Trung tâm Tin cậy: Thông tin về Bảo mật, Quyền riêng tư và Tuân thủ dành cho Office 365 và Microsoft Dynamics CRM Online

Quyền truy nhập quản trị

Chúng tôi cho phép bạn tìm ra ai đó đã truy nhập vào dữ liệu chính của bạn. Chúng tôi biết rằng trong ứng dụng web qua internet, truy nhập dữ liệu là một trong những mối lo ngại chính của bạn. Điều này có nghĩa là chúng tôi biết rằng bạn sẽ có thể truy nhập vào dữ liệu của mình khi cần cũng như biết liệu ai đó đã truy nhập vào dữ liệu đó hay chưa.

Quan điểm của Office 365 và Microsoft Dynamics CRM Online khi truy nhập dữ liệu là gì?

Quan điểm của chúng tôi về việc truy nhập dữ liệu của bạn như sau:

Chúng tôi luôn cung cấp cho bạn quyền truy nhập vào dữ liệu khách hàng của bạn.

Việc truy nhập vào dữ liệu khách hàng được kiểm soát chặt chẽ và được ghi lại, các kiểm định mẫu được thực hiện bởi Microsoft và các bên thứ ba nhằm chứng nhận quyền truy nhập chỉ dành cho mục đích công việc thích hợp.

Chúng tôi ghi nhận tầm quan trọng đặc biệt về nội dung của khách hàng,1 như dữ liệu nội dung email trong Exchange Online và nội dung site nhóm SharePoint Online. Nếu một người nào đó—nhân viên, đối tác của Microsoft,2 hoặc người quản trị của riêng bạn, truy cập nội dung của bạn trên dịch vụ, bạn có thể nhận được các báo cáo liên quan đến việc truy cập bằng cách chạy một báo cáo* quyền truy cập hộp thư của người không phải là chủ sở hữu hoặc một nhật ký kiểm tra của người quản trị bên ngoài. Hai báo cáo này cho phép bạn biết nội dung của bạn có thể đã được truy cập khi nào.

Báo cáo* quyền truy cập hộp thư của người không phải là chủ sở hữu trong Trung tâm Quản trị Exchange (EAC) sẽ liệt kê các hộp thư mà ai đó không phải là chủ sở hữu hộp thư đã truy cập. Khi có người không phải là chủ sở hữu truy cập một hộp thư, Microsoft Exchange sẽ ghi nhận thông tin về hành động này trong nhật ký kiểm tra hộp thư được lưu dưới dạng một email trong một thư mục ẩn trong hộp thư được đang được kiểm tra. Theo mặc định các mục nhập trong nhật ký kiểm tra hộp thư được lưu giữ trong 90 ngày.

*Bạn phải bật tính năng ghi nhật ký kiểm tra hộp thư cho từng hộp thư mà bạn muốn chạy báo cáo quyền truy cập hộp thư của người không phải là chủ sở hữu. Nếu không bật tính năng ghi nhật ký kiểm tra hộp thư, bạn sẽ không nhận được bất kỳ kết quả nào khi bạn chạy báo cáo.

Tìm hiểu thêm về việc chạy báo cáo quyền truy cập hộp thư của người không phải là chủ sở hữu.

Tính năng ghi nhật ký kiểm tra của người quản trị sẽ ghi lại các hành động cụ thể được thực hiện bởi người quản trị và người dùng được gán đặc quyền quản trị hộp thư. Bạn có thể dùng EAC để tìm và xem các mục nhập từ nhật ký kiểm tra của người quản trị về các hành động được thực hiện bởi người quản trị hoặc người quản trị được ủy quyền của Microsoft.

Tìm hiểu thêm về việc xem nhật ký kiểm tra của người quản trị bên ngoài.

Azure Active Directory Premium là một nền tảng nhận dạng dành cho Office 365 cung cấp các chức năng quản lý nhận dạng và kiểm soát quyền truy nhập. Các chức năng của Azure Active Directory bao gồm cửa hàng trên đám mây dành cho dữ liệu thư mục và bộ dịch vụ nhận dạng cốt lõi, bao gồm các quy trình đăng nhập của người dùng, dịch vụ xác thực, và Dịch vụ Liên kết.

Để tìm hiểu cách dùng các báo cáo về việc sử dụng và truy cập để thấy được tính bảo mật và toàn vẹn của đối tượng thuê Azure Active Directory (AD) trong tổ chức của bạn, hãy đọc bài viết này.

Làm thế nào để tôi có thể xem quyền truy nhập quản trị vào dữ liệu?

