عزل Microsoft 365 والتحكم في الوصول في معرف Microsoft Entra

تم تصميم معرف Microsoft Entra لاستضافة مستأجرين متعددين بطريقة آمنة للغاية من خلال عزل البيانات المنطقية. يتم بوابات الوصول إلى معرف Microsoft Entra بواسطة طبقة تخويل. يعزل معرف Microsoft Entra العملاء الذين يستخدمون حاويات المستأجرين كحدود أمان لحماية محتوى العميل بحيث لا يمكن الوصول إلى المحتوى أو اختراقه من قبل المستأجرين المشاركين. يتم إجراء ثلاثة عمليات فحص بواسطة طبقة التخويل Microsoft Entra:

  • هل يتم تمكين الأساسي للوصول إلى مستأجر Microsoft Entra؟
  • هل يتم تمكين الأساسي للوصول إلى البيانات في هذا المستأجر؟
  • هل دور الأساسي في هذا المستأجر مصرح به لنوع الوصول إلى البيانات المطلوبة؟

لا يمكن لأي تطبيق أو مستخدم أو خادم أو خدمة الوصول إلى معرف Microsoft Entra دون المصادقة المناسبة والرمز المميز أو الشهادة. يتم رفض الطلبات إذا لم تكن مصحوبة ببيانات اعتماد مناسبة.

بشكل فعال، يستضيف معرف Microsoft Entra كل مستأجر في الحاوية المحمية الخاصة به، مع نهج وأذونات من داخل الحاوية المملوكة والمدارة فقط من قبل المستأجر وداخلها.

حاوية Azure.

مفهوم حاويات المستأجر متأصل بعمق في خدمة الدليل في جميع الطبقات، من المداخل وصولا إلى التخزين المستمر. حتى عند تخزين بيانات تعريف مستأجر Microsoft Entra متعددة على نفس القرص الفعلي، لا توجد علاقة بين الحاويات بخلاف ما يتم تعريفه بواسطة خدمة الدليل، والتي بدورها يتم إملاءها من قبل مسؤول المستأجر. لا يمكن أن تكون هناك اتصالات مباشرة بالتخزين Microsoft Entra من أي تطبيق أو خدمة تطلبها دون المرور أولا عبر طبقة التخويل.

في المثال أدناه، تحتوي كل من Contoso وFabrikam على حاويات منفصلة ومخصصة، وعلى الرغم من أن هذه الحاويات قد تشترك في بعض من نفس البنية الأساسية، مثل الخوادم والتخزين، فإنها تظل منفصلة ومعزولة عن بعضها البعض، وممسوحة بطبقات من التخويل والتحكم في الوصول.

حاويات Azure المخصصة.

بالإضافة إلى ذلك، لا توجد مكونات تطبيق يمكن تنفيذها من داخل معرف Microsoft Entra، ولا يمكن لمستأجر واحد خرق تكامل مستأجر آخر قسرا، أو الوصول إلى مفاتيح التشفير لمستأجر آخر، أو قراءة البيانات الأولية من الخادم.

بشكل افتراضي، Microsoft Entra لا يسمح بجميع العمليات الصادرة عن الهويات في المستأجرين الآخرين. يتم عزل كل مستأجر منطقيا داخل معرف Microsoft Entra من خلال عناصر التحكم في الوصول المستندة إلى المطالبات. يتم تحديد نطاق قراءات وكتابات بيانات الدليل إلى حاويات المستأجر، ويتم وضعها في بوابات بواسطة طبقة تجريد داخلية وطبقة التحكم في الوصول استنادا إلى الدور (RBAC)، والتي تفرض المستأجر معا كحد أمان. تتم معالجة كل طلب وصول إلى بيانات الدليل بواسطة هذه الطبقات ويتم ضبط كل طلب وصول في Microsoft 365 من خلال المنطق أعلاه.

يحتوي Microsoft Entra ID على أقسام أمريكا الشمالية والحكومة الأمريكية والاتحاد الأوروبي وألمانيا وواسع النطاق العالمي. يوجد مستأجر في قسم واحد، ويمكن أن تحتوي الأقسام على مستأجرين متعددين. يتم تجريد معلومات القسم بعيدا عن المستخدمين. يتم نسخ قسم معين (بما في ذلك جميع المستأجرين داخله) إلى مراكز بيانات متعددة. يتم اختيار قسم المستأجر استنادا إلى خصائص المستأجر (على سبيل المثال، رمز البلد). يتم تشفير البيانات السرية والمعلومات الحساسة الأخرى في كل قسم باستخدام مفتاح مخصص. يتم إنشاء المفاتيح تلقائيا عند إنشاء قسم جديد.

Microsoft Entra وظائف النظام هي مثيل فريد لكل جلسة مستخدم. بالإضافة إلى ذلك، يستخدم معرف Microsoft Entra تقنيات التشفير لتوفير عزل موارد النظام المشتركة على مستوى الشبكة لمنع النقل غير المصرح به وغير المقصود للمعلومات.