Isolamento e controllo di accesso in Microsoft 365

Microsoft Entra ID e Microsoft 365 utilizzano un modello di dati molto complesso che comprende decine di servizi, centinaia di entità, migliaia di relazioni e decine di migliaia di attributi. Ad alto livello, Microsoft Entra ID e le directory dei servizi sono i contenitori dei tenant e dei destinatari mantenuti sincronizzati mediante protocolli di replica basati sullo stato. Oltre alle informazioni sulla directory contenute all'interno di Microsoft Entra ID, ognuno dei carichi di lavoro del servizio dispone di una propria infrastruttura di servizi directory.

In questo modello, non esiste un'unica fonte di dati della directory. I sistemi specifici possiedono singoli pezzi di dati, ma nessun sistema detiene tutti i dati. I servizi Microsoft 365 collaborano con Microsoft Entra ID in questo modello di dati. Microsoft Entra ID è il "sistema di verità" per i dati condivisi, che in genere sono dati statici e di piccole dimensioni utilizzati da ogni servizio. Il modello federato utilizzato in Microsoft 365 e Microsoft Entra ID fornisce una visione condivisa dei dati.

Microsoft 365 utilizza sia l'archiviazione fisica che quella nel cloud Azure. Exchange Online (inclusi i Exchange Online Protection) e Skype for Business usare la propria risorsa di archiviazione per i dati dei clienti. SharePoint usa sia l'archiviazione SQL Server che Archiviazione di Azure, quindi è necessario un isolamento aggiuntivo dei dati dei clienti a livello di archiviazione.

Exchange Online

Exchange Online archivia i dati dei clienti nelle cassette postali. Le cassette postali sono ospitate nei database ESE (Extensible Storage Engine) denominati database delle cassette postali. Sono incluse le cassette postali utente, le cassette postali collegate, le cassette postali condivise e le cassette postali delle cartelle pubbliche. Le cassette postali utente includono il contenuto Skype for Business salvato, ad esempio le cronologie delle conversazioni.

Il contenuto della cassetta postale utente include:

• Messaggi di posta elettronica e allegati di posta elettronica
• Calendario e informazioni sulla disponibilità
• Contatti
• Attività
• Note
• Gruppi
• Dati di inferenza

Ogni database delle cassette postali all'interno di Exchange Online contiene cassette postali di più tenant. Un codice di autorizzazione protegge ogni cassetta postale, anche all'interno di una tenancy. Per impostazione predefinita, solo l'utente assegnato ha accesso a una cassetta postale. L'elenco di controllo di accesso (ACL) che protegge una cassetta postale contiene un'identità autenticata da Microsoft Entra ID a livello di tenant. Le cassette postali per ogni tenant sono limitate alle identità autenticate nel provider di autenticazione del tenant, che include solo gli utenti di tale tenant. Il contenuto nel tenant A non può in alcun modo essere ottenuto dagli utenti nel tenant B, a meno che non sia esplicitamente approvato dal tenant A.

Skype for Business

Skype for Business archivia i dati in diverse posizioni:

• Le informazioni sull'utente e sull'account, che includono endpoint di connessione, ID tenant, dial plan, impostazioni mobili, stato di presenza, elenchi di contatti e così via, vengono archiviate nei server Skype for Business Active Directory e in vari server di database Skype for Business. Gli elenchi di contatti vengono archiviati nella cassetta postale Exchange Online dell'utente se l'utente è abilitato per entrambi i prodotti o nei server Skype for Business se l'utente non lo è. Skype for Business server di database non è partizionato per tenant, ma l'isolamento multi-tenancy dei dati viene applicato tramite il controllo degli accessi in base al ruolo.
• Il contenuto della riunione e i dati caricati vengono archiviati nelle condivisioni DFS (Distributed File System). Questo contenuto può essere archiviato anche in Exchange Online se abilitato. Le condivisioni DFS non sono partizionate per tenant. il contenuto è protetto con ACL e la multi-tenancy viene applicata tramite controllo degli accessi in base al ruolo.
• I record dei dettagli delle chiamate, che rappresentano la cronologia attività, ad esempio la cronologia delle chiamate, le sessioni di messaggistica istantanea, la condivisione delle applicazioni, la cronologia messaggistica istantanea e così via, possono essere archiviati anche in Exchange Online, ma la maggior parte dei record dettagli chiamata viene archiviata temporaneamente nei server dei record dettagli chiamata. Il contenuto non è partizionato per ogni tenant, ma la multi-tenancy viene applicata tramite controllo degli accessi in base al ruolo.

SharePoint

SharePoint dispone di diversi meccanismi indipendenti che forniscono l'isolamento dei dati. Archivia gli oggetti come codice astratto all'interno dei database dell'applicazione. Ad esempio, quando un utente carica un file in SharePoint, il file viene disassemblato, convertito in codice dell'applicazione e archiviato in più tabelle in più database.

Se un utente può ottenere l'accesso diretto all'archiviazione contenente i dati, il contenuto non è interpretabile per un utente o un sistema diverso da SharePoint. Questi meccanismi includono il controllo degli accessi di sicurezza e le proprietà. Tutte le risorse di SharePoint sono protette dal codice di autorizzazione e dai criteri di controllo degli accessi in base al ruolo, anche all'interno di una tenancy. L'elenco di controllo di accesso (ACL) che protegge una risorsa contiene un'identità autenticata a livello di tenant. I dati di SharePoint per un tenant sono limitati alle identità autenticate dal provider di autenticazione per il tenant.

