Säkerhetscenter: Säkerhets-, sekretess- och efterlevnadsinformation för Office 365 och Microsoft Dynamics CRM Online
Administrativ åtkomst
Vi gör det möjligt för dig att se om någon har haft åtkomst till dina data. Vi vet att dataåtkomst är ett av de största orosmomenten när det gäller molnet. Det handlar både om att kunna komma åt dina data när du behöver och att du får veta om någon annan har haft åtkomst till dina data.
Vad har Office 365 och Microsoft Dynamics CRM Online för ställning angående dataåtkomst?
Vår inställning till åtkomst av dina data är följande:
• Vi ger dig alltid åtkomst till dina kunddata.
• Åtkomsten till kunddata är strikt kontrollerad och loggas. Stickprov görs både av Microsoft och tredjeparter för att kontrollera att åtkomsten endast är i syften som har med verksamheten att göra.
• Vi är medvetna om hur viktigt våra kunders innehåll1 är, t.ex. e-post i Exchange Online och innehållet på SharePoint Online-gruppwebbplatserna. Om någon, anställda på Microsoft, partner2 eller dina egna administratörer, använder innehållet på tjänsten kan du få rapporter om hur materialet har använts antingen genom att köra en rapport om vilka som har loggat in på brevlådan utöver ägaren* eller genom en granskningslogg för externa administratörer. Båda dessa rapporter innehåller information om när innehållet har använts.
• I rapporten om vilka som har loggat in på brevlådan utöver ägaren* i Administrationscenter för Exchange visas de brevlådor som någon annan än ägaren har loggat in på. Om någon annan än ägaren loggar in på brevlådan loggas information om det i en granskningslogg för brevlådan. Loggen sparas som ett e-postmeddelande i en dold mapp i den brevlåda som övervakas. Posterna i granskningsloggen behålls som standard i 90 dagar.
*Du måste aktivera granskningsloggning för varje brevlåda som du vill köra en rapport om vilka som har loggat in på brevlådan utöver ägaren. Om du inte har aktiverat granskningsloggningen för brevlådan ger inte rapporten några resultat.
Läs mer om hur du gör en rapport om vilka som har loggat in på brevlådan utöver ägaren.
• Granskningsloggningen för administratörer registrerar vissa åtgärder som görs av administratörer och användare med administratörsbehörighet. I Administrationscenter för Exchange kan du söka efter och visa poster i granskningsloggen för administratörer som innehåller information om åtgärder som har utförts av Microsoft-administratörer och delegerade administratörer.
Läs mer om hur du visar granskningsloggen för externa administratörer.
• Azure Active Directory Premium är en identitetsplattform för Office 365 med funktioner för identitetshantering och åtkomstkontroll. Active Directory-funktionerna i Azure omfattar bland annat molnbaserad lagring för kataloginformation och grundläggande identitetstjänster, till exempel processer för inloggning av användare, autentiseringstjänster och Federation Services.
Om du vill veta mer om hur du använder åtkomst- och användningsrapporter för att få en uppfattning om säkerheten i Azure Active Directory-klientorganisationen kan du läsa den här artikeln.
Hur ser jag administrativ åtkomst till data?
Tjänst | Spårade aktiviteter | Instruktioner |
Office 365 och Dynamics CRM Online | Portaler skapade av användare, återställning av lösenord | |
Exchange Online | Åtkomst till Exchange-postlåda 3 | Besök Exchange-kontrollpanelen (länken är tillgänglig från sidan Administratörsöversikt i Office 365 Online-portalen ; inloggning krävs) |
SharePoint Online | SharePoint webbplats, lagringsåtkomst | |
Microsoft Dynamics CRM Online | Åtkomst till CRM-innehåll |
1 Innehåll är kunddata som kunderna har högre krav på vad gäller sekretess och som, när tjänsten används på normalt sätt, överförs krypterat via internet. Detta inkluderar specifikt: Exchange Online e-postbrödtext och bilagor, SharePoint Online webbplatsinnehåll och dokumentbrödtext, snabbmeddelanden, röstsamtal och CRM-affärsdata om dina slutkundsinteraktioner.
2 Rapporterna visar hur dina partner har använt det innehåll som du har lagrat på tjänsten. Alla partnerscenarios är inte täckta. Till exempel, rapporter över återförsäljare (där kunden har köpt tjänsten från och faktureras av, återförsäljaren), ACS VOIP-partners och tillhörande tjänster t.ex. Research in Motion (för värdbaserad BlackBerry®-tjänst) är inte tillgängliga p.g.a. den typ av dataåtkomst dessa parter har i den löpande användningen av tjänsten.
