Examiner comment Microsoft 365 Copilot utilise l’isolation et les contrôles d’accès Microsoft 365

Effectué

L’unité d’entraînement précédente a indiqué que les contrôles d’accès et l’isolation des locataires sont deux formes clés de protection des données utilisées non seulement par Microsoft 365, mais également par Microsoft 365 Copilot. Microsoft 365 Copilot implémente le contrôle d'accès en accédant uniquement aux données auxquelles les utilisateurs individuels peuvent accéder avec les autorisations d’affichage au sein des services Microsoft 365 tels que SharePoint, One Dive et Teams. En ce qui concerne l’isolation des locataires, Microsoft s’assure en permanence que les architectures mutualisées de ses services cloud prennent en charge les normes de sécurité, de confidentialité, de confidentialité, d’intégrité et de disponibilité au niveau de l’entreprise. Cette unité d’entraînement examine de plus près comment Microsoft 365 et Microsoft 365 Copilot tirent parti des contrôles d’accès et de l’isolation des locataires.

architecture multilocataire Microsoft 365

L’un des principaux avantages de cloud computing est le concept d’une infrastructure commune partagée entre de nombreux clients simultanément, ce qui entraîne des économies d’échelle. L’échelle et l’étendue des services fournis par Microsoft rendent difficile et sans importance la gestion des Microsoft 365 avec une interaction humaine significative. Microsoft fournit des services Microsoft 365 via des centres de données distribués à l’échelle mondiale. Microsoft a hautement automatisé chaque centre de données, avec peu d’opérations nécessitant une intervention humaine ou tout accès aux données client. Le personnel de Microsoft prend en charge ces services et centres de données à l’aide d’outils automatisés et d’un accès à distance hautement sécurisé.

Microsoft 365 inclut plusieurs services qui fournissent des fonctionnalités métier importantes et contribuent à l’ensemble de l’expérience de Microsoft 365, notamment Microsoft 365 Copilot. Chacun de ces services est autonome et conçu pour s’intégrer les uns aux autres. La conception Microsoft 365 est basée sur les principes suivants :

• Architecture orientée service. Conception et développement de logiciels sous la forme de services interopérables fournissant des fonctionnalités métier bien définies.

• Assurance de sécurité opérationnelle. Infrastructure qui intègre les connaissances acquises par le biais de différentes fonctionnalités propres à Microsoft, notamment :

  • Microsoft Security Development Lifecycle.
  • Centre de réponse aux problèmes de sécurité Microsoft.
  • Connaissance approfondie du paysage des menaces de cybersécurité.

Microsoft 365 services interagissent les uns avec les autres. Toutefois, Microsoft les a conçues pour que les organisations puissent les déployer et les utiliser en tant que services autonomes, indépendamment les unes des autres. Microsoft sépare les tâches et les domaines de responsabilité des Microsoft 365 afin de réduire les opportunités de modification ou d’utilisation incorrecte ou non autorisée des ressources de l’organisation. Microsoft 365 équipes incluent des rôles définis dans le cadre d’un mécanisme complet de contrôle d’accès en fonction du rôle.

Isolation du locataire

Microsoft implémente des mesures de sécurité pour empêcher les actions d’un locataire d’affecter la sécurité ou le service d’un autre locataire ou d’accéder au contenu d’un autre locataire. Le terme du secteur pour conserver les locataires séparés comme ceci est l’isolation des locataires. L’isolation du locataire est la séparation logique des données et des services de chaque client au sein de l’architecture multilocataire Microsoft 365. Les deux principaux objectifs de la maintenance de l’isolation des locataires dans un environnement mutualisé sont les suivants :

• Prévention des fuites ou de l’accès non autorisé aux données client entre les locataires.
• Empêcher les actions d’un locataire d’affecter négativement le service pour un autre locataire

Voici quelques-uns des principaux aspects de l’isolation de locataire Microsoft 365 :

• Infrastructure distincte. Chaque locataire obtient sa propre partie isolée de l’infrastructure Azure sous-jacente pour les services principaux tels qu’Exchange Online et SharePoint Online. Cette conception sépare les données au niveau fondamental.

• Répartition des données. Les mécanismes de schéma, de chiffrement et de contrôle d’accès de base de données permettent de séparer logiquement les données client. Microsoft ne partage pas de données entre les locataires.

• Limites d’authentification. Les utilisateurs ne peuvent accéder à leur propre locataire qu’avec des informations d’identification vérifiées par rapport à l’ID De Microsoft. Cette conception empêche l’accès entre locataires.

  Remarque

  Azure Active Directory Domain Services (Azure AD) est désormais Microsoft Entra ID. En savoir plus.

