数据保护注意事项
下图演示了服务如何通过基于角色的访问控制 (RBAC) 授权层来存储和检索 Microsoft Entra 对象数据。 此层会调用内部目录数据访问层,确保用户的数据请求受允许:
Microsoft Entra 内部接口访问:与其他 Microsoft 服务(如 Microsoft 365)的服务到服务通信使用 Microsoft Entra 接口,它使用客户端证书授权服务的调用方。
Microsoft Entra 外部接口访问:Microsoft Entra 外部接口使用 RBAC 帮助防止数据泄露。 当安全主体(如用户)发出访问请求以通过 Microsoft Entra 接口读取信息时,请求必须附带安全令牌。 令牌包含有关发出请求的主体的声明。
安全令牌由 Microsoft Entra 身份验证服务颁发。 授权系统使用有关用户存在性、已启用状态和角色的信息,用于确定此用户在此会话中对目标租户的访问请求是否已获授权。
应用程序访问:由于应用程序可以在没有用户上下文的情况下访问应用程序编程接口 (API),因此访问检查包括有关用户的应用程序和请求的访问范围的信息,例如只读、读/写等。 许多应用程序代表用户使用 OpenID Connect 或 Open Authorization (OAuth) 来获取访问目录的令牌。 必须向这些应用程序显式授予对目录的访问权限,否则它们不会从 Microsoft Entra 身份验证服务接收令牌,并且它们会从授予的范围访问数据。
审核:访问已审核。 例如,已授权操作(如创建用户和重置密码)会创建可供租户管理员用来管理合规性或调查的审核线索。 租户管理员可以使用 Microsoft Entra 审核 API 生成审核报告。
了解详细信息:Microsoft Entra ID 中的审核日志
租户隔离:在 Microsoft Entra 多租户环境中强制实施安全性有助于实现两个主要目标:
- 防止数据泄露和跨租户访问:在未经租户 1 的显式授权的情况下,租户 2 中的用户无法获取属于租户 1 的数据。
- 跨租户的资源访问隔离:租户 1 执行的操作不会影响对租户 2 的资源的访问。
租户隔离
以下信息概述了租户隔离。
- 该服务使用 RBAC 策略保护租户,以确保数据隔离。
- 若要启用对租户的访问,主体(例如用户或应用程序)需要能够针对 Microsoft Entra 进行身份验证,以获取上下文并在租户中定义显式权限。 如果主体未在租户中授权,则生成的令牌将不携带权限,并且 RBAC 系统会拒绝此上下文中的请求。
- RBAC 确保由租户中授权的安全主体执行对租户的访问。 当租户管理员在同一租户中创建安全主体表示形式(例如,使用 B2B 协作)预配来宾用户帐户,或者当租户管理员创建策略以启用与其他租户的信任关系时,可以跨租户进行访问。 每个租户都是一个隔离边界。除非管理员允许,否则一个租户中的存在并不等同于另一个租户中的存在。
- 多个租户的 Microsoft Entra 数据存储在给定分区的同一物理服务器和驱动器中。 可确保隔离,因为对数据的访问受 RBAC 授权系统保护。
- 客户应用程序在未经身份验证的情况下无法访问 Microsoft Entra。 如果在初始连接协商过程中未附带凭据,请求将被拒绝。 此动态可防止相邻租户对租户进行未经授权的访问。 只有用户凭据的令牌或安全断言标记语言 (SAML) 令牌,才使用联合信任进行中转。 因此,它由 Microsoft Entra ID 根据 Microsoft Entra 租户全局管理员配置的共享密钥进行验证。
- 由于没有可从核心存储执行的应用程序组件,因此一个租户不可能强行破坏相邻租户的完整性。
数据安全
传输中加密:为确保数据安全,Microsoft Entra ID 中的目录数据在缩放单元内的数据中心之间传输时会进行签名和加密。 数据由 Microsoft Entra 核心存储层加密和解密,该层位于关联的 Microsoft 数据中心的安全服务器托管区域内。
面向客户的 Web 服务使用传输层安全性 (TLS) 协议进行保护。
密钥存储:Microsoft Entra ID 服务后端使用加密和 Microsoft 专有技术来存储用于服务的敏感材料,例如证书、密钥、凭据和哈希。 使用的存储取决于服务、操作、机密的范围(用户范围或租户范围)以及其他要求。
这些存储通过已建立的自动化和工作流(包括证书请求、续订、吊销和销毁)由以安全为中心的组操作。
存在与这些存储/工作流/进程相关的活动审核,并且没有长期访问权限。 访问权限基于请求和审批,且存续于有限的时间内。
有关静态机密加密的详细信息,请参阅下表。
算法:下表列出了 Microsoft Entra ID 组件使用的最小加密算法。 作为云服务,Microsoft 会根据安全研究成果、内部安全审查、针对硬件演变的关键强度等,重新评估和改进加密。
| 数据/方案 | 加密算法 |
|---|---|
| 密码哈希同步 云帐户密码 |
哈希:密码密钥派生功能 2 (PBKDF2),使用基于哈希的消息验证码 (HMAC)-SHA256 @ 1000 次迭代 |
| 数据中心之间传输中的目录 | AES-256-CTS-HMAC-SHA1-96 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| 使用 Microsoft Entra Connect 的自助式密码重置密码写回:云到本地通信 | RSA 2048 私钥/公钥对 AES_GCM(256 位密钥、96 位 IV 大小) |
| 自助式密码重置:安全问题的解答 | SHA256 |
| Microsoft Entra 应用程序 代理已发布应用程序的 SSL 证书 |
AES-GCM 256 位 |
| 磁盘级加密 | XTS-AES 128 |
| Azure 资源的托管标识 | AES-GCM 256 位 |
| Microsoft Authenticator 应用:无密码登录登录到 Microsoft Entra ID | 非对称 RSA 密钥 2048 位 |
| Microsoft Authenticator 应用:备份和还原企业帐户元数据 | AES-256 |