Outils et ressources pour aider aux processus de classification et de rémunération et à l`administration, y compris les organigrammes, la gestion de la rémunération dans un grade salarial et plus encore. Le personnel administratif ne peut pas accéder au courrier électronique lorsqu`il est connecté à un compte d`administrateur ou lorsqu`il est connecté à une station de travail administrative. Consultez les outils d`administration et types d`ouverture de session pour plus d`informations sur les types d`ouverture de session, les outils de gestion courants et l`exposition aux informations d`identification Comptes d`administration-comptes distincts créés pour le personnel auquel sont attribués les privilèges d`administration appropriés. Un administrateur qui est tenu de gérer les actifs de chaque niveau doit avoir un compte distinct pour chaque niveau. Ces comptes ne doivent pas avoir accès à l`e-mail ou à l`Internet public. Le personnel administratif ne peut pas naviguer sur l`Internet ouvert lorsqu`il est connecté à un compte d`administrateur ou lorsqu`il est connecté à une station de travail administrative. Les seules exceptions autorisées sont l`utilisation d`un navigateur Web pour administrer un service basé sur le Cloud, tel que Microsoft Azure, Amazon Web services, Microsoft Office 365 ou Gmail d`entreprise. Assurez-vous que seul le personnel de confiance au-dessus de la classification de niveau du compte a accès au mot de passe du compte. Primaire (outil)-outils distants qui utilisent des ouvertures de session réseau (type 3).

Pour plus d`informations, consultez outils d`administration et types d`ouverture de session. Pour assurer la responsabilisation, tous les membres du personnel disposant de comptes administratifs doivent signer un document de code de conduite sur les privilèges administratifs qui stipule qu`ils entendent suivre les pratiques administratives propres à l`organisation. Pour trouver une description d`une classification de tâche spécifique au sein d`une famille d`emplois, consultez la page recherche de classification des tâches. Cette section contient une approche pour une forêt administrative basée sur l`architecture de référence de l`environnement d`administration de sécurité renforcée (ESAE) déployée par les équipes de services professionnels de cybersécurité de Microsoft pour protéger les clients contre attaques de cybersécurité. Une forêt administrative dédiée est une forêt Active Directory de domaine unique standard dédiée à la fonction de gestion Active Directory. Les forêts et les domaines administratifs peuvent être durcis plus rigoureusement que les forêts de production en raison des cas d`utilisation limités. Les privilèges d`administration sur la forêt d`administration doivent être étroitement contrôlés par un processus hors connexion pour réduire l`opportunité pour un attaquant ou un initié malveillant d`effacer les journaux d`audit. Cela permet également de s`assurer que le personnel disposant de comptes administrateur de production ne peut pas assouplir les restrictions sur leurs comptes et augmenter les risques pour l`organisation.