• Personnalisation du service. Les paramètres, les configurations et la personnalisation s’appliquent uniquement au locataire spécifique. Les locataires ne peuvent pas avoir d’impact sur leurs environnements.

• Contrôles de conformité Les certifications et contrôles de conformité Microsoft tels que le chiffrement des données s’appliquent au niveau du locataire individuel.

• Surveillance et diagnostics. Microsoft isole l’analytique et les journaux d’activité des locataires pour fournir une visibilité uniquement sur l’utilisation des données et des services d’un client.

• Validation régulière. Microsoft utilise des audits, des tests d’intrusion et des révisions d’accès strictes pour valider en permanence les protections d’isolation des locataires.

L’isolation des locataires permet aux clients de personnaliser en toute sécurité Microsoft 365. Ils peuvent le faire en sachant que leurs données et paramètres d’entreprise restent distincts des autres organisations sur l’infrastructure partagée.

Microsoft implémente plusieurs formes de protection dans Microsoft 365 pour empêcher les clients de compromettre Microsoft 365 services et applications. Cette protection empêche également les clients d’obtenir un accès non autorisé aux informations d’autres locataires ou du système Microsoft 365 lui-même. Il inclut des contrôles d’isolation logique robustes qui fournissent une protection contre les menaces et une atténuation équivalentes à celles fournies par l’isolation physique uniquement. Les protections suivantes fournissent un exemple des contrôles d’isolation trouvés dans Microsoft 365 :

• L'isolation logique du contenu client au sein de chaque locataire pour les services Microsoft 365 est assurée par l'autorisation Microsoft Entra et le contrôle d'accès basé sur les rôles.
• SharePoint Online fournit des mécanismes d’isolation des données au niveau du stockage.
• Microsoft utilise une sécurité physique rigoureuse, un filtrage en arrière-plan et une stratégie de chiffrement multicouche pour protéger la confidentialité et l’intégrité du contenu client. Tous les centres de données Microsoft 365 ont des contrôles d’accès biométriques, la plupart nécessitant des empreintes de la main pour obtenir un accès physique. En outre, tous les employés de Microsoft basés aux États-Unis doivent effectuer une vérification des antécédents standard dans le cadre du processus d’embauche. Pour plus d’informations sur les contrôles utilisés pour l’accès administratif dans Microsoft 365, consultez Microsoft 365 Gestion des comptes.
• Microsoft 365 utilise des technologies côté service qui chiffrent les données client au repos et en transit, notamment BitLocker, TLS (Transport Layer Security) et Internet Protocol Security (IPsec). Pour plus d’informations sur le chiffrement dans Microsoft 365, consultez Technologies de chiffrement des données dans Microsoft 365.

Ensemble, ces protections fournissent des contrôles d’isolation logique robustes qui fournissent une protection contre les menaces et une atténuation équivalentes à celles fournies par l’isolation physique uniquement.

Isolation des données et contrôle d'accès

L’ID et l’Microsoft 365 De Microsoft Utilisent un modèle de données très complexe qui inclut des dizaines de services, des centaines d’entités, des milliers de relations et des dizaines de milliers d’attributs. À un niveau élevé, Microsoft Entra ID et les répertoires de service sont les conteneurs de locataires et de destinataires qui sont synchronisés à l’aide de protocoles de réplication basés sur l’état. Outre les informations d’annuaire contenues dans Microsoft Entra ID, chacune des charges de travail de service possède sa propre infrastructure de services d’annuaire, comme illustré dans le diagramme suivant.

Dans ce modèle, il n’existe aucune source unique de données d’annuaire. Des systèmes spécifiques possèdent des éléments de données individuels, mais aucun système ne contient toutes les données. Microsoft 365 services collaborent avec l’ID Microsoft Archivé dans ce modèle de données. L’ID De Microsoft Est le « système de vérité » pour les données partagées, qui est généralement des données petites et statiques utilisées par chaque service. Le modèle fédéré utilisé dans Microsoft 365 et Microsoft Entra ID fournit la vue partagée des données.

Microsoft 365 utilise à la fois le stockage physique et le stockage cloud Azure. Par exemple, Exchange Online utilise son propre stockage pour les données client. SharePoint Online utilise à la fois le stockage SQL Server et stockage Azure, d’où la nécessité d’une isolation supplémentaire des données client au niveau du stockage.

Vérification des connaissances

Choisissez la meilleure réponse pour la question suivante.

Vérifier vos connaissances

1.

Parmi les éléments suivants, lequel est un aspect clé de Microsoft 365 isolation des locataires ?

Séparation des données

Architecture orientée service

Assurance de sécurité opérationnelle

Vous devez répondre à toutes les questions avant de vérifier votre travail.