Microsoft 365에서 격리 및 액세스 제어

Microsoft Entra ID 및 Microsoft 365는 수십 개의 서비스, 수백 개의 엔터티, 수천 개의 관계, 수만 개의 특성을 포함하는 매우 복잡한 데이터 모델을 사용합니다. 개략적으로 Microsoft Entra ID 및 서비스 디렉터리에는 상태 기반 복제 프로토콜을 사용하여 동기화된 테넌트 및 수신자의 컨테이너입니다. Microsoft Entra ID 내에 보관된 디렉터리 정보 외에도 각 서비스 워크로드에는 자체 디렉터리 서비스 인프라가 있습니다.

이 모델 내에는 디렉터리 데이터의 단일 원본이 없습니다. 특정 시스템은 개별 데이터를 소유하지만, 모든 데이터를 보유하는 단일 시스템은 없습니다. Microsoft 365 서비스는 이 데이터 모델의 Microsoft Entra ID와 협력합니다. Microsoft Entra ID는 일반적으로 모든 서비스에서 사용되는 작고 정적인 데이터인 공유 데이터에 대한 “진실의 시스템”입니다. Microsoft 365 및 Microsoft Entra ID 내에서 사용되는 페더레이션 모델은 데이터의 공유 보기를 제공합니다.

Microsoft 365는 물리적 스토리지와 Azure 클라우드 스토리지를 모두 사용합니다. Exchange Online(Exchange Online Protection 포함) 및 비즈니스용 Skype 고객 데이터에 고유한 스토리지를 사용합니다. SharePoint는 SQL Server 스토리지와 Azure Storage를 모두 사용하므로 스토리지 수준에서 고객 데이터를 추가로 격리해야 합니다.

Exchange Online

Exchange Online 사서함 내에 고객 데이터를 저장합니다. 사서함은 사서함 데이터베이스라는 ESE(Extensible Storage Engine) 데이터베이스 내에서 호스트됩니다. 여기에는 사용자 사서함, 연결된 사서함, 공유 사서함 및 공용 폴더 사서함이 포함됩니다. 사용자 사서함에는 대화 기록과 같은 저장된 비즈니스용 Skype 콘텐츠가 포함됩니다.

사용자 사서함 콘텐츠에는 다음이 포함됩니다.

• 전자 메일 및 전자 메일 첨부 파일
• 일정 및 약속 있음/없음 정보
• 연락처
• 작업
• 참고
• 그룹
• 유추 데이터

Exchange Online 내의 각 사서함 데이터베이스에는 여러 테넌트에서 온 사서함이 포함됩니다. 권한 부여 코드는 테넌트 내를 포함하여 각 사서함을 보호합니다. 기본적으로 할당된 사용자만 사서함에 액세스할 수 있습니다. 사서함을 보호하는 ACL(액세스 제어 목록)에는 테넌트 수준에서 Microsoft Entra ID 의해 인증된 ID가 포함됩니다. 각 테넌트의 사서함은 해당 테넌트의 사용자만 포함하는 테넌트의 인증 공급자에 대해 인증된 ID로 제한됩니다. 테넌트 A에서 명시적으로 승인하지 않는 한 테넌트 A의 콘텐츠는 테넌트 B의 사용자가 어떤 방식으로든 가져올 수 없습니다.

비즈니스용 Skype

비즈니스용 Skype 다양한 위치에 데이터를 저장합니다.

