Поделиться через

Изоляция и управление доступом в Microsoft 365

  • Статья

Microsoft Entra ID и Microsoft 365 используют очень сложную модель данных, включающую десятки служб, сотни сущностей, тысячи связей и десятки тысяч атрибутов. На высоком уровне Microsoft Entra ID и каталоги служб представляют собой контейнеры клиентов и получателей, которые синхронизируются с помощью протоколов репликации на основе состояния. Помимо сведений о каталоге, хранящейся в идентификаторе Microsoft Entra, каждая из рабочих нагрузок службы имеет собственную инфраструктуру служб каталогов.

Синхронизация данных клиента Microsoft 365.

В этой модели нет единого источника данных каталога. Конкретные системы владеют отдельными фрагментами данных, но ни одна система не хранит все данные. В этой модели данных службы Microsoft 365 взаимодействуют с Microsoft Entra ID. Microsoft Entra ID — это "система достоверности" для общих данных, которые обычно представляют собой небольшие статические данные, используемые каждой службой. Федеративная модель, используемая в Microsoft 365 и Microsoft Entra ID, обеспечивает общее представление данных.

Microsoft 365 использует как физическое хранилище, так и облачное хранилище Azure. Exchange Online (включая Exchange Online Protection) использует собственное хранилище для данных клиентов. SharePoint использует как хранилище SQL Server, так и службу хранилища Azure, поэтому требуется дополнительная изоляция данных клиента на уровне хранилища.

Exchange Online.

Exchange Online хранит данные клиентов в почтовых ящиках. Почтовые ящики размещаются в базах данных ESE, называемых базами данных почтовых ящиков. Сюда входят почтовые ящики пользователей, связанные почтовые ящики, общие почтовые ящики и почтовые ящики общедоступных папок.

Содержимое почтового ящика пользователя включает:

  • Сообщения электронной почты и вложения электронной почты
  • Календарь и сведения о доступности
  • Контакты
  • Задачи
  • Примечания
  • Группы
  • Данные вывода

Каждая база данных почтовых ящиков в Exchange Online содержит почтовые ящики из нескольких клиентов. Код авторизации защищает каждый почтовый ящик, в том числе в клиенте. По умолчанию доступ к почтовому ящику имеет только назначенный пользователь. Список управления доступом (ACL), который защищает почтовый ящик, содержит удостоверение, прошедшее проверку подлинности по идентификатору Microsoft Entra на уровне клиента. Почтовые ящики для каждого клиента ограничены удостоверениями, прошедшими проверку подлинности с помощью поставщика проверки подлинности клиента, который включает только пользователей из этого клиента. Содержимое в клиенте A недоступно пользователям в клиенте B, если оно явно не утверждено клиентом A.

SharePoint

В SharePoint есть несколько независимых механизмов, которые обеспечивают изоляцию данных. Он хранит объекты в виде абстрактного кода в базах данных приложения. Например, когда пользователь отправляет файл в SharePoint, он дизассемблируется, преобразуется в код приложения и сохраняется в нескольких таблицах в нескольких базах данных.

Если пользователь может получить прямой доступ к хранилищу с данными, содержимое не интерпретируется человеком или любой другой системой, кроме SharePoint. Эти механизмы включают управление доступом безопасности и свойства. Все ресурсы SharePoint защищены с помощью кода авторизации и политики управления доступом на основе ролей (RBAC), в том числе в клиенте. Список управления доступом (ACL), который защищает ресурс, содержит удостоверение, прошедшее проверку подлинности на уровне клиента. Данные SharePoint для клиента ограничены удостоверениями, прошедшими проверку подлинности поставщиком проверки подлинности для клиента.

В дополнение к спискам управления доступом, свойство уровня клиента, указывающее поставщик проверки подлинности (который является идентификатором Microsoft Entra для конкретного клиента), записывается один раз и не может быть изменено после установки. После установки свойства клиента поставщика проверки подлинности для клиента его нельзя изменить с помощью интерфейсов API, предоставляемых клиенту.

Для каждого клиента используется уникальный Идентификатор подписки . Все клиентские сайты принадлежат клиенту и назначаются Идентификатор подписки, уникальный для клиента. Свойство SubscriptionId на сайте записывается один раз и является постоянным. После назначения клиенту сайт не может быть перемещен в другой клиент. SubscriptionId — это ключ, используемый для создания области безопасности для поставщика проверки подлинности и привязанный к клиенту.

SharePoint использует SQL Server и службу хранилища Azure для хранения метаданных содержимого. Ключ секции для хранилища содержимого — SiteId в SQL. При выполнении SQL-запроса SharePoint использует идентификатор SiteId , проверенный в рамках проверки SubscriptionId на уровне клиента.

