Sdílet prostřednictvím


Izolace a Access Control Microsoftu 365 v Microsoft Entra ID

Microsoft Entra ID byla navržena tak, aby hostovala více tenantů vysoce zabezpečeným způsobem díky izolaci logických dat. Přístup k Microsoft Entra ID je chráněn autorizační vrstvou. Microsoft Entra ID izoluje zákazníky, kteří používají kontejnery tenantů jako hranice zabezpečení, a chrání tak obsah zákazníka tak, aby k obsahu nemohli přistupovat nebo ho nemohli ohrozit spoluklienti. Vrstva autorizace Microsoft Entra provádí tři kontroly:

  • Je objekt zabezpečení povolený pro přístup k Microsoft Entra tenantovi?
  • Je objekt zabezpečení povolený pro přístup k datům v tomto tenantovi?
  • Je role objektu zabezpečení v tomto tenantovi autorizovaná pro požadovaný typ přístupu k datům?

Žádná aplikace, uživatel, server ani služba nemá přístup k Microsoft Entra ID bez správného ověřování a tokenu nebo certifikátu. Žádosti se zamítnou, pokud nejsou doprovázeny správnými přihlašovacími údaji.

Ve skutečnosti Microsoft Entra ID hostuje každého tenanta ve vlastním chráněném kontejneru se zásadami a oprávněními pro kontejner a v rámci kontejneru, které výhradně vlastní a spravuje tenant.

Kontejner Azure.

Koncept kontejnerů tenantů je hluboce zakořeněný v adresářové službě ve všech vrstvách, od portálů až po trvalé úložiště. I když je na stejném fyzickém disku uloženo více metadat tenanta Microsoft Entra, neexistuje mezi kontejnery žádný jiný vztah než to, co je definováno adresářovou službou, což zase diktuje správce tenanta. Žádná přímá připojení k úložišti Microsoft Entra z žádné aplikace nebo služby, která vyžaduje, nesmí existovat, aniž by nejprve prošla autorizační vrstvou.

V následujícím příkladu mají contoso a Fabrikam samostatné vyhrazené kontejnery, a i když tyto kontejnery můžou sdílet část stejné základní infrastruktury, jako jsou servery a úložiště, zůstávají oddělené a izolované od sebe a chráněné vrstvami autorizace a řízení přístupu.

Vyhrazené kontejnery Azure.

Kromě toho neexistují žádné komponenty aplikace, které by se mohly spouštět z Microsoft Entra ID, a není možné, aby jeden tenant vynuceně porušil integritu jiného tenanta, přistupoval k šifrovacím klíčům jiného tenanta nebo načítal nezpracovaná data ze serveru.

ve výchozím nastavení Microsoft Entra zakáže všechny operace vydané identitami v jiných tenantech. Každý tenant je logicky izolovaný v rámci Microsoft Entra ID prostřednictvím řízení přístupu na základě deklarací identity. Čtení a zápisy dat adresáře jsou vymezeny na kontejnery tenantů a jsou chráněny interní abstrakční vrstvou a vrstvou řízení přístupu na základě role (RBAC), které společně vynucují tenanta jako hranici zabezpečení. Tyto vrstvy zpracovávají každou žádost o přístup k datům adresáře a každá žádost o přístup v Microsoftu 365 je hlídaná předchozí logikou.

Microsoft Entra ID má Severní Amerika, vládu USA, Evropskou unii, Německo a oddíly world wide. Tenant existuje v jednom oddílu a oddíly můžou obsahovat více tenantů. Informace o oddílech se abstrahují od uživatelů. Daný oddíl (včetně všech tenantů v něm) se replikuje do několika datových center. Oddíl tenanta se vybírá na základě vlastností tenanta (například kód země). Tajné kódy a další citlivé informace v každém oddílu se šifrují pomocí vyhrazeného klíče. Klíče se vygenerují automaticky při vytvoření nového oddílu.

Microsoft Entra systémové funkce jsou pro každou uživatelskou relaci jedinečnou instancí. Kromě toho Microsoft Entra ID používá technologie šifrování k zajištění izolace sdílených systémových prostředků na úrovni sítě, aby se zabránilo neoprávněnému a nezamýšleným přenosům informací.