Udostępnij za pośrednictwem


Zabezpieczenia dla platformy Microsoft 365 dla przedsiębiorstw

Platforma Microsoft 365 dla przedsiębiorstw jest zgodna ze wszystkimi najlepszymi rozwiązaniami i procedurami dotyczącymi zabezpieczeń, takimi jak zabezpieczenia na poziomie usługi, dzięki szczegółowym mechanizmom ochrony, kontrolom klientów w ramach usług, wzmacnianiu zabezpieczeń i najlepszym rozwiązaniom operacyjnym. Aby uzyskać szczegółowe informacje, zobacz Microsoft Trust Center i Microsoft Compliance.

Godne zaufania z założenia

Platforma Microsoft 365 została zaprojektowana i opracowana zgodnie z cyklem życia opracowywania zabezpieczeń zaufanych obliczeń firmy Microsoft, który został opisany w artykule Microsoft Security Development Lifecycle (SDL) (Microsoft Security Development Lifecycle). Pierwszym krokiem w tworzeniu bezpieczniejszej ujednoliconej komunikacji, współpracy i produktywności było zaprojektowanie modeli zagrożeń i przetestowanie każdej funkcji zgodnie z jej projektem. W procesie i praktykach kodowania wbudowano wiele ulepszeń związanych z zabezpieczeniami. Narzędzia czasu kompilacji wykrywają przekroczenia buforu i inne potencjalne zagrożenia bezpieczeństwa, zanim kod zostanie zaewidencjonowany do produktu końcowego. Nie można projektować pod kątem wszystkich nieznanych zagrożeń bezpieczeństwa. Żaden system nie może zagwarantować pełnego bezpieczeństwa. Jednak ze względu na to, że od samego początku opracowywanie produktów obejmowało zasady bezpiecznego projektowania, platforma Microsoft 365 obejmuje standardowe technologie zabezpieczeń branżowe jako podstawową część architektury.

Struktura zabezpieczeń dla platformy Microsoft 365

Platforma Microsoft 365 popiera pomysły dotyczące zabezpieczeń, takie jak Zero Trust, oraz zasady dostępu z najniższymi uprawnieniami. Ta sekcja zawiera omówienie podstawowych elementów tworzących strukturę zabezpieczeń dla platformy Microsoft 365.

Podstawowe elementy obejmują:

  • Tożsamość Microsoft Entra, która udostępnia jedno zaufane repozytorium zaplecza dla kont użytkowników. Informacje o profilu użytkownika są przechowywane w Tożsamość Microsoft Entra za pośrednictwem akcji programu Microsoft Graph.
    • Może zostać wystawionych wiele tokenów, które mogą być widoczne w przypadku śledzenia ruchu sieciego.
  • Protokół Transport Layer Security (TLS) szyfruje kanał w ruchu. Uwierzytelnianie odbywa się przy użyciu wzajemnego protokołu TLS (MTLS) na podstawie certyfikatów lub uwierzytelniania typu service-to-service na podstawie Tożsamość Microsoft Entra.
  • Strumienie audio, wideo i udostępniania aplikacji typu punkt-punkt są szyfrowane i sprawdzane integralności przy użyciu protokołu SRTP (Secure Real-Time Transport Protocol).
  • W śladzie zobaczysz ruch OAuth, szczególnie wokół wymiany tokenów i uprawnień do negocjowania podczas przełączania się między kartami w usłudze Teams, na przykład w celu przejścia z pozycji Wpisy do plików. Aby zapoznać się z przykładem przepływu uwierzytelniania OAuth dla kart, zobacz ten dokument.
  • Platforma Microsoft 365 używa standardowych protokołów branżowych do uwierzytelniania użytkowników, gdzie tylko jest to możliwe.

Microsoft Entra ID

Tożsamość Microsoft Entra działa jako usługa katalogowa dla platformy Microsoft 365 i Office 365. Przechowuje wszystkie informacje o katalogu użytkowników i aplikacji oraz przypisania zasad.

Szyfrowanie w usłudze Microsoft 365

W usłudze Microsoft 365 działa wiele warstw szyfrowania w celu ochrony zawartości organizacji. Aby zapoznać się z omówieniem szyfrowania w usłudze Microsoft 365, zobacz Encryption in Microsoft 365 (Szyfrowanie na platformie Microsoft 365).