3 För företagskunder som har aktiverat administrationscentret Exchange Online Protection är det inte möjligt att rapportera administrativ åtkomst av e-post som köas i administrationscentret.
Vem har de administrativa rättigheterna till Office 365 eller Microsoft Dynamics CRM Online?
Microsoft-databasadministratörer har, per definition, åtkomst till alla resurser i en databas, inklusive kunddata.
Vi använder kunddata endast för att tillhandahålla tjänsterna; därför har Microsoft ett strikt förbud på åtkomst till kunddata för något annat syfte. Som en del av att tillhandahålla tjänsterna kan databasadministratörer komma åt kunddata för att utföra aktiviteter som att justera databasens prestanda eller migrera kunder från en databas till en annan.
Följande tabell visar olika åtkomstnivåer för olika administratörer och datatyper:
Administratör | Kunddata (Förutom innehåll) | Innehåll |
Operations response team (begränsat till endast nyckelpersonal) | Ja, om det behövs. | Ja, i undantagsfall. |
Supportavdelningen | Ja, endast om det behövs som svar på en supportförfrågan. | Nej. |
Tekniker | Ingen direktåtkomst. Kan överföras under felsökning. | Nej. |
Samarbetspartners | Med kundens tillåtelse. Kontakta din partner för mer information. | Med kundens tillåtelse. Kontakta din partner för mer information. |
Övriga inom Microsoft | Nej.1 | Nej. |
1 Andra på Microsoft kan använda slutanvändarnas kontaktinformation som finns i katalogerna för Office 365 Business, Business Essentials och Business Premium för att skicka marknadsföringsmaterial.
Vad gör Microsoft för att stödja kundernas rätt till åtkomst till sina data? Har kunderna åtkomst till sina data i alla lägen?
Kunderna kan komma åt och kontrollera sina data genom standardprotokollen samt åtkomstmekanismerna som definierats i tjänstebeskrivningarna.
I slutet av kundens prenumeration eller användning av tjänsten kan kunden alltid exportera sina data. All information finns i Användningsrättigheter för onlinetjänster som är den auktoritativa källan för det här ämnet (Enterprise Agreement-kunder bör konsultera Produktanvändningsrättigheter). Men för din bekvämlighet bifogar vi villkoren i Användningsrättigheter för onlinetjänster per den senaste versionen av Office 365 här:
Online Service uppsägande eller upphörande. När din prenumeration på onlinetjänster har gått ut eller upphört, måste du kontakta Microsoft och berätta om du vill:
•(1) avaktivera ditt konto och ta bort dina kunddata; eller
•(2) behålla dina kunddata på ett konto med begränsad funktion i minst 90 dagar efter det att din prenumeration har gått ut eller upphört ("kvarhållningsperioden") så att du har möjlighet att hämta ut data.
•Om du har angett (1), kommer du inte kunna hämta kunddata från ditt konto. Om du inte har angett varken (1) eller (2), kommer vi att behålla dina kunddata i enlighet med (2).
• När kvarhållningsperioden har upphört, kommer vi att avaktivera ditt konto och ta bort dina kunddata. Cachelagrade kopior eller säkerhetskopior kommer att rensas inom 30 dagar fr.o.m. slutet av förvaringsperioden.
Microsoft skickar flera meddelanden innan kunddata tas bort, så att kunderna hålls informerade och påminns om den borttagning av data som kommer att genomföras, om de inte agerar inom den angivna tidsramen.
Om en kund behöver hjälp för att uppfylla en lagstadgad sekretessbegäran kan kunden, enligt flera avtal, kontakta Microsoft Support för hjälp med att få åtkomst till, ändra, ta bort eller blockera sina kunddata. Begäran som inte kan utföras med standardverktyg och standardprocesser kan komma att beläggas med en tilläggsavgift.
Hur kan jag vara säker på att endast auktoriserade användare har beviljats administratörsåtkomst för att utföra sina jobbåtaganden?
All Office 365- och Microsoft Dynamics CRM Online-personal är ansvariga för sin hantering av kunddata, vilket betyder att åtkomst till Office 365 och Microsoft Dynamics CRM Online beviljas på ett sätt som kan spåras till en unik användare.