Dịch vụ

Hoạt động Được theo dõi

Hướng dẫn

Office 365 và Dynamics CRM Online

Tạo cổng thông tin của người dùng, Đặt lại Mật khẩu

Tạo yêu cầu dịch vụ kỹ thuật mới

Exchange Online

Truy nhập hộp thư Exchange 3

Truy nhập Panel Điều khiển Exchange (nối kết có sẵn từ trang Tổng quan Quản trị trong Cổng thông tin Trực tuyến Office 365 ; yêu cầu đăng nhập)

SharePoint Online

Site SharePoint, truy nhập bộ nhớ

Tạo yêu cầu dịch vụ kỹ thuật mới

Microsoft Dynamics CRM Online

Truy nhập nội dung CRM

Tạo yêu cầu dịch vụ kỹ thuật mới

1 Nội dung là dữ liệu mà khách hàng có thể có kỳ vọng cao về bảo mật và khi dịch vụ được sử dụng thông thường, nội dung được truyền mã hóa qua internet. Nội dung cụ thể bao gồm: Nội dung email và tệp đính kèm trong Exchange Online, nội dung site và nội dung tệp SharePoint Online cũng như nội dung trò chuyện thoại và nhắn tin tức thời và dữ liệu kinh doanh CRM về tương tác khách hàng cuối của bạn.

2 Báo cáo phản ánh quyền truy nhập quản trị của đối tác vào nội dung của bạn được lưu trữ trên dịch vụ. Không phải tất cả các trường hợp của đối tác đều được bao gồm. Chẳng hạn, báo cáo về người bán lại (khi khách hàng đã mua dịch vụ từ người bán lại và được lập hóa đơn), đối tác VOIP của các dịch vụ truyền thông nâng cao và các dịch vụ liên quan như Research in Motion (đối với dịch vụ BlackBerry® được lưu trữ) không có sẵn do bản chất của quyền truy nhập vào dữ liệu mà những bên này có trong khi sử dụng dịch vụ thông thường.

3 Đối với khách hàng doanh nghiệp đã kích hoạt trung tâm quản trị Exchange Online Protection, quyền truy nhập quản trị của thư đã xếp hàng trong trung tâm quản trị sẽ không thể báo cáo được.

Những ai có quyền quản trị đối với Office 365 hoặc Microsoft Dynamics CRM Online?

Người quản trị cơ sở dữ liệu của Microsoft, theo định nghĩa, có quyền truy nhập vào tất cả tài nguyên trên cơ sở dữ liệu, bao gồm dữ liệu khách hàng.

Chúng tôi chỉ sử dụng dữ liệu khách hàng để cung cấp dịch vụ; vì vậy Microsoft nghiêm cấm truy nhập vào dữ liệu khách hàng vì bất kỳ mục đích nào khác. Khi cung cấp dịch vụ, người quản trị cơ sở dữ liệu có thể truy nhập dữ liệu khách hàng cho các hoạt động như điều chỉnh hiệu suất của cơ sở dữ liệu hoặc di chuyển khách hàng từ cơ sở dữ liệu này sang cơ sở dữ liệu khác.

Bảng sau nêu chi tiết về các cấp độ truy nhập khác nhau đối với các loại dữ liệu và người quản trị khác nhau:

Người quản trị

Dữ liệu Khách hàng (Không bao gồm Nội dung)

Nội dung

Nhóm phản hồi thao tác (chỉ giới hạn trong nhân viên chính)

Có, nếu cần.

Có, theo ngoại lệ.

Tổ chức hỗ trợ

Có, chỉ khi bắt buộc để trả lời truy vấn hỗ trợ.

Không.

Kỹ thuật

Không có quyền truy nhập trực tiếp. Có thể được truyền trong khi khắc phục sự cố.

Không.

Đối tác

Với sự cho phép của khách hàng. Hãy liên hệ với đối tác của bạn để biết thêm thông tin.

Với sự cho phép của khách hàng. Hãy liên hệ với đối tác của bạn để biết thêm thông tin.

Dịch vụ khác trong Microsoft

Không.1

Không.


1 Các dịch vụ khác của Microsoft có thể dùng thông tin liên hệ của người dùng cuối được đề cập cụ thể trong danh bạ khách hàng của Office 365 Business, Business Essentials, và Business Premium để gửi thông tin quảng cáo đến những người dùng cuối.

Microsoft làm gì để hỗ trợ quyền truy nhập của khách hàng vào dữ liệu của họ? Khách hàng sẽ luôn có quyền truy nhập vào dữ liệu của họ chứ?

Khách hàng có thể truy nhập và kiểm soát dữ liệu của họ thông qua các giao thức và cơ chế truy nhập chuẩn được định nghĩa trong phần mô tả dịch vụ.

