Узнайте, как Microsoft 365 Copilot использует изоляцию и элементы управления доступом Microsoft 365.

Завершено

Из предыдущего урока вы узнали, что элементы управления доступом и изоляция клиента — два основных вида защиты данных, которые используются не только в Microsoft 365, но и в Microsoft 365 Copilot. Microsoft 365 Copilot реализует управление доступом, получая доступ только к тем данным, к которым отдельные пользователи имеют как минимум разрешения на просмотр в службах Microsoft 365, таких как SharePoint, OneDrive и Teams. Что касается изоляции клиентов, корпорация Майкрософт постоянно работает над тем, чтобы многопользовательские архитектуры ее облачных служб поддерживали стандарты безопасности, конфиденциальности, конфиденциальности, целостности и доступности корпоративного уровня. В этом уроке более подробно рассматривается, как Microsoft 365 и Microsoft 365 Copilot используют элементы управления доступом и изоляцию клиента.

Архитектура Microsoft 365 с несколькими клиентами

Одним из основных преимуществ облачных вычислений является концепция общей инфраструктуры для множества клиентов одновременно, что приводит к экономии за счет масштаба. Масштаб и объем услуг, предоставляемых Майкрософт, затрудняют и делают неэкономичным управление Microsoft 365 при значительном взаимодействии с людьми. Корпорация Майкрософт предоставляет службы Microsoft 365 через глобально распределенные центры обработки данных. Корпорация Майкрософт сильно автоматизировала каждый центр обработки данных, при этом лишь немногие операции требуют участия человека или доступа к данным клиентов. Сотрудники Корпорации Майкрософт поддерживают эти службы и центры обработки данных, используя автоматизированные инструменты и удаленный доступ с высоким уровнем защиты.

Microsoft 365 содержит несколько служб, обеспечивающих важные бизнес-функции и способствующих полноценному использованию Microsoft 365, включая Microsoft 365 Copilot. Каждая из этих служб автономна и предназначена для интеграции друг с другом. Дизайн Microsoft 365 основан на следующих принципах:

• Архитектура, ориентированная на службы. Проектирование и разработка программного обеспечения в виде совместимых сервисов, обеспечивающих четко определенные бизнес-функции.

• Обеспечение оперативной безопасности. Инфраструктура, включающая знания, полученные благодаря различным уникальным возможностям Майкрософт, в том числе:

  • Жизненный цикл разработки защищенных приложений (Майкрософт).
  • Центр Майкрософт по реагированию на угрозы.
  • Глубокое понимание ландшафта угроз кибербезопасности.

Службы Microsoft 365 взаимодействуют друг с другом. Однако корпорация Майкрософт разработала их так, чтобы организации могли развертывать и использовать их как автономные службы, независимые друг от друга. Корпорация Майкрософт разделяет обязанности и области ответственности для Microsoft 365, чтобы уменьшить возможности несанкционированного или непреднамеренного изменения или неправильного использования активов организации. Группы Microsoft 365 включают определенные роли как часть комплексного механизма управления доступом на основе ролей.

Изоляция клиентов

Корпорация Майкрософт реализует меры безопасности, чтобы действия одного клиента не влияли на безопасность или услуги другого клиента или на доступ к содержимому другого клиента. В отрасли существует термин, обозначающий такое разделение клиентов, — изоляция клиентов. Изоляция клиента — это логическое разделение данных и служб каждого клиента в рамках мультитенантной архитектуры Microsoft 365. Двумя основными целями поддержания изоляции клиентов в многопользовательской среде являются:

• Предотвращение утечки или несанкционированного доступа к данным пользователей между клиентами.
• Предотвращение негативного влияния действий одного клиента на службу в другом клиенте.

Некоторые ключевые аспекты изоляции клиентов Microsoft 365 включают:

• Отдельная инфраструктура. Каждый клиент получает собственную изолированную часть базовой инфраструктуры Azure для основных служб, таких как Exchange Online и SharePoint Online. Эта конструкция разделяет данные на базовом уровне.

• Разделение данных. Схема базы данных, механизмы шифрования и управления доступом обеспечивают логическое разделение данных клиентов. Корпорация Майкрософт не передает данные между клиентами.

• Границы проверки подлинности. Пользователи могут получать доступ только к собственному клиенту с учетными данными, проверенными с помощью Microsoft Entra ID. Такая конструкция предотвращает доступ между клиентами.

  Примечание.

  Azure Active Directory (Azure AD) теперь называется Microsoft Entra ID. Подробнее.

