MICROSOFT Entra ID a rezidence dat
Microsoft Entra ID je řešení Identity as a Service (IDaaS), které ukládá a spravuje identity a přístup k datům v cloudu. Data můžete použít k povolení a správě přístupu ke cloudovým službám, k dosažení scénářů mobility a k zabezpečení vaší organizace. Instance služby Microsoft Entra, která se nazývá tenant, je izolovaná sada dat objektu adresáře, která zákazník zřídí a vlastní.
Core Store
Core Store se skládá z tenantů uložených ve škálovacích jednotkách, z nichž každý obsahuje více tenantů. Operace aktualizace nebo načítání dat v Microsoft Entra Core Store se vztahují k jednomu tenantovi na základě tokenu zabezpečení uživatele, který dosahuje izolace tenanta. Jednotky škálování se přiřazují k geografickému umístění. Každé geografické umístění používá k ukládání dat dvě nebo více oblastí Azure. V každé oblasti Azure se data jednotek škálování replikují do fyzických datových center pro zajištění odolnosti a výkonu.
Další informace: Jednotky škálování úložiště Microsoft Entra Core Store
ID Microsoft Entra je k dispozici v následujících cloudech:
- Veřejný
- Čína
- Státní správa USA
Ve veřejném cloudu se zobrazí výzva k výběru umístění v době vytvoření tenanta (například registrace k Office 365 nebo Azure nebo vytvoření dalších instancí Microsoft Entra prostřednictvím webu Azure Portal). ID Microsoft Entra mapuje výběr na geografické umístění a jednu jednotku škálování. Umístění tenanta nejde po nastavení změnit.
Umístění vybrané během vytváření tenanta se mapuje na jedno z následujících geografických umístění:
- Austrálie
- Asie/Tichomoří
- Evropa, Střední východ a Afrika (EMEA)
- Japonsko
- Severní Amerika
- Celosvětově
ID Microsoft Entra zpracovává data Core Store na základě použitelnosti, výkonu, rezidence a/nebo jiných požadavků na základě geografického umístění. Microsoft Entra ID replikuje každého tenanta prostřednictvím své jednotky škálování napříč datovými centry na základě následujících kritérií:
- Microsoft Entra Core Store data uložená v datových centrech nejblíže k umístění rezidence tenanta, aby se snížila latence a poskytovala rychlá doba přihlašování uživatelů
- Microsoft Entra Core Store data uložená v geograficky izolovaných datových centrech za účelem zajištění dostupnosti během nepředvídatelných katastrofických událostí v jednom datacentru
- Dodržování předpisů s rezidencí dat nebo jinými požadavky pro konkrétní zákazníky a geografická umístění
Modely cloudových řešení Microsoft Entra
Následující tabulka vám ukáže modely cloudových řešení Microsoft Entra založené na infrastruktuře, umístění dat a provozní suverenitě.
| Model | Místa | Umístění dat | Provozní pracovníci | Vložení tenanta do tohoto modelu |
|---|---|---|---|---|
| Veřejná geografická oblast | Severní Amerika, EMEA, Japonsko, Asie/Tichomoří | V klidovém stavu v cílovém umístění. Výjimky podle služby nebo funkce | Provozuje společnost Microsoft. Pracovníci datacentra Microsoftu musí projít kontrolou na pozadí. | Vytvořte tenanta v prostředí registrace. Zvolte umístění pro rezidenci dat. |
| Veřejná po celém světě | Celosvětově | Všechna umístění | Provozuje společnost Microsoft. Pracovníci datacentra Microsoftu musí projít kontrolou na pozadí. | Vytvoření tenanta dostupné prostřednictvím oficiálního kanálu podpory a podle vlastního uvážení Microsoftu. |
| Suverénní nebo národní cloudy | Státní správa USA, Čína | V klidovém stavu v cílovém umístění. Žádné výjimky. | Provozuje ho správce dat (1). Personál se monitoruje podle požadavků. | Každá národní cloudová instance má prostředí registrace. |
Odkazy na tabulky:
(1) Správci dat: Datacentra v cloudu státní správy USA provozuje Microsoft. V Číně se Microsoft Entra ID provozuje prostřednictvím partnerství se společností 21Vianet.
