ศูนย์ความเชื่อถือ: ข้อมูลความปลอดภัย ความเป็นส่วนตัว และการปฏิบัติตามกฎระเบียบสำหรับ Office 365 และ Microsoft Dynamics CRM Online
การเข้าถึงเพื่อการจัดการดูแล
เราช่วยให้คุณทราบว่ามีใครเข้าถึงข้อมูลของคุณหรือไม่ เราเข้าใจว่าในระบบ Cloud การเข้าถึงข้อมูลเป็นหนึ่งในสิ่งที่คุณให้ความสำคัญเป็นอันดับต้นๆ ซึ่งหมายถึงคุณจะต้องมั่นใจว่าสามารถเข้าถึงข้อมูลของคุณได้เมื่อต้องการ และรู้ว่าเมื่อมีผู้อื่นเข้าถึงข้อมูลของคุณ
Office 365 และ Microsoft Dynamics CRM Online มีจุดยืนในด้านการเข้าถึงข้อมูลอย่างไร
จุดยืนของเราสำหรับการเข้าถึงข้อมูลของคุณมีดังต่อไปนี้
• เราให้คุณเข้าถึงข้อมูลลูกค้าของคุณได้เสมอ
• การเข้าถึงข้อมูลลูกค้ามีการควบคุมและบันทึกข้อมูลอย่างเข้มงวด และมีการตรวจสอบตัวอย่างทั้งจากไมโครซอฟท์และบุคคลภายนอกเพื่อยืนยันว่าการเข้าใช้เป็นไปเพื่อจุดประสงค์ทางธุรกิจที่เหมาะสมเท่านั้น
• เราเข้าใจดีถึงความสำคัญเป็นพิเศษของข้อมูลของลูกค้าของเรา1 เช่น เนื้อหาของอีเมลใน Exchange Online และเนื้อหาไซต์ทีมใน SharePoint Online ถ้ามีบุคคลอื่น ไม่ว่าจะเป็น บุคลากรของไมโครซอฟท์, คู่ค้า,2 หรือผู้ดูแลระบบของคุณเองเข้าถึงเนื้อหาของคุณ คุณสามารถดูรายงานเกี่ยวกับการเข้าถึงเหล่านั้นได้โดยเรียกใช้รายงานการเข้าถึงกล่องจดหมายของผู้ที่ไม่ใช่เจ้าของ* หรือบันทึกการตรวจสอบของผู้ดูแลระบบภายนอก รายงานสองประเภทนี้จะช่วยให้คุณทราบเมื่อคุณสงสัยว่าอาจมีการเข้าถึงเนื้อหาของคุณ
• รายงานการเข้าถึงกล่องจดหมายของผู้ที่ไม่ใช่เจ้าของ* ในศูนย์การจัดการ Exchange (EAC) จะแสดงรายการกล่องจดหมายที่ถูกเข้าถึงโดยบุคคลอื่นที่ไม่ใช่เจ้าของกล่องจดหมายนั้น เมื่อกล่องจดหมายถูกเข้าถึงโดยผู้ที่ไม่ใช่เจ้าของ Microsoft Exchange จะบันทึกข้อมูลเกี่ยวกับการดำเนินการดังกล่าวลงในบันทึกการตรวจสอบกล่องจดหมาย ซึ่งจะเก็บไว้ในรูปของข้อความอีเมลในโฟลเดอร์ที่ถูกซ่อนของกล่องจดหมายที่ถูกตรวจสอบ รายการในบันทึกการตรวจสอบกล่องจดหมายจะถูกเก็บไว้เป็นเวลา 90 วันตามค่าเริ่มต้น
*คุณต้องเปิดใช้งานการบันทึกการตรวจสอบกล่องจดหมายสำหรับกล่องจดหมายแต่ละรายการที่คุณต้องการเรียกใช้รายงานการเข้าถึงกล่องจดหมายของผู้ที่ไม่ใช่เจ้าของ ถ้ายังไม่ได้เปิดใช้งานการบันทึกการตรวจสอบกล่องจดหมาย คุณจะไม่ได้รับผลลัพธ์ใดๆ เมื่อเรียกใช้รายงาน
เรียนรู้เพิ่มเติมเกี่ยวกับ การเรียกใช้รายงานการเข้าถึงกล่องจดหมายของผู้ที่ไม่ใช่เจ้าของ
• บันทึกการตรวจสอบของผู้ดูแลระบบจะบันทึกการดำเนินการเฉพาะอย่างของผู้ดูแลระบบและผู้ใช้ที่ได้รับมอบหมายสิทธิ์ของผู้ดูแลระบบ คุณสามารถใช้ EAC ในการค้นหาและดูรายการการดำเนินการของผู้ดูแลระบบของไมโครซอฟท์และผู้ดูแลระบบที่ได้รับมอบหมายจากบันทึกการตรวจสอบของผู้ดูแลระบบ
เรียนรู้เพิ่มเติมเกี่ยวกับ การดูบันทึกการตรวจสอบของผู้ดูแลระบบภายนอก
• Azure Active Directory Premium เป็นแพลตฟอร์มข้อมูลประจำตัวสำหรับ Office 365 ซึ่งให้บริการการจัดการข้อมูลประจำตัวและการควบคุมการเข้าถึง บริการของ Azure Active Directory รวมที่เก็บข้อมูลบน Cloud สำหรับข้อมูลไดเรกทอรีและชุดบริการหลักของข้อมูลประจำตัว ได้แก่ กระบวนการลงชื่อเข้าใช้ของผู้ใช้ บริการการรับรองความถูกต้อง และบริการการเข้าใช้งานเว็บรวม
เมื่อต้องการเรียนรู้วิธีใช้และใช้งานรายงานการเข้าถึงเพื่อรับทราบถึงความถูกต้องเที่ยงตรงและความปลอดภัยของบริการ Azure Active Directory (AD) ขององค์กรของคุณ ให้ อ่านบทความนี้
ฉันจะดูการเข้าถึงข้อมูลในระดับผู้ดูแลระบบได้อย่างไร
บริการ | กิจกรรมที่ติดตาม | ขั้นตอน |
Office 365 และ Dynamics CRM Online | การสร้างพอร์ทัลของผู้ใช้, การตั้งค่ารหัสผ่านใหม่ | |
Exchange Online | การเข้าถึงกล่องจดหมาย Exchange 3 | ไปที่แผงควบคุม Exchange (มีลิงก์จากหน้าภาพรวมผู้ดูแลระบบใน Office 365 Online Portal จำเป็นต้องเข้าสู่ระบบ) |
SharePoint Online | ไซต์ SharePoint, การเข้าถึงที่เก็บข้อมูล | |
Microsoft Dynamics CRM Online | การเข้าถึงเนื้อหา CRM |
1 ข้อมูล คือข้อมูลของลูกค้าที่ลูกค้าอาจมีความคาดหวังด้านการรักษาความลับที่สูงขึ้น และจะถูกถ่ายโอนแบบเข้ารหัสผ่านทางอินเทอร์เน็ตในการใช้บริการตามปกติ ซึ่งรวมถึงสิ่งต่อไปนี้โดยเฉพาะ: ข้อความอีเมล Exchange Online และสิ่งที่แนบมา เนื้อหาในไซต์ SharePoint Online และข้อมูลในไฟล์ ข้อความโต้ตอบแบบทันทีและการสนทนาด้วยเสียง ตลอดจนข้อมูลธุรกิจ CRM เกี่ยวกับการติดต่อลูกค้าของคุณ
