Condividi tramite


Isolamento e controllo di accesso in Microsoft 365

Microsoft Entra ID e Microsoft 365 utilizzano un modello di dati molto complesso che comprende decine di servizi, centinaia di entità, migliaia di relazioni e decine di migliaia di attributi. Ad alto livello, Microsoft Entra ID e le directory dei servizi sono i contenitori dei tenant e dei destinatari mantenuti sincronizzati mediante protocolli di replica basati sullo stato. Oltre alle informazioni sulla directory contenute nell'ID Microsoft Entra, ognuno dei carichi di lavoro del servizio dispone di una propria infrastruttura di servizi directory.

Sincronizzazione dei dati del tenant di Microsoft 365.

All'interno di questo modello non esiste una singola origine di dati di directory. I sistemi specifici possiedono singoli pezzi di dati, ma nessun sistema detiene tutti i dati. I servizi Microsoft 365 collaborano con Microsoft Entra ID in questo modello di dati. Microsoft Entra ID è il "sistema di verità" per i dati condivisi, che in genere sono dati statici e di piccole dimensioni utilizzati da ogni servizio. Il modello federato utilizzato in Microsoft 365 e Microsoft Entra ID fornisce una visione condivisa dei dati.

Microsoft 365 utilizza sia l'archiviazione fisica che quella nel cloud Azure. Exchange Online (inclusa Exchange Online Protection) usa la propria risorsa di archiviazione per i dati dei clienti. SharePoint usa sia l'archiviazione di SQL Server che Archiviazione di Azure, pertanto è necessario un isolamento aggiuntivo dei dati dei clienti a livello di archiviazione.

Exchange Online

Exchange Online archivia i dati dei clienti all'interno delle cassette postali. Le cassette postali sono ospitate nei database ESE (Extensible Storage Engine) denominati database delle cassette postali. Sono incluse le cassette postali utente, le cassette postali collegate, le cassette postali condivise e le cassette postali delle cartelle pubbliche.

Il contenuto della cassetta postale utente include:

  • Messaggi di posta elettronica e allegati di posta elettronica
  • Calendario e informazioni sulla disponibilità
  • Contatti
  • Attività
  • Note
  • Gruppi
  • Dati di inferenza

Ogni database delle cassette postali all'interno di Exchange Online contiene cassette postali di più tenant. Un codice di autorizzazione protegge ogni cassetta postale, anche all'interno di una tenancy. Per impostazione predefinita, solo l'utente assegnato ha accesso a una cassetta postale. L'elenco di controllo di accesso (ACL) che protegge una cassetta postale contiene un'identità autenticata da Microsoft Entra ID a livello di tenant. Le cassette postali per ogni tenant sono limitate alle identità autenticate nel provider di autenticazione del tenant, che include solo gli utenti di tale tenant. Il contenuto nel tenant A non è accessibile dagli utenti nel tenant B, a meno che non sia approvato in modo esplicito dal tenant A.

SharePoint

SharePoint dispone di diversi meccanismi indipendenti che forniscono l'isolamento dei dati. Archivia gli oggetti come codice astratto all'interno dei database dell'applicazione. Ad esempio, quando un utente carica un file in SharePoint, il file viene disassemblato, convertito in codice dell'applicazione e archiviato in più tabelle in più database.

Se un utente può ottenere l'accesso diretto all'archiviazione contenente i dati, il contenuto non è interpretabile per un utente o un sistema diverso da SharePoint. Questi meccanismi includono il controllo degli accessi di sicurezza e le proprietà. Tutte le risorse di SharePoint sono protette dal codice di autorizzazione e dai criteri di controllo degli accessi in base al ruolo, anche all'interno di una tenancy. L'elenco di controllo di accesso (ACL) che protegge una risorsa contiene un'identità autenticata a livello di tenant. I dati di SharePoint per un tenant sono limitati alle identità autenticate dal provider di autenticazione per il tenant.

Oltre agli ACL, una proprietà a livello di tenant che specifica il provider di autenticazione ,ovvero l'ID Microsoft Entra specifico del tenant, viene scritta una sola volta e non può essere modificata una volta impostata. Dopo aver impostato la proprietà tenant del provider di autenticazione per un tenant, non può essere modificata usando le API esposte a un tenant.

Per ogni tenant viene usato un SubscriptionId univoco. A tutti i siti dei clienti è di proprietà di un tenant e viene assegnato un SubscriptionId univoco al tenant. La proprietà SubscriptionId in un sito viene scritta una sola volta ed è permanente. Una volta assegnato a un tenant, un sito non può essere spostato in un tenant diverso. SubscriptionId è la chiave usata per creare l'ambito di sicurezza per il provider di autenticazione ed è associato al tenant.

SharePoint usa SQL Server e Archiviazione di Azure per l'archiviazione dei metadati del contenuto. La chiave di partizione per l'archivio contenuto è SiteId in SQL. Quando si esegue una query SQL, SharePoint usa un SiteId verificato come parte di un controllo SubscriptionId a livello di tenant.

SharePoint archivia contenuto di file crittografato nei BLOB di Microsoft Azure. Ogni farm di SharePoint ha un proprio account Microsoft Azure e tutti i BLOB salvati in Azure vengono crittografati singolarmente con una chiave archiviata nell'archivio contenuto SQL. Chiave di crittografia protetta nel codice dal livello di autorizzazione e non esposta direttamente all'utente finale. SharePoint dispone di monitoraggio in tempo reale per rilevare quando una richiesta HTTP legge o scrive dati per più tenant. L'id sottoscrizione dell'identità della richiesta viene rilevato rispetto all'Id sottoscrizione della risorsa a cui si accede. Le richieste di accesso alle risorse di più tenant non devono mai essere eseguite dagli utenti finali. Le richieste di servizio in un ambiente multi-tenant sono l'unica eccezione. Ad esempio, il crawler di ricerca esegue il pull delle modifiche di contenuto per un intero database contemporaneamente, il che in genere comporta l'esecuzione di query sui siti di più di un tenant in una singola richiesta di servizio per motivi di efficienza.

Teams

I dati di Teams vengono archiviati in modo diverso, a seconda del tipo di contenuto.

Per una discussione approfondita, vedere la sessione di breakout Ignite sull'architettura di Microsoft Teams .

Dati dei clienti di Core Teams

Se viene effettuato il provisioning del tenant in Australia, Canada, Unione Europea, Francia, Germania, India, Giappone, Sud Africa, Corea del Sud, Svizzera (che include il Liechtenstein), Negli Emirati Arabi Uniti, nel Regno Unito o negli Stati Uniti, Microsoft archivia i seguenti dati dei clienti inattivi solo all'interno di tale località:

  • Chat di Teams, conversazioni di team e canali, immagini, messaggi vocali e contatti.
  • Contenuto del sito di SharePoint e file archiviati all'interno di tale sito.
  • File caricati in OneDrive per lavoro o istituto di istruzione.

Chat, messaggi del canale, struttura del team

Ogni team di Teams è supportato da un gruppo di Microsoft 365 e dal relativo sito di SharePoint e dalla cassetta postale di Exchange. Le chat private (incluse le chat di gruppo), i messaggi inviati come parte di una conversazione in un canale e la struttura di team e canali vengono archiviati in un servizio di chat in esecuzione in Azure. I dati vengono archiviati anche in una cartella nascosta nelle cassette postali dell'utente e del gruppo per abilitare le funzionalità di Information Protection.

Segreteria telefonica e contatti

I messaggi vocali vengono archiviati in Exchange. I contatti vengono archiviati nell'archivio dati cloud basato su Exchange. Exchange e l'archivio cloud basato su Exchange forniscono già la residenza dei dati in ogni area geografica del data center globale. Per tutti i team, la segreteria telefonica e i contatti vengono archiviati in-country per Australia, Canada, Francia, Germania, India, Giappone, Emirati Arabi Uniti, Regno Unito, Sudafrica, Corea del Sud, Svizzera (che include liechtenstein) e Stati Uniti. Per tutti gli altri paesi, i file vengono archiviati nel percorso Stati Uniti, Europa o Asia-Pacific in base all'affinità del tenant.

Immagini e supporti

I supporti usati nelle chat (ad eccezione delle GIF Giphy, che non sono archiviate ma sono un collegamento di riferimento all'URL del servizio Giphy originale, Giphy è un servizio non Microsoft) vengono archiviati in un servizio multimediale basato su Azure distribuito nelle stesse posizioni del servizio di chat.

File

I file (inclusi OneNote e Wiki) condivisi da un utente in un canale vengono archiviati nel sito di SharePoint del team. I file condivisi in una chat privata o in una chat durante una riunione o una chiamata vengono caricati e archiviati nell'account di OneDrive for work o school dell'utente che condivide il file. Exchange, SharePoint e OneDrive forniscono già la residenza dei dati in ognuna delle aree geografiche del data center in tutto il mondo. Per i clienti esistenti, tutti i file, i blocchi appunti di OneNote, il contenuto wiki di Teams e le cassette postali che fanno parte dell'esperienza di Teams sono già archiviati nella posizione in base all'affinità del tenant. I file vengono archiviati nel paese per Australia, Canada, Francia, Germania, India, Giappone, Emirati Arabi Uniti, Regno Unito, Sudafrica, Corea del Sud e Svizzera (che include il Liechtenstein). Per tutti gli altri paesi, i file vengono archiviati nella posizione Stati Uniti, Europa o Asia Pacifico in base all'affinità del tenant.