Udostępnij za pośrednictwem

Izolacja i Access Control na platformie Microsoft 365

  • Artykuł

Tożsamość Microsoft Entra i Microsoft 365 korzystają z wysoce złożonego modelu danych, który obejmuje dziesiątki usług, setki jednostek, tysiące relacji i dziesiątki tysięcy atrybutów. Na wysokim poziomie Tożsamość Microsoft Entra i katalogi usług to kontenery dzierżaw i adresatów, które są synchronizowane przy użyciu protokołów replikacji opartej na stanie. Oprócz informacji o katalogu przechowywanych w Tożsamość Microsoft Entra każde z obciążeń usługi ma własną infrastrukturę usług katalogowych.

Synchronizacja danych dzierżawy platformy Microsoft 365.

W tym modelu nie ma jednego źródła danych katalogu. Określone systemy posiadają pojedyncze elementy danych, ale żaden pojedynczy system nie przechowuje wszystkich danych. Usługi platformy Microsoft 365 współpracują z Tożsamość Microsoft Entra w tym modelu danych. Tożsamość Microsoft Entra jest to "system prawdy" dla udostępnionych danych, który jest zwykle małymi i statycznymi danymi używanymi przez każdą usługę. Model federacyjny używany w ramach platformy Microsoft 365 i Tożsamość Microsoft Entra zapewnia udostępniony widok danych.

Platforma Microsoft 365 korzysta zarówno z magazynu fizycznego, jak i magazynu w chmurze platformy Azure. Exchange Online (w tym Exchange Online Protection) i Skype dla firm używać własnego magazynu na potrzeby danych klientów. Program SharePoint używa zarówno magazynu SQL Server, jak i usługi Azure Storage, dlatego potrzebna jest dodatkowa izolacja danych klientów na poziomie magazynu.

Exchange Online

Exchange Online przechowuje dane klientów w skrzynkach pocztowych. Skrzynki pocztowe są hostowane w bazach danych aparatu magazynu rozszerzalnego (ESE) nazywanych bazami danych skrzynek pocztowych. Obejmuje to skrzynki pocztowe użytkowników, połączone skrzynki pocztowe, udostępnione skrzynki pocztowe i skrzynki pocztowe folderów publicznych. Skrzynki pocztowe użytkowników obejmują zapisaną zawartość Skype dla firm, taką jak historie konwersacji.

Zawartość skrzynki pocztowej użytkownika obejmuje:

  • Wiadomości e-mail i załączniki wiadomości e-mail
  • Informacje o kalendarzu i wolnych/zajętych
  • Kontakty
  • Zadania
  • Uwagi
  • Grupy
  • Dane wnioskowania

Każda baza danych skrzynek pocztowych w Exchange Online zawiera skrzynki pocztowe z wielu dzierżaw. Kod autoryzacji zabezpiecza każdą skrzynkę pocztową, w tym w ramach dzierżawy. Domyślnie tylko przypisany użytkownik ma dostęp do skrzynki pocztowej. Lista kontroli dostępu (ACL), która zabezpiecza skrzynkę pocztową, zawiera tożsamość uwierzytelnioną przez Tożsamość Microsoft Entra na poziomie dzierżawy. Skrzynki pocztowe dla każdej dzierżawy są ograniczone do tożsamości uwierzytelnionych względem dostawcy uwierzytelniania dzierżawy, który obejmuje tylko użytkowników z tej dzierżawy. Zawartość w dzierżawie A w żaden sposób nie może zostać uzyskana przez użytkowników w dzierżawie B, chyba że zostanie jawnie zatwierdzona przez dzierżawę A.

Skype dla firm

Skype dla firm przechowuje dane w różnych miejscach:

  • Informacje o użytkowniku i koncie, w tym punkty końcowe połączenia, identyfikatory dzierżawy, plany wybierania numerów, ustawienia roamingu, stan obecności, listy kontaktów itp., są przechowywane na serwerach Skype dla firm usługi Active Directory oraz na różnych serwerach Skype dla firm baz danych. Listy kontaktów są przechowywane w Exchange Online skrzynki pocztowej użytkownika, jeśli użytkownik jest włączony dla obu produktów lub na serwerach Skype dla firm, jeśli użytkownik nie jest. Skype dla firm serwery baz danych nie są partycjonowane dla dzierżawy, ale izolacja danych z wieloma dzierżawami jest wymuszana za pośrednictwem kontroli dostępu opartej na rolach (RBAC).
  • Zawartość spotkania i przekazane dane są przechowywane w udziałach rozproszonego systemu plików (DFS). Tę zawartość można również zarchiwizować w Exchange Online, jeśli jest włączona. Udziały systemu plików DFS nie są partycjonowane dla dzierżawy. zawartość jest zabezpieczona listami ACL, a wielodostępność jest wymuszana za pośrednictwem kontroli dostępu opartej na rolach.
  • Rekordy szczegółów wywołań, które są historią działań, takimi jak historia wywołań, sesje wiadomości błyskawicznych, udostępnianie aplikacji, historia wiadomości błyskawicznych itp., mogą być również przechowywane w Exchange Online, ale większość rekordów szczegółów wywołań jest tymczasowo przechowywana na serwerach rekordów szczegółów wywołań (CDR). Zawartość nie jest partycjonowana na dzierżawę, ale wiele dzierżaw jest wymuszana za pośrednictwem kontroli dostępu opartej na rolach.

SharePoint

Program SharePoint ma kilka niezależnych mechanizmów zapewniających izolację danych. Przechowuje obiekty jako abstrakcyjny kod w bazach danych aplikacji. Na przykład gdy użytkownik przekaże plik do programu SharePoint, plik jest demontowany, tłumaczony na kod aplikacji i przechowywany w wielu tabelach w wielu bazach danych.

Jeśli użytkownik może uzyskać bezpośredni dostęp do magazynu zawierającego dane, zawartość nie jest interpretowana dla człowieka ani systemu innego niż sharepoint. Mechanizmy te obejmują kontrolę dostępu do zabezpieczeń i właściwości. Wszystkie zasoby programu SharePoint są zabezpieczone przez kod autoryzacji i zasady RBAC, w tym w ramach dzierżawy. Lista kontroli dostępu (ACL), która zabezpiecza zasób, zawiera tożsamość uwierzytelnioną na poziomie dzierżawy. Dane programu SharePoint dla dzierżawy są ograniczone do tożsamości uwierzytelnionych przez dostawcę uwierzytelniania dla dzierżawy.

Oprócz list ACL właściwość na poziomie dzierżawy określająca dostawcę uwierzytelniania (czyli Tożsamość Microsoft Entra specyficzną dla dzierżawy) jest zapisywana raz i nie można jej zmienić po ustawieniu. Po ustawieniu właściwości dzierżawy dostawcy uwierzytelniania dla dzierżawy nie można jej zmienić przy użyciu interfejsów API uwidocznianych w dzierżawie.

Unikatowy identyfikator SubscriptionId jest używany dla każdej dzierżawy. Wszystkie witryny klienta są własnością dzierżawy i mają przypisany identyfikator SubscriptionId unikatowy dla dzierżawy. Właściwość SubscriptionId w witrynie jest zapisywana raz i trwale. Po przypisaniu do dzierżawy nie można przenieść witryny do innej dzierżawy. SubscriptionId jest kluczem używanym do tworzenia zakresu zabezpieczeń dla dostawcy uwierzytelniania i jest powiązany z dzierżawą.

Program SharePoint używa SQL Server i usługi Azure Storage do przechowywania metadanych zawartości. Klucz partycji dla magazynu zawartości to SiteId w języku SQL. Podczas uruchamiania zapytania SQL program SharePoint używa identyfikatora SiteId zweryfikowanego w ramach sprawdzania identyfikatora subscriptionId na poziomie dzierżawy .

Program SharePoint przechowuje zaszyfrowaną zawartość pliku w obiektach blob platformy Microsoft Azure. Każda farma programu SharePoint ma własne konto platformy Microsoft Azure, a wszystkie obiekty blob zapisane na platformie Azure są szyfrowane indywidualnie przy użyciu klucza przechowywanego w magazynie zawartości SQL. Klucz szyfrowania chroniony w kodzie przez warstwę autoryzacji i nie jest uwidoczniany bezpośrednio użytkownikowi końcowemu. Program SharePoint ma monitorowanie w czasie rzeczywistym w celu wykrywania, kiedy żądanie HTTP odczytuje lub zapisuje dane dla więcej niż jednej dzierżawy. Identyfikator subskrypcji tożsamości żądania jest śledzony względem identyfikatora subskrypcji dostępnego zasobu. Żądania dostępu do zasobów więcej niż jednej dzierżawy nigdy nie powinny być wykonywane przez użytkowników końcowych. Żądania obsługi w środowisku wielodostępnym są jedynym wyjątkiem. Na przykład przeszukiwarka wyszukiwania pobiera zmiany zawartości dla całej bazy danych jednocześnie. Zwykle wiąże się to z wykonywaniem zapytań dotyczących lokacji więcej niż jednej dzierżawy w ramach pojedynczego żądania obsługi, co jest wykonywane ze względu na wydajność.

