Pusat Kepercayaan: Informasi Keamanan, Privasi, dan Kepatuhan unutk Office 365 dan Microsoft Dynamics CRM Online
Akses Administratif
Kami memungkinkan Anda mengetahui apakah seseorang telah mengakses data Anda. Kami tahu bahwa di awan, akses data merupakan salah satu perhatian Anda. Ini artinya mengetahui bahwa Anda akan dapat mengakses data saat perlu dan tahu apakah orang lain telah mengakses data Anda.
Bagaimana posisi Office 365 dan Microsoft Dynamics CRM Online tentang akses data?
Posisi kami tentang akses ke data Anda adalah sebagai berikut:
• Kami selalu memberi Anda akses ke data pelanggan Anda.
• Akses ke data pelanggan dikontrol dan didata dengan ketat serta audit sampel dilakukan oleh Microsoft dan pihak ketiga untuk memastikan bahwa akses tersebut hanya untuk tujuan bisnis yang sesuai.
• Kami memahami pentingnya konten pelanggan kami,1 seperti data isi email Exchange Online dan konten situs tim SharePoint Online. Jika seseorang—personel Microsoft, mitra,2 atau administrator Anda sendiri—mengakses konten Anda pada layanan ini, Anda bisa mendapatkan laporan tentang akses itu baik dengan menjalankan laporan akses kotak surat Non-pemilik* atau log audit admin eksternal. Kedua laporan ini memungkinkan Anda mengetahui saat konten Anda telah diakses.
• Laporan akses kotak surat Non-pemilik* dalam Pusat Administrasi Exchange (EAC, Exchange Administration Center) mencantumkan daftar kotak surat yang telah diakses selain oleh orang yang memiliki kotak surat tersebut. Bila sebuah kotak surat diakses oleh non-pemilik, Microsoft Exchange mencatat informasi tentang tindakan ini dalam log audit kotak surat yang disimpan sebagai pesan email dalam folder tersembunyi dari kotak surat yang sedang diaudit. Entri dalam log audit kotak surat secara default dipertahankan selama 90 hari.
*Anda telah mengaktifkan pembuatan log audit untuk setiap kotak surat yang atasnya Anda ingin menjalankan laporan akses kotak surat non pemilik. Jika pembuatan log audit tidak diaktifkan, Anda tidak akan mendapatkan hasil saat menjalankan laporan.
Pelajari selengkapnya tentang menjalankan laporan akses kotak surat non pemilik.
• Pembuatan log audit administratir mencatat tindakan tertentu yang dijalankan oleh administrator dan pengguna yang telah diberi hak administratif. Anda bisa menggunakan EAC untuk mencari dan menampilkan entri dari log audit administrator yang dijalankan oleh administrator Microsoft dan delegasi administrator.
Pelajari selengkapnya tentang menampilkan log audit admin eksternal.
• Azure Active Directory Premium adalah sebuah platform identitas untuk Office 365 yang menyediakan manajemen identitas dan kapabilitas kontrol. Kapabilitas Azure Active Directory menyertakan sebuah penyimpanan berbasis awan untuk data direktori dan sekumpulan layanan identitas utama, temasuk proses masuk, layanan autentikasi, dan Layanan Federasi.
Untuk mempelajari cara menggunakan akses dan laporan penggunaan untuk mendapatkan visibilitas tentang integritas dan keamanan penyewa Azure Active Directory (AD) organisasi Anda, baca artikel ini.
Bagaimana menampilkan akses administratif ke data?
Layanan | Aktivitas yang Dilacak | Petunjuk |
Office 365 dan Dynamics CRM Online | Pembuatan portal pengguna, Reset Kata Sandi | |
Exchange Online | Akses kotak surat Exchange 3 | Kunjungi Panel Kontrol Exchange (link tersedia dari halaman Gambaran Umum Portal Online Office 365l ; perlu masuk) |
SharePoint Online | Situs SharePoint, akses penyimpanan | |
Microsoft Dynamics CRM Online | Akses konten CRM |
1 Konten adalah data pelanggan yang sangat diharapkan pelanggan untuk dirahasiakan dan saat layanan digunakan secara, bila layanan digunakan secara normal, ditransfer secara terenkripsi lewat internet. Khususnya mencakup: Data ini mencakup isi dan lampiran email Exchange Online, konten situs dan isi file SharePoint Online, serta pesan instan dan percakapan suara, serta data bisnis CRM tentang interaksi pengguna akhir.
2 Laporan mencerminkan akses administratof mitra Anda ke konten yang disimpan di layanan. Tidak semua skenario mitra dicakup. Misalnya, laporan tentang Penjual (yakni, pelanggan membeli layanan dari, dan dibebankan tagihan oleh, penjual), mitra VOIP ACS, dan layanan terkait, misalnya Research in Motion (untuk layanan BlackBerry yang dihosting) tidak tersedia karena sifat akses ke data yang dimiliki pihak ini dalam penggunaan layanan seperti biasa.
3 Untuk pelanggan perusahaan yang telah mengaktifkan pusat administrasi Proteksi Exchange Online, akses administratif pada surat yang antre di pusat administrasi tidaklah dapat dilaporkan.
Siapa yang memiliki hak administratif ke Office 365 atau Dynamics CRM Online?
Administrator database Microsoft, berdasarkan definisinya, memiliki akses ke semua sumber daya di database, termasuk data pelanggan.
Kami menggunakan data konsumen hanya untuk menyediakan layanan; dengan demikian Microsoft melarang keras akses ke data pelanggan untuk tujuan lain. Sebagai bagian dari menyediakan layanan, administrator database dapat mengakses data pelanggan untuk berbagai aktivitas seperti penyelarasan kinerja database, atau memigrasikan pelanggan dari satu database ke yang lain.
Tabel berikut menjelaskan beragam tingkat akses untuk berbagai tipe administrator dan data:
Administrator | Data Pelanggan (Tidak Termasuk Konten) | Konten |
Tim tanggap operasi (hanya terbatas pada personel utama) | Ya, bila perlu. | Ya, dengan pengecualian. |
Organisasi dukungan | Ya, hanya bila diperlukan untuk menanggapi permintaan dukungan. | Tidak. |
Perekayasaan | Tidak ada akses langsung. Dapat ditransfer selama pemecahan masalah. | Tidak. |
Mitra | Dengan izin pelangggan. Hubungi mitra Anda untuk informasi selengkapnya. | Dengan izin pelangggan. Hubungi mitra Anda untuk informasi selengkapnya. |
Orang lainnya di Microsoft | Tidak1 | Tidak. |
1 Orang lainnya di Microsoft dapat menggunakan informasi kontak pengguna akhir sebagaimana yang dinyatakan dalam direktori pelanggan Office 365 Bisnis, Bisnis Esensial, dan Bisnis Premium untuk mengirim komunikasi promosional bagi pengguna tersebut.
Apakah yang dilakukan Microsoft untuk mendukung hak pelanggannya dalam mengakses data mereka? Apakah pelanggan akan memiliki akses ke data setiap saat?
Pelanggan dapat mengakses dan mengontrol data mereka melalui protokol dan mekanisme akses standar yang dinyatakan dalam deskripsi layanan.
Pada akhir langganan pelanggan atau akhir penggunaan layanan, pelanggan selalu dapat mengekspor data mereka. Detail lengkapnya dimuat di Hak Penggunaan Online, yang merupakan sumber otoritatif (Perjanjian Perusahaan, pelanggan harus memeriksa Hak Penggunaan Produk). Namun, demi kenyamanan Anda, kami menyertakan ketentuan Hak Penggunaan Layanan Online, per tanggal rilis Office 365, di sini:
Penghentian atau Berakhirnya Layanan Online. Setelah langganan layanan online dihentikan atau berakhir, Anda harus menghubungi Microsoft dan memberitahukan kami apakah kami akan:
•(1) menonaktifkan akun Anda lalu menghapus data pelanggan; atau
•2) menyimpan data pelanggan di akun dengan fungsi terbatas selama minimal 90 hari setelah langganan dihentikan atau berakhir "masa penyimpanan") sehingga Anda dapat mengekstrak data.
•Jika Anda memilih (1), Anda tidak akan dapat mengesktrak data pelanggan dari akun Anda. Jika tidak memilih (1) atau (2), kami akan menyimpan data pelanggan sesuai dengan (2).
• Setelah masa penyimpanan berakhir, kami akan menonaktifkan akun, lalu menghapus Data Pelanggan Anda. Salinan singgahan atau cadangan akan dikosongkan dalam 30 hari setelah di akhir masa penyimpanan.
Microsoft akan mengirim beberapa pemberitahuan sebelum penghapusan data pelanggan, sehingga pelanggan mengetahui dan mengingat penghapusan data yang akan datang jika pelanggan tidak melakukan tindakan dalam kerangka waktu yang telah ditentukan.
Sejauh pelanggan memerlukan bantuan dalam memenuhi permintaan privasi sebagaimana diwajibkan oleh undang-undang, berdasarkan banyak perjanjian, pelanggan dapat menghubungi Dukungan Pelanggan Microsoft untuk mendapatkan bantuan mengubah, menghapus, atau memblokir data pelanggan mereka. Permintaan yang tidak dapat dipenuhi melalui alat dan proses standar dapat dikenakan biaya tambahan.
Bagaimana cara memastikan bahwa hanya pengguna sah yang mendapatkan akses administratif guna memenuhi tanggung jawab tugas mereka?
Semua personel Office 365 dan Microsoft Dynamics CRM Online bertanggung jawab atas data pelanggan yang mereka tangani karena akses ke data Office 365 dan Microsoft Dynamics CRM Online diberikan dengan cara yang dapat ditelusuri ke pengguna unik.