Další informace:
- Ukládání a zpracování zákaznických dat pro evropské zákazníky v Microsoft Entra ID
- Power BI: Microsoft Entra ID – Kde se nachází vaše data?
- Co je architektura Microsoft Entra?
- Vyhledání zeměpisné oblasti Azure, která vyhovuje vašim potřebám
- Centrum zabezpečení společnosti Microsoft
Rezidence dat napříč komponentami Microsoft Entra
Další informace: Přehled produktu Microsoft Entra
Poznámka:
Informace o umístění dat služby, jako je Exchange Online nebo Skype pro firmy, najdete v příslušné dokumentaci ke službě.
Komponenty Microsoft Entra a umístění úložiště dat
| Součást Microsoft Entra | Popis | Umístění úložiště dat |
|---|---|---|
| Ověřovací služba Microsoft Entra | Tato služba je bezstavová. Data pro ověřování jsou v Microsoft Entra Core Storu. Neobsahuje žádná data adresáře. Ověřovací služba Microsoft Entra generuje data protokolů v úložišti Azure a v datovém centru, kde se instance služby spouští. Když se uživatelé pokusí ověřit pomocí ID Microsoft Entra, budou přesměrováni na instanci v geograficky nejbližším datovém centru, které je součástí logické oblasti Microsoft Entra. | V geografickém umístění |
| Služby Microsoft Entra identity a správy přístupu (IAM) | Prostředí pro správu a uživatele: Prostředí pro správu Microsoft Entra je bezstavové a nemá žádná data adresáře. Generuje data protokolu a využití uložená ve službě Azure Tables Storage. Uživatelské prostředí se podobá webu Azure Portal. Obchodní logika správy identit a služby generování sestav: Tyto služby mají místně uložené úložiště dat v mezipaměti pro skupiny a uživatele. Služby generují data protokolu a využití, která se přejdou do služby Azure Tables Storage, Azure SQL a ve službě Microsoft Elastic Search Reporting Services. |
V geografickém umístění |
| Vícefaktorové ověřování Microsoft Entra | Podrobnosti o úložišti a uchovávání dat vícefaktorového ověřování MFA najdete v tématu Rezidence dat a zákaznická data pro vícefaktorové ověřování Microsoft Entra. Vícefaktorové ověřování Microsoftu protokoluje hlavní název uživatele (UPN), telefonní čísla hlasových hovorů a výzvy sms. V případě problémů s režimy mobilních aplikací služba protokoluje hlavní název uživatele (UPN) a jedinečný token zařízení. Datacentra v Severní Amerika oblasti ukládají vícefaktorové ověřování Microsoft Entra a protokoly, které vytvoří. | Severní Amerika |
| Microsoft Entra Domain Services | Podívejte se na oblasti, ve kterých je služba Microsoft Entra Domain Services publikovaná v produktech dostupných v jednotlivých oblastech. Služba uchovává systémová metadata globálně v tabulkách Azure a neobsahuje žádné osobní údaje. | V geografickém umístění |
| Stav služby Microsoft Entra Connect | Microsoft Entra Připojení Health generuje výstrahy a sestavy ve službě Azure Tables Storage a v úložišti objektů blob. | V geografickém umístění |
| Dynamické členství Microsoft Entra pro skupiny, samoobslužná správa skupin Microsoft Entra | Azure Tables Storage obsahuje definice pravidel dynamického členství. | V geografickém umístění |
| Proxy aplikace Microsoft Entra | Proxy aplikace Microsoft Entra ukládá metadata o tenantovi, počítačích konektorů a konfiguračních datech v Azure SQL. | V geografickém umístění |
