Isolamento e controle de acesso no Microsoft 365

O Microsoft Entra ID e o Microsoft 365 usam um modelo de dados altamente complexo que inclui dezenas de serviços, centenas de entidades, milhares de relações e dezenas de milhares de atributos. Em um nível alto, o Microsoft Entra ID e os diretórios de serviço são os contêineres de locatários e destinatários mantidos em sincronia usando protocolos de replicação baseados no estado. Além das informações de diretório mantidas no Microsoft Entra ID, cada uma das cargas de trabalho de serviço tem sua própria infraestrutura de serviços de diretório.

Dentro desse modelo, não há uma única fonte de dados de diretório. Sistemas específicos possuem partes individuais de dados, mas nenhum sistema contém todos os dados. Os serviços do Microsoft 365 cooperam com o Microsoft Entra ID neste modelo de dados. O Microsoft Entra ID é o "sistema da verdade" para dados compartilhados, que normalmente são dados pequenos e estáticos usados por cada serviço. O modelo federado usado no Microsoft 365 e Microsoft Entra ID fornece a exibição compartilhada dos dados.

O Microsoft 365 usa armazenamento físico e armazenamento em nuvem do Azure. Exchange Online (incluindo Proteção do Exchange Online) e Skype for Business usam o próprio armazenamento para dados do cliente. O SharePoint usa SQL Server armazenamento e Armazenamento do Azure, daí a necessidade de isolamento extra dos dados do cliente no nível de armazenamento.

Exchange Online

Exchange Online armazena dados do cliente em caixas de correio. As caixas de correio são hospedadas em bancos de dados extensíveis do Mecanismo de Armazenamento (ESE) chamados bancos de dados de caixa de correio. Isso inclui caixas de correio de usuário, caixas de correio vinculadas, caixas de correio compartilhadas e caixas de correio de pastas públicas. As caixas de correio do usuário incluem conteúdo salvo Skype for Business, como históricos de conversa.

O conteúdo da caixa de correio do usuário inclui:

• Emails e anexos de email
• Agendamento e informações gratuitas/ocupadas
• Contatos
• Tarefas
• Observações
• Grupos
• Dados de inferência

Cada banco de dados de caixa de correio no Exchange Online contém caixas de correio de vários locatários. Um código de autorização protege cada caixa de correio, inclusive em um locatário. Por padrão, apenas o usuário atribuído tem acesso a uma caixa de correio. A ACL (lista de controle de acesso) que protege uma caixa de correio contém uma identidade autenticada por Microsoft Entra ID no nível do locatário. As caixas de correio de cada locatário são limitadas a identidades autenticadas no provedor de autenticação do locatário, que inclui apenas usuários desse locatário. O conteúdo no locatário A não pode de forma alguma ser obtido pelos usuários no locatário B, a menos que seja explicitamente aprovado pelo locatário A.

Skype for Business

Skype for Business armazena dados em vários lugares:

• As informações do usuário e da conta, que incluem pontos de extremidade de conexão, IDs de locatário, planos de discagem, configurações de roaming, estado de presença, listas de contatos etc., são armazenadas nos servidores Skype for Business Active Directory e em vários servidores de banco de dados Skype for Business. As listas de contatos serão armazenadas na caixa de correio Exchange Online do usuário se o usuário estiver habilitado para ambos os produtos ou em Skype for Business servidores se o usuário não estiver. Skype for Business servidores de banco de dados não é particionado por locatário, mas o isolamento de vários locatários de dados é imposto por meio do RBAC (controle de acesso baseado em função).
• O conteúdo da reunião e os dados carregados são armazenados em compartilhamentos do DFS (Sistema de Arquivos Distribuídos). Esse conteúdo também pode ser arquivado no Exchange Online se habilitado. As ações do DFS não são particionadas por locatário. o conteúdo é protegido com ACLs e a multilocatário é imposta por meio do RBAC.
• Registros de detalhes de chamada, que são o histórico de atividades, como histórico de chamadas, sessões de IM, compartilhamento de aplicativos, histórico de IM etc., também podem ser armazenados em Exchange Online, mas a maioria dos registros de detalhes de chamada são armazenados temporariamente em servidores CDR (registro de detalhes de chamada). O conteúdo não é particionado por locatário, mas o multilocatário é imposto por meio do RBAC.

SharePoint

O SharePoint tem vários mecanismos independentes que fornecem isolamento de dados. Ele armazena objetos como código abstrato em bancos de dados de aplicativo. Por exemplo, quando um usuário carrega um arquivo no SharePoint, o arquivo é desmontado, traduzido para o código do aplicativo e armazenado em várias tabelas em vários bancos de dados.

Se um usuário puder obter acesso direto ao armazenamento que contém os dados, o conteúdo não será interpretável para um humano ou qualquer sistema diferente do SharePoint. Esses mecanismos incluem o controle de acesso à segurança e as propriedades. Todos os recursos do SharePoint são protegidos pelo código de autorização e pela política RBAC, inclusive em um aluguel. A ACL (lista de controle de acesso) que protege um recurso contém uma identidade autenticada no nível do locatário. Os dados do SharePoint para um locatário são limitados a identidades autenticadas pelo provedor de autenticação do locatário.