2 รายงานจะแสดงการเข้าถึงในระดับผู้ดูแลระบบโดยคู่ค้าของคุณไปยังข้อมูลที่คุณเก็บอยู่ในบริการ โดยไม่ได้ครอบคลุมสถานการณ์การเข้าถึงของคู่ค้าทั้งหมด ตัวอย่างเช่น รายงานเกี่ยวกับตัวแทนจำหน่าย (ที่ลูกค้าเลือกรับบริการ และได้รับการเรียกเก็บเงินจากตัวแทนจำหน่ายนี้), คู่ค้าด้านบริการการสื่อสารขั้นสูง VOIP และบริการที่เกี่ยวข้องเช่น Research in Motion (สำหรับบริการ BlackBerry แบบโฮสต์) จะยังไม่พร้อมใช้งาน เนื่องจากเป็นไปตามลักษณะการเข้าถึงข้อมูลของคู่สัญญาเหล่านี้ในระหว่างการใช้บริการตามปกติ
3 สำหรับลูกค้าระดับองค์กรที่เปิดใช้งานศูนย์การจัดการ Exchange Online Protection การเข้าถึงอีเมลที่อยู่ในคิวในศูนย์การจัดการในระดับผู้ดูแลระบบเป็นสิ่งที่ไม่สามารถรายงานได้
ใครบ้างที่มีสิทธิ์ของผู้ดูแลระบบสำหรับ Office 365 หรือ Microsoft Dynamics CRM Online
โดยปกติแล้ว ผู้ดูแลระบบฐานข้อมูลของไมโครซอฟท์มีสิทธิ์เข้าถึงข้อมูลทั้งหมดในฐานข้อมูล รวมถึงข้อมูลของลูกค้า
เราใช้ข้อมูลของลูกค้าเพื่อการให้บริการเท่านั้น ดังนั้น ไมโครซอฟท์จึงห้ามไม่ให้มีการเข้าถึงข้อมูลของลูกค้าด้วยจุดประสงค์อื่นๆ อย่างเคร่งครัด ในฐานะส่วนหนึ่งของการให้บริการ ผู้ดูแลระบบฐานข้อมูลอาจเข้าถึงข้อมูลของลูกค้าเพื่อดำเนินการต่างๆ เช่น การปรับแต่งฐานข้อมูล หรือโยกย้ายลูกค้าจากฐานข้อมูลหนึ่งไปยังอีกฐานข้อมูลหนึ่ง
ตารางต่อไปนี้แสดงรายละเอียดของระดับการเข้าถึงที่แตกต่างกันออกไปตามผู้ดูแลระบบและประเภทข้อมูล:
ผู้ดูแลระบบ | ข้อมูลของลูกค้า (ไม่รวมเนื้อหา) | เนื้อหา |
ทีมให้ความช่วยเหลือด้านการปฏิบัติงาน (จำกัดเฉพาะเจ้าหน้าที่หลักเท่านั้น) | ได้เฉพาะที่จำเป็น | ได้ตามข้อยกเว้น |
องค์กรสนับสนุน | ได้ตามความจำเป็นต่อการสอบถามการสนับสนุน | ไม่ได้ |
วิศวกร | ไม่มีการเข้าถึงโดยตรง อาจต้องมอบสิทธิ์ระหว่างการแก้ไขปัญหา | ไม่ได้ |
บริษัทคู่ค้า | ต้องได้รับอนุญาตจากลูกค้า ให้ติดต่อคู่ค้าของคุณเพื่อขอรับข้อมูลเพิ่มเติม | ต้องได้รับอนุญาตจากลูกค้า ให้ติดต่อคู่ค้าของคุณเพื่อขอรับข้อมูลเพิ่มเติม |
พนักงานไมโครซอฟท์ | ไม่ได้1 | ไม่ได้ |
1 บุคลากรอื่นๆ ของไมโครซอฟท์อาจใช้ข้อมูลที่ติดต่อของผู้ใช้ที่ระบุไว้ในไดเรกทอรีของลูกค้า Office 365 Business, Business Essentials และ Business Premium เพื่อส่งข้อมูลเกี่ยวกับการส่งเสริมการขายให้แก่ผู้ใช้เหล่านั้น
ไมโครซอฟท์ดำเนินการอะไรบ้างเพื่อสนับสนุนสิทธิ์ของลูกค้าในการเข้าถึงข้อมูลของตนเอง ลูกค้าสามารถเข้าถึงข้อมูลของตนได้ตลอดเวลาหรือไม่
ลูกค้าสามารถเข้าถึงและควบคุมข้อมูลของตนผ่านระเบียบและวิธีการเข้าถึงมาตรฐานตามที่ระบุไว้ในคำอธิบายบริการ
เมื่อสิ้นสุดช่วงเวลาการสมัครสมาชิกของลูกค้าหรือการใช้บริการ ลูกค้าสามารถส่งออกข้อมูลของตนเองได้เสมอ รายละเอียดทั้งหมดอยู่ภายใน สิทธิ์การใช้งานบริการออนไลน์ ซึ่งเป็นแหล่งข้อมูลอย่างเป็นทางการของหัวข้อนี้ (ลูกค้าที่มีข้อตกลงระดับองค์กรควรดูสิทธิ์การใช้งานผลิตภัณฑ์) อย่างไรก็ตาม เพื่อความสะดวกของคุณ เราได้ให้ข้อกำหนดของสิทธิ์การใช้งานบริการออนไลน์ในการวางจำหน่าย Office 365 ครั้งล่าสุดเอาไว้ด้วย ดังนี้
การหมดอายุหรือการสิ้นสุดบริการออนไลน์ เมื่อการสมัครใช้บริการออนไลน์ของคุณหมดอายุหรือสิ้นสุดลง คุณต้องติดต่อไมโครซอฟท์และแจ้งเราว่าจะดำเนินการอย่างไร
•(1) ปิดใช้งานบัญชีของคุณ แล้วลบข้อมูลลูกค้า หรือ
•(2) เก็บข้อมูลลูกค้าของคุณไว้ในบัญชีที่จำกัดการใช้งานเป็นเวลาอย่างน้อย 90 วันหลังจากการสมัครสมาชิกของคุณหมดอายุหรือสิ้นสุดลง ("ระยะเวลาเก็บข้อมูล") เพื่อให้คุณสามารถดึงข้อมูลออกมาได้
•ถ้าคุณเลือก (1) คุณจะไม่สามารถดึงข้อมูลลูกค้าจากบัญชีของคุณได้ ถ้าคุณไม่ได้เลือกทั้ง (1) หรือ (2) เราจะเก็บข้อมูลลูกค้าของคุณไว้ตาม (2)
• หลังจากระยะเวลาเก็บข้อมูลสิ้นสุดลง เราจะปิดใช้งานบัญชีของคุณ และลบข้อมูลลูกค้าของคุณออก แคชหรือสำเนาที่สำรองข้อมูลไว้จะถูกลบทิ้งภายใน 30 วันนับจากวันสิ้นสุดระยะเวลาเก็บข้อมูล
ไมโครซอฟท์จะแจ้งล่วงหน้าหลายครั้งก่อนลบข้อมูลลูกค้า เพื่อให้ลูกค้ารับทราบข้อมูลและเป็นการเตือนถึงการลบข้อมูลที่จะเกิดขึ้นถ้าลูกค้าไม่ดำเนินการภายในช่วงเวลาที่กำหนด
ในกรณีที่ลูกค้าต้องการความช่วยเหลือเพื่อดำเนินการตามคำขอส่วนบุคคลตามที่กฎหมายกำหนด ภายใต้ข้อตกลงต่างๆ ลูกค้าสามารถติดต่อ ฝ่ายสนับสนุนลูกค้าของไมโครซอฟท์ เพื่อขอรับความช่วยเหลือในการเข้าถึง เปลี่ยนแปลง ลบ หรือบล็อกข้อมูลลูกค้าของตน คำขอที่ไม่สามารถดำเนินการได้ด้วยเครื่องมือและกระบวนการมาตรฐานอาจจำเป็นต้องมีค่าใช้จ่ายเพิ่มเติม
ฉันจะแน่ใจได้อย่างไรว่าจะมีเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบสำหรับจัดการงานของตน
การใช้ข้อมูลลูกค้าของบุคลากร Office 365 และ Microsoft Dynamics CRM Online ทั้งหมดนั้นสามารถตรวจสอบได้ เนื่องจากการให้สิทธิ์การเข้าถึง Office 365 และ Microsoft Dynamics CRM Online นั้นมีลักษณะที่สามารถติดตามผู้ใช้แต่ละรายได้
