Freigeben über


Isolierung und Zugriffskontrolle in Microsoft 365

Microsoft Entra ID und Microsoft 365 verwenden ein hochkomplexes Datenmodell, das Dutzende von Diensten, Hunderte von Entitäten, Tausende von Beziehungen und Zehntausende von Attributen umfasst. Auf einer hohen Ebene sind Microsoft Entra ID und die Dienstverzeichnisse die Container von Mandanten und Empfängern, die über zustandsbasierte Replikationsprotokolle synchronisiert werden. Zusätzlich zu den Verzeichnisinformationen, die in Microsoft Entra ID gespeichert sind, verfügt jede der Dienstworkloads über eine eigene Verzeichnisdienstinfrastruktur.

Microsoft 365-Mandantendatensynchronisierung.

Bei diesem Modell gibt es keine einzige Quelle für Verzeichnisdaten. Bestimmte Systeme besitzen einzelne Daten, aber kein einziges System verfügt über alle Daten. In diesem Datenmodell arbeiten Microsoft 365-Dienste mit Microsoft Entra ID zusammen. Microsoft Entra ID ist das "System der Wahrheit" für gemeinsam genutzte Daten, bei denen es sich in der Regel um kleine und statische Daten handelt, die von jedem Dienst verwendet werden. Das Verbundmodell, das in Microsoft 365 und Microsoft Entra ID verwendet wird, liefert die gemeinsame Sicht auf die Daten.

Microsoft 365 verwendet sowohl physischen Speicher als auch Azure-Cloud-Speicher. Exchange Online (einschließlich Exchange Online Protection) und Skype for Business ihren eigenen Speicher für Kundendaten verwenden. SharePoint verwendet sowohl SQL Server-Speicher als auch Azure Storage, daher ist eine zusätzliche Isolation von Kundendaten auf Speicherebene erforderlich.

Exchange Online:

Exchange Online speichert Kundendaten in Postfächern. Postfächer werden in ESE-Datenbanken (Extensible Storage Engine) gehostet, die als Postfachdatenbanken bezeichnet werden. Dies schließt Benutzerpostfächer, verknüpfte Postfächer, freigegebene Postfächer und Postfächer für öffentliche Ordner ein. Benutzerpostfächer enthalten gespeicherte Skype for Business Inhalte, z. B. Konversationsverläufe.

Der Inhalt des Benutzerpostfachs umfasst Folgendes:

  • E-Mails und E-Mail-Anlagen
  • Kalender- und Frei/Gebucht-Informationen
  • Kontakte
  • Aufgaben
  • Anmerkungen
  • Gruppen
  • Rückschlussdaten

Jede Postfachdatenbank in Exchange Online enthält Postfächer aus mehreren Mandanten. Ein Autorisierungscode schützt jedes Postfach, einschließlich innerhalb eines Mandanten. Standardmäßig hat nur der zugewiesene Benutzer Zugriff auf ein Postfach. Die Zugriffssteuerungsliste (Access Control List, ACL), die ein Postfach sichert, enthält eine Identität, die von Microsoft Entra ID auf Mandantenebene authentifiziert wurde. Die Postfächer für jeden Mandanten sind auf Identitäten beschränkt, die beim Authentifizierungsanbieter des Mandanten authentifiziert sind, der nur Benutzer aus diesem Mandanten umfasst. Inhalte in Mandant A können von Benutzern in Mandant B in keiner Weise abgerufen werden, es sei denn, dies wurde explizit von Mandant A genehmigt.

Skype for Business

Skype for Business speichert Daten an verschiedenen Stellen:

  • Benutzer- und Kontoinformationen, einschließlich Verbindungsendpunkten, Mandanten-IDs, Wählplänen, Roamingeinstellungen, Anwesenheitsstatus, Kontaktlisten usw., werden auf den Skype for Business Active Directory-Servern und in verschiedenen Skype for Business Datenbankservern gespeichert. Kontaktlisten werden im Exchange Online Postfach des Benutzers gespeichert, wenn der Benutzer für beide Produkte aktiviert ist, oder auf Skype for Business Servern, falls der Benutzer dies nicht getan hat. Skype for Business Datenbankserver werden nicht pro Mandant partitioniert, aber die Mehrinstanzenfähigkeitsisolation von Daten wird durch die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) erzwungen.
  • Besprechungsinhalte und hochgeladene Daten werden auf DFS-Freigaben (Distributed File System) gespeichert. Dieser Inhalt kann auch in Exchange Online archiviert werden, wenn diese Option aktiviert ist. Die DFS-Freigaben sind nicht pro Mandant partitioniert. Der Inhalt wird mit ACLs gesichert, und die Mehrinstanzenfähigkeit wird über RBAC erzwungen.
  • Anrufdetailseite, d. h. der Aktivitätsverlauf, z. B. Anrufverlauf, Chatsitzungen, Anwendungsfreigabe, Chatverlauf usw., können auch in Exchange Online gespeichert werden, aber die meisten Anrufdetailsdatensätze werden vorübergehend auf CdR-Servern (Call Detail Record) gespeichert. Inhalte werden nicht pro Mandant partitioniert, aber die Mehrinstanzenfähigkeit wird durch RBAC erzwungen.

