Delen via

Isolatie en Access Control in Microsoft 365

  • Artikel

Microsoft Entra ID en Microsoft 365 gebruiken een zeer complex gegevensmodel dat tientallen services, honderden entiteiten, duizenden relaties en tienduizenden kenmerken bevat. Op hoog niveau zijn Microsoft Entra ID en de servicemappen de containers van tenants en ontvangers die gesynchroniseerd worden gehouden met behulp van op status gebaseerde replicatieprotocollen. Naast de adreslijstgegevens in Microsoft Entra ID hebben alle serviceworkloads hun eigen directoryservices-infrastructuur.

Synchronisatie van Microsoft 365-tenantgegevens.

In dit model is er geen enkele bron van directorygegevens. Specifieke systemen zijn eigenaar van afzonderlijke gegevens, maar geen enkel systeem bevat alle gegevens. Microsoft 365-services werken samen met Microsoft Entra ID in dit gegevensmodel. Microsoft Entra ID is het 'systeem van waarheid' voor gedeelde gegevens. Dit zijn doorgaans kleine en statische gegevens die door elke service worden gebruikt. Het federatieve model dat wordt gebruikt in Microsoft 365 en Microsoft Entra ID biedt de gedeelde weergave van de gegevens.

Microsoft 365 maakt gebruik van zowel fysieke opslag als Azure-cloudopslag. Exchange Online (inclusief Exchange Online Protection) en Skype voor Bedrijven hun eigen opslag gebruiken voor klantgegevens. SharePoint maakt gebruik van zowel SQL Server-opslag als Azure Storage, vandaar de behoefte aan extra isolatie van klantgegevens op opslagniveau.

Exchange Online

Exchange Online slaat klantgegevens op in postvakken. Postvakken worden gehost in ESE-databases (Extensible Storage Engine) die postvakdatabases worden genoemd. Dit omvat gebruikerspostvakken, gekoppelde postvakken, gedeelde postvakken en postvakken voor openbare mappen. Gebruikerspostvakken bevatten opgeslagen Skype voor Bedrijven inhoud, zoals gespreksgeschiedenissen.

Inhoud van gebruikerspostvak omvat:

  • E-mailberichten en e-mailbijlagen
  • Informatie over agenda's en beschikbaarheidsinfo
  • Contactpersonen
  • Taken
  • Opmerkingen
  • Groepen
  • Deductiegegevens

Elke postvakdatabase in Exchange Online bevat postvakken van meerdere tenants. Een autorisatiecode beveiligt elk postvak, ook binnen een tenancy. Standaard heeft alleen de toegewezen gebruiker toegang tot een postvak. De toegangsbeheerlijst (ACL) die een postvak beveiligt, bevat een identiteit die is geverifieerd door Microsoft Entra ID op tenantniveau. De postvakken voor elke tenant zijn beperkt tot identiteiten die zijn geverifieerd op basis van de verificatieprovider van de tenant, die alleen gebruikers van die tenant omvat. Inhoud in tenant A kan op geen enkele manier worden verkregen door gebruikers in tenant B, tenzij expliciet goedgekeurd door tenant A.

Skype voor Bedrijven

Skype voor Bedrijven slaat gegevens op verschillende plaatsen op:

  • Gebruikers- en accountgegevens, waaronder verbindingseindpunten, tenant-id's, kiesplannen, roaminginstellingen, aanwezigheidsstatus, lijsten met contactpersonen, enzovoort, worden opgeslagen in de Skype voor Bedrijven Active Directory-servers en op verschillende Skype voor Bedrijven databaseservers. Lijsten met contactpersonen worden opgeslagen in het Exchange Online postvak van de gebruiker als de gebruiker is ingeschakeld voor beide producten, of op Skype voor Bedrijven servers als de gebruiker dat niet is. Skype voor Bedrijven databaseservers is niet gepartitioneerd per tenant, maar isolatie van gegevens met meerdere tenancy wordt afgedwongen via op rollen gebaseerd toegangsbeheer (RBAC).
  • Inhoud van vergaderingen en geüploade gegevens worden opgeslagen op DFS-shares (Distributed File System). Deze inhoud kan ook worden gearchiveerd in Exchange Online indien ingeschakeld. De DFS-shares worden niet gepartitioneerd per tenant. de inhoud is beveiligd met ACL's en multitenancy wordt afgedwongen via RBAC.
  • Oproepdetailrecords, die het activiteitenoverzicht zijn, zoals oproepgeschiedenis, chatsessies, het delen van toepassingen, chatgeschiedenis, enzovoort, kunnen ook worden opgeslagen in Exchange Online, maar de meeste gespreksdetailrecords worden tijdelijk opgeslagen op CDR-servers (Call Detail Record). Inhoud wordt niet gepartitioneerd per tenant, maar multitenancy wordt afgedwongen via RBAC.