Teams

Dane usługi Teams są przechowywane inaczej, w zależności od typu zawartości.

Zapoznaj się z sesją konferencji Ignite dotyczącą architektury usługi Microsoft Teams , aby zapoznać się z dogłębną dyskusją.

Dane klientów usługi Core Teams

Jeśli dzierżawa jest aprowizowana w Australii, Kanadzie, Unii Europejskiej, Francji, Niemczech, Indiach, Japonii, RPA, Korei Południowej, Szwajcarii (w tym Liechtensteinie), Zjednoczonych Emiratach Arabskich, Wielkiej Brytanii lub Stany Zjednoczone, firma Microsoft przechowuje następujące dane klientów w spoczynku tylko w tej lokalizacji:

  • Czaty, rozmowy zespołowe i kanałowe, obrazy, wiadomości poczty głosowej i kontakty.
  • Zawartość witryny programu SharePoint i pliki przechowywane w tej witrynie.
  • Pliki przekazane do usługi OneDrive w celach służbowych.

Czat, komunikaty kanałów, struktura zespołu

Każdy zespół w usłudze Teams jest wspierany przez grupę platformy Microsoft 365 oraz jej witrynę programu SharePoint i skrzynkę pocztową programu Exchange. Prywatne czaty (w tym czaty grupowe), wiadomości wysyłane w ramach konwersacji w kanale oraz struktura zespołów i kanałów są przechowywane w usłudze czatu działającej na platformie Azure. Dane są również przechowywane w ukrytym folderze w skrzynkach pocztowych użytkowników i grup w celu włączenia funkcji Information Protection.

Poczta głosowa i kontakty

Wiadomości głosowe są przechowywane w programie Exchange. Kontakty są przechowywane w magazynie danych w chmurze opartym na programie Exchange. Program Exchange i magazyn w chmurze oparte na programie Exchange zapewniają już miejsce przechowywania danych w każdym z obszarów geograficznych światowego centrum danych. Dla wszystkich zespołów poczta głosowa i kontakty są przechowywane w kraju dla Australii, Kanady, Francji, Niemiec, Indii, Japonii, Zjednoczonych Emiratów Arabskich, Wielkiej Brytanii, RPA, Korei Południowej, Szwajcarii (w tym Liechtensteinu) i Stany Zjednoczone. W przypadku wszystkich innych krajów/regionów pliki są przechowywane w lokalizacji USA, Europa lub Asia-Pacific na podstawie koligacji dzierżawy.

Obrazy i nośniki

Nośnik używany w czatach (z wyjątkiem plików GIF giphy, które nie są przechowywane, ale są linkiem referencyjnym do oryginalnego adresu URL usługi Giphy, Giphy jest usługą inną niż Microsoft) jest przechowywany w usłudze multimedialnej opartej na platformie Azure, która jest wdrażana w tych samych lokalizacjach co usługa czatu.

Pliki

Pliki (w tym onenote i wiki), które ktoś udostępnia w kanale, są przechowywane w witrynie programu SharePoint zespołu. Pliki udostępnione na prywatnym czacie lub czacie podczas spotkania lub rozmowy są przekazywane i przechowywane na koncie służbowym usługi OneDrive użytkownika, który udostępnia plik. Programy Exchange, SharePoint i OneDrive zapewniają już miejsce przechowywania danych w każdym z obszarów geograficznych światowego centrum danych. W przypadku istniejących klientów wszystkie pliki, notesy programu OneNote, zawartość typu wiki usługi Teams i skrzynki pocztowe, które są częścią środowiska usługi Teams, są już przechowywane w lokalizacji na podstawie koligacji dzierżawy. Pliki są przechowywane w kraju dla Australii, Kanady, Francji, Niemiec, Indii, Japonii, Zjednoczonych Emiratów Arabskich, Wielkiej Brytanii, RPA, Korei Południowej i Szwajcarii (w tym Liechtensteinu). W przypadku wszystkich innych krajów/regionów pliki są przechowywane w lokalizacji USA, Europa lub Azja i Pacyfik na podstawie koligacji dzierżawy.