Center for sikkerhed og rettighedsadministration: Oplysninger om sikkerhed, beskyttelse af personlige oplysninger og kompatibilitet i forbindelse med Office 365 og Microsoft Dynamics CRM Online

Administrativ adgang

Vi hjælper dig med at finde ud af, om andre har haft adgang til dine data. Vi ved, at dataadgang er en af de vigtigste problemstillinger i skyen. Det omfatter både at sikre dig uafbrudt adgang til dine data og informere dig, når andre har haft adgang til dem.

Hvad er holdningen til dataadgang i forbindelse med Office 365 og Microsoft Dynamics CRM Online?

Vi anvender følgende principper for adgang til dine data:

Vi giver dig altid adgang til dine kundedata.

Adgang til kundedata er underlagt streng kontrol og logføring, og både Microsoft og tredjeparter foretager stikprøver for at kontrollere, at enhver adgang til kundedata sker med et relevant forretningsrelateret formål.

Vi anerkender den ekstra store vigtighed af vores kunders nøgledata1 , f.eks. mailmeddelelsestekst i Exchange Online og indhold på teamwebsteder i SharePoint Online. Hvis andre - Microsofts ansatte, partnere,2 eller dine egne administratorer - får adgang til dit indhold i tjenesten, kan du få rapporter om denne adgang ved enten at køre en ikke-ejeradgangsrapport for postkassen* eller en ekstern administratorovervågningslog. Disse to rapporter giver dig mulighed for at vide, hvornår andre kan have fået adgang til dit indhold.

Ikke-ejeradgangsrapporten* i Exchange Administration Center (EAC) viser de postkasser, andre end ejeren af postkassen har fået adgang til. Når en ikke-ejer får adgang til en postkasse, registrerer Microsoft Exchange information om denne handling i postkassens overvågningslog, som gemmes som en mail i en skjult mappe i den postkasse, der overvåges. Poster i postkassens overvågningslog gemmes som standard i 90 dage.

*Du skal aktivere logføring af overvågning for hver postkasse, du vil køre en ikke-ejeradgangsrapport på. Hvis logføring ikke er aktiveret for postkassen, får du ingen resultater, når du kører rapporten.

Få mere at vide om hvordan du kører en ikke-ejeradgangsrapport.

Logføring af administratorovervågning registrerer specifikke handlinger foretaget af administratorer og brugere, der har fået administratorrettigheder. Du kan bruge EAC til at søge efter og få vist poster fra administratorovervågningsloggen for handlinger udført af Microsoft-administratorer og delegerede administratorer.

Få mere at vide om visning af den eksterne administratorovervågningslog.

Azure Active Directory Premium er en identitetsplatform i Office 365, der giver mulighed for identitetsstyring og adgangskontrolfunktioner. Azure Active Directory-funktioner omfatter et skybaseret lager for katalogdata og et sæt af identitetstjenester, herunder brugerlogonprocesser, godkendelsestjenester og Federation Services.

Læs denne artikel for at få mere at vide om, hvordan du bruger adgangs- og anvendelsesrapporter til at få indsigt i integriteten og sikkerheden i din organisations Azure Active Directory-lejer.

Hvordan får jeg vist administrativ adgang til dataene?

Tjeneste

Registrerede aktiviteter

Instruktioner

Office 365 og Dynamics CRM Online

– oprettelse af brugere, nulstilling af adgangskoder på portalen

Opret ny teknisk serviceanmodning

Exchange Online

Adgang til Exchange-postkasser 3

Se Kontrolpanel i Exchange (via link på siden Administrationsoversigt på Office 365-onlineportalen , logon påkrævet)

SharePoint Online

SharePoint-websted, lageradgang

Opret ny teknisk serviceanmodning

Microsoft Dynamics CRM Online

Adgang til CRM-indhold

Opret ny teknisk serviceanmodning

1 Indhold er kundedata, som kunderne forventer, er beskyttet af en større grad af fortrolighed, og som ved normal brug af tjenesten krypteres, før de overføres via internettet. Dette omfatter specifikt: Mailmeddelelsestekst i Exchange Online og vedhæftede filer, indhold på websteder i SharePoint Online samt filbrødtekst, chat, stemmesamtaler og CRM-firmadata om dine interaktioner med slutkunder.

2 Rapporter afspejler dine partners administrative adgang til dit indhold, der er gemt i tjenesten. Ikke alle partnerscenarier er dækket. Rapporter om forhandlere, hvor kunden har købt tjenesterne af forhandleren og faktureres af forhandleren, avancerede kommunikationstjenester, VOIP-partnere og tilknyttede tjenester, som Research in Motion (til hosted BlackBerry®-tjeneste), er f.eks. ikke tilgængelige på grund af den type dataadgang, som disse partnere anvender ved almindelig brug af tjenesterne.

