Поделиться через

Изоляция и управление доступом в Microsoft 365

  • Статья

Microsoft Entra ID и Microsoft 365 используют очень сложную модель данных, включающую десятки служб, сотни сущностей, тысячи связей и десятки тысяч атрибутов. На высоком уровне Microsoft Entra ID и каталоги служб представляют собой контейнеры клиентов и получателей, которые синхронизируются с помощью протоколов репликации на основе состояния. Помимо сведений о каталоге, хранящейся в Microsoft Entra ID, каждая из рабочих нагрузок службы имеет собственную инфраструктуру служб каталогов.

Синхронизация данных клиента Microsoft 365.

В этой модели нет единого источника данных каталога. Конкретные системы владеют отдельными фрагментами данных, но ни одна система не хранит все данные. В этой модели данных службы Microsoft 365 взаимодействуют с Microsoft Entra ID. Microsoft Entra ID — это "система достоверности" для общих данных, которые обычно представляют собой небольшие статические данные, используемые каждой службой. Федеративная модель, используемая в Microsoft 365 и Microsoft Entra ID, обеспечивает общее представление данных.

Microsoft 365 использует как физическое хранилище, так и облачное хранилище Azure. Exchange Online (включая Exchange Online Protection) и Skype для бизнеса используют собственное хранилище для данных клиентов. SharePoint использует хранилище SQL Server и службу хранилища Azure, поэтому требуется дополнительная изоляция данных клиента на уровне хранилища.

Exchange Online.

Exchange Online хранит данные клиентов в почтовых ящиках. Почтовые ящики размещаются в базах данных ESE, называемых базами данных почтовых ящиков. Сюда входят почтовые ящики пользователей, связанные почтовые ящики, общие почтовые ящики и почтовые ящики общедоступных папок. Почтовые ящики пользователей включают сохраненное Skype для бизнеса содержимое, например журналы бесед.

Содержимое почтового ящика пользователя включает:

  • Сообщения электронной почты и вложения электронной почты
  • Календарь и сведения о доступности
  • Контакты
  • Задачи
  • Примечания
  • Группы
  • Данные вывода

Каждая база данных почтовых ящиков в Exchange Online содержит почтовые ящики из нескольких клиентов. Код авторизации защищает каждый почтовый ящик, в том числе в клиенте. По умолчанию доступ к почтовому ящику имеет только назначенный пользователь. Список управления доступом (ACL), который защищает почтовый ящик, содержит удостоверение, прошедшее проверку подлинности Microsoft Entra ID на уровне клиента. Почтовые ящики для каждого клиента ограничены удостоверениями, прошедшими проверку подлинности с помощью поставщика проверки подлинности клиента, который включает только пользователей из этого клиента. Содержимое в клиенте A не может быть каким-либо образом получено пользователями в клиенте B, если это явно не утверждено клиентом A.

Skype для бизнеса

Skype для бизнеса хранит данные в разных местах:

  • Сведения о пользователях и учетных записях, включая конечные точки подключения, идентификаторы клиентов, абонентские группы, параметры перемещения, состояние присутствия, списки контактов и т. д., хранятся на серверах Skype для бизнеса Active Directory, а также на различных серверах баз данных Skype для бизнеса. Списки контактов хранятся в почтовом ящике Exchange Online пользователя, если пользователь включен для обоих продуктов, или на Skype для бизнеса серверах, если пользователь не включен. Skype для бизнеса серверы баз данных не секционируются по арендатору, но многотенантная изоляция данных обеспечивается с помощью управления доступом на основе ролей (RBAC).
  • Содержимое собрания и отправленные данные хранятся в общих папках распределенной файловой системы (DFS). Это содержимое также можно заархивировать в Exchange Online, если этот параметр включен. Общие папки DFS не секционируются для каждого клиента. содержимое защищено с помощью списков управления доступом, а мультитенантность обеспечивается с помощью RBAC.
  • Записи сведений о вызовах, такие как журнал звонков, сеансы обмена мгновенными сообщениями, общий доступ к приложениям, журнал мгновенных сообщений и т. д., также могут храниться в Exchange Online, но большинство записей с подробными сведениями о вызовах временно хранятся на серверах с подробными записями вызовов (CDR). Содержимое не секционируется для каждого клиента, но мультитенантность обеспечивается с помощью RBAC.

SharePoint

В SharePoint есть несколько независимых механизмов, которые обеспечивают изоляцию данных. Он хранит объекты в виде абстрактного кода в базах данных приложения. Например, когда пользователь отправляет файл в SharePoint, он дизассемблируется, преобразуется в код приложения и сохраняется в нескольких таблицах в нескольких базах данных.

Если пользователь может получить прямой доступ к хранилищу с данными, содержимое не интерпретируется человеком или любой другой системой, кроме SharePoint. Эти механизмы включают управление доступом безопасности и свойства. Все ресурсы SharePoint защищены кодом авторизации и политикой RBAC, в том числе в клиенте. Список управления доступом (ACL), который защищает ресурс, содержит удостоверение, прошедшее проверку подлинности на уровне клиента. Данные SharePoint для клиента ограничены удостоверениями, прошедшими проверку подлинности поставщиком проверки подлинности для клиента.

