Aislamiento y Access Control de Microsoft 365 en Microsoft Entra ID

Microsoft Entra ID se diseñó para hospedar varios inquilinos de forma muy segura a través del aislamiento de datos lógicos. El acceso a Microsoft Entra ID está privado por una capa de autorización. Microsoft Entra ID aísla a los clientes que usan contenedores de inquilinos como límites de seguridad para proteger el contenido de un cliente de modo que los coinquilinos no puedan acceder al contenido ni ponerlo en peligro. Microsoft Entra capa de autorización realiza tres comprobaciones:

• ¿Está habilitada la entidad de seguridad para el acceso a Microsoft Entra inquilino?
• ¿Está habilitada la entidad de seguridad para el acceso a los datos de este inquilino?
• ¿Está autorizado el rol de la entidad de seguridad en este inquilino para el tipo de acceso a datos solicitado?

Ninguna aplicación, usuario, servidor o servicio puede acceder a Microsoft Entra ID sin la autenticación y el token o certificado adecuados. Las solicitudes se rechazan si no van acompañadas de las credenciales adecuadas.

De forma eficaz, Microsoft Entra ID hospeda cada inquilino en su propio contenedor protegido, con directivas y permisos para y dentro del contenedor que el inquilino solo posee y administra.

El concepto de contenedores de inquilinos está profundamente arraigado en el servicio de directorio en todas las capas, desde los portales hasta el almacenamiento persistente. Incluso cuando se almacenan varios metadatos de inquilino de Microsoft Entra en el mismo disco físico, no hay ninguna relación entre los contenedores que no sea lo que define el servicio de directorio, que a su vez lo dicta el administrador de inquilinos. No puede haber conexiones directas a Microsoft Entra almacenamiento desde ninguna aplicación o servicio solicitante sin pasar primero por la capa de autorización.

En el ejemplo siguiente, Contoso y Fabrikam tienen contenedores independientes y dedicados y, aunque esos contenedores pueden compartir parte de la misma infraestructura subyacente, como servidores y almacenamiento, permanecen separados y aislados entre sí, y están privados por capas de autorización y control de acceso.

Además, no hay componentes de aplicación que se puedan ejecutar desde dentro de Microsoft Entra ID y no es posible que un inquilino infrinja por la fuerza la integridad de otro inquilino, acceda a las claves de cifrado de otro inquilino o lea datos sin procesar del servidor.

De forma predeterminada, Microsoft Entra no permite todas las operaciones emitidas por identidades en otros inquilinos. Cada inquilino está aislado lógicamente dentro de Microsoft Entra ID a través de controles de acceso basados en notificaciones. Las lecturas y escrituras de datos de directorio tienen como ámbito contenedores de inquilinos y están protegidas por una capa de abstracción interna y una capa de control de acceso basado en rol (RBAC), que juntos aplican el inquilino como límite de seguridad. Estas capas procesan cada solicitud de acceso a datos de directorio y cada solicitud de acceso de Microsoft 365 se supervisa mediante la lógica anterior.

Microsoft Entra ID tiene particiones Norteamérica, gobierno de ee. UU., Unión Europea, Alemania y Todo el Mundo. Un inquilino existe en una sola partición y las particiones pueden contener varios inquilinos. La información de partición se abstrae de los usuarios. Una partición determinada (incluidos todos los inquilinos que contiene) se replica en varios centros de datos. La partición de un inquilino se elige en función de las propiedades del inquilino (por ejemplo, el código de país). Los secretos y otra información confidencial de cada partición se cifran con una clave dedicada. Las claves se generan automáticamente cuando se crea una nueva partición.

Microsoft Entra funcionalidades del sistema son una instancia única para cada sesión de usuario. Además, Microsoft Entra ID usa tecnologías de cifrado para proporcionar aislamiento de los recursos del sistema compartido en el nivel de red con el fin de evitar la transferencia no autorizada e no intencionada de información.