SharePoint

SharePoint verfügt über mehrere unabhängige Mechanismen, die datenisoliert werden. Objekte werden als abstrahierten Code in Anwendungsdatenbanken gespeichert. Wenn ein Benutzer beispielsweise eine Datei in SharePoint hochlädt, wird die Datei disassembliert, in Anwendungscode übersetzt und in mehreren Tabellen über mehrere Datenbanken hinweg gespeichert.

Wenn ein Benutzer direkten Zugriff auf den Speicher erhalten könnte, der die Daten enthält, kann der Inhalt nicht für einen Menschen oder ein anderes System als SharePoint interpretiert werden. Zu diesen Mechanismen gehören die Sicherheitszugriffssteuerung und -eigenschaften. Alle SharePoint-Ressourcen werden durch den Autorisierungscode und die RBAC-Richtlinie geschützt, auch innerhalb eines Mandanten. Die Zugriffssteuerungsliste (Access Control List, ACL), die eine Ressource schützt, enthält eine Identität, die auf Mandantenebene authentifiziert wurde. SharePoint-Daten für einen Mandanten sind auf Identitäten beschränkt, die vom Authentifizierungsanbieter für den Mandanten authentifiziert wurden.

Zusätzlich zu den ACLs wird eine Eigenschaft auf Mandantenebene, die den Authentifizierungsanbieter (der mandantenspezifische Microsoft Entra ID) angibt, einmal geschrieben und kann nach dem Festlegen nicht mehr geändert werden. Nachdem die Mandanteneigenschaft des Authentifizierungsanbieters für einen Mandanten festgelegt wurde, kann sie nicht mithilfe von APIs geändert werden, die für einen Mandanten verfügbar gemacht werden.

Für jeden Mandanten wird eine eindeutige SubscriptionId verwendet. Alle Kundenwebsites befinden sich im Besitz eines Mandanten und weisen eine für den Mandanten eindeutige SubscriptionId zu. Die SubscriptionId-Eigenschaft auf einer Website wird einmal geschrieben und ist dauerhaft. Nach der Zuweisung zu einem Mandanten kann eine Website nicht in einen anderen Mandanten verschoben werden. Die SubscriptionId ist der Schlüssel, der zum Erstellen des Sicherheitsbereichs für den Authentifizierungsanbieter verwendet wird und an den Mandanten gebunden ist.

SharePoint verwendet SQL Server und Azure Storage zum Speichern von Inhaltsmetadaten. Der Partitionsschlüssel für den Inhaltsspeicher ist SiteId in SQL. Beim Ausführen einer SQL-Abfrage verwendet SharePoint eine SiteId , die im Rahmen einer SubscriptionId-Überprüfung auf Mandantenebene überprüft wurde.

SharePoint speichert verschlüsselte Dateiinhalte in Microsoft Azure-Blobs. Jede SharePoint-Farm verfügt über ein eigenes Microsoft Azure-Konto, und alle in Azure gespeicherten Blobs werden einzeln mit einem Schlüssel verschlüsselt, der im SQL-Inhaltsspeicher gespeichert ist. Der Verschlüsselungsschlüssel, der im Code durch die Autorisierungsebene geschützt und nicht direkt für den Endbenutzer verfügbar gemacht wird. SharePoint verfügt über eine Echtzeitüberwachung, um zu erkennen, wann eine HTTP-Anforderung Daten für mehrere Mandanten liest oder schreibt. Die Anforderungsidentität SubscriptionId wird anhand der SubscriptionId der Ressource nachverfolgt, auf die zugegriffen wird. Anforderungen für den Zugriff auf Ressourcen von mehr als einem Mandanten sollten niemals von Endbenutzern erfolgen. Dienstanforderungen in einer mehrinstanzenfähigen Umgebung sind die einzige Ausnahme. Der Suchcrawler pullt z. B. Inhaltsänderungen für eine gesamte Datenbank auf einmal. Dies umfasst in der Regel das Abfragen von Websites von mehr als einem Mandanten in einer einzelnen Dienstanforderung, was aus Effizienzgründen erfolgt.