Помимо списков ACL, свойство уровня клиента, указывающее поставщик проверки подлинности (который является Microsoft Entra ID клиента), записывается один раз и не может быть изменено после установки. После установки свойства клиента поставщика проверки подлинности для клиента его нельзя изменить с помощью интерфейсов API, предоставляемых клиенту.

Для каждого клиента используется уникальный Идентификатор подписки . Все клиентские сайты принадлежат клиенту и назначаются Идентификатор подписки, уникальный для клиента. Свойство SubscriptionId на сайте записывается один раз и является постоянным. После назначения клиенту сайт не может быть перемещен в другой клиент. SubscriptionId — это ключ, используемый для создания область безопасности для поставщика проверки подлинности и привязанный к клиенту.

SharePoint использует SQL Server и службу хранилища Azure для хранения метаданных содержимого. Ключ секции для хранилища содержимого — SiteId в SQL. При выполнении SQL-запроса SharePoint использует идентификатор SiteId, проверенный как часть проверка SubscriptionId на уровне клиента.

SharePoint хранит зашифрованное содержимое файлов в больших двоичных объектах Microsoft Azure. Каждая ферма SharePoint имеет собственную учетную запись Microsoft Azure, и все большие двоичные объекты, сохраненные в Azure, шифруются по отдельности с помощью ключа, хранящегося в хранилище содержимого SQL. Ключ шифрования, защищенный в коде уровнем авторизации и не предоставляемый напрямую конечному пользователю. SharePoint имеет мониторинг в режиме реального времени, чтобы определить, когда HTTP-запрос считывает или записывает данные для нескольких клиентов. Идентификатор запроса SubscriptionId отслеживается по идентификатору SubscriptionId доступного ресурса. Запросы на доступ к ресурсам нескольких клиентов никогда не должны выполняться конечными пользователями. Единственным исключением являются запросы на обслуживание в мультитенантной среде. Например, средство-обходчик поиска одновременно извлекает изменения содержимого для всей базы данных. Обычно это включает запрос сайтов нескольких клиентов в одном запросе на обслуживание, что делается для повышения эффективности.

Teams

Данные Teams хранятся по-разному в зависимости от типа контента.

Подробное обсуждение см . в разделе Переговорный сеанс Ignite по архитектуре Microsoft Teams .

Данные клиентов Core Teams

Если ваш клиент подготовлен в Австралии, Канаде, Европейском союзе, Франции, Германии, Индии, Японии, ЮЖНОй Африке, Южной Корее, Швейцарии (включая Лихтенштейн), ОБЪЕДИНЕННЫх Арабских Эмиратах, Соединенном Королевстве или США, корпорация Майкрософт сохраняет следующие неактивные данные клиентов только в этом расположении:

  • Чаты Teams, беседы команд и каналов, изображения, сообщения голосовой почты и контакты.
  • Содержимое сайта SharePoint и файлы, хранящиеся на этом сайте.
  • Файлы, отправленные в OneDrive для работы или учебы.

Чат, сообщения канала, структура команды

Каждая команда в Teams поддерживается группой Microsoft 365, сайтом SharePoint и почтовым ящиком Exchange. Частные чаты (включая групповые чаты), сообщения, отправленные в рамках беседы в канале, а также структура команд и каналов хранятся в службе чата, работающей в Azure. Данные также хранятся в скрытой папке в почтовых ящиках пользователей и групп, чтобы включить Information Protection функции.

Голосовая почта и контакты

Голосовая почта хранится в Exchange. Контакты хранятся в облачном хранилище данных на основе Exchange. Exchange и облачное хранилище на основе Exchange уже обеспечивают размещение данных в каждом из географических центров обработки данных во всем мире. Для всех команд голосовая почта и контакты хранятся в стране для Австралии, Канады, Франции, Германии, Индии, Японии, Объединенных Арабских Эмиратов, Соединенного Королевства, Южной Африки, Южной Кореи, Швейцарии (включая Лихтенштейн) и США. Для всех других стран и регионов файлы хранятся в США, Европе или Asia-Pacific расположении на основе сходства клиентов.

Изображения и мультимедиа

Мультимедиа, используемые в чатах (за исключением GIF-файлов Giphy, которые не хранятся, но являются ссылкой на исходный URL-адрес службы Giphy, Giphy является службой сторонних поставщиков), хранятся в службе мультимедиа на основе Azure, которая развернута в том же расположении, что и служба чата.

Файлы

Файлы (включая OneNote и вики-сайт), которыми кто-то предоставляет общий доступ в канале, хранятся на сайте Группы SharePoint. Файлы, к которым предоставлен общий доступ в частном чате или чате во время собрания или звонка, передаются и сохраняются в учетной записи Пользователя, который предоставляет общий доступ к файлу в OneDrive для работы или учебного заведения. Exchange, SharePoint и OneDrive уже обеспечивают размещение данных в каждом из географических центров обработки данных во всем мире. Таким образом, для существующих клиентов все файлы, записные книжки OneNote, вики-содержимое Teams и почтовые ящики, которые являются частью интерфейса Teams, уже хранятся в расположении в зависимости от сходства клиента. Файлы хранятся в стране для Австралии, Канады, Франции, Германии, Индии, Японии, Объединенных Арабских Эмиратов, Соединенного Королевства, Южной Африки, Южной Кореи и Швейцарии (включая Лихтенштейн). Для всех остальных стран и регионов файлы хранятся в США, Европе или Азиатско-Тихоокеанском регионе на основе сходства клиентов.