Microsoft 365 Isolamento e controllo di accesso in Azure Active DirectoryMicrosoft 365 Isolation and Access Control in Azure Active Directory

Azure Active Directory (Azure AD) è stato progettato per ospitare più tenant in modo estremamente sicuro attraverso l'isolamento dei dati logici.Azure Active Directory (Azure AD) was designed to host multiple tenants in a highly secure way through logical data isolation. L'accesso ad Azure AD è limitato da un livello di autorizzazione.Access to Azure AD is gated by an authorization layer. Azure AD isola i clienti che usano i contenitori tenant come limiti di sicurezza per proteggere il contenuto di un cliente in modo che i co-tenant non possono accedere o compromettere il contenuto.Azure AD isolates customers using tenant containers as security boundaries to safeguard a customer's content so that the content cannot be accessed or compromised by co-tenants. Il livello di autorizzazione di Azure AD esegue tre controlli:Three checks are performed by Azure AD's authorization layer:

  • L'entità è abilitata per l'accesso al tenant di Azure AD?Is the principal enabled for access to Azure AD tenant?
  • L'entità è abilitata per l'accesso ai dati in questo tenant?Is the principal enabled for access to data in this tenant?
  • Il ruolo dell'entità in questo tenant è autorizzato per il tipo di accesso ai dati richiesto?Is the principal's role in this tenant authorized for the type of data access requested?

Nessuna applicazione, utente, server o servizio può accedere ad Azure AD senza l'autenticazione e il token o il certificato adeguati.No application, user, server, or service can access Azure AD without the proper authentication and token or certificate. Le richieste vengono rifiutate se non sono accompagnate da credenziali appropriate.Requests are rejected if they are not accompanied by proper credentials.

In effetti, Azure AD ospita ogni tenant nel proprio contenitore protetto, con criteri e autorizzazioni per e all'interno del contenitore esclusivamente di proprietà e gestito dal tenant.Effectively, Azure AD hosts each tenant in its own protected container, with policies and permissions to and within the container solely owned and managed by the tenant.

Contenitore di Azure

Il concetto di contenitori tenant è profondamente radicato nel servizio directory a tutti i livelli, dai portali fino all'archiviazione persistente.The concept of tenant containers is deeply ingrained in the directory service at all layers, from portals all the way to persistent storage. Anche quando più metadati del tenant di Azure AD sono archiviati nello stesso disco fisico, non esiste alcuna relazione tra i contenitori oltre a quanto definito dal servizio directory, che a sua volta è dettato dall'amministratore tenant.Even when multiple Azure AD tenant metadata is stored on the same physical disk, there is no relationship between the containers other than what is defined by the directory service, which in turn is dictated by the tenant administrator. Non possono essere presenti connessioni dirette all'archiviazione di Azure AD da qualsiasi applicazione o servizio richiedente senza prima passare attraverso il livello di autorizzazione.There can be no direct connections to Azure AD storage from any requesting application or service without first going through the authorization layer.

Nell'esempio seguente, Contoso e Fabrikam dispongono di contenitori separati e dedicati e, anche se tali contenitori possono condividere parte della stessa infrastruttura sottostante, ad esempio server e archiviazione, rimangono separati e isolati l'uno dall'altro e sono recinti da livelli di autorizzazione e controllo di accesso.In the example below, Contoso and Fabrikam both have separate, dedicated containers, and even though those containers may share some of the same underlying infrastructure, such as servers and storage, they remain separate and isolated from each other, and gated by layers of authorization and access control.

Contenitori dedicati di Azure

Inoltre, non ci sono componenti dell'applicazione che possono essere eseguiti da Azure AD e non è possibile che un tenant possa violare forzatamente l'integrità di un altro tenant, accedere alle chiavi di crittografia di un altro tenant o leggere i dati non elaborati dal server.In addition, there are no application components that can execute from within Azure AD, and it is not possible for one tenant to forcibly breach the integrity of another tenant, access encryption keys of another tenant, or read raw data from the server.

Per impostazione predefinita, Azure AD non consente tutte le operazioni emesse dalle identità in altri tenant.By default, Azure AD disallows all operations issued by identities in other tenants. Ogni tenant è isolato logicamente all'interno di Azure AD tramite controlli di accesso basati sulle attestazioni.Each tenant is logically isolated within Azure AD through claims-based access controls. Le operazioni di lettura e scrittura dei dati della directory hanno come ambito i contenitori tenant e sono recinti da un livello di astrazione interno e da un livello RBAC (Role-Based Access Control), che insieme applicano il tenant come limite di sicurezza.Reads and writes of directory data are scoped to tenant containers, and gated by an internal abstraction layer and a role-based access control (RBAC) layer, which together enforce the tenant as the security boundary. Ogni richiesta di accesso ai dati della directory viene elaborata da questi livelli e ogni richiesta di accesso in Microsoft 365 viene regolata dalla logica precedente.Every directory data access request is processed by these layers and every access request in Microsoft 365 is policed by the logic above.

Azure AD dispone di partizioni Nord America, Stati Uniti, Unione Europea, Germania e World Wide.Azure AD has North America, U.S. Government, European Union, Germany, and World Wide partitions. Un tenant esiste in una singola partizione e le partizioni possono contenere più tenant.A tenant exists in a single partition, and partitions can contain multiple tenants. Le informazioni sulla partizione vengono astratte dagli utenti.Partition information is abstracted away from users. Una determinata partizione (inclusi tutti i tenant al suo interno) viene replicata in più datacenter.A given partition (including all the tenants within it) is replicated to multiple datacenters. La partizione per un tenant viene scelta in base alle proprietà del tenant (ad esempio, il codice paese).The partition for a tenant is chosen based on properties of the tenant (e.g., the country code). I segreti e altre informazioni riservate in ogni partizione vengono crittografati con una chiave dedicata.Secrets and other sensitive information in each partition is encrypted with a dedicated key. Le chiavi vengono generate automaticamente quando viene creata una nuova partizione.The keys are generated automatically when a new partition is created.

Le funzionalità del sistema Azure AD sono un'istanza univoca per ogni sessione utente.Azure AD system functionalities are a unique instance to each user session. Inoltre, Azure AD usa tecnologie di crittografia per fornire l'isolamento delle risorse di sistema condivise a livello di rete per impedire il trasferimento non autorizzato e non intenzionale delle informazioni.In addition, Azure AD uses encryption technologies to provide isolation of shared system resources at the network level to prevent unauthorized and unintended transfer of information.