Sdílet prostřednictvím


Zabezpečení pro Microsoft 365 pro velké organizace

Microsoft 365 pro velké organizace se řídí všemi osvědčenými postupy a postupy zabezpečení, jako jsou zabezpečení na úrovni služeb prostřednictvím hloubkové ochrany, kontroly zákazníků v rámci služeb, posílení zabezpečení a osvědčené provozní postupy. Úplné podrobnosti najdete v Centru zabezpečení Microsoftu a dodržování předpisů Microsoftu.

Důvěryhodná už od návrhu

Microsoft 365 je navržený a vyvinutý v souladu s životním cyklem SDL (Microsoft Trustworthy Computing Security Development Lifecycle), který je popsaný v tématu Microsoft Security Development Lifecycle (SDL). Prvním krokem při vytváření bezpečnějšího systému sjednocené komunikace, spolupráce a produktivity bylo navrhnout modely hrozeb a otestovat jednotlivé funkce tak, jak byly navrženy. Do procesu kódování a postupů bylo integrováno několik vylepšení souvisejících se zabezpečením. Nástroje při sestavení detekují přetečení vyrovnávací paměti a další potenciální bezpečnostní hrozby před tím, než se kód přihlásí ke kontrole konečného produktu. Není možné navrhovat proti všem neznámým bezpečnostním hrozbám. Žádný systém nemůže zaručit úplné zabezpečení. Vzhledem k tomu, že vývoj produktů od samého počátku využívá principy bezpečného návrhu, microsoft 365 jako základní součást své architektury zahrnuje standardní oborové technologie zabezpečení.

Architektura zabezpečení pro Microsoft 365

Microsoft 365 podporuje myšlenky zabezpečení, jako je nulová důvěra (Zero Trust), a principy přístupu s nejnižšími oprávněními. Tato část obsahuje přehled základních prvků, které tvoří architekturu zabezpečení pro Microsoft 365.

Mezi základní prvky patří:

  • Microsoft Entra ID, která poskytuje jedno důvěryhodné back-endové úložiště pro uživatelské účty. Informace o profilu uživatele se ukládají do Microsoft Entra ID prostřednictvím akcí Microsoft Graphu.
    • Při trasování síťového provozu může být vydáno více tokenů, které se můžou zobrazit.
  • Protokol TLS (Transport Layer Security) šifruje kanál v pohybu. Ověřování se provádí pomocí vzájemného protokolu TLS (MTLS), založeného na certifikátech nebo ověřování mezi službami na základě Microsoft Entra ID.
  • Streamy zvuku, videa a sdílení aplikací typu point-to-point jsou šifrované a integrita se kontroluje pomocí protokolu SRTP (Secure Real-Time Transport Protocol).
  • V trasování uvidíte provoz OAuth, zejména kolem výměn tokenů a vyjednávání oprávnění při přepínání mezi kartami v Teams, například při přechodu z příspěvků na soubory. Příklad toku OAuth pro karty najdete v tomto dokumentu.
  • Microsoft 365 používá k ověřování uživatelů standardní protokoly, kdykoli je to možné.

Microsoft Entra ID

Microsoft Entra ID funguje jako adresářová služba pro Microsoft 365 a Office 365. Ukládá všechny informace o uživatelích a adresářích aplikací a přiřazení zásad.

Šifrování v Microsoftu 365

V Microsoftu 365 funguje několik vrstev šifrování, které chrání obsah vaší organizace. Přehled šifrování v Microsoftu 365 najdete v tématu Šifrování v Microsoftu 365.

Ověřování uživatelů a klientů

Důvěryhodný uživatel je ten, jehož přihlašovací údaje byly ověřeny Microsoft Entra ID v Microsoft 365 nebo Office 365.

Ověřování je poskytnutí přihlašovacích údajů uživatele důvěryhodnému serveru nebo službě. Microsoft 365 používá následující ověřovací protokoly v závislosti na stavu a umístění uživatele.

  • Moderní ověřování (MA) je implementace OAUTH 2.0 od Microsoftu pro komunikaci mezi klientem a serverem. Umožňuje funkce zabezpečení, jako je vícefaktorové ověřování a podmíněný přístup. Pokud chcete použít ma, musí být pro online tenanta i klienty povolené ma. Klienti Microsoft 365 na počítačích a mobilních zařízeních a weboví klienti podporují ma.

Poznámka

Pokud potřebujete další informace o metodách ověřování a ověřování Microsoft Entra, pomůže vám tento článek v částech Úvod a Základy ověřování v Microsoft Entra ID.

Ověřování Microsoft 365 se provádí prostřednictvím Microsoft Entra ID a OAuth. Proces ověřování lze zjednodušit tak, aby:

  • Vystavení tokenu > přihlášení > uživatele při příštím požadavku použijte vystavený token.

Požadavky klientů na cloudové služby jsou ověřovány a autorizovány Microsoft Entra ID pomocí OAuth. Uživatelé s platnými přihlašovacími údaji vydanými federovaným partnerem jsou důvěryhodní a procházejí stejným procesem jako nativní uživatelé. Správci ale můžou zavést další omezení.

Pro ověřování médií používají protokoly ICE a TURN také výzvu Digest, jak je popsáno v dokumentu RFC IETF TURN.

Zabezpečení koncových bodů

Microsoft sjednocuje aplikace a služby Microsoft 365 pro uživatele do jedné a konzistentní domény: **cloud.microsoft**.

Růst cloudových služeb Microsoftu vedl k rozšíření doménového prostoru, který zabírají, což vedlo ke stovkám domén. Tato fragmentace je výzvou pro navigaci koncových uživatelů, zjednodušení správy a vývoj prostředí napříč aplikacemi.

Doména *.microsoft* nejvyšší úrovně je výhradní pro Microsoft. Nová doména nemá na konci tradiční přípony, jako je .com nebo .net. To je tak přednastaveno. cloud.microsoft se nachází v doméně .microsoft nejvyšší úrovně, pro kterou je Microsoft operátorem registru a jediným žadatelem o registraci. Tato doména umožňuje dodatečné zabezpečení, ochranu osobních údajů a ochranu před falšováním identity při interakci s aplikacemi v rámci této domény. Můžete důvěřovat tomu, že jakýkoliv web nebo aplikace, na který končí, je oficiálním produktem cloud.microsoft nebo službou Microsoftu.

Další informace najdete v tématu Sjednocená doména cloud.microsoft pro aplikace Microsoft 365.

Top 12 tasks for security teams to support working from home

Centrum zabezpečení Microsoftu

Optimalizace připojení Microsoftu 365 nebo Office 365 pro vzdálené uživatele s využitím rozděleného tunelového propojení VPN

Principy fungování zabezpečení v Microsoft Viva

Přehled průvodce zabezpečením pro Microsoft Teams

Zabezpečení v Microsoft Teams

Zabezpečení operačního systému Windows

Dynamics 365 zabezpečení

Zabezpečení v Microsoft Cloud for Retail