Khi kết thúc đăng ký hoặc sử dụng dịch vụ của khách hàng, khách hàng luôn có thể xuất dữ liệu của họ. Chi tiết đầy đủ có trong Quyền Sử dụng Dịch vụ Trực tuyến, là nguồn ủy quyền về chủ đề này (khách hàng có Thỏa thuận Doanh nghiệp nên tham khảo Quyền Sử dụng Sản phẩm). Tuy nhiên, để thuận tiện cho bạn, chúng tôi sẽ đưa các điều khoản của Quyền Sử dụng Dịch vụ Trực tuyến kể từ bản phát hành Office 365 hiện tại vào đây:

Hết hạn hoặc Kết thúc Dịch vụ Trực tuyến. Khi hết hạn hoặc kết thúc đăng ký dịch vụ trực tuyến của mình, bạn có thể liên hệ với Microsoft và thông báo cho chúng tôi về việc có:

(1) vô hiệu hóa tài khoản của bạn và sau đó xóa dữ liệu khách hàng; hoặc

(2) lưu giữ dữ liệu khách hàng của bạn vào tài khoản chức năng có giới hạn trong tối thiểu 90 ngày sau khi hết hạn hoặc kết thúc đăng ký của bạn ("thời gian lưu giữ") để bạn có thể trích xuất dữ liệu.

Nếu bạn chỉ định (1), bạn sẽ không thể trích xuất dữ liệu khách hàng từ tài khoản của mình. Nếu bạn không chỉ định (1) hoặc (2), chúng tôi sẽ lưu giữ dữ liệu khách hàng theo mục (2).

Sau khi hết thời gian lưu giữ, chúng tôi sẽ vô hiệu hóa tài khoản của bạn, sau đó xóa dữ liệu khách hàng của bạn. Các bản sao lưu hoặc bản lưu trong bộ nhớ cache sẽ bị xóa trong vòng 30 ngày kể từ ngày kết thúc thời hạn lưu giữ.

Microsoft đưa ra nhiều thông báo trước khi xóa dữ liệu khách hàng, để khách hàng được thông báo và nhắc nhở về việc xóa dữ liệu sắp tới nếu họ không hành động trong khung thời gian quy định.

Trong chừng mực khách hàng cần hỗ trợ để thực hiện yêu cầu về quyền riêng tư theo quy định của pháp luật, trong nhiều thỏa thuận, khách hàng có thể liên hệ với Bộ phận hỗ trợ Khách hàng của Microsoft để được trợ giúp trong việc truy nhập, thay đổi, xóa bỏ hoặc chặn dữ liệu khách hàng. Các yêu cầu không thể thực hiện được thông qua các công cụ và quy trình chuẩn có thể phải chịu phí bổ sung.

Làm thế nào để đảm bảo rằng chỉ người dùng được uỷ quyền được cấp quyền truy nhập quản trị để thực hiện trách nhiệm công việc của họ?

Tất cả nhân viên của Office 365 và Microsoft Dynamics CRM Online chịu trách nhiệm xử lý dữ liệu khách hàng, vì quyền truy nhập vào dữ liệu của Office 365 và Microsoft Dynamics CRM Online được cấp theo cách có thể theo dõi cho người dùng duy nhất.

Nói cách khác, trách nhiệm được thực thi thông qua một loạt các biện pháp kiểm soát hệ thống, bao gồm việc sử dụng tên người dùng duy nhất, kiểm soát quyền truy nhập dữ liệu và kiểm định. Khác với tên người dùng chung như "Khách" hoặc "Người quản trị", tên người dùng duy nhất được sử dụng để thực thi trách nhiệm bằng cách xác định hoạt động của người dùng cho một cá nhân cụ thể (được gọi là "ràng buộc"). Xác thực hai yếu tố, như thông tin đăng nhập thẻ thông minh sử dụng chứng nhận kỹ thuật số hoặc mã thông báo RSA, cũng được sử dụng để tăng cường hơn nữa sự ràng buộc này.

Microsoft áp dụng các biện pháp kiểm soát chặt chẽ đối với vai trò nhân viên và nhân viên nào sẽ được cấp quyền truy nhập vào dữ liệu khách hàng. Quyền truy nhập của nhân viên vào hệ thống CNTT lưu trữ dữ liệu khách hàng được kiểm soát chặt chẽ thông qua quy trình kiểm soát quyền truy nhập dựa trên vai trò (RBAC) và hộp khóa [Tiếng Việt] . Kiểm soát quyền truy nhập là một quá trình tự động tuân theo nguyên tắc phân tách nhiệm vụ và nguyên tắc cấp đặc quyền tối thiểu. Quy trình này đảm bảo rằng kỹ sư yêu cầu quyền truy nhập vào những hệ thống CNTT này đã đáp ứng được yêu cầu về tính đủ điều kiện như màn hình nền, dấu vân tay, đào tạo bảo mật cần thiết và phê duyệt quyền truy nhập . Ngoài ra, cấp độ truy nhập được xem xét định kỳ để đảm bảo rằng chỉ người dùng có lý do công việc thích hợp mới có quyền truy nhập vào hệ thống.

