Överväganden för dataskydd
Följande diagram visar hur tjänster lagrar och hämtar Microsoft Entra-objektdata via ett rbac-auktoriseringslager (rollbaserad åtkomstkontroll). Det här lagret anropar det interna åtkomstskiktet för katalogdata, vilket säkerställer att användarens databegäran tillåts:
Microsoft Entra Internal Interfaces Access: Tjänst-till-tjänst-kommunikation med andra Microsoft-tjänster, till exempel Microsoft 365, använder Microsoft Entra ID-gränssnitt, som auktoriserar tjänstens anropare med hjälp av klientcertifikat.
Microsoft Entra External Interfaces Access: Microsoft Entra externt gränssnitt hjälper till att förhindra dataläckage med hjälp av RBAC. När ett säkerhetsobjekt, till exempel en användare, gör en åtkomstbegäran för att läsa information via Microsoft Entra ID-gränssnitt, måste en säkerhetstoken åtfölja begäran. Token innehåller anspråk om huvudkontot som gör begäran.
Säkerhetstoken utfärdas av Microsoft Entra-autentiseringstjänster. Information om användarens existens, aktiverade tillstånd och roll används av auktoriseringssystemet för att avgöra om den begärda åtkomsten till målklientorganisationen är auktoriserad för den här användaren i den här sessionen.
Programåtkomst: Eftersom program kan komma åt API:er (Application Programming Interfaces) utan användarkontext innehåller åtkomstkontrollen information om användarens program och omfånget för begärd åtkomst, till exempel skrivskyddad, skrivskyddad och så vidare. Många program använder OpenID Anslut eller Open Authorization (OAuth) för att hämta token för att få åtkomst till katalogen åt användaren. Dessa program måste uttryckligen beviljas åtkomst till katalogen eller så får de inte en token från Microsoft Entra-autentiseringstjänsten, och de får åtkomst till data från det beviljade omfånget.
Granskning: Åtkomst granskas. Till exempel skapar auktoriserade åtgärder som att skapa användare och lösenordsåterställning en spårningslogg som kan användas av en klientadministratör för att hantera efterlevnadsinsatser eller undersökningar. Klientadministratörer kan generera granskningsrapporter med hjälp av Microsoft Entra-gransknings-API:et.
Läs mer: Granskningsloggar i Microsoft Entra-ID
Klientisolering: Tillämpning av säkerhet i Microsoft Entra-miljö för flera klienter bidrar till att uppnå två primära mål:
- Förhindra dataläckage och åtkomst mellan klienter: Data som tillhör klientorganisation 1 kan inte hämtas av användare i klientorganisation 2 utan uttrycklig auktorisering av klientorganisation 1.
- Isolering av resursåtkomst mellan klienter: Åtgärder som utförs av klientorganisation 1 kan inte påverka åtkomsten till resurser för klientorganisation 2.
Isolering av klientorganisation
Följande information beskriver klientisolering.
- Tjänsten skyddar klientorganisationer med hjälp av RBAC-principen för att säkerställa dataisolering.
- För att aktivera åtkomst till en klient måste ett huvudnamn, till exempel en användare eller ett program, kunna autentisera mot Microsoft Entra-ID för att få kontext och har explicita behörigheter definierade i klientorganisationen. Om ett huvudnamn inte är auktoriserat i klientorganisationen har den resulterande token inte behörighet och RBAC-systemet avvisar begäranden i den här kontexten.
- RBAC säkerställer att åtkomsten till en klientorganisation utförs av ett säkerhetsobjekt som har auktoriserats i klientorganisationen. Åtkomst mellan klienter är möjlig när en klientadministratör skapar en representation av säkerhetsobjektet i samma klientorganisation (till exempel etablering av ett gästanvändarkonto med B2B-samarbete) eller när en klientadministratör skapar en princip för att aktivera en förtroenderelation med en annan klientorganisation. Till exempel en åtkomstprincip mellan klientorganisationer för att aktivera B2B Direct Anslut. Varje klientorganisation är en isoleringsgräns. existens i en klientorganisation likställer inte existens i en annan klientorganisation om inte administratören tillåter det.
- Microsoft Entra-data för flera klienter lagras på samma fysiska server och enhet för en viss partition. Isolering säkerställs eftersom åtkomsten till data skyddas av RBAC-auktoriseringssystemet.