SharePoint хранит зашифрованное содержимое файлов в больших двоичных объектах Microsoft Azure. Каждая ферма SharePoint имеет собственную учетную запись Microsoft Azure, и все большие двоичные объекты, сохраненные в Azure, шифруются по отдельности с помощью ключа, хранящегося в хранилище содержимого SQL. Ключ шифрования, защищенный в коде уровнем авторизации и не предоставляемый напрямую конечному пользователю. SharePoint имеет мониторинг в режиме реального времени, чтобы определить, когда HTTP-запрос считывает или записывает данные для нескольких клиентов. Идентификатор запроса SubscriptionId отслеживается по идентификатору SubscriptionId доступного ресурса. Запросы на доступ к ресурсам нескольких клиентов никогда не должны выполняться конечными пользователями. Единственным исключением являются запросы на обслуживание в мультитенантной среде. Например, средство-обходчик поиска извлекает изменения содержимого для всей базы данных одновременно, что обычно включает запросы сайтов нескольких клиентов в одном запросе на обслуживание для повышения эффективности.

Teams

Данные Teams хранятся по-разному в зависимости от типа контента.

Подробное обсуждение см . в разделе Переговорный сеанс Ignite по архитектуре Microsoft Teams .

Данные клиентов Core Teams

Если ваш клиент подготовлен в Австралии, Канаде, Европейском союзе, Франции, Германии, Индии, Японии, Южной Африке, Южной Корее, Швейцарии (включая Лихтенштейн), ОБЪЕДИНЕННЫх Арабских Эмиратах, Соединенном Королевстве или СОЕДИНЕННЫх Штатах, корпорация Майкрософт сохраняет следующие данные клиента только в этом расположении:

  • Чаты Teams, беседы команд и каналов, изображения, сообщения голосовой почты и контакты.
  • Содержимое сайта SharePoint и файлы, хранящиеся на этом сайте.
  • Файлы, отправленные в OneDrive для работы или учебы.

Чат, сообщения канала, структура команды

Каждая команда в Teams поддерживается группой Microsoft 365, сайтом SharePoint и почтовым ящиком Exchange. Частные чаты (включая групповые чаты), сообщения, отправленные в рамках беседы в канале, а также структура команд и каналов хранятся в службе чата, работающей в Azure. Данные также хранятся в скрытой папке в почтовых ящиках пользователей и групп, чтобы включить функции Information Protection.

Голосовая почта и контакты

Голосовая почта хранится в Exchange. Контакты хранятся в облачном хранилище данных на основе Exchange. Exchange и облачное хранилище на основе Exchange уже обеспечивают размещение данных в каждом из географических центров обработки данных во всем мире. Для всех команд голосовая почта и контакты хранятся в стране для Австралии, Канады, Франции, Германии, Индии, Японии, Объединенных Арабских Эмиратов, Соединенного Королевства, Южной Африки, Южной Кореи, Швейцарии (включая Лихтенштейн) и США. Во всех остальных странах файлы хранятся в США, Европе или Asia-Pacific расположении на основе сходства клиентов.

Изображения и мультимедиа

Мультимедиа, используемые в чатах (за исключением Giphy GIFS, которые не хранятся, но являются ссылкой на исходный URL-адрес службы Giphy, Giphy является службой сторонних поставщиков), хранятся в службе мультимедиа на основе Azure, которая развертывается в том же расположении, что и служба чата.

Файлы

Файлы (включая OneNote и вики-сайт), которыми кто-то предоставляет общий доступ в канале, хранятся на сайте Группы SharePoint. Файлы, к которым предоставлен общий доступ в частном чате или чате во время собрания или звонка, передаются и сохраняются в учетной записи Пользователя, который предоставляет общий доступ к файлу в OneDrive для работы или учебного заведения. Exchange, SharePoint и OneDrive уже обеспечивают размещение данных в каждом из географических центров обработки данных во всем мире. Таким образом, для существующих клиентов все файлы, записные книжки OneNote, вики-содержимое Teams и почтовые ящики, которые являются частью интерфейса Teams, уже хранятся в расположении в зависимости от сходства клиента. Файлы хранятся в стране для Австралии, Канады, Франции, Германии, Индии, Японии, Объединенных Арабских Эмиратов, Соединенного Королевства, Южной Африки, Южной Кореи и Швейцарии (включая Лихтенштейн). Во всех остальных странах файлы хранятся в США, Европе или Азиатско-Тихоокеанском регионе на основе сходства клиентов.