• 연결 엔드포인트, 테넌트 ID, 다이얼 플랜, 로밍 설정, 현재 상태, 연락처 목록 등을 포함하는 사용자 및 계정 정보는 비즈니스용 Skype Active Directory 서버 및 다양한 비즈니스용 Skype 데이터베이스 서버에 저장됩니다. 연락처 목록은 사용자가 두 제품 모두에 대해 사용하도록 설정된 경우 사용자의 Exchange Online 사서함에 저장되고, 그렇지 않은 경우 비즈니스용 Skype 서버에 저장됩니다. 비즈니스용 Skype 데이터베이스 서버는 테넌트별로 분할되지 않지만 데이터의 다중 테넌트 격리는 RBAC(역할 기반 액세스 제어)를 통해 적용됩니다.
• 모임 콘텐츠 및 업로드된 데이터는 DFS(분산 파일 시스템) 공유에 저장됩니다. 이 콘텐츠는 사용하도록 설정된 경우 Exchange Online 보관할 수도 있습니다. DFS 공유는 테넌트별로 분할되지 않습니다. 콘텐츠는 ACL로 보호되고 다중 테넌시는 RBAC를 통해 적용됩니다.
• 통화 기록, IM 세션, 애플리케이션 공유, IM 기록 등과 같은 활동 기록인 통화 세부 정보 레코드는 Exchange Online 저장할 수도 있지만 대부분의 통화 세부 정보 레코드는 CDR(통화 세부 정보 레코드) 서버에 일시적으로 저장됩니다. 콘텐츠는 테넌트별로 분할되지 않지만 다중 테넌트는 RBAC를 통해 적용됩니다.

SharePoint

SharePoint에는 데이터 격리를 제공하는 몇 가지 독립적인 메커니즘이 있습니다. 개체를 애플리케이션 데이터베이스 내에 추상화된 코드로 저장합니다. 예를 들어 사용자가 SharePoint에 파일을 업로드하면 파일이 디스어셈블되고, 애플리케이션 코드로 변환되고, 여러 데이터베이스의 여러 테이블에 저장됩니다.

사용자가 데이터가 포함된 스토리지에 직접 액세스할 수 있는 경우 콘텐츠는 사용자 또는 SharePoint 이외의 시스템으로 해석할 수 없습니다. 이러한 메커니즘에는 보안 액세스 제어 및 속성이 포함됩니다. 모든 SharePoint 리소스는 테넌트 내를 포함하여 권한 부여 코드 및 RBAC 정책에 의해 보호됩니다. 리소스를 보호하는 ACL(액세스 제어 목록)에는 테넌트 수준에서 인증된 ID가 포함됩니다. 테넌트용 SharePoint 데이터는 테넌트 인증 공급자가 인증한 ID로 제한됩니다.

ACL 외에도 인증 공급자(테넌트별 Microsoft Entra ID)를 지정하는 테넌트 수준 속성은 한 번 작성되며 설정된 후에는 변경할 수 없습니다. 테넌트에서 인증 공급자 테넌트 속성을 설정한 후에는 테넌트에 노출된 API를 사용하여 변경할 수 없습니다.

고유한 SubscriptionId 는 각 테넌트에서 사용됩니다. 모든 고객 사이트는 테넌트가 소유하고 테넌트 고유의 SubscriptionId 를 할당합니다. 사이트의 SubscriptionId 속성은 한 번 작성되며 영구적입니다. 테넌트에게 할당되면 사이트를 다른 테넌트로 이동할 수 없습니다. SubscriptionId는 인증 공급자에 대한 보안 scope 만드는 데 사용되는 키이며 테넌트와 연결됩니다.

SharePoint는 콘텐츠 메타데이터 스토리지에 SQL Server 및 Azure Storage를 사용합니다. 콘텐츠 저장소의 파티션 키는 SQL의 SiteId 입니다. SQL 쿼리를 실행할 때 SharePoint는 테넌트 수준 SubscriptionId 검사 일부로 확인된 SiteId를 사용합니다.

SharePoint는 Microsoft Azure Blob에 암호화된 파일 콘텐츠를 저장합니다. 각 SharePoint 팜에는 고유한 Microsoft Azure 계정이 있으며 Azure에 저장된 모든 Blob은 SQL 콘텐츠 저장소에 저장된 키를 사용하여 개별적으로 암호화됩니다. 인증 계층에 의해 코드에서 보호되고 최종 사용자에게 직접 노출되지 않는 암호화 키입니다. SharePoint에는 HTTP 요청이 둘 이상의 테넌트에서 데이터를 읽거나 쓰는 시기를 감지하는 실시간 모니터링이 있습니다. 요청 ID SubscriptionId 는 액세스한 리소스의 SubscriptionId 에 대해 추적됩니다. 둘 이상의 테넌트 리소스에 대한 액세스 요청은 최종 사용자가 수행해서는 안 됩니다. 다중 테넌트 환경의 서비스 요청만 예외입니다. 예를 들어 검색 크롤러는 전체 데이터베이스에 대한 콘텐츠 변경 내용을 한 번에 가져옵니다. 여기에는 일반적으로 효율성상의 이유로 수행되는 단일 서비스 요청에서 둘 이상의 테넌트 사이트를 쿼리하는 작업이 포함됩니다.

