Изоляция и контроль доступа Microsoft 365 в Microsoft Entra ID

Microsoft Entra ID предназначена для размещения нескольких клиентов с высоким уровнем безопасности с помощью логической изоляции данных. Доступ к Microsoft Entra ID осуществляется через уровень авторизации. Microsoft Entra ID изолирует клиентов, использующих контейнеры клиентов в качестве границ безопасности, чтобы защитить содержимое клиента, чтобы его содержимое не было доступно или скомпрометировано совместно арендаторами. Microsoft Entra уровне авторизации выполняются три проверки:

• Включен ли субъект для доступа к Microsoft Entra арендатору?
• Включен ли субъект для доступа к данным в этом клиенте?
• Разрешена ли роль субъекта в этом клиенте для запрошенного типа доступа к данным?

Ни приложение, пользователь, сервер или служба не могут получить доступ к Microsoft Entra ID без надлежащей проверки подлинности и маркера или сертификата. Запросы отклоняются, если они не сопровождаются надлежащими учетными данными.

Фактически Microsoft Entra ID размещает каждый клиент в собственном защищенном контейнере с политиками и разрешениями для контейнера и внутри контейнера, который принадлежит клиенту и управляется ими.

Концепция контейнеров клиентов глубоко укоренилась в службе каталогов на всех уровнях, от порталов до постоянного хранилища. Даже если несколько метаданных клиента Microsoft Entra хранятся на одном физическом диске, между контейнерами не существует никакой связи, кроме определенной службой каталогов, которая, в свою очередь, определяется администратором клиента. Не может быть прямых подключений к хранилищу Microsoft Entra из любого запрашивающего приложения или службы без предварительного прохождения уровня авторизации.

В следующем примере contoso и Fabrikam имеют отдельные выделенные контейнеры, и хотя эти контейнеры могут совместно использовать одну и ту же базовую инфраструктуру, например серверы и хранилище, они остаются отдельными и изолированными друг от друга и закрыты уровнями авторизации и управления доступом.

Кроме того, отсутствуют компоненты приложения, которые могли бы выполняться из Microsoft Entra ID, и один клиент не может принудительно нарушить целостность другого клиента, получить доступ к ключам шифрования другого клиента или считывать необработанные данные с сервера.

По умолчанию Microsoft Entra запрещает все операции, выданные удостоверениями в других клиентах. Каждый клиент логически изолирован в Microsoft Entra ID с помощью элементов управления доступом на основе утверждений. Операции чтения и записи данных каталога относятся к контейнерам клиентов, а также через внутренний уровень абстракции и уровень управления доступом на основе ролей (RBAC), которые вместе применяют клиент в качестве границы безопасности. Каждый запрос на доступ к данным каталога обрабатывается этими уровнями, и каждый запрос доступа в Microsoft 365 определяется предыдущей логикой.

Microsoft Entra ID имеет Северная Америка, правительство США, Европейский союз, Германия и World Wide секции. Клиент существует в одной секции, и секции могут содержать несколько клиентов. Сведения о секции абстрагируются от пользователей. Данная секция (включая все клиенты в ней) реплицируется в несколько центров обработки данных. Секция для клиента выбирается на основе свойств клиента (например, кода страны). Секреты и другие конфиденциальные сведения в каждой секции шифруются с помощью выделенного ключа. Ключи создаются автоматически при создании новой секции.

Microsoft Entra системные функции являются уникальным экземпляром для каждого сеанса пользователя. Кроме того, Microsoft Entra ID использует технологии шифрования для обеспечения изоляции общих системных ресурсов на уровне сети, чтобы предотвратить несанкционированную и непреднамеренное передачу информации.