หรืออีกนัยหนึ่ง ความรับผิดชอบจะถูกบังคับใช้ผ่านมาตรการการควบคุมระบบต่างๆ ซึ่งรวมถึงการใช้ชื่อผู้ใช้ที่ไม่ซ้ำกัน การควบคุมการเข้าถึงข้อมูล และการตรวจสอบ ชื่อผู้ใช้เฉพาะจะถูกใช้เพื่อให้สามารถตรวจสอบได้ด้วยการเชื่อมโยงการกระทำของผู้ใช้กับผู้ใช้รายนั้นๆ (เรียกว่า “การผูกข้อมูล”) ซึ่งแตกต่างจากชื่อผู้ใช้ทั่วไป เช่น "ผู้เยี่ยมชม" หรือ "ผู้ดูแลระบบ" การรับรองความถูกต้องสองชั้น เช่น การเข้าสู่ระบบด้วยสมาร์ทการ์ดโดยใช้การรับรองแบบดิจิทัลหรือโทเค็น RSA จะถูกใช้เพื่อสนับสนุนการผูกข้อมูลนี้ด้วยเช่นกัน
ไมโครซอฟท์ใช้การควบคุมที่เข้มงวดในการกำหนดบทบาทและตัวบุคคลที่จะได้รับอนุญาตให้เข้าถึงข้อมูลลูกค้า การเข้าถึงระบบ IT ซึ่งเป็นที่เก็บข้อมูลลูกของค้าจะถูกควบคุมอย่างเข้มงวดผ่านทาง ตัวควบคุมการเข้าถึงตามบทบาท (RBAC) และการดำเนินการด้วยคลังข้อมูล [ภาษาอังกฤษ] การควบคุมการเข้าถึงเป็นกระบวนการอัตโนมัติที่เป็นไปตามหลักการแบ่งแยกหน้าที่และหลักการจำกัดสิทธิ์ของผู้ใช้ กระบวนการนี้มีขึ้นเพื่อให้มั่นใจว่าวิศวกรที่ร้องขอการเข้าถึงระบบ IT เหล่านี้มีคุณสมบัติตามเงื่อนไขที่กำหนด เช่น ผ่านการตรวจสอบประวัติ บันทึกลายนิ้วมือแล้ว ผ่านการฝึกอบรมด้านความปลอดภัยที่กำหนด และมีการเข้าถึงที่ได้รับอนุญาต นอกจากนี้ ระดับการเข้าถึงจะถูกตรวจทานเป็นระยะเพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่มีเหตุผลทางธุรกิจที่เหมาะสมเท่านั้นที่สามารถเข้าถึงระบบได้
การเข้าถึงข้อมูลของผู้ใช้จะถูกจำกัดโดยบทบาทของผู้ใช้อีกด้วย ตัวอย่างเช่น ผู้ดูแลระบบจะไม่ได้รับสิทธิ์การเข้าถึงของผู้ดูแลฐานข้อมูล
มีการใช้การควบคุมเพื่อจำกัดการเข้าถึงข้อมูลของฉันทางกายภาพอย่างไรบ้าง
ศูนย์ข้อมูลของ Office 365 และ Microsoft Dynamics CRM Online ทั้งหมดมีการควบคุมการเข้าถึงแบบชีวมาตร ซึ่งศูนย์ข้อมูลส่วนใหญ่เคยให้ Office 365 และ Microsoft Dynamics CRM Online ตรวจสอบลายมือตามที่กำหนดเพื่อให้ได้สิทธิ์ผ่านเข้าไปยังศูนย์ข้อมูล
การผ่านเข้าไปยังศูนย์ข้อมูลของ Office 365 และ Microsoft Dynamics CRM Online ถูกควบคุมโดยการตรวจสอบสองระบบ คือเครื่องอ่านการเข้าถึงด้วยการ์ดพร็อกซี (ต้องมีการ์ดเข้าพื้นที่) และเครื่องอ่านโครงสร้างมือแบบชีวมาตร
