Løsningen:
Fire isolasjonslag
Ingen enkelt mekanisme gir fullstendig tenant-isolasjon.
De fire lagene
Apple Network Relay (MASQUE/HTTP3 QUIC) fanger opp all trafikk til Microsoft-domener på OS-nivå og tunnelerer den gjennom omveien. Applikasjoner kan ikke omgå dette. Det finnes ingen direkte vei til Microsoft fra klientenheten.
Omveien krever at klienten presenterer et hardware-bundet ACME-enhetssertifikat. Kun MDM-administrerte enheter med gyldig sertifikat kan etablere QUIC-tilkoblingen. Ingen sertifikat — ingen tilgang, ingen logg.
Omvei-serveren har en nettverksgrensesnitt inn i et GSA-aktivert nettverk. Trafikk som er ment for AVD-ressurser rutes gjennom GSA-tunnelen. Det finnes ingen rute til andre tenanters AVD-ressurser.
GSA-nettverket injiserer Tenant Restrictions v2-headere i alle autentiseringsforespørsler til login.microsoftonline.com. Microsoft avviser autentisering mot alle andre tenanter enn din — selv om noen finner en alternativ vei.
Hvert lag er nødvendig
| Uten lag | Konsekvens |
|---|---|
| Uten lag 1 (MASQUE) | Trafikk går direkte — lag 3 og 4 kan ikke håndheves siden vi ikke kontrollerer veien |
| Uten lag 2 (mTLS) | Enhver enhet kan nå omveien — ingen enhetsgodkjenning |
| Uten lag 3 (GSA routing) | Omveien kan proxy-e trafikk til hvilken som helst tenant |
| Uten lag 4 (TR v2) | Autentisering mot fremmede tenanter er fortsatt mulig hvis noen finner en alternativ vei |
Nøkkelinnsikten: MASQUE er det manglende leddet. Tenant Restrictions v2 har eksistert lenge, men har ikke vært håndhevbar på klientnivå uten en mekanisme som tvinger all relevant trafikk gjennom en kontrollert proxy. MASQUE er denne mekanismen.