SharePoint

SharePoint heeft verschillende onafhankelijke mechanismen die gegevensisolatie bieden. Objecten worden opgeslagen als geabstraheerde code in toepassingsdatabases. Wanneer een gebruiker bijvoorbeeld een bestand uploadt naar SharePoint, wordt het bestand gedemonteerd, omgezet in toepassingscode en opgeslagen in meerdere tabellen in meerdere databases.

Als een gebruiker rechtstreeks toegang kan krijgen tot de opslag met de gegevens, kan de inhoud niet worden geïnterpreteerd voor een menselijk systeem of een ander systeem dan SharePoint. Deze mechanismen omvatten beveiligingstoegangsbeheer en -eigenschappen. Alle SharePoint-resources worden beveiligd door de autorisatiecode en het RBAC-beleid, ook binnen een tenancy. De toegangsbeheerlijst (ACL) die een resource beveiligt, bevat een identiteit die is geverifieerd op tenantniveau. SharePoint-gegevens voor een tenant zijn beperkt tot identiteiten die zijn geverifieerd door de verificatieprovider voor de tenant.

Naast de ACL's wordt een eigenschap op tenantniveau die de verificatieprovider aangeeft (dit is de tenantspecifieke Microsoft Entra ID), eenmaal geschreven en kan niet worden gewijzigd nadat deze is ingesteld. Zodra de tenanteigenschap van de verificatieprovider is ingesteld voor een tenant, kan deze niet meer worden gewijzigd met behulp van API's die beschikbaar zijn voor een tenant.

Voor elke tenant wordt een unieke SubscriptionId gebruikt. Alle klantsites zijn eigendom van een tenant en hebben een SubscriptionId toegewezen die uniek is voor de tenant. De eigenschap SubscriptionId op een site wordt eenmaal geschreven en is permanent. Eenmaal toegewezen aan een tenant, kan een site niet worden verplaatst naar een andere tenant. De SubscriptionId is de sleutel die wordt gebruikt om het beveiligingsbereik voor de verificatieprovider te maken en is gekoppeld aan de tenant.

SharePoint maakt gebruik van SQL Server en Azure Storage voor opslag van metagegevens van inhoud. De partitiesleutel voor het inhoudsarchief is SiteId in SQL. Bij het uitvoeren van een SQL-query gebruikt SharePoint een SiteId die is geverifieerd als onderdeel van een SubscriptionId-controle op tenantniveau.

In SharePoint wordt versleutelde bestandsinhoud opgeslagen in Microsoft Azure-blobs. Elke SharePoint-farm heeft een eigen Microsoft Azure-account en alle blobs die in Azure zijn opgeslagen, worden afzonderlijk versleuteld met een sleutel die is opgeslagen in het SQL-inhoudsarchief. De versleutelingssleutel die in code wordt beveiligd door de autorisatielaag en niet rechtstreeks beschikbaar is voor de eindgebruiker. SharePoint heeft realtime-bewaking om te detecteren wanneer een HTTP-aanvraag gegevens leest of schrijft voor meer dan één tenant. De aanvraag-id SubscriptionId wordt bijgehouden op basis van de SubscriptionId van de geopende resource. Aanvragen voor toegang tot resources van meer dan één tenant mogen nooit worden uitgevoerd door eindgebruikers. Serviceaanvragen in een omgeving met meerdere tenants zijn de enige uitzondering. De zoekcrawler haalt bijvoorbeeld inhoudswijzigingen voor een hele database allemaal tegelijk op. Dit omvat meestal het uitvoeren van query's op sites van meer dan één tenant in één serviceaanvraag, wat wordt gedaan om redenen van efficiëntie.