| Zpětný zápis hesla Microsoft Entra v Microsoft Entra Připojení | Během počáteční konfigurace microsoft Entra Připojení vygeneruje asymetrický klíčpair pomocí kryptografického systému Rivest–Shamir–Adleman (RSA). Pak odešle veřejný klíč do cloudové služby samoobslužného resetování hesla (SSPR), která provádí dvě operace: 1. Vytvoří dvě předávací služby Azure Service Bus pro místní službu Microsoft Entra Připojení pro zabezpečenou komunikaci se službou SSPR 2. Vygeneruje klíč AES (Advanced Encryption Standard), K1 Umístění přenosu azure Service Bus, odpovídající klíče naslouchacího procesu a kopie klíče AES (K1) přejde do Microsoft Entra Připojení v odpovědi. Budoucí komunikace mezi SSPR a Microsoft Entra Připojení nastanou přes nový kanál ServiceBus a jsou šifrované pomocí SSL. Nové resetování hesla odeslané během operace se šifruje pomocí veřejného klíče RSA vygenerovaného klientem během onboardingu. Privátní klíč na počítači Microsoft Entra Připojení je dešifruje, což brání subsystémům kanálu v přístupu k heslu ve formátu prostého textu. Klíč AES zašifruje datovou část zprávy (šifrovaná hesla, další data a metadata), což brání útočníkům služby ServiceBus v manipulaci s datovou částí, a to i s úplným přístupem k internímu kanálu ServiceBus. V případě zpětného zápisu hesla potřebuje Microsoft Entra Připojení klíče a data: – klíč AES (K1), který šifruje datovou část resetování, nebo žádosti o změnu ze služby SSPR na Microsoft Entra Připojení prostřednictvím kanálu ServiceBus – privátní klíč, z asymetrického klíče, který dešifruje hesla, při resetování nebo změně datových částí požadavků – Klíče naslouchacího procesu ServiceBus Klíč AES (K1) a asymetrický klíč se obměňují minimálně každých 180 dnů, dobu trvání, kterou můžete změnit během určitých událostí konfigurace onboardingu nebo offboardingu. Příkladem je zákaz a opětovné povolení zpětného zápisu hesla, ke kterému může dojít během upgradu součástí během údržby a údržby. Klíče zpětného zápisu a data uložená v databázi Microsoft Entra Připojení jsou šifrované programovacími rozhraními aplikace ochrany dat (DPAPI) (CALG_AES_256). Výsledkem je hlavní šifrovací klíč ADSync uložený ve službě Windows Credential Vault v kontextu místního účtu služby ADSync. Trezor přihlašovacích údajů systému Windows poskytuje automatické opětovné šifrování tajných kódů, protože se změní heslo pro účet služby. Resetování hesla účtu služby zneplatní tajné kódy v trezoru přihlašovacích údajů systému Windows pro účet služby. Ruční změny nového účtu služby můžou zneplatnit uložené tajné kódy. Ve výchozím nastavení se služba ADSync spouští v kontextu účtu virtuální služby. Účet se může během instalace přizpůsobit na účet služby domain service s nejnižšími oprávněními, účet spravované služby (MSA) nebo účet spravované služby skupiny (gMSA). Zatímco virtuální a spravované účty služeb mají automatickou obměnu hesel, zákazníci spravují obměnu hesel pro vlastní zřízený účet domény. Jak je uvedeno, resetování hesla způsobí ztrátu uložených tajných kódů. |
V geografickém umístění |
| Microsoft Entra Device Registration Service | Služba Microsoft Entra Device Registration Service má v adresáři správu životního cyklu počítačů a zařízení, což umožňuje scénáře, jako je podmíněný přístup stavu zařízení a správa mobilních zařízení. | V geografickém umístění |
| Zřizování Microsoft Entra | Zřizování Microsoft Entra vytváří, odebírá a aktualizuje uživatele v systémech, jako jsou aplikace typu software jako služba (SaaS). Spravuje vytváření uživatelů v Microsoft Entra ID a místní službě AD z cloudových zdrojů lidských zdrojů, jako je Workday. Služba ukládá svