Microsoft 365:n eristäminen ja Käyttöoikeuksien hallinta Azure Active Directoryssa

  • Artikkeli
  • 2 minuutin lukuaika

Azure Active Directory (Azure AD) on suunniteltu isännöimään useita vuokraajia erittäin turvallisesti loogisen tietojen eristämisen kautta. Käyttöoikeustaso on hiljentänyt Azure AD. Azure AD eristää vuokraajan säilöjä käyttävät asiakkaat suojausrajoiksi ja suojaa asiakkaan sisällön niin, että yhteisvuokraajat eivät voi käyttää sisältöä tai vaarantaa sitä. Azure AD valtuutuskerros suorittaa kolme tarkistusta:

  • Onko pääkäyttäjällä oikeus käyttää Azure AD vuokraajaa?
  • Onko pääkäyttäjällä oikeus käyttää tämän vuokraajan tietoja?
  • Onko pääkäyttäjän roolilla tässä vuokraajassa oikeudet pyydettyihin tietoihin?

Mikään sovellus, käyttäjä, palvelin tai palvelu ei voi käyttää Azure AD ilman asianmukaista todentamista ja tunnusta tai varmennetta. Pyynnöt hylätään, jos niihin ei liity asianmukaisia tunnistetietoja.

Käytännössä Azure AD isännöivät kutakin vuokraajaa omassa suojatussa säilössä käytännöillä ja käyttöoikeuksilla säilöön ja sen sisällä, joka on vuokraajan yksinomaan omistama ja hallitsema.

Azure-säilö.

Vuokraajan säilöjen käsite on juurtunut syvälle hakemistopalveluun kaikilla tasoilla portaaleista pysyvään tallennustilaan asti. Vaikka usean Azure AD vuokraajan metatiedot on tallennettu samalle fyysiselle levylle, säilöjen välillä ei ole muita kuin hakemistopalvelun määrittämät suhteet, jotka vuokraajan järjestelmänvalvoja puolestaan määrää. Suoria yhteyksiä Azure AD tallennustilaan ei voi olla mistään pyytävästä sovelluksesta tai palvelusta ilman, että ensin siirryt valtuutuskerroksen läpi.

Alla olevassa esimerkissä Contosolla ja Fabrikamilla on sekä erilliset erilliset säilöt, ja vaikka näillä säilöillä voi olla yhteinen osa samasta pohjana olevasta infrastruktuurista, kuten palvelimet ja tallennustila, ne pysyvät erillään toisistaan ja eristettyinä toisistaan sekä suojattuna käyttöoikeuksien myöntämis- ja käyttöoikeuksien valvontakerroksilla.

Azurelle varatut säilöt.

Lisäksi ei ole sovellusosia, joita voidaan suorittaa Azure AD sisällä, eikä yksi vuokraaja voi väkisin rikkoa toisen vuokraajan eheyttä, käyttää toisen vuokraajan salausavaimia tai lukea raakatietoja palvelimesta.

Oletusarvon mukaan Azure AD estää kaikki käyttäjätietojen myöntämät toiminnot muissa vuokraajissa. Jokainen vuokraaja on loogisesti eristetty Azure AD sisällä väitepohjaisten käyttöoikeuksien ohjausobjektien avulla. Hakemistotietojen lukeminen ja kirjoittaminen on suodatettu vuokraajan säilöihin, ja ne aidataan sisäisellä abstraktiokerroksella ja roolipohjaisella käytönvalvontakerroksella (RBAC), joka yhdessä pakottaa vuokraajan suojausrajaksi. Nämä tasot käsittelevät kaikki hakemistotietojen käyttöpyynnöt, ja yllä oleva logiikka valvoo kaikkia Microsoft 365:n käyttöoikeuspyyntöjä.

Azure AD on Pohjois-Amerikka, Yhdysvaltain hallitus, Euroopan unioni, Saksa ja maailmanlaajuiset osiot. Vuokraaja on olemassa yhdessä osiossa, ja osiot voivat sisältää useita vuokraajia. Osion tiedot on abstrakoitu käyttäjiltä. Tietty osio (mukaan lukien kaikki sen sisältämät vuokraajat) replikoidaan useisiin palvelinkeskuksiin. Vuokraajan osio valitaan vuokraajan ominaisuuksien (esim. maakoodin) perusteella. Kunkin osion salaisuudet ja muut luottamukselliset tiedot salataan varatulla avaimella. Avaimet luodaan automaattisesti, kun uusi osio luodaan.

Azure AD järjestelmätoiminnot ovat yksilöllinen esiintymä jokaiselle käyttäjäistunnolle. Lisäksi Azure AD käyttää salaustekniikoita eristääkseen jaetut järjestelmäresurssit verkkotasolla luvattoman ja tahattoman tiedonsiirron estämiseksi.