Quyền truy nhập người dùng vào dữ liệu cũng được giới hạn theo vai trò người dùng. Ví dụ: người quản trị hệ thống không được cung cấp quyền truy nhập quản trị cơ sở dữ liệu.

Hiện có các biện pháp kiểm soát nào để hạn chế quyền truy nhập thực vào dữ liệu của tôi?

Tất cả trung tâm dữ liệu của Office 365 và Microsoft Dynamics CRM Online đều có biện pháp kiểm soát quyền truy nhập sinh trắc, với phần lớn các trung tâm dữ liệu được sử dụng để cung cấp Office 365 và Microsoft Dynamics CRM Online yêu cầu dấu bàn tay để có quyền truy nhập thực vào trung tâm dữ liệu.

Quyền truy nhập thực vào trung tâm dữ liệu Office 365 và Microsoft Dynamics CRM Online được kiểm soát bởi xác thực hai lớp, bao gồm đầu đọc truy nhập thẻ proxy (bắt buộc phải có phù hiệu truy nhập thẻ) và đầu đọc sinh trắc vân tay.

Hàng quý, Cán bộ Bảo mật của Microsoft gửi báo cáo cho nhân viên được ủy quyền phê chuẩn quyền truy nhập vào trung tâm dữ liệu. Báo cáo bao gồm danh sách những người hiện có quyền truy nhập vào trung tâm dữ liệu. Nhân viên được ủy quyền sẽ kiểm định danh sách để đảm bảo tất cả mọi người vẫn yêu cầu quyền truy nhập và có cấp độ truy nhập ít đặc quyền nhất cần thiết để thực hiện chức năng công việc của họ.

Để biết thêm thông tin về phương pháp tiếp cận dữ liệu khách hàng của Office 365 và/hoặc Microsoft Dynamics CRM Online, vui lòng tham khảo Nguyên tắc về Quyền riêng tư của Microsoft dành cho Phát triển Sản phẩm và Dịch vụ, báo cáo chính thức về Bảo mật Office 365, Hướng dẫn về Tính liên tục của Dịch vụ và Bảo mật Microsoft Dynamics CRM Online và báo cáo chính thức về Quyền riêng tư của Microsoft Online.

Loại điều tra lý lịch nào mà Microsoft thực hiện đối với những người được cấp quyền quản trị?

Tất cả nhân viên cư trú tại Hoa Kỳ của Microsoft bắt buộc phải vượt qua đợt kiểm tra lý lịch chuẩn như một phần của quy trình tuyển dụng.

Kiểm tra lý lịch bao gồm xem xét thông tin liên quan đến học vấn, việc làm và hồ sơ phạm tội của ứng viên. Ngoài kiểm tra lý lịch chuẩn được áp dụng cho tất cả nhân viên mới của Microsoft, các nhân viên mới và nhân viên hiện tại có quyền truy nhập vào dữ liệu khách hàng hoặc người quản lý các biện pháp kiểm soát truy nhập logic và thực tế chủ chốt đều phải trải qua đợt kiểm tra đối với danh mục kiểm soát xuất khẩu. (Danh mục kiểm soát xuất khẩu bao gồm Danh mục của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC), Danh mục của Phòng Công nghiệp và An ninh (BIS) và Danh mục Những người bị Tước quyền của Cơ quan Kiểm soát Thương mại Quốc phòng (DDTC).)

Việc kiểm tra lý lịch và thông tin bổ sung, như kiểm tra tư cách công dân và dấu vân tay, cũng có thể áp dụng nếu yêu cầu về quyền truy nhập liên quan đến dịch vụ chúng tôi cung cấp cho khách hàng có yêu cầu cụ thể, (ví dụ: chính phủ liên bang Hoa Kỳ).

Để bảo vệ quyền riêng tư của nhân viên, Microsoft không chia sẻ kết quả của đợt kiểm tra lý lịch với khách hàng.

Tài nguyên bổ sung

Hướng dẫn về Tính liên tục của Dịch vụ và Bảo mật của Microsoft Dynamics CRM Online [Tiếng Việt]

Bảo mật Office 365 (báo cáo chính thức ) [Tiếng Việt]