• Настройка службы. Параметры, конфигурации и настройки применяются только к конкретному клиенту. Клиенты не могут влиять на среды друг друга.

• Средства контроля соответствия. Сертификации и средства контроля соответствия требованиям Майкрософт, такие как шифрование данных, применяются на уровне отдельного клиента.

• Мониторинг и диагностика. Корпорация Майкрософт изолирует аналитику клиентов и журналы, чтобы обеспечить видимость только собственных данных и использования службы клиента.

• Обычная проверка. Корпорация Майкрософт использует аудит, тестирование проникновения и строгие проверки доступа для непрерывной проверки защиты изоляции клиентов.

Изоляция клиента позволяет пользователям безопасно настраивать Microsoft 365. Они могут сделать это, зная, что данные и настройки их компании остаются отдельно от других организаций в общей инфраструктуре.

Корпорация Майкрософт реализует несколько форм защиты в Microsoft 365, чтобы предотвратить компрометацию служб и приложений Microsoft 365. Эта защита также предотвращает несанкционированный доступ клиентов к информации других клиентов или самой системы Microsoft 365. Это включает надежные средства управления логической изоляцией, которые обеспечивают защиту и смягчение угроз, эквивалентные тем, которые обеспечиваются только физической изоляцией. Следующие средства защиты представляют собой образец элементов управления изоляцией, присутствующих в Microsoft 365:

• Логическая изоляция данных пользователей внутри каждого клиента служб Microsoft 365 достигается за счет авторизации Microsoft Entra и управления доступом на основе ролей.
• SharePoint Online предоставляет механизмы изоляции данных на уровне хранилища.
• Корпорация Майкрософт использует строгие меры физической безопасности, фоновую проверку и стратегию многоуровневого шифрования для защиты конфиденциальности и целостности данных клиентов. Все центры обработки данных Microsoft 365 имеют биометрический контроль доступа, причем для большинства из них требуются отпечатки ладоней для получения физического доступа. Кроме того, все сотрудники Майкрософт, базирующиеся в США, должны успешно пройти стандартную проверку биографических данных в рамках процесса найма. Дополнительные сведения об элементах управления, используемых для административного доступа в Microsoft 365, см. в разделе Управление учетными записями Microsoft 365.
• Microsoft 365 использует технологии на стороне службы, которые шифруют данные клиентов при хранении и передаче, включая BitLocker, Transport Layer Security (TLS) и Internet Protocol Security (IPsec). Подробные сведения о шифровании в Microsoft 365 см. в статье Технологии шифрования данных в Microsoft 365.

Вместе эти средства защиты обеспечивают надежные элементы управления логической изоляцией, обеспечивающие защиту и смягчение угроз, эквивалентные тем, которые обеспечиваются только физической изоляцией.

Изоляция данных и управление доступом

Microsoft Entra ID и Microsoft 365 используют очень сложную модель данных, включающую десятки служб, сотни сущностей, тысячи связей и десятки тысяч атрибутов. На высоком уровне Microsoft Entra ID и каталоги служб представляют собой контейнеры клиентов и получателей, которые синхронизируются с помощью протоколов репликации на основе состояния. Помимо данных каталога, хранящихся в Microsoft Entra ID, каждая из рабочих нагрузок службы имеет собственную инфраструктуру служб каталогов, как показано на следующей схеме.

В этой модели нет единого источника данных каталога. Конкретные системы владеют отдельными фрагментами данных, но ни одна система не хранит все данные. В этой модели данных службы Microsoft 365 взаимодействуют с Microsoft Entra ID. Microsoft Entra ID — это "система достоверности" для общих данных, которые обычно представляют собой небольшие статические данные, используемые каждой службой. Федеративная модель, используемая в Microsoft 365 и Microsoft Entra ID, обеспечивает общее представление данных.

Microsoft 365 использует как физическое хранилище, так и облачное хранилище Azure. Например, Exchange Online использует собственное хранилище для данных клиентов. SharePoint Online использует как хранилище SQL Server, так и хранилище Azure, поэтому требуется дополнительная изоляция данных клиентов на уровне хранилища.

Проверка знаний

Выберите лучший ответ на каждый из приведенных ниже вопросов.

Проверьте свои знания

1.

Какой из следующих элементов является ключевым аспектом изоляции клиента Microsoft 365?

Разделение данных

Архитектура, ориентированная на службы

Обеспечение оперативной безопасности

Вы должны ответить на все вопросы перед проверкой.