3 I forbindelse med kunder fra store virksomheder, der har aktiveret Exchange Online Protection-administrationscenteret, er det ikke muligt at oprette rapporter over administratoradgang til mail, som er i kø i administrationscenteret.

Hvem har administratorrettigheder til Office 365 eller Microsoft Dynamics CRM Online?

Microsofts databaseadministratorer har pr. definition adgang til alle ressourcerne i en database, herunder kundedata.

Vi bruger kun kundedata til at levere tjenesterne, og Microsoft tillader derfor ikke adgang til kundedata til noget som helst andet formål. Som en del af levering af disse tjenester kan databaseadministratorer få adgang til kundedata i forbindelse med justering af databaseaktiviteter eller overførsel af kunder fra én database til en anden.

Følgende tabel viser forskellige adgangsniveauer for forskellige administratorer og datatyper:

Administrator

Kundedata (undtagen indhold)

Indhold

Driftsansvarlige medarbejdere (begrænset til nøglemedarbejdere)

Ja, efter behov.

Ja, men kun undtagelsesvis.

Supportorganisation

Ja, men kun hvis det kræves som svar på en forespørgsel om support.

Nej.

Teknikere

Ingen direkte adgang. Kan evt. overføres under fejlfinding.

Nej.

Partnere

Med kundens tilladelse. Kontakt din partner for at få flere oplysninger.

Med kundens tilladelse. Kontakt din partner for at få flere oplysninger.

Andre i Microsoft

Nej.1

Nej.


1 Andre i Microsoft bruger muligvis slutbrugerkontaktoplysninger for Office 365 Business-, Business Essentials- og Business Premium-kunder til at sende salgsfremmende kommunikation til disse slutbrugere.

Hvad gør Microsoft for at understøtte kundernes adgangsrettigheder til deres data? Har kunderne uafbrudt adgang til deres data?

Kunder kan få adgang til og kontrollere deres data gennem de standardprotokoller og adgangsmekanismer, der er defineret i beskrivelserne af tjenesten.

Ved afslutningen af en kundes abonnement eller brug af tjenesten kan kunden altid eksportere sine data. Der er detaljerede oplysninger om dette i Brugsrettighederne for onlinetjenester, som er den autoritative kilde til dette emne (kunder med en Enterprise-aftale kan se brugervilkårene for produktet). Vi har imidlertid medtaget bestemmelserne i Brugsrettighederne for onlinetjenester gældende for den aktuelle udgave af Office 365 her:

Udløb eller ophør af Online Services. Når dit Online Services-abonnement udløber eller ophører, skal du kontakte Microsoft, og fortælle os, om vi skal:

(1) deaktivere din konto og derefter slette kundedataene eller

(2) opbevare dine kundedata på en konto med begrænsede funktioner i mindst 90 dage efter abonnementets udløb eller ophør ("opbevaringsperioden"), så du kan udtrække dataene.

Hvis du vælger (1), har du ikke mulighed for at udtrække kundedataene fra din konto. Hvis du ikke vælger hverken (1) eller (2), opbevarer vi kundedataene i henhold til (2).

Efter udløbet af opbevaringsperioden deaktiverer vi din konto, og derefter slettes dine kundedata. Cachelagrede kopier eller sikkerhedskopier tømmes inden for 30 dage efter udløbet af opbevaringsperioden.

Microsoft udsender en meddelelse og flere efterfølgende påmindelser forud for enhver sletning af kundedata, så kunderne er informeret om den kommende datasletning, hvis de undlader at reagere inden for den angivne tidsfrist.

Kunder, som har brug for hjælp til at udfylde lovbestemte anmodninger om beskyttelse af personlige oplysninger, har for manges vedkommende en aftale, som berettiger dem til at kontakte Microsofts kundesupport for at få hjælp til at åbne, ændre, slette eller blokere deres kundedata. Der opkræves muligvis et ekstra gebyr i forbindelse med anmodninger, som det ikke er muligt at imødekomme ved hjælp af standardværktøjer og -processer.

Hvordan kan jeg være sikker på, at administratoradgang kun er blevet tildelt til autoriserede brugere som led i deres jobfunktioner?

Alle Office 365- og Microsoft Dynamics CRM Online-medarbejdere er ansvarlige for deres håndtering af kundedata, hvilket betyder, at der kun gives adgang til Office 365- og Microsoft Dynamics CRM Online-data, som det er muligt at spore til en bestemt bruger.