Oltre agli elenchi di controllo di accesso, una proprietà a livello di tenant che specifica il provider di autenticazione (ovvero il Microsoft Entra ID specifico del tenant), viene scritta una sola volta e non può essere modificata una volta impostata. Dopo aver impostato la proprietà del tenant del provider di autenticazione per un tenant, non è possibile modificarla usando le API esposte a un tenant.

Per ogni tenant viene usato un SubscriptionId univoco. A tutti i siti dei clienti è di proprietà di un tenant e viene assegnato un SubscriptionId univoco al tenant. La proprietà SubscriptionId in un sito viene scritta una sola volta ed è permanente. Una volta assegnato a un tenant, un sito non può essere spostato in un tenant diverso. SubscriptionId è la chiave usata per creare l'ambito di sicurezza per il provider di autenticazione ed è associato al tenant.

SharePoint usa SQL Server e Archiviazione di Azure per l'archiviazione dei metadati del contenuto. La chiave di partizione per l'archivio contenuto è SiteId in SQL. Quando si esegue una query SQL, SharePoint usa un SiteId verificato come parte di un controllo SubscriptionId a livello di tenant.

SharePoint archivia contenuto di file crittografato nei BLOB di Microsoft Azure. Ogni farm di SharePoint ha un proprio account Microsoft Azure e tutti i BLOB salvati in Azure vengono crittografati singolarmente con una chiave archiviata nell'archivio contenuto SQL. Chiave di crittografia protetta nel codice dal livello di autorizzazione e non esposta direttamente all'utente finale. SharePoint dispone di monitoraggio in tempo reale per rilevare quando una richiesta HTTP legge o scrive dati per più tenant. L'id sottoscrizione dell'identità della richiesta viene rilevato rispetto all'Id sottoscrizione della risorsa a cui si accede. Le richieste di accesso alle risorse di più tenant non devono mai essere eseguite dagli utenti finali. Le richieste di servizio in un ambiente multi-tenant sono l'unica eccezione. Ad esempio, il crawler di ricerca esegue il pull delle modifiche di contenuto per un intero database contemporaneamente. Ciò comporta in genere l'esecuzione di query sui siti di più tenant in una singola richiesta di servizio, che viene eseguita per motivi di efficienza.

Teams

I dati di Teams vengono archiviati in modo diverso, a seconda del tipo di contenuto.

Per una discussione approfondita, vedere la sessione di breakout Ignite sull'architettura di Microsoft Teams .

Dati dei clienti di Core Teams

Se viene effettuato il provisioning del tenant in Australia, Canada, Unione europea, Francia, Germania, India, Giappone, Sud Africa, Corea del Sud, Svizzera (che include liechtenstein), Emirati Arabi Uniti, Regno Unito o Stati Uniti, Microsoft archivia i dati dei clienti seguenti inattivi solo all'interno di tale località:

• Chat di Teams, conversazioni di team e canali, immagini, messaggi vocali e contatti.
• Contenuto del sito di SharePoint e file archiviati all'interno di tale sito.
• File caricati in OneDrive per lavoro o istituto di istruzione.

Chat, messaggi del canale, struttura del team

Ogni team di Teams è supportato da un gruppo di Microsoft 365 e dal relativo sito di SharePoint e dalla cassetta postale di Exchange. Le chat private (incluse le chat di gruppo), i messaggi inviati come parte di una conversazione in un canale e la struttura di team e canali vengono archiviati in un servizio di chat in esecuzione in Azure. I dati vengono archiviati anche in una cartella nascosta nelle cassette postali dell'utente e del gruppo per abilitare le funzionalità di Information Protection.

Segreteria telefonica e contatti

I messaggi vocali vengono archiviati in Exchange. I contatti vengono archiviati nell'archivio dati cloud basato su Exchange. Exchange e l'archivio cloud basato su Exchange forniscono già la residenza dei dati in ogni area geografica del data center globale. Per tutti i team, la segreteria telefonica e i contatti vengono archiviati nel paese per Australia, Canada, Francia, Germania, India, Giappone, Emirati Arabi Uniti, Regno Unito, Sudafrica, Corea del Sud, Svizzera (che include il Liechtenstein) e la Stati Uniti. Per tutti gli altri paesi/aree geografiche, i file vengono archiviati nel percorso Stati Uniti, Europa o Asia-Pacific in base all'affinità del tenant.

Immagini e supporti

I supporti usati nelle chat (ad eccezione delle GIF Giphy che non sono archiviate ma sono un collegamento di riferimento all'URL del servizio Giphy originale, Giphy è un servizio non Microsoft) vengono archiviati in un servizio multimediale basato su Azure distribuito nelle stesse posizioni del servizio di chat.

File

I file (inclusi OneNote e Wiki) condivisi da un utente in un canale vengono archiviati nel sito di SharePoint del team. I file condivisi in una chat privata o in una chat durante una riunione o una chiamata vengono caricati e archiviati nell'account di OneDrive for work o school dell'utente che condivide il file. Exchange, SharePoint e OneDrive forniscono già la residenza dei dati in ognuna delle aree geografiche del data center in tutto il mondo. Per i clienti esistenti, tutti i file, i blocchi appunti di OneNote, il contenuto wiki di Teams e le cassette postali che fanno parte dell'esperienza di Teams sono già archiviati nella posizione in base all'affinità del tenant. I file vengono archiviati nel paese per Australia, Canada, Francia, Germania, India, Giappone, Emirati Arabi Uniti, Regno Unito, Sudafrica, Corea del Sud e Svizzera (che include il Liechtenstein). Per tutti gli altri paesi/aree geografiche, i file vengono archiviati nella posizione Stati Uniti, Europa o Asia Pacifico in base all'affinità tenant.