Uwierzytelnianie użytkowników i klientów

Zaufany użytkownik jest użytkownikiem, którego poświadczenia zostały uwierzytelnione przez Tożsamość Microsoft Entra na platformie Microsoft 365 lub Office 365.

Uwierzytelnianie to aprowizowanie poświadczeń użytkownika na zaufanym serwerze lub w usłudze. Platforma Microsoft 365 używa następujących protokołów uwierzytelniania, w zależności od stanu i lokalizacji użytkownika.

  • Nowoczesne uwierzytelnianie (MA) to implementacja protokołu OAUTH 2.0 firmy Microsoft na potrzeby komunikacji między klientem a serwerem. Umożliwia ona korzystanie z funkcji zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy. Aby można było korzystać z funkcji ma, należy włączyć dzierżawę online i klientów na potrzeby programu MA. Wszyscy klienci platformy Microsoft 365 na komputerach pc i urządzeniach przenośnych oraz klienci internetowi obsługują ma.

Uwaga

Jeśli chcesz uzyskać więcej informacji na temat Microsoft Entra metod uwierzytelniania i autoryzacji, w tym artykule pomogą sekcje Wprowadzenie i "Podstawy uwierzytelniania w Tożsamość Microsoft Entra".

Uwierzytelnianie platformy Microsoft 365 odbywa się za pośrednictwem Tożsamość Microsoft Entra i uwierzytelniania OAuth. Proces uwierzytelniania można uprościć w następujący sposób:

  • Wystawianie > tokenu logowania > użytkownika podczas następnego żądania używa wystawionego tokenu.

Żądania klientów do usług w chmurze są uwierzytelniane i autoryzowane przez Tożsamość Microsoft Entra przy użyciu protokołu OAuth. Użytkownicy z prawidłowymi poświadczeniami wystawionymi przez partnera federacyjnego są zaufani i przechodzą przez ten sam proces co użytkownicy natywni. Administratorzy mogą jednak wprowadzić dalsze ograniczenia.

W przypadku uwierzytelniania multimediów protokoły ICE i TURN używają również wyzwania Digest zgodnie z opisem w dokumencie IETF TURN RFC.

Zabezpieczenia punktu końcowego

Firma Microsoft ujednolica aplikacje i usługi platformy Microsoft 365 z jedną i spójną domeną: **cloud.microsoft**.

Rozwój usług w chmurze firmy Microsoft doprowadził do rozszerzenia zajmowanej przez nie przestrzeni domenowej, co spowodowało powstanie setek domen. Ta fragmentacja stanowi wyzwanie dla nawigacji użytkowników końcowych, prostoty administracyjnej i tworzenia środowisk między aplikacjami.

Domena *.microsoft* najwyższego poziomu jest dostępna wyłącznie dla firmy Microsoft. Nowa domena nie zawiera tradycyjnych sufiksów, takich jak .com lub .net. Takie działanie jest zgodne z projektem programu. cloud.microsoft znajduje się w domenie najwyższego .microsoft poziomu, dla której firma Microsoft jest operatorem rejestru i jedynym rejestrującym. Ta domena umożliwia dodatkowe zabezpieczenia, prywatność i ochronę przed fałszowaniem podczas interakcji z aplikacjami w tej domenie. Możesz zaufać, że dowolna witryna internetowa lub aplikacja, która kończy się, jest oficjalnym produktem cloud.microsoft lub usługą firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Unified cloud.microsoft domain for Microsoft 365 apps (Ujednolicona domena cloud.microsoft dla aplikacji platformy Microsoft 365).

12 najważniejszych zadań dla zespołów zabezpieczeń do obsługi pracy z domu

Centrum zaufania firmy Microsoft

Optymalizowanie łączności platformy Microsoft 365 lub Office 365 dla użytkowników zdalnych przy użyciu tunelowania podzielonego sieci VPN

Omówienie sposobu działania zabezpieczeń w Microsoft Viva

Przewodnik po zabezpieczeniach dotyczący usługi Microsoft Teams — omówienie

Zabezpieczenia w usłudze Microsoft Teams

Zabezpieczenia systemu operacyjnego Windows

zabezpieczenia Dynamics 365

Zabezpieczenia w Microsoft Cloud for Retail