عزل Microsoft 365 والتحكم في الوصول في Azure Active Directory

  • مقالة
  • قراءة خلال 2 دقائق

تم تصميم Azure Active Directory (Azure AD) لاستضافة عدة مستأجرين بطريقة آمنة للغاية من خلال عزل البيانات المنطقية. يتم بوابات الوصول إلى Azure AD بواسطة طبقة تخويل. Azure AD عزل العملاء الذين يستخدمون حاويات المستأجرين كحدود أمان لحماية محتوى العميل بحيث لا يمكن الوصول إلى المحتوى أو اختراقه من قبل المستأجرين المشاركين. يتم إجراء ثلاثة عمليات فحص بواسطة طبقة تخويل Azure AD:

  • هل يتم تمكين الأساسي للوصول إلى مستأجر Azure AD؟
  • هل يتم تمكين الأساسي للوصول إلى البيانات في هذا المستأجر؟
  • هل دور الأساسي في هذا المستأجر مصرح به لنوع الوصول إلى البيانات المطلوبة؟

لا يمكن لأي تطبيق أو مستخدم أو خادم أو خدمة الوصول إلى Azure AD دون المصادقة المناسبة والرمز المميز أو الشهادة. يتم رفض الطلبات إذا لم تكن مصحوبة ببيانات اعتماد مناسبة.

بشكل فعال، يستضيف Azure AD كل مستأجر في الحاوية المحمية الخاصة به، مع نهج وأذونات من داخل الحاوية المملوكة والمدارة فقط من قبل المستأجر وداخلها.

حاوية Azure.

مفهوم حاويات المستأجر متأصل بعمق في خدمة الدليل في جميع الطبقات، من المداخل وصولا إلى التخزين المستمر. حتى عندما يتم تخزين بيانات تعريف مستأجر Azure AD متعددة على نفس القرص الفعلي، لا توجد علاقة بين الحاويات بخلاف ما يتم تعريفه بواسطة خدمة الدليل، والتي بدورها يتم إملاءها من قبل مسؤول المستأجر. لا يمكن أن تكون هناك اتصالات مباشرة بالتخزين Azure AD من أي تطبيق أو خدمة تطلبها دون المرور أولا عبر طبقة التخويل.

في المثال أدناه، تحتوي كل من Contoso وFabrikam على حاويات منفصلة ومخصصة، وعلى الرغم من أن هذه الحاويات قد تشترك في بعض من نفس البنية الأساسية، مثل الخوادم والتخزين، فإنها تظل منفصلة ومعزولة عن بعضها البعض، ويتم بواباتها بواسطة طبقات من التخويل والتحكم في الوصول.

حاويات Azure المخصصة.

بالإضافة إلى ذلك، لا توجد مكونات تطبيق يمكن تنفيذها من داخل Azure AD، ولا يمكن لمستأجر واحد خرق تكامل مستأجر آخر قسرا، أو الوصول إلى مفاتيح التشفير لمستأجر آخر، أو قراءة البيانات الأولية من الخادم.

بشكل افتراضي، Azure AD لا يسمح بجميع العمليات الصادرة عن الهويات في المستأجرين الآخرين. يتم عزل كل مستأجر منطقيا داخل Azure AD من خلال عناصر التحكم في الوصول المستندة إلى المطالبات. يتم تحديد نطاق قراءات وكتابات بيانات الدليل إلى حاويات المستأجر، ويتم وضعها في بوابات بواسطة طبقة تجريد داخلية وطبقة التحكم في الوصول استنادا إلى الدور (RBAC)، والتي تفرض المستأجر معا كحد أمان. تتم معالجة كل طلب وصول إلى بيانات الدليل بواسطة هذه الطبقات ويتم ضبط كل طلب وصول في Microsoft 365 من خلال المنطق أعلاه.

يحتوي Azure AD على أقسام أمريكا الشمالية والحكومة الأمريكية والاتحاد الأوروبي وألمانيا وواسع النطاق العالمي. يوجد مستأجر في قسم واحد، ويمكن أن تحتوي الأقسام على مستأجرين متعددين. يتم تجريد معلومات القسم بعيدا عن المستخدمين. يتم نسخ قسم معين (بما في ذلك جميع المستأجرين داخله) إلى مراكز بيانات متعددة. يتم اختيار قسم المستأجر استنادا إلى خصائص المستأجر (على سبيل المثال، رمز البلد). يتم تشفير البيانات السرية والمعلومات الحساسة الأخرى في كل قسم باستخدام مفتاح مخصص. يتم إنشاء المفاتيح تلقائيا عند إنشاء قسم جديد.

Azure AD وظائف النظام هي مثيل فريد لكل جلسة مستخدم. بالإضافة إلى ذلك، يستخدم Azure AD تقنيات التشفير لتوفير عزل موارد النظام المشتركة على مستوى الشبكة لمنع النقل غير المصرح به وغير المقصود للمعلومات.