Изоляция и управление доступом Microsoft 365 в Azure Active DirectoryMicrosoft 365 Isolation and Access Control in Azure Active Directory

Azure Active Directory (Azure AD) был разработан для надежного хранения нескольких клиентов посредством логической изоляции данных.Azure Active Directory (Azure AD) was designed to host multiple tenants in a highly secure way through logical data isolation. Доступ к Azure AD является закрытым на уровне авторизации.Access to Azure AD is gated by an authorization layer. Azure AD изолирует клиентов, использующих контейнеры клиентов в качестве границ безопасности для защиты контента клиента, чтобы его контент не был доступ к содержимому или скомпрометирован совместно клиентами.Azure AD isolates customers using tenant containers as security boundaries to safeguard a customer's content so that the content cannot be accessed or compromised by co-tenants. Уровень авторизации Azure AD выполняет три проверки:Three checks are performed by Azure AD's authorization layer:

  • Включен ли для основного клиента доступ к клиенту Azure AD?Is the principal enabled for access to Azure AD tenant?
  • Включен ли для основного клиента доступ к данным в этом клиенте?Is the principal enabled for access to data in this tenant?
  • Уполномочена ли роль директора в этом клиенте для типа запрашиваемого доступа к данным?Is the principal's role in this tenant authorized for the type of data access requested?

Ни приложение, ни пользователь, ни сервер, ни служба не могут получить доступ к Azure AD без надлежащей проверки подлинности, маркера или сертификата.No application, user, server, or service can access Azure AD without the proper authentication and token or certificate. Запросы отклоняется, если они не сопровождаются надлежащими учетными данными.Requests are rejected if they are not accompanied by proper credentials.

Фактически, в Azure AD каждый клиент размещен в собственном защищенном контейнере с политиками и разрешениями для контейнера, который принадлежит и управляется клиентом.Effectively, Azure AD hosts each tenant in its own protected container, with policies and permissions to and within the container solely owned and managed by the tenant.

Контейнер Azure

Понятие контейнеров клиента глубоко вошел в службу каталогов на всех уровнях— от порталов до постоянного хранения.The concept of tenant containers is deeply ingrained in the directory service at all layers, from portals all the way to persistent storage. Даже если несколько метаданных клиента Azure AD хранятся на одном физическом диске, между контейнерами нет связи, кроме того, что определено службой каталогов, что, в свою очередь, определяется администратором клиента.Even when multiple Azure AD tenant metadata is stored on the same physical disk, there is no relationship between the containers other than what is defined by the directory service, which in turn is dictated by the tenant administrator. Прямое подключение к хранилищу Azure AD от запрашивающих приложений или служб невозможно без предварительного использования уровня авторизации.There can be no direct connections to Azure AD storage from any requesting application or service without first going through the authorization layer.

В приведенном ниже примере contoso и Fabrikam имеют отдельные выделенные контейнеры, и хотя эти контейнеры могут иметь обную часть одной и той же инфраструктуры, например серверы и хранилище, они остаются отдельными и изолированными друг от друга и находятся в закрытых рамках уровней авторизации и контроля доступа.In the example below, Contoso and Fabrikam both have separate, dedicated containers, and even though those containers may share some of the same underlying infrastructure, such as servers and storage, they remain separate and isolated from each other, and gated by layers of authorization and access control.

Выделенные контейнеры Azure

Кроме того, нет компонентов приложения, которые могут выполняться из Azure AD, и один клиент не может принудительно нарушить целостность другого клиента, получить доступ к ключам шифрования другого клиента или прочитать необработанные данные с сервера.In addition, there are no application components that can execute from within Azure AD, and it is not possible for one tenant to forcibly breach the integrity of another tenant, access encryption keys of another tenant, or read raw data from the server.

По умолчанию Azure AD ото всех операций, выдаваемой удостоверениями в других клиентах.By default, Azure AD disallows all operations issued by identities in other tenants. Каждый клиент логически изолирован в Azure AD с помощью элементов управления доступом на основе утверждений.Each tenant is logically isolated within Azure AD through claims-based access controls. Область чтения и записи данных каталога — контейнеры клиента, а также внутренний уровень абстракции и уровень управления доступом на основе ролей (RBAC), который вместе обеспечивает клиент в качестве границы безопасности.Reads and writes of directory data are scoped to tenant containers, and gated by an internal abstraction layer and a role-based access control (RBAC) layer, which together enforce the tenant as the security boundary. Каждый запрос на доступ к данным каталога обрабатывается этими уровнями, а каждый запрос на доступ в Microsoft 365 обрабатывается логикой выше.Every directory data access request is processed by these layers and every access request in Microsoft 365 is policed by the logic above.

В Azure AD есть разделы "Северная Америка", "Правительство США", "Европейский союз", "Германия" и "Всемирное".Azure AD has North America, U.S. Government, European Union, Germany, and World Wide partitions. Клиент существует в одном разделе, а разделы могут содержать несколько клиентов.A tenant exists in a single partition, and partitions can contain multiple tenants. Сведения о разделах абстрагются от пользователей.Partition information is abstracted away from users. Заданный раздел (включая все клиенты в нем) реплицируется в несколько центрах обработки данных.A given partition (including all the tenants within it) is replicated to multiple datacenters. Раздел для клиента выбирается на основе свойств клиента (например, кода страны).The partition for a tenant is chosen based on properties of the tenant (e.g., the country code). Секреты и другая конфиденциальную информацию в каждом разделе шифруются с помощью выделенного ключа.Secrets and other sensitive information in each partition is encrypted with a dedicated key. Ключи создаются автоматически при создания нового раздела.The keys are generated automatically when a new partition is created.

Функции системы Azure AD — это уникальный экземпляр для каждого сеанса пользователя.Azure AD system functionalities are a unique instance to each user session. Кроме того, Azure AD использует технологии шифрования для изоляции общих системных ресурсов на уровне сети, чтобы предотвратить несанкционированную и непреднамеренную передачу информации.In addition, Azure AD uses encryption technologies to provide isolation of shared system resources at the network level to prevent unauthorized and unintended transfer of information.