Partilhar via


Considerações sobre proteção de dados

O diagrama a seguir ilustra como os serviços armazenam e recuperam dados de objeto do Microsoft Entra por meio de uma camada de autorização RBAC (controle de acesso baseado em função). Essa camada chama a camada de acesso a dados do diretório interno, garantindo que a solicitação de dados do usuário seja permitida:

Diagrama de serviços armazenando e recuperando dados de objeto do Microsoft Entra.

Acesso às Interfaces Internas do Microsoft Entra: A comunicação de serviço a serviço com outros serviços da Microsoft, como o Microsoft 365, usa interfaces de ID do Microsoft Entra, que autorizam os chamadores do serviço usando certificados de cliente.

Microsoft Entra External Interfaces Access: A interface externa do Microsoft Entra ajuda a evitar vazamento de dados usando RBAC. Quando uma entidade de segurança, como um usuário, faz uma solicitação de acesso para ler informações por meio das interfaces do Microsoft Entra ID, um token de segurança deve acompanhar a solicitação. O token contém declarações sobre o principal que faz a solicitação.

Os tokens de segurança são emitidos pelos Serviços de autenticação do Microsoft Entra. As informações sobre a existência, o estado habilitado e a função do usuário são usadas pelo sistema de autorização para decidir se o acesso solicitado ao locatário de destino é autorizado para esse usuário nesta sessão.

Acesso a aplicativos: como os aplicativos podem acessar as interfaces de programação de aplicativos (APIs) sem contexto de usuário, a verificação de acesso inclui informações sobre o aplicativo do usuário e o escopo de acesso solicitado, por exemplo, somente leitura, leitura/gravação e assim por diante. Muitos aplicativos usam OpenID Connect ou Open Authorization (OAuth) para obter tokens para acessar o diretório em nome do usuário. Esses aplicativos devem ter acesso explícito ao diretório ou não receberão um token do Serviço de autenticação do Microsoft Entra e acessarão dados do escopo concedido.

Auditoria: O acesso é auditado. Por exemplo, ações autorizadas, como criar redefinição de usuário e senha, criam uma trilha de auditoria que pode ser usada por um administrador de locatário para gerenciar esforços ou investigações de conformidade. Os administradores de locatários podem gerar relatórios de auditoria usando a API de auditoria do Microsoft Entra.

Saiba mais: Logs de auditoria no Microsoft Entra ID

Isolamento do locatário: a aplicação da segurança no ambiente multilocatário do Microsoft Entra ajuda a atingir dois objetivos principais:

  • Evitar vazamento de dados e acesso entre locatários: os dados pertencentes ao Locatário 1 não podem ser obtidos pelos usuários no Locatário 2 sem autorização explícita do Locatário 1.
  • Isolamento de acesso a recursos entre locatários: as operações executadas pelo Locatário 1 não podem afetar o acesso aos recursos do Locatário 2.

Isolamento de inquilinos

As informações a seguir descrevem o isolamento do locatário.

  • O serviço protege os locatários usando a política RBAC para garantir o isolamento de dados.
  • Para habilitar o acesso a um locatário, uma entidade de segurança, por exemplo, um usuário ou aplicativo, precisa ser capaz de se autenticar no Microsoft Entra ID para obter contexto e tem permissões explícitas definidas no locatário. Se uma entidade de segurança não estiver autorizada no locatário, o token resultante não terá permissões, e o sistema RBAC rejeitará solicitações nesse contexto.
  • O RBAC garante que o acesso a um locatário seja realizado por uma entidade de segurança autorizada no locatário. O acesso entre locatários é possível quando um administrador de locatário cria uma representação de entidade de segurança no mesmo locatário (por exemplo, provisionando uma conta de usuário convidado usando colaboração B2B) ou quando um administrador de locatário cria uma política para habilitar uma relação de confiança com outro locatário. Por exemplo, uma política de acesso entre locatários para habilitar o B2B Direct Connect. Cada inquilino é um limite de isolamento; A existência em um locatário não equivale à existência em outro locatário, a menos que o administrador permita.
  • Os dados do Microsoft Entra para vários locatários são armazenados no mesmo servidor físico e unidade para uma determinada partição. O isolamento é garantido porque o acesso aos dados é protegido pelo sistema de autorização RBAC.
  • Um aplicativo cliente não pode acessar o Microsoft Entra ID sem a autenticação necessária. A solicitação é rejeitada se não for acompanhada de credenciais como parte do processo inicial de negociação de conexão. Essa dinâmica impede o acesso não autorizado a um locatário por locatários vizinhos. Somente o token da credencial do usuário, ou token SAML (Security Assertion Markup Language), é intermediado com uma relação de confiança federada. Portanto, ele é validado pelo Microsoft Entra ID, com base nas chaves compartilhadas configuradas pelo proprietário do aplicativo.
  • Como não há nenhum componente de aplicativo que possa ser executado a partir do Core Store, não é possível que um locatário viole à força a integridade de um locatário vizinho.