Teams

Teams 데이터는 콘텐츠 유형에 따라 다르게 저장됩니다.

자세한 내용은 Microsoft Teams 아키텍처의 Ignite 브레이크아웃 세션을 확인하세요.

핵심 Teams 고객 데이터

테넌트가 오스트레일리아, 캐나다, 유럽 연합, 프랑스, 독일, 인도, 일본, 남아프리카 공화국, 한국, 스위스(리히텐슈타인 포함), 아랍에미리트, 영국 또는 미국 프로비전된 경우 Microsoft는 다음 고객 데이터를 해당 위치 내에만 저장합니다.

• Teams 채팅, 팀 및 채널 대화, 이미지, 음성 메일 메시지 및 연락처.
• SharePoint 사이트 콘텐츠 및 해당 사이트 내에 저장된 파일.
• 회사 또는 학교용 OneDrive에 업로드된 파일입니다.

채팅, 채널 메시지, 팀 구조

Teams의 모든 팀은 Microsoft 365 그룹 및 해당 SharePoint 사이트 및 Exchange 사서함에 의해 뒷받침됩니다. 개인 채팅(그룹 채팅 포함), 채널에서 대화의 일부로 전송된 메시지 및 팀 및 채널의 구조는 Azure에서 실행되는 채팅 서비스에 저장됩니다. 또한 데이터는 사용자 및 그룹 사서함의 숨겨진 폴더에 저장되어 Information Protection 기능을 사용하도록 설정합니다.

음성 메일 및 연락처

음성 메일은 Exchange에 저장됩니다. 연락처는 Exchange 기반 클라우드 데이터 저장소에 저장됩니다. Exchange 및 Exchange 기반 클라우드 저장소는 이미 전 세계 각 데이터 센터 지역에서 데이터 상주를 제공합니다. 모든 팀의 경우 음성 메일 및 연락처는 오스트레일리아, 캐나다, 프랑스, 독일, 인도, 일본, 아랍에미리트, 영국, 남아프리카 공화국, 한국, 스위스(리히텐슈타인 포함) 및 미국 대한 국내에 저장됩니다. 다른 모든 국가/지역의 경우 파일은 테넌트 선호도에 따라 미국, 유럽 또는 Asia-Pacific 위치에 저장됩니다.

이미지 및 미디어

채팅에 사용되는 미디어(저장되지 않지만 원래 Giphy 서비스 URL에 대한 참조 링크인 Giphy GIF 제외, Giphy는 Microsoft가 아닌 서비스임)는 채팅 서비스와 동일한 위치에 배포되는 Azure 기반 미디어 서비스에 저장됩니다.

파일

누군가가 채널에서 공유하는 파일(OneNote 및 Wiki 포함)은 팀의 SharePoint 사이트에 저장됩니다. 모임 또는 통화 중에 비공개 채팅 또는 채팅에서 공유되는 파일은 파일을 공유하는 사용자의 회사 또는 학교용 OneDrive 계정에 업로드되고 저장됩니다. Exchange, SharePoint 및 OneDrive는 이미 전 세계 각 데이터 센터 지역에서 데이터 상주를 제공합니다. 따라서 기존 고객의 경우 모든 파일, OneNote 전자 필기장, Teams 위키 콘텐츠 및 Teams 환경의 일부인 사서함은 테넌트 선호도에 따라 위치에 이미 저장되어 있습니다. 파일은 오스트레일리아, 캐나다, 프랑스, 독일, 인도, 일본, 아랍에미리트, 영국, 남아프리카 공화국, 한국 및 스위스(리히텐슈타인 포함)의 경우 국내에 저장됩니다. 다른 모든 국가/지역의 경우 파일은 테넌트 선호도에 따라 미국, 유럽 또는 아시아 태평양 위치에 저장됩니다.