- Ett kundprogram kan inte komma åt Microsoft Entra-ID utan nödvändig autentisering. Begäran avvisas om den inte åtföljs av autentiseringsuppgifter som en del av den inledande anslutningsförhandlingsprocessen. Den här dynamiken förhindrar obehörig åtkomst till en klientorganisation av närliggande klienter. Endast token för användarautentiseringsuppgifter eller SAML-token (Security Assertion Markup Language) asynkronas med ett federerat förtroende. Därför verifieras det av Microsoft Entra-ID, baserat på de delade nycklar som konfigurerats av programägaren.
- Eftersom det inte finns någon programkomponent som kan köras från Core Store är det inte möjligt för en klientorganisation att med två skäl bryta mot integriteten för en närliggande klientorganisation.
Datasäkerhet
Kryptering under överföring: För att säkerställa datasäkerhet signeras och krypteras katalogdata i Microsoft Entra-ID under överföring mellan datacenter i en skalningsenhet. Data krypteras och okrypteras av Microsoft Entra Core Store-nivån, som finns i skyddade servervärdområden i associerade Microsoft-datacenter.
Kundriktade webbtjänster skyddas med TLS-protokollet (Transport Layer Security).
Hemlig lagring: Microsoft Entra-tjänstens serverdel använder kryptering för att lagra känsligt material för tjänstanvändning, till exempel certifikat, nycklar, autentiseringsuppgifter och hashvärden med microsofts egenutvecklade teknik. Vilket arkiv som används beror på tjänsten, åtgärden, hemlighetens omfattning (hela användaren eller hela klientorganisationen) och andra krav.
Dessa butiker drivs av en säkerhetsfokuserad grupp via etablerad automatisering och arbetsflöden, inklusive certifikatbegäran, förnyelse, återkallande och förstörelse.
Det finns aktivitetsgranskning relaterad till dessa butiker/arbetsflöden/processer och det finns ingen stående åtkomst. Åtkomsten är begärande- och godkännandebaserad och under en begränsad tid.
Mer information om hemlig kryptering i vila finns i följande tabell.
Algoritmer: I följande tabell visas de minsta kryptografialgoritmer som används av Microsoft Entra-komponenter. Som molntjänst utvärderar Och förbättrar Microsoft kryptografin på nytt, baserat på säkerhetsforskningsresultat, interna säkerhetsgranskningar, nyckelstyrka mot maskinvaruutveckling och så vidare.
| Data/scenario | Kryptografialgoritm |
|---|---|
| Lösenordshashsynkronisering Molnkontolösenord |
Hash: Password Key Derivation Function 2 (PBKDF2), med hash-baserad kod för meddelandeautentisering (HMAC)-SHA256 @ 1 000 iterationer |
| Katalog under överföring mellan datacenter | AES-256-CTS-HMAC-SHA1-96 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| Flöde för direktautentiseringsanvändares autentiseringsuppgifter | RSA 2048-Offentligt/Privat nyckelpar Läs mer: Djupdykning i Microsoft Entra-direktautentiseringssäkerhet |
| Tillbakaskrivning av lösenordsåterställning med självbetjäning med Microsoft Entra Anslut: Moln till lokal kommunikation | RSA 2048 Privat/Offentligt nyckelpar AES_GCM (256-bitarsnyckel, 96-bitars IV-storlek) |
| Lösenordsåterställning med självbetjäning: Svar på säkerhetsfrågor | SHA256 |
| SSL-certifikat för Microsoft Entra-programproxy publicerade program |
AES-GCM 256-bitars |
| Kryptering på disknivå | XTS-AES 128 |
| Autentiseringsuppgifter för sömlös enkel inloggning (SSO) för tjänstkontots lösenordsprogram som en tjänst (SaaS) |
AES-CBC 128-bitars |
| Hanterade identiteter för Azure-resurser | AES-GCM 256-bitars |
| Microsoft Authenticator-app: Lösenordsfri inloggning till Microsoft Entra-ID | Asymmetrisk RSA-nyckel 2048-bitars |
| Microsoft Authenticator-app: Säkerhetskopiering och återställning av företagskontometadata | AES-256 |
Resurser
- Microsoft Service Trust-dokument
- Microsoft Azure Säkerhetscenter
- Återställa från borttagningar i Microsoft Entra-ID