Teams

Ihre Teams-Daten werden je nach Inhaltstyp unterschiedlich gespeichert.

Eine ausführliche Diskussion finden Sie in der Ignite-Breakoutsitzung zur Microsoft Teams-Architektur .

Kernkundendaten von Teams

Wenn Ihr Mandant in Australien, Kanada, der Europäischen Union, Frankreich, Deutschland, Indien, Japan, Südafrika, Südkorea, der Schweiz (einschließlich Liechtenstein), den Vereinigten Arabischen Emiraten, dem Vereinigten Königreich oder dem USA bereitgestellt wird, speichert Microsoft die folgenden Kundendaten im Ruhezustand nur an diesem Standort:

  • Teams-Chats, Team- und Kanalunterhaltungen, Bilder, Voicemailnachrichten und Kontakte.
  • SharePoint-Websiteinhalte und die auf dieser Website gespeicherten Dateien.
  • Dateien, die für Arbeit oder Schule auf OneDrive hochgeladen werden.

Chat, Kanalnachrichten, Teamstruktur

Jedes Team in Teams wird von einer Microsoft 365-Gruppe und deren SharePoint-Website und Exchange-Postfach unterstützt. Private Chats (einschließlich Gruppenchats), Nachrichten, die als Teil einer Unterhaltung in einem Kanal gesendet werden, sowie die Struktur von Teams und Kanälen werden in einem In Azure ausgeführten Chatdienst gespeichert. Die Daten werden auch in einem ausgeblendeten Ordner in den Benutzer- und Gruppenpostfächern gespeichert, um Information Protection Features zu aktivieren.

Voicemail und Kontakte

Voicemails werden in Exchange gespeichert. Kontakte werden im Exchange-basierten Clouddatenspeicher gespeichert. Exchange und der Exchange-basierte Cloudspeicher bieten bereits Datenresidenz in jedem der geografischen Regionen des weltweiten Rechenzentrums. Für alle Teams werden Voicemail und Kontakte im Land für Australien, Kanada, Frankreich, Deutschland, Indien, Japan, die Vereinigten Arabischen Emirate, das Vereinigte Königreich, Südafrika, Südkorea, die Schweiz (einschließlich Liechtenstein) und die USA gespeichert. Für alle anderen Länder/Regionen werden Dateien basierend auf der Mandantenaffinität in den USA, Europa oder Asia-Pacific Speicherort gespeichert.

Bilder und Medien

Medien, die in Chats verwendet werden (mit Ausnahme von Giphy-GIFs, die nicht gespeichert werden, aber ein Verweis auf die ursprüngliche Giphy-Dienst-URL sind, Giphy ist ein Nicht-Microsoft-Dienst) werden in einem Azure-basierten Mediendienst gespeichert, der an denselben Speicherorten wie der Chatdienst bereitgestellt wird.

Dateien

Dateien (einschließlich OneNote und Wiki), die jemand in einem Kanal freigibt, werden auf der SharePoint-Website des Teams gespeichert. Dateien, die in einem privaten Chat oder Chat während einer Besprechung oder eines Anrufs freigegeben wurden, werden hochgeladen und im OneDrive für Geschäfts-, Schul- oder Unikonto des Benutzers gespeichert, der die Datei freigibt. Exchange, SharePoint und OneDrive bieten bereits Datenresidenz in allen geografischen Regionen des weltweiten Rechenzentrums. Daher sind für vorhandene Kunden alle Dateien, OneNote-Notizbücher, Teams-Wiki-Inhalte und Postfächer, die Teil der Teams-Erfahrung sind, bereits auf der Grundlage Ihrer Mandantenaffinität am Speicherort gespeichert. Dateien werden im Land für Australien, Kanada, Frankreich, Deutschland, Indien, Japan, die Vereinigten Arabischen Emirate, das Vereinigte Königreich, Südafrika, Südkorea und die Schweiz (einschließlich Liechtenstein) gespeichert. Für alle anderen Länder/Regionen werden Dateien basierend auf der Mandantenaffinität in den USA, Europa oder Asien-Pazifik gespeichert.