Microsoft 365 Isolation und Access Control in Microsoft Entra ID

Microsoft Entra ID wurde entwickelt, um mehrere Mandanten auf äußerst sichere Weise durch logische Datenisolation zu hosten. Der Zugriff auf Microsoft Entra ID wird durch eine Autorisierungsschicht abgegrenzt. Microsoft Entra ID isoliert Kunden, die Mandantencontainer als Sicherheitsgrenzen verwenden, um die Inhalte eines Kunden zu schützen, sodass nicht auf die Inhalte von Mitmandanten zugegriffen oder kompromittiert werden kann. Drei Überprüfungen werden von Microsoft Entra Autorisierungsebene ausgeführt:

• Ist der Prinzipal für den Zugriff auf Microsoft Entra Mandanten aktiviert?
• Ist der Prinzipal für den Zugriff auf Daten in diesem Mandanten aktiviert?
• Ist die Rolle des Prinzipals in diesem Mandanten für den typ des angeforderten Datenzugriffs autorisiert?

Keine Anwendung, kein Benutzer, kein Server oder kein Dienst kann auf Microsoft Entra ID ohne die richtige Authentifizierung und das entsprechende Token oder Zertifikat zugreifen. Anforderungen werden abgelehnt, wenn sie nicht von den richtigen Anmeldeinformationen begleitet werden.

Effektiv hostet Microsoft Entra ID jeden Mandanten in einem eigenen geschützten Container mit Richtlinien und Berechtigungen für und innerhalb des Containers, der sich ausschließlich im Besitz des Mandanten befindet und von diesem verwaltet wird.

Das Konzept der Mandantencontainer ist tief im Verzeichnisdienst auf allen Ebenen verankert, von Portalen bis hin zum persistenten Speicher. Selbst wenn mehrere Microsoft Entra Mandantenmetadaten auf demselben physischen Datenträger gespeichert sind, besteht keine andere Beziehung zwischen den Containern als die, die vom Verzeichnisdienst definiert werden, was wiederum vom Mandantenadministrator vorgegeben wird. Es können keine direkten Verbindungen mit Microsoft Entra Speicher von einer anfordernden Anwendung oder einem Dienst hergestellt werden, ohne zuvor die Autorisierungsschicht zu durchlaufen.

Im folgenden Beispiel verfügen Contoso und Fabrikam über separate, dedizierte Container, und obwohl diese Container einige der gleichen zugrunde liegenden Infrastruktur wie Server und Speicher gemeinsam nutzen können, bleiben sie getrennt und isoliert voneinander und durch Ebenen der Autorisierung und Zugriffssteuerung abgegrenzt.

Darüber hinaus gibt es keine Anwendungskomponenten, die innerhalb Microsoft Entra ID ausgeführt werden können, und es ist nicht möglich, dass ein Mandant die Integrität eines anderen Mandanten verletzt, auf Verschlüsselungsschlüssel eines anderen Mandanten zugreift oder Rohdaten vom Server liest.

Standardmäßig lässt Microsoft Entra nicht alle Vorgänge zu, die von Identitäten in anderen Mandanten ausgegeben werden. Jeder Mandant wird logisch innerhalb Microsoft Entra ID durch anspruchsbasierte Zugriffssteuerungen isoliert. Lese- und Schreibvorgänge von Verzeichnisdaten werden auf Mandantencontainer beschränkt und durch eine interne Abstraktionsebene und eine RBAC-Ebene (Role-Based Access Control) abgegrenzt, die zusammen den Mandanten als Sicherheitsgrenze erzwingen. Jede Anforderung für den Zugriff auf Verzeichnisdaten wird von diesen Ebenen verarbeitet, und jede Zugriffsanforderung in Microsoft 365 wird von der vorherigen Logik verwaltet.

Microsoft Entra ID verfügt über Nordamerika, US-Regierung, Europäische Union, Deutschland und World Wide Partitionen. Ein Mandant ist in einer einzelnen Partition vorhanden, und Partitionen können mehrere Mandanten enthalten. Partitionsinformationen werden von Benutzern abstrahiert. Eine bestimmte Partition (einschließlich aller darin enthaltenen Mandanten) wird in mehrere Rechenzentren repliziert. Die Partition für einen Mandanten wird basierend auf den Eigenschaften des Mandanten (z. B. dem Ländercode) ausgewählt. Geheimnisse und andere vertrauliche Informationen in jeder Partition werden mit einem dedizierten Schlüssel verschlüsselt. Die Schlüssel werden automatisch generiert, wenn eine neue Partition erstellt wird.

Microsoft Entra Systemfunktionen sind eine eindeutige instance für jede Benutzersitzung. Darüber hinaus verwendet Microsoft Entra ID Verschlüsselungstechnologien, um die Isolation freigegebener Systemressourcen auf Netzwerkebene bereitzustellen, um eine nicht autorisierte und unbeabsichtigte Übertragung von Informationen zu verhindern.