Med andra ord, ansvarsskyldigheten upprätthålls genom en uppsättning systemkontroller, inklusive användningen av unika användarnamn, dataåtkomstkontroller och granskning. Till skillnad från generiska användarnamn t.ex. "Gäst" eller "Administratör," används unika användarnamn för att verkställa ansvar genom att knyta användaraktiviteter till en specifik person (refereras till som "binding"). Tvåfaktorautentisering, t.ex. smartkortsinloggningar med hjälp av digitala certifikat eller RSA-tokens, används också för att stärka denna bindning.
Microsoft gör strikta kontroller av vilka personalroller och anställda som ska beviljas åtkomst till kunddata. Personalåtkomst till det IT-system som lagrar kunddata kontrolleras via rollbaserad åtkomstkontroll (RBAC) och låst låda-processer [Engelska] . Åtkomstkontroll är en automatiserad process som följer principen om åtskillnad av funktioner och principen om minsta behörighetsnivå. Den här processen ser till att tekniker som begär åtkomst till dessa IT-system har möt behörighetskraven. Bl.a. ska de ha genomgått en bakgrundsundersökning, lämnat fingeravtryck, uppfyllt säkerhetsträningskraven och fått åtkomsten godkänd . Dessutom ses åtkomstnivåerna över periodiskt för att garantera att endast användare som har rimliga verksamhetsskäl har tillgång till systemet.
Användaråtkomst till data begränsas även av användarrollen. Till exempel får systemadministratörer inte administrativ åtkomst till databaser.
Vilka åtgärder har vidtagits för att begränsa fysisk åtkomst till mina data?
Alla Office 365- och Microsoft Dynamics CRM Online-datacenter har biometriska åtkomstkontroller, där majoriteten av datacentralerna som används för att tillhandahålla Office 365 och Microsoft Dynamics CRM Online kräver handavtryck för att få fysisk åtkomst till datacentret.
Fysisk åtkomst till Office 365 och Microsoft Dynamics CRM Online datacentraler kontrolleras av tvålagerautentisering inklusive åtkomstläsare för proxykort (kortåtkomstbricka krävs) och handgeometriska biometriska läsare.
Kvartalsvis skickar Microsofts säkerhetsansvarige rapporter till den auktoriserade personal som har behörighet att bevilja åtkomst till datacenter. Rapporterna innehåller en lista över personer som nyligen haft åtkomst till datacentraler. Den auktoriserade personalen granskar listan för att försäkra att alla personer fortfarande behöver åtkomst och har den minsta tillåtna åtkomstnivån som behövs för att kunna utföra sitt arbete.
Om du vill ha ytterligare information angående inställning till kunddata hos Office 365 och/eller Microsoft Dynamics CRM Online, läser du Microsofts sekretessriktlinjer för utveckling av produkter och tjänster, Office 365-faktablad om säkerhet, Säkerhets- och tjänstekontinuitetsguide för Microsoft Dynamics CRM Online, och Microsoft Online-faktablad om sekretess.
Vilken typ av bakgrundsundersökning gör Microsoft av personer som har beviljats administratörsrättigheter?
Alla Microsofts anställda i USA måste godkännas i en standardbakgrundskontroll som en del av anställningsprocessen.
Bakgrundskontroller omfattar granskning av information som relaterar till kandidatens utbildning, anställningar och brottshistorik. Utöver standardbakgrundskontrollen som görs på all ny Microsoftpersonal, måste ny och befintlig personal med tillgång till kunddata, eller som hanterar viktiga fysiska och logiska åtkomstkontroller, genomgå undersökningar mot exportkontrollistor. (Exportkontrollistor inkluderar Office of Foreign Assets Control List (OFAC), Bureau of Industry and Security List (BIS), och Office of Defense Trade Controls Debarred Persons List (DDTC).)
Ytterligare information och bakgrundskontroller, t.ex. kontroll av medborgarskap och fingeravtryck, kan också tillämpas om begäran för åtkomst relaterar till tjänster som vi erbjuder till kunder med specifika krav, (t.ex. USA:s federala myndigheter).
För att skydda de anställdas personliga integritet delar inte Microsoft resultatet av bakgrundskontrollerna med kunderna.
Ytterligare resurser
•Säkerhets- och tjänstekontinuitetsguide för Microsoft Dynamics CRM Online [Engelska]
•Office 365 Säkerhet (white paper ) [Engelska]