Microsoft 365 企业版遵循所有安全最佳做法和过程,例如通过深层防御实现服务级别安全性、服务中的客户控制、安全强化和操作最佳做法。 有关完整详细信息,请参阅 Microsoft 信任中心和Microsoft 合规性。
设计上可信任
Microsoft 365 的设计和开发符合 MICROSOFT 可信计算安全开发生命周期 (SDL) ,Microsoft 安全开发生命周期 (SDL) 中所述。 创建更安全的统一通信、协作和生产力系统的第一步是设计威胁模型,并在设计时测试每个功能。 多个与安全相关的改进功能内置在编码过程和实践中。 生成时工具会在将代码签入到最终产品之前检测缓冲区溢出和其他潜在安全威胁。 无法针对所有未知的安全威胁进行设计。 没有任何系统会保证完全的安全。 但是,由于产品开发从一开始就采用安全设计原则,因此 Microsoft 365 将行业标准安全技术作为其体系结构的基本组成部分。
Microsoft 365 安全框架
Microsoft 365 支持零信任等安全理念和最低特权访问原则。 本部分概述了构成 Microsoft 365 安全框架的基本元素。
核心元素包括:
- Microsoft Entra ID,它为用户帐户提供单个受信任的后端存储库。 用户配置文件信息通过 Microsoft Graph 的操作存储在 Microsoft Entra ID 中。
- 如果跟踪网络流量,可能会看到颁发了多个令牌。
- 传输层安全性 (TLS) 加密动态通道。 使用基于证书的相互 TLS (MTLS) 或使用基于Microsoft Entra ID的服务到服务身份验证进行身份验证。
- 点到点音频、视频和应用程序共享流使用安全 Real-Time 传输协议 (SRTP) 进行加密和完整性检查。
- 你将在跟踪中看到 OAuth 流量,尤其是在 Teams 中的选项卡之间切换(例如,从“帖子”移动到“文件”)时令牌交换和协商权限周围。 有关选项卡的 OAuth 流示例, 请参阅此文档。
- Microsoft 365 尽可能使用行业标准协议进行用户身份验证。
Microsoft Entra ID
Microsoft Entra ID充当 Microsoft 365 和 Office 365 的目录服务。 它存储所有用户和应用程序目录信息和策略分配。
Microsoft 365 中的加密
Microsoft 365 中存在多层加密,以保护组织的内容。 有关 Microsoft 365 中加密的概述,请参阅 Microsoft 365 中的加密。
用户和客户端身份验证
受信任的用户是凭据已通过 Microsoft 365 或 Office 365 Microsoft Entra ID 进行身份验证的用户。
身份验证是向受信任的服务器或服务提供用户凭据。 Microsoft 365 使用以下身份验证协议,具体取决于用户的状态和位置。
- 新式身份验证 (MA) 是用于客户端到服务器通信的 OAUTH 2.0 的 Microsoft 实现。 它启用多重身份验证和条件访问等安全功能。 若要使用 MA,需要为 MA 启用联机租户和客户端。 电脑和移动版以及 Web 客户端的 Microsoft 365 客户端都支持 MA。
注意
如果需要有关Microsoft Entra身份验证和授权方法的详细信息,本文的简介和“Microsoft Entra ID中的身份验证基础知识”部分将有所帮助。
Microsoft 365 身份验证通过 Microsoft Entra ID 和 OAuth 完成。 身份验证过程可以简化为:
- 用户登录 > 令牌颁发 > 下一个请求使用颁发的令牌。
从客户端到云服务的请求由使用 OAuth 的Microsoft Entra ID进行身份验证和授权。 具有联合合作伙伴颁发的有效凭据的用户受信任,并且会通过与本机用户相同的过程。 但是,管理员可以实施进一步的限制。
对于媒体身份验证,ICE 和 TURN 协议还使用摘要质询,如 IETF TURN RFC 中所述。
终结点安全
Microsoft 正在将面向用户的 Microsoft 365 应用和服务统一到单个且一致的域: **cloud.microsoft**。
Microsoft 云服务的增长导致它们占用的域空间扩大,从而产生了数百个域。 对于最终用户导航、管理简单性和跨应用体验的开发来说,这种碎片化是一个挑战。
*.microsoft*顶级域是 Microsoft 独有的。 新域末尾没有传统的后缀,例如 .com 或 .net。 这是设计使然的。
cloud.microsoft 驻留在 .microsoft 顶级域下,Microsoft 是顶级域的注册表操作员和唯一的注册者。 当你与该域中的应用交互时,此域允许额外的安全性、隐私性以及防止欺骗。 你可以相信以 结尾 cloud.microsoft 的任何网站或应用都是 Microsoft 官方产品或服务。
有关详细信息,请参阅 Microsoft 365 应用的 Unified cloud.microsoft 域。