Segurança de dados

Criptografia em trânsito: para garantir a segurança dos dados, os dados do diretório no Microsoft Entra ID são assinados e criptografados enquanto estão em trânsito entre datacenters em uma unidade de escala. Os dados são criptografados e não criptografados pela camada Microsoft Entra Core Store, que reside em áreas de hospedagem de servidor seguro dos datacenters associados da Microsoft.

Os serviços Web voltados para o cliente são protegidos com o protocolo TLS (Transport Layer Security).

Armazenamento secreto: o back-end do serviço Microsoft Entra usa criptografia para armazenar material confidencial para uso do serviço, como certificados, chaves, credenciais e hashes usando tecnologia proprietária da Microsoft. A loja utilizada depende do serviço, da operação, do âmbito do segredo (para todo o utilizador ou para todo o inquilino) e de outros requisitos.

Essas lojas são operadas por um grupo focado em segurança por meio de automação e fluxos de trabalho estabelecidos, incluindo solicitação de certificado, renovação, revogação e destruição.

Há auditoria de atividades relacionadas a essas lojas/fluxos de trabalho/processos, e não há acesso permanente. O acesso é baseado em solicitação e aprovação e por um período limitado de tempo.

Para obter mais informações sobre a criptografia secreta em repouso, consulte a tabela a seguir.

Algoritmos: A tabela a seguir lista os algoritmos mínimos de criptografia usados pelos componentes do Microsoft Entra. Como um serviço de nuvem, a Microsoft reavalia e melhora a criptografia, com base em descobertas de pesquisa de segurança, revisões internas de segurança, força fundamental contra a evolução do hardware e assim por diante.

Dados/cenário Algoritmo de criptografia
Sincronização de hash de
senha Senhas de conta na nuvem
Hash: Função de derivação de chave de senha 2 (PBKDF2), usando código de autenticação de mensagem baseado em hash (HMAC)-SHA256 @ 1.000 iterações
Diretório em trânsito entre datacenters AES-256-CTS-HMAC-SHA1-96
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Fluxo de credenciais de usuário de autenticação de passagem Par de chaves
RSA 2048-Pública/Privada Saiba mais: Microsoft Entra pass-through authentication security deep dive
Write-back de senha de redefinição de senha de autoatendimento com o Microsoft Entra Connect: comunicação da nuvem para o local AES_GCM par
de chaves Privada/Pública RSA 2048 (chave de 256 bits, tamanho IV de 96 bits)
Redefinição de senha de autoatendimento: respostas a perguntas de segurança SHA256
Certificados SSL para aplicativos publicados do Microsoft Entra Proxy
AES-GCM de 256 bits
Criptografia no nível do disco XTS-AES 128
Credenciais de provisionamento
de aplicativo de aplicativo SaaS (Single Sign-On) de conta de serviço de logon único (SSO)
sem interrupções
AES-CBC de 128 bits
Identidades geridas para os recursos do Azure AES-GCM de 256 bits
Aplicação Microsoft Authenticator: início de sessão sem palavra-passe no Microsoft Entra ID Chave RSA assimétrica de 2048 bits
Aplicativo Microsoft Authenticator: Backup e restauração de metadados de contas corporativas AES-256

Recursos

Próximos passos