需要多重要素驗證、有自己的特製化身分識別、監視和強化。 此外,這些特殊用途裝置具有可防止工程師共用裝置的控制件。
人員 控件
Microsoft受控桌面會維護並更新包含客戶數據之Microsoft系統之授權人員存取權的記錄。 所有服務工程師都必須遵守標準Microsoft安全策略和做法。 其中包括定期強制訓練 (安全性、身分識別、隱私權和合規性) ,以及週期性背景和安全性檢查。
工程師不會保留生產系統或客戶數據的持續存取權。 所有存取權的時間有限,必須由個人更新,並具有必要的管理檢閱和核准。 所有權利都受限於每季的存取權檢閱。
Microsoft受控桌面具有指派的擁有者進程,我們可用來授與、改變和取消數據和資源的存取授權。 例如,如果Microsoft受控桌面員工離開小組,就會及時撤銷其認證。
任何互動式服務帳戶的存取權都受限於支援要求的內容,且僅限於使用這些裝置的服務工程師。 這些帳戶的要求和使用方式只能來自Microsoft安全存取工作站。
特殊許可權訪問管理控制
處理支援要求時,服務工程師可能需要存取您的租使用者。 若要這樣做,必須要求存取特定目錄角色。 如果核准,則會將這些許可權授與來賓帳戶最多八小時。 此方法可讓特定使用者與租用戶內所採取的所有動作產生關聯。
服務帳戶控制
所有Microsoft受控桌面服務帳戶認證都會儲存在安全的 Azure 金鑰保存庫 中。 認證會隨機產生並每隔 13 天輪替一次,如果在過渡期間使用,則為 30 分鐘。 您可以 透過受控桌面Microsoft要求稽核記錄。 所有「Just-In-Time」使用都會進行稽核,而稽核記錄包含Microsoft受控桌面服務工程小組所要求的服務詳細數據,並且會在 Azure 中儲存 365 天。
如需詳細資訊, 請參閱服務信任入口網站中的 Microsoft 受控桌面 – 資料儲存、使用方式和安全性做法 檔 (STP) 。