ทุกๆ ไตรมาส เจ้าหน้าที่ด้านความปลอดภัยของไมโครซอฟท์จะส่งรายงานไปยังบุคลากรผู้ได้รับอนุญาตที่มีอำนาจในการให้สิทธิ์การผ่านเข้าศูนย์ข้อมูล ในรายงานจะมีรายชื่อของบุคลากรที่ได้รับสิทธิ์ในการเข้าไปยังศูนย์ข้อมูล บุคลากรผู้ได้รับอนุญาตจะตรวจสอบรายชื่อดังกล่าวเพื่อให้แน่ใจว่าทุกคนยังจำเป็นต้องเข้าถึงข้อมูลอยู่ และมีระดับการเข้าถึงที่จำกัดที่สุดเท่าที่จำเป็นสำหรับการทำงานตามความรับผิดชอบของตน
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางการปฏิบัติต่อข้อมูลลูกค้าของ Office 365 และ/หรือ Microsoft Dynamics CRM Online โปรดดูที่แนวปฏิบัติด้านความเป็นส่วนตัวของไมโครซอฟท์สำหรับการพัฒนาผลิตภัณฑ์และบริการ, เอกสารด้านความปลอดภัยสำหรับ Office 365, คู่มือด้านความปลอดภัยและความต่อเนื่องของบริการสำหรับ Microsoft Dynamics CRM Online และเอกสารด้านความเป็นส่วนตัวสำหรับ Microsoft Online
ไมโครซอฟท์มีการตรวจสอบประวัติของผู้ที่ได้รับสิทธิ์ระดับผู้ดูแลระบบอย่างไร
พนักงานของไมโครซอฟท์ทุกคนที่ปฏิบัติงานอยู่ในสหรัฐอเมริกาจะต้องผ่านการตรวจสอบประวัติมาตรฐานซึ่งเป็นส่วนหนึ่งของขั้นตอนการจ้างงาน
การตรวจสอบประวัติได้แก่การตรวจสอบข้อมูลเกี่ยวกับการศึกษา ประวัติการทำงาน และประวัติอาชญากรรมของผู้สมัคร นอกจากการตรวจสอบประวัติมาตรฐานที่ใช้กับพนักงานใหม่ของไมโครซอฟท์ เจ้าหน้าที่ใหม่และเจ้าหน้าที่ปัจจุบันที่มีสิทธิ์เข้าถึงข้อมูลลูกค้า หรือผู้ที่จัดการควบคุมการเข้าถึงทางกายภาพและทางตรรกะ จะต้องผ่านการตรวจสอบตามการควบคุมการส่งออกในรายการต่อไปนี้ (รายการควบคุมการส่งออก ได้แก่ Office of Foreign Assets Control List (OFAC), Bureau of Industry and Security List (BIS) และ Office of Defense Trade Controls Debarred Persons List (DDTC))
ข้อมูลและการตรวจสอบประวัติเพิ่มเติม เช่น การตรวจสอบสภาพพลเมืองและการตรวจสอบลายนิ้วมืออาจถูกนำมาใช้ในกรณีที่การร้องขอการเข้าถึงนั้นเกี่ยวข้องกับการบริการลูกค้าที่มีข้อกำหนดเป็นพิเศษ (ตัวอย่างเช่น รัฐบาลกลางของสหรัฐอเมริกา)
เพื่อปกป้องความเป็นส่วนตัวของพนักงานของบริษัท ไมโครซอฟท์จะไม่แสดงผลการตรวจสอบประวัติกับลูกค้า
แหล่งข้อมูลเพิ่มเติม
•คู่มือด้านความปลอดภัยและความต่อเนื่องของบริการสำหรับ Microsoft Dynamics CRM Online [ภาษาอังกฤษ]
•การรักษาความปลอดภัยสำหรับ Office 365 (เอกสาร ) [ภาษาอังกฤษ]