Medarbejdernes ansvar håndhæves med andre ord gennem et sæt af systemkontroller, herunder brugen af entydige brugernavne, kontrolforanstaltninger for dataadgang og revision. I modsætning til generiske brugernavne, f.eks. "Gæst" eller "Administrator", bruges entydige brugernavne til at håndhæve ansvar ved at identificere brugerhandlinger til en bestemt person (også kaldet "binding"). Bindingen styrkes yderligere med godkendelsesprocesser med to faktorer, f.eks. logon med chipkort, som anvender digitale certifikater, og RSA-tokens.

Microsoft fører streng kontrol med, hvilke medarbejderroller og medarbejdere der tildeles adgang til kundedata. Medarbejderes adgang til de it-systemer, hvor kundernes data opbevares, styres stramt via rollebaseret adgangskontrol (role-based access control - RBAC) og låseboksprocesser [Engelsk] . Adgangskontrol er en automatiseret proces, der følger princippet om adskillelse af pligter og princippet om tildeling af mindste tilladelse. Denne proces sikrer, at den tekniker, der anmoder om adgang til disse it-systemer, opfylder kravene om berettigelse såsom en baggrundsskærm, fingeraftryk, krævede kurser i sikkerhed og godkendelse af adgang . Derudover gennemgås adgangsniveauerne med regelmæssige mellemrum for at sikre, at kun brugere, der har den relevante forretningsberettigelse, har adgang til systemerne.

Brugeradgang til data er desuden også begrænset af brugerens rolle. Systemadministratorer får f.eks. ikke administrativ adgang til databaser.

Hvilke kontrolforanstaltninger anvendes for at begrænse fysisk adgang til mine data?

Alle Office 365- og Microsoft Dynamics CRM Online-datacentre anvender biometrisk adgangskontrol, og hovedparten af de datacentre, der leverer Office 365 og Microsoft Dynamics CRM Online, kontrollerer den fysiske adgang til datacentrene ved hjælp af håndaftryk.

Fysisk adgang til Office 365 og Microsoft Dynamics CRM Online-datacentre kontrolleres ved hjælp af godkendelse på to niveauer, herunder ved hjælp af en proxylæser til adgangskort (kræver adgangsbadge) og biometriske håndgeometrilæsere.

Den ansvarlige Microsoft Security Officer sender kvartalsvise rapporter til autoriserede medarbejdere med beføjelse til at godkende datacenteradgang. Rapporterne indeholder en liste over personer, som aktuelt har adgang til datacentrene. De autoriserede medarbejdere reviderer listen for at sikre, at alle personer på listen fortsat har brug for at have adgang og er tildelt det laveste af de adgangsniveauer, som giver dem den nødvendige adgang til at varetage deres jobfunktioner.

Du kan finde flere oplysninger om praksis for håndtering af kundedata i Office 365 og/eller Microsoft Dynamics CRM Online i Microsofts retningslinjer for beskyttelse af personlige oplysninger i forbindelse med udvikling af produkter og tjenester, hvidbogen om sikkerhed i Office 365, vejledning til sikkerheden ved og uafbrudt drift af Microsoft Dynamics CRM Online-tjenesten og hvidbogen med Microsofts onlineerklæring om beskyttelse af personlige oplysninger.

Hvilken type baggrundsundersøgelse udfører Microsoft for personer, som tildeles administratorrettigheder?

Alle Microsofts medarbejdere i USA skal gennemgå et standardbaggrundstjek som en del af ansættelsesforløbet.

Baggrundstjek omfatter gennemgang af oplysninger om uddannelse, erhvervserfaring og straffeattest. Ud over det standardbaggrundstjek, som alle nye Microsoft-medarbejdere skal gennemgå, skal nye og eksisterende medarbejdere, der har adgang til kundedata, eller som administrerer centrale fysiske og logiske adgangskontroller, gennemgå tjek, som kontrolleres i forhold til eksportkontrollister. (Eksportkontrollister omfatter OFAC (Office of Foreign Assets Control List), BIS (Bureau of Industry and Security List) og DDTC (Office of Defense Trade Controls Debarred Persons List).)

Der kan være behov for flere oplysninger og baggrundstjek, f.eks. kontrol af statsborgerskab og fingeraftryk, hvis anmodningen om adgang vedrører tjenester, vi tilbyder kunder med særlige behov (f.eks. de amerikanske myndigheder).

Microsoft deler ikke resultater af baggrundstjek med kunder af hensyn til beskyttelsen af medarbejdernes personlige oplysninger.

Yderligere ressourcer

Vejledning til sikkerheden ved og uafbrudt drift af Microsoft Dynamics CRM Online-tjenesten [Engelsk]

Office 365-sikkerhed (hvidbog ) [Engelsk]