我正在尝试找到最佳解决方案,以便能够向我们的 CEO 保证,他的 Office 365 邮箱不会被任何人读取,包括我作为管理员。
显然,邮箱已被锁定,只有他才能访问,但如果我愿意,我可以授予自己访问权限并四处打探。我当然不会,但数据的敏感性意味着我们需要一个严密的解决方案。仅对邮箱/服务器进行审计是不够的。
我认为邮箱权限永远无法完全锁定管理员,因此需要对邮件进行某种形式的加密,这样即使我访问邮箱,也无法阅读邮件。他将在内部和外部发送和接收电子邮件,并使用 Mac/PC 和 iOS 上的 Outlook 访问他的电子邮件。我无法解释外部收件人的电子邮件客户端,理想情况下需要避免使用任何额外的客户端软件。
有人能帮我提出合适的建议并概述一下解决方案吗?如果您需要更多信息,请告诉我。
非常感谢,
答案1
我们将提升的帐户称为“特权”是有原因的 - 您必须授予管理员某种隐含的信任级别,因为他们有能力授予自己对您的大部分内容的访问权限。
对于“保护邮箱数据”,我将对其启用合法保留,对邮箱项目的所有更改都将保留,并且您不能删除项目,这些项目将保留到合法保留被取消为止。
在保护时(更好的说法是减轻),针对恶意管理员,您必须结合使用审计控制、监控这些控制、受保护的备份、合法保留等数据保护以及职责分离。没有单一的最佳方法来防范这种威胁 - 您只能将风险降至最低。
答案2
您应该考虑审核访问控制更改和非所有者对邮箱的访问。Office 365 可以做到这一点,但只有警报今天,最高级别的 E5 计划将处理此类事件。
如果这是你的路线图,那么你的问题实际上已经解决了。