Além das ACLs, uma propriedade de nível de locatário que especifica o provedor de autenticação (que é o Microsoft Entra ID específico do locatário), é gravada uma vez e não pode ser alterada uma vez definida. Depois que a propriedade de locatário do provedor de autenticação tiver sido definida para um locatário, ela não poderá ser alterada usando as APIs expostas a um locatário.

Uma SubscriptionId exclusiva é usada para cada locatário. Todos os sites de cliente pertencem a um locatário e atribuem uma SubscriptionId exclusiva ao locatário. A propriedade SubscriptionId em um site é gravada uma vez e é permanente. Uma vez atribuído a um locatário, um site não pode ser movido para um locatário diferente. O SubscriptionId é a chave usada para criar o escopo de segurança para o provedor de autenticação e está vinculada ao locatário.

O SharePoint usa SQL Server e o Armazenamento do Azure para armazenamento de metadados de conteúdo. A chave de partição para o repositório de conteúdo é SiteId no SQL. Ao executar uma consulta SQL, o SharePoint usa um SiteId verificado como parte de uma marcar SubscriptionId no nível do locatário.

O SharePoint armazena conteúdo de arquivo criptografado nos blobs do Microsoft Azure. Cada farm do SharePoint tem sua própria conta do Microsoft Azure e todos os blobs salvos no Azure são criptografados individualmente com uma chave armazenada no repositório de conteúdo SQL. A chave de criptografia protegida no código pela camada de autorização e não exposta diretamente ao usuário final. O SharePoint tem monitoramento em tempo real para detectar quando uma solicitação HTTP lê ou grava dados para mais de um locatário. A identidade de solicitação SubscriptionId é rastreada em relação à SubscriptionId do recurso acessado. Solicitações para acessar recursos de mais de um locatário nunca devem acontecer por usuários finais. As solicitações de serviço em um ambiente multilocatário são a única exceção. Por exemplo, o rastreador de pesquisa puxa as alterações de conteúdo para um banco de dados inteiro de uma só vez. Isso geralmente envolve consultar sites de mais de um locatário em uma única solicitação de serviço, o que é feito por motivos de eficiência.

Teams

Os dados do Teams são armazenados de forma diferente, dependendo do tipo de conteúdo.

Confira a sessão de abertura do Ignite na arquitetura do Microsoft Teams para obter uma discussão detalhada.

Dados do cliente do Teams Principais

Se seu locatário for provisionado na Austrália, Canadá, União Europeia, França, Alemanha, Índia, Japão, África do Sul, Coreia do Sul, Suíça (que inclui Liechtenstein), Emirados Árabes Unidos, Reino Unido ou Estados Unidos, a Microsoft armazenará os seguintes dados de cliente em repouso apenas nesse local:

• Chats do Teams, conversas de equipe e canal, imagens, mensagens de voz e contatos.
• Conteúdo do site do SharePoint e os arquivos armazenados nesse site.
• Arquivos carregados no OneDrive para trabalho ou escola.

Chat, mensagens de canal, estrutura de equipe

Todas as equipes do Teams são apoiadas por um Grupo do Microsoft 365 e seu site do SharePoint e caixa de correio do Exchange. Chats privados (incluindo chats em grupo), mensagens enviadas como parte de uma conversa em um canal e a estrutura de equipes e canais são armazenadas em um serviço de chat em execução no Azure. Os dados também são armazenados em uma pasta oculta nas caixas de correio do usuário e do grupo para habilitar Proteção de Informações recursos.

Caixa postal e contatos

As mensagens de voz são armazenadas no Exchange. Os contatos são armazenados no armazenamento de dados de nuvem baseado em Exchange. O Exchange e o repositório de nuvem baseado em Exchange já fornecem residência de dados em cada uma das geos do datacenter mundial. Para todas as equipes, caixa postal e contatos são armazenados no país para Austrália, Canadá, França, Alemanha, Índia, Japão, Emirados Árabes Unidos, Reino Unido, África do Sul, Coreia do Sul, Suíça (que inclui Liechtenstein) e o Estados Unidos. Para todos os outros países/regiões, os arquivos são armazenados nos EUA, europa ou Asia-Pacific local com base na afinidade do locatário.

Imagens e mídia

A mídia usada em chats (exceto gifs giphy que não são armazenados, mas são um link de referência para a URL de serviço Giphy original, Giphy é um serviço não Microsoft) é armazenada em um serviço de mídia baseado no Azure que é implantado nos mesmos locais que o serviço de chat.

Arquivos

Os arquivos (incluindo o OneNote e o Wiki) que alguém compartilha em um canal são armazenados no site do SharePoint da equipe. Os arquivos compartilhados em um chat privado ou um chat durante uma reunião ou chamada são carregados e armazenados na conta corporativa ou escolar do usuário que compartilha o arquivo. Exchange, SharePoint e OneDrive já fornecem residência de dados em cada um dos geos do datacenter mundial. Portanto, para clientes existentes, todos os arquivos, notebooks do OneNote, conteúdo wiki do Teams e caixas de correio que fazem parte da experiência do Teams já estão armazenados no local com base na afinidade do locatário. Os arquivos são armazenados no país para Austrália, Canadá, França, Alemanha, Índia, Japão, Emirados Árabes Unidos, Reino Unido, África do Sul, Coreia do Sul e Suíça (que inclui Liechtenstein). Para todos os outros países/regiões, os arquivos são armazenados nos EUA, Europa ou Ásia-Pacífico com base na afinidade de locatário.