資料保護考量
下圖說明服務如何透過角色型存取控制 (RBAC) 授權層來儲存和擷取 Microsoft Entra 物件資料。 此層會呼叫內部目錄資料存取層,確保可允許使用者的資料要求:
Microsoft Entra 內部介面存取:與其他 Microsoft 服務 (例如 Microsoft 365) 之間的服務對服務通訊會使用 Microsoft Entra ID 介面,以授與服務呼叫端使用用戶端憑證的權限。
Microsoft Entra 外部介面存取:Microsoft Entra 外部介面有助於使用 RBAC 防止資料外洩。 當安全性主體 (例如使用者) 提出透過 Microsoft Entra ID 介面讀取資訊的存取要求時,安全性權杖必須隨附在要求中。 權杖包含發出要求之主體的相關宣告。
安全性權杖由 Microsoft Entra 驗證服務所發出。 授權系統會使用使用者的存在情形、啟用狀態和角色的相關資訊,決定這名使用者在此工作階段中對目標租用戶的存取要求是否已獲授權。
應用程式存取:因為應用程式可以在沒有使用者相關內容的情況下存取應用程式開發介面 (API),所以存取檢查會包含使用者應用程式的相關資訊和所要求的存取範圍,例如唯讀、讀取/寫入等等。 許多應用程式會使用 OpenID Connect 或 Open Authorization (OAuth) 來取得權杖,以代表使用者存取目錄。 這些應用程式必須被明確地授與目錄的存取權,否則無法從 Microsoft Entra 驗證服務收到權杖,而這些應用程式會從授與的範圍存取資料。
稽核:存取權已經過稽核。 例如,授權動作 (如建立使用者和密碼重設) 會建立可供租用戶管理員用來管理法規遵循工作或調查的稽核記錄。 租用戶管理員可以使用 Microsoft Entra 稽核 API 來產生稽核報告。
深入了解:在 Microsoft Entra ID 中稽核記錄
租用戶隔離:在 Microsoft Entra 多租用戶環境中強制執行安全性措施有助於達成兩個主要目標:
- 防止資料外洩和跨租用戶存取資料:在租用戶 1 未明確授權的情況下,租用戶 2 中的使用者無法取得屬於租用戶 1 的資料。
- 租用戶之間的資源存取隔離:租用戶 1 所執行的作業不會影響租用戶 2 的資源存取。
租用戶隔離
下列是概述租用戶隔離的資訊。
- 服務會使用 RBAC 原則來確保資料隔離,以保護租用戶。
- 若要對某一個租用戶啟用存取權,主體 (例如使用者或應用程式) 必須夠向 Microsoft Entra ID 進行驗證來取得相關內容,並在租用戶中定義明確的權限。 如果主體未在租用戶中獲得授權,產生的權杖將不會帶有權限,而 RBAC 系統會拒絕此內容中的要求。
- RBAC 可確保租用戶存取是由租用戶中授權的安全性主體所執行。 可跨租用戶進行存取的情況包括:當租用戶管理員在同一個租用戶中建立安全性主體代表時 (例如使用 B2B 共同作業佈建訪客使用者帳戶),或租用戶管理員建立原則以啟用與另一個租用戶之間的信任關係時。 例如,啟用 B2B 直接連接的跨租用戶存取原則。 每個租用戶都是隔離界限;除非管理員允許,否則在一個租用戶中存在不等於在另一個租用戶中存在。
- 多個租用戶的 Microsoft Entra 資料會儲存在指定分割區的相同實體伺服器和磁碟機中。 因為 RBAC 授權系統會保護資料的存取權,因此可確資料保隔離。
- 客戶應用程式無法在不經過驗證的情況下存取 Microsoft Entra ID。 如果在初始連線交涉程序中未隨附認證,則要求會遭到拒絕。 此動態行為可防止鄰近租用戶未經授權存取某個租用戶。 只有使用者認證的權杖或安全性聲明標記語言 (SAML) 權杖會透過同盟信任代理。 因此會由 Microsoft Entra ID 根據應用程式擁有者所設定的共用金鑰進行驗證。
- 因為沒有可從核心存放區執行的應用程式元件,所以一個租用戶不可能強行破壞鄰近租用戶的完整性。
資料安全性
傳輸中的加密:為了確保資料安全性,當 Microsoft Entra ID 中的目錄資料在一個級別單位中的資料中心之間傳輸時,資料會進行簽署和加密。 資料會由 Microsoft Entra 核心存放區層加密且解密,該層位於相關聯 Microsoft 資料中心的安全伺服器主控區域中。
面對客戶的 Web 服務會使用傳輸層安全性 (TLS) 通訊協議來確保安全。
祕密儲存體:Microsoft Entra 服務後端會使用加密來儲存機密資料以供服務使用,例如使用 Microsoft 專屬技術的憑證、金鑰、認證和雜湊。 所使用的存放區取決於服務、作業、祕密範圍 (全部使用者或全部租用戶),以及其他需求。
以安全性為主的群組會透過建立的自動化和工作流程,來運作這些存放區,包括憑證要求、續約、撤銷和銷毀。
這些存放區/工作流程/程序都有相關的活動稽核,而且沒有常設存取權。 存取是以要求和核准為基礎,且有時間限制。
如需有關祕密待用加密的詳細資訊,請參閱下表。
演算法:下表列出 Microsoft Entra 元件所使用的最低密碼編譯演算法。 作為雲端服務,Microsoft 會根據安全性研究成果、內部安全性檢閱、硬體演進的主要優勢等,重新評估並改善密碼編譯。
| 資料/案例 | 密碼編譯演算法 |
|---|---|
| 密碼雜湊同步 雲端帳戶密碼 |
雜湊:密碼金鑰衍生函式 2 (PBKDF2),使用雜湊式訊息驗證碼 (HMAC)-SHA256 @ 1,000 反覆運算 |
| 資料中心之間的傳輸中目錄 | AES-256-CTS-HMAC-SHA1-96 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| 傳遞驗證的使用者認證流程 | RSA 2048-公開/私密金鑰組 深入了解:Microsoft Entra 傳遞驗證安全性深入探討 |
| 自助式密碼重設的密碼回寫搭配 Microsoft Entra Connect:雲端到內部部署的通訊 | RSA 2048 私密/公開金鑰組 AES_GCM (256 位元金鑰,96 位元 IV 大小) |
| 自助式密碼重設:安全性問題的解答 | SHA256 |
| Microsoft Entra 應用程式的 SSL 憑證 已發佈 Proxy 的應用程式 |
AES-GCM 256 位元 |
| 磁碟層級加密 | XTS-AES 128 |
| 無縫單一登入 (SSO) 服務帳戶密碼 軟體即服務 (SaaS) 應用程式佈建認證 |
AES-CBC 128 位元 |
| 適用於 Azure 資源的受控識別 | AES-GCM 256 位元 |
| Microsoft Authenticator 應用程式:無密碼登入 Microsoft Entra ID | 非對稱 RSA 金鑰 2048 位元 |
| Microsoft Authenticator 應用程式:備份與還原企業帳戶中繼資料 | AES-256 |
資源
下一步
- Microsoft Entra ID 和資料落地
- 資料作業考量
- 資料保護考量 (您的所在位置)
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應