Microsoft 365 隔離控制項
Microsoft 會持續努力確保 Microsoft 365 的多租用戶架構支援企業層級安全性、機密性、隱私權、數據完整性、可用性,並符合本機與國際 標準。 Microsoft 所提供之服務的規模和範圍,讓您難以且不切實際地透過顯著的人為互動進行管理。 Microsoft 365 服務是透過全域散發的數據中心來提供,每個服務都會高度自動化,只需要一些需要人為觸控或任何客戶數據存取的作業。 我們的員工使用自動化工具和高度安全的遠端訪問來支持這些服務和數據中心。
Microsoft 365 是由多個服務所組成,可提供重要的商務功能,並有助於整體體驗。 這些服務都是獨立的,且設計目的是要彼此整合。 Microsoft 365 是使用下列原則所設計:
- 服務導向架構:以互操作性服務的形式設計及開發軟體,以提供定義完善的商務功能。
- 作業安全性保證:此架構包含透過 Microsoft 特有的各種功能所獲得的知識,包括 Microsoft 安全性開發生命週期、 Microsoft 安全性回應中心,以及對網路安全性威脅環境的深入認知。
Microsoft 365 服務彼此互操作,但已設計和實作,因此可以獨立於彼此獨立地部署和營運為自發服務。 Microsoft 會區隔 Microsoft 365 的職責和責任範圍,以減少未經授權或無意修改或濫用組織資產的機會。 Microsoft 365 小組已將角色定義為完整角色型訪問控制機制的一部分。
租用戶隔離
雲端運算的主要優點之一,就是能夠同時跨多個客戶運用共同基礎結構,以形成規模經濟。
在多租用戶環境中維持租用戶隔離的兩個主要目標是:
- 防止跨租使用者外泄或未經授權存取客戶數據;和
- 防止一個租用戶的動作對另一個租用戶的服務造成負面影響。
Microsoft 在線服務的設計是假設所有租使用者可能對所有其他租使用者有害,而且我們已實作安全性措施,以防止某個租使用者的動作影響另一個租使用者的安全性或服務,或存取其內容。
整個 Microsoft 365 已實作多種保護形式,以防止危害服務或應用程式,或未經授權存取其他租使用者或系統本身的資訊,包括:
- Microsoft 365 服務的每個租用戶內的客戶資料邏輯隔離,是透過 Microsoft Entra 授權和角色型存取控制而達成。
- 在 SharePoint Online 等服務的儲存層級隔離數據。
- Microsoft 使用嚴格的實體安全性、背景篩檢和多層式加密策略來保護客戶資料的機密性和完整性。 所有 Microsoft 365 資料中心都有生物特徵辨識存取控制,且大部分都需要掌紋才能取得實體存取權。 此外,所有以美國為基礎的 Microsoft 員工都必須成功完成標準背景檢查,作為雇用程式的一部分。 如需 Microsoft 365 中用於系統管理存取之控件的詳細資訊,請參閱 Microsoft 365 帳戶管理。
- Microsoft 365 使用服務端技術來加密待用和傳輸中的客戶內容,包括 BitLocker、個別檔案加密、傳輸層安全性 (TLS) 和網際網路通訊協定安全性 (IPsec)。 如需 Microsoft 365 中加密的特定詳細資料,請參閱 Microsoft 365 中的資料加密技術。
上述保護一起提供強固的邏輯隔離控件,提供威脅防護和緩和措施,相當於單獨由實體隔離所提供的防護功能。