Dengan kata lain, keandalan diwujudkan melalui serangkaian kontrol sistem, termasuk penggunaan nama pengguna unik, kontrol akses data, dan audit. Tidak seperti nama pengguna biasa "Tamu" atau "Administrator," nama pengguna unik digunakan untuk mewujudkan akuntabilitas dengan mengidentifikasi tindakan pengguna pada pengguna tertentu (disebut "pengikatan"). Autentikasi dua faktor, misalnya proses masuk kartu cerdas menggunakan sertifikat digital atau token RSA, juga digunakan untuk lebih memperkuat pengikatan ini.
Microsoft menerapkan kontrol ketat terhadap pemberian akses ke data pelanggan kepada peran pengguna dan pengguna. Akses personel ke sistem TI yang menyimpan data pelanggan secara ketat dikontrol melalui kontrol akses berbagis peran (RBAC, Role Based Access Control) dan proses kotak kunci [Bahasa Inggris] . Kontrol akses merupakan proses otomatis yang mengikuti pemisahan prinsip tugas dan prinsip memberi hak istimewa yang paling kecil. Proses ini memastikan bahwa teknisi yang meminta mengakses ke sistem IT telah memenuhi persyaratan, seperti layar latar belakang, sidik jari, pelatihan keamanan yang diperlukan, dan persetujuan akses . Selain itu, tingkat akses ditinjau secara berkala untuk memastikan bahwa hanya pengguna yang memiliki justifikasi bisnis yang tepat yang memiliki akses ke sistem.
Akses pengguna ke data juga dibatasi oleh peran pengguna. Misalnya, administrator sistem tidak diberi akses administratif database.
Kontrol apa yang dilakukan untuk membatasi akses fisik ke data saya?
Semua pusat data Office 365 dan Microsoft Dynamics CRM Online memiliki kontrol akses biometrik, dengan sebagian besar pusat data yang digunakan untuk menyediakan Office 365 dan Microsoft Dynamics CRM Online memerlukan sidik telapak tangan agar dapat memperoleh akses fisik ke pusat data.
Akses fisik ke pusat data Office 365 dan Microsoft Dynamics CRM Online dikontrol melalui autentikasi dua tingkat, termasuk pembaca akses kartu proksi (memerlukan badge kartu akses) dan pembaca biometrik geometri tangan.
Setiap triwulan, Petugas Keamanan Microsoft akan mengirim laporan ke personel berwenang untuk menyetujui akses pusat data. Laporan berisi daftar pengguna yang saat ini memiliki akses ke pusat data. Staf berwenang akan mengaudit daftar untuk memastikan semua pengguna masih memerlukan akses dan memiliki tingkat akses istimewa minimal yang diperlukan dalam menjalankan fungsi tugasnya.
Untuk informasi tambahan mengenai pendekatan Office 365 dan/atau Microsoft Dynamics CRM Online terhadap data pelanggan, silakan baca Panduan Privasi Microsoft untuk Mengembangkan Produk dan Layanan, laporan Keamanan Office 365, Panduan Keamanan dan Keberlanjutan Layanan Microsoft Dynamics CRM Online, dan laporan Privasi Microsoft Online.
Jenis pemeriksaan latar belakang apa yang dilakukan Microsoft terhadap pengguna yang mendapatkan hak administratif?
Semua karyawan Microsoft yang berbasis di AS diwajibkan untuk menyelesaikan pemeriksaan latar belakang standar sebagai bagian dari proses perekrutan.
Pemeriksaan latar belakang mencakup pemeriksaan informasi yang terkait dengan pendidikan, riwayat pekerjaan, dan catatan kriminal. Selain pemeriksaan latar belakang standar yang berlaku untuk semua staf Microsoft, staf baru dan lama yang memiliki akses ke data pelanggan, atau yang mengelola kontrol akses fisik dan logika, harus menjalani pemeriksaan terhadap daftar kontrol ekspor: (Daftar kontrol ekspor mencakup Daftar Kantor Kontrol Aset Luar Negeri (OFAC, Office of Foreign Assets Control List), Daftar Biro Industri dan Keamanan (BIS, Bureau of Industry and Security), serta Daftar Kantor Kontrol Perdagangan Senjata dan Daftar Cekal (DDTC, Office of Defense Trade Controls Debarred Persons List).)
Informasi tambahan dan pemeriksaan latar belakang, seperti pemeriksaan warga negara dan sidik jari, mungkin juga berlaku jika permintaan untuk akses terkait layanan yang kami tawarkan kepada pelanggan dengan kebutuhan khusus, (misalnya, pemerintah federal AS).
Untuk melindungi privasi karyawannya, Microsoft tidak akan mengungkapkan hasil pemeriksaan latar belakang kepada pelanggan.
Sumber daya tambahan
•Panduan Kontinuitas Layanan dan Keamanan Microsoft Dynamics CRM Online [Bahasa Inggris]
•Keamanan Office 365 (laporan ) [Bahasa Inggris]