Microsoft 365 企業版遵循所有安全性最佳做法和程式,例如透過深層防禦的服務層級安全性、服務內的客戶控制、安全性強化和操作最佳做法。 如需完整詳細數據,請參閱 Microsoft 信任中心 和 Microsoft 合規性。
從設計上值得信賴
Microsoft 365 的設計與開發符合 Microsoft 可信任運算安全性開發生命週期 (SDL) ,如 Microsoft 安全性開發生命週期 (SDL) 所述。 建立更安全的統一通訊、共同作業和生產力系統的第一個步驟是設計威脅模型,並測試每個功能的設計方式。 程式碼撰寫和慣例已內建許多安全性相關的改進。 建置時間工具會在程式碼簽入最終產品之前,偵測緩衝區滿溢和其他潛在的安全性威脅。 無法針對所有未知的安全性威脅進行設計。 沒有任何系統可以保證絕對的安全性。 不過,由於產品開發從一開始就採用安全的設計原則,因此 Microsoft 365 將業界標準安全性技術納入為其架構的基本部分。
適用於 Microsoft 365 的安全性架構
Microsoft 365 支援安全性構想,例如 零信任,以及最低許可權存取的原則。 本節提供構成 Microsoft 365 安全性架構的基本元素概觀。
核心元素包括:
- Microsoft Entra ID,為用戶帳戶提供單一受信任的後端存放庫。 使用者配置文件資訊會透過 Microsoft Graph 的動作儲存在 Microsoft Entra ID 中。
- 可能會發出多個令牌,您可能會看到是否追蹤您的網路流量。
- 傳輸層安全性 (TLS) 加密移動中的通道。 驗證會使用相互 TLS (MTLS) 、根據憑證,或根據 Microsoft Entra ID 使用服務對服務驗證。
- 點對點音訊、視訊和應用程式共用串流會使用安全 Real-Time 傳輸通訊協定 (SRTP) 進行加密和完整性檢查。
- 您會在追蹤中看到 OAuth 流量,特別是關於令牌交換和交涉許可權,同時在 Teams 中的索引標籤之間切換,例如從貼文移至檔案。 如需索引標籤的 OAuth 流程範例,請 參閱這份檔。
- Microsoft 365 盡可能使用業界標準通訊協議進行用戶驗證。
Microsoft Entra ID
Microsoft Entra ID 作為 Microsoft 365 和 Office 365 的目錄服務。 它會儲存所有使用者和應用程式目錄資訊和原則指派。
Microsoft 365 中的加密
Microsoft 365 內有多個工作加密層級,可保護貴組織的內容。 如需 Microsoft 365 中加密的概觀,請參閱 Microsoft 365 中的加密。
使用者和客戶端驗證
受信任的使用者是已由 Microsoft 365 或 Office 365 中 Microsoft Entra ID 驗證認證的使用者。
驗證是將用戶認證布建到信任的伺服器或服務。 根據使用者的狀態和位置,Microsoft 365 會使用下列驗證通訊協定。
- 新式驗證 (MA) 是 Microsoft 針對客戶端對伺服器通訊的 OAUTH 2.0 實作。 它可啟用多重要素驗證和條件式存取等安全性功能。 若要使用MA,必須為MA啟用在線租使用者和用戶端。 跨計算機和行動裝置的 Microsoft 365 用戶端,以及 Web 用戶端,全都支援 MA。
注意事項
如果您想要 Microsoft Entra 驗證和授權方法的詳細資訊,本文的簡介和「Microsoft Entra ID 中的驗證基本概念」章節會提供協助。
Microsoft 365 驗證是透過 Microsoft Entra ID 和 OAuth 來完成。 驗證程式可以簡化為:
- 使用者登入 > 令牌發行 > 下一個要求會使用發行的令牌。
用戶端對雲端服務的要求會由 Microsoft Entra ID 使用 OAuth 進行驗證和授權。 具有同盟夥伴所簽發之有效認證的使用者會受到信任,並通過與原生使用者相同的程式。 不過,系統管理員可以設定進一步的限制。
針對媒體驗證,ICE 和 TURN 通訊協定也會使用摘要挑戰,如 IETF TURN RFC 中所述。
端點安全性
Microsoft 正在將使用者面向的 Microsoft 365 應用程式和服務整合到單一且一致的網域: **cloud.microsoft**。
Microsoft 雲端服務的成長導致其佔用的網域空間擴大,導致數百個網域。 此片段是使用者流覽、系統管理簡單性,以及跨應用程式體驗開發的挑戰。
最 *.microsoft* 上層網域是 Microsoft 獨佔的網域。 新網域結尾沒有傳統後綴,例如 .com 或 .net。 這是原本設計的做法。
cloud.microsoft 位於最上層網域之下 .microsoft ,Microsoft 是登錄操作員和唯一的註冊者。 當您與該網域內的應用程式互動時,此網域可提供額外的安全性、隱私權和保護,以避免詐騙。 您可以信任以 結尾 cloud.microsoft 的任何網站或應用程式都是官方 Microsoft 產品或服務。
如需詳細資訊,請參閱 適用於 Microsoft 365 應用程式的 Unified cloud.microsoft 網域。