Teams

Uw Teams-gegevens worden anders opgeslagen, afhankelijk van het inhoudstype.

Bekijk de Ignite-breakoutsessie op Microsoft Teams-architectuur voor een diepgaande discussie.

Kerngegevens van Teams-klanten

Als uw tenant is ingericht in Australië, Canada, de Europese Unie, Frankrijk, Duitsland, India, Japan, Zuid-Afrika, Zuid-Korea, Zwitserland (inclusief Liechtenstein), de Verenigde Arabische Emiraten, het Verenigd Koninkrijk of de Verenigde Staten, slaat Microsoft de volgende klantgegevens alleen op die locatie op:

  • Teams-chats, team- en kanaalgesprekken, afbeeldingen, voicemailberichten en contactpersonen.
  • SharePoint-site-inhoud en de bestanden die op die site zijn opgeslagen.
  • Bestanden die zijn geüpload naar OneDrive voor werk of school.

Chat, kanaalberichten, teamstructuur

Elk team in Teams wordt ondersteund door een Microsoft 365-groep en de bijbehorende SharePoint-site en Exchange-postvak. Privéchats (inclusief groepschats), berichten die worden verzonden als onderdeel van een gesprek in een kanaal en de structuur van teams en kanalen worden opgeslagen in een chatservice die wordt uitgevoerd in Azure. De gegevens worden ook opgeslagen in een verborgen map in de gebruikers- en groepspostvakken om Information Protection functies in te schakelen.

Voicemail en contactpersonen

Voicemails worden opgeslagen in Exchange. Contactpersonen worden opgeslagen in exchange-gegevensopslag in de cloud. Exchange en de op Exchange gebaseerde cloudopslag bieden al gegevenslocatie in elk van de geografische gebieden van het wereldwijde datacenter. Voor alle teams worden voicemail en contactpersonen in het land opgeslagen voor Australië, Canada, Frankrijk, Duitsland, India, Japan, de Verenigde Arabische Emiraten, het Verenigd Koninkrijk, Zuid-Afrika, Zuid-Korea, Zwitserland (inclusief Liechtenstein) en de Verenigde Staten. Voor alle andere landen/regio's worden bestanden opgeslagen in de VS, Europa of Asia-Pacific locatie op basis van tenantaffiniteit.

Afbeeldingen en media

Media die worden gebruikt in chats (met uitzondering van Giphy-GIF's die niet zijn opgeslagen, maar een verwijzingskoppeling vormen naar de oorspronkelijke Giphy-service-URL, Giphy is een niet-Microsoft-service) worden opgeslagen in een op Azure gebaseerde mediaservice die is geïmplementeerd op dezelfde locaties als de chatservice.

Bestanden

Bestanden (inclusief OneNote en Wiki) die iemand deelt in een kanaal, worden opgeslagen op de SharePoint-site van het team. Bestanden die tijdens een vergadering of gesprek in een privéchat of chat worden gedeeld, worden geüpload en opgeslagen in het OneDrive voor werk- of schoolaccount van de gebruiker die het bestand deelt. Exchange, SharePoint en OneDrive bieden al gegevenslocatie in elk van de geografische gebieden van het wereldwijde datacenter. Voor bestaande klanten zijn alle bestanden, OneNote-notitieblokken, Teams-wiki-inhoud en postvakken die deel uitmaken van de Teams-ervaring dus al opgeslagen op de locatie op basis van uw tenantaffiniteit. Bestanden worden in het land opgeslagen voor Australië, Canada, Frankrijk, Duitsland, India, Japan, de Verenigde Arabische Emiraten, het Verenigd Koninkrijk, Zuid-Afrika, Zuid-Korea en Zwitserland (inclusief Liechtenstein). Voor alle andere landen/regio's worden bestanden opgeslagen in de VS, Europa of Azië en Stille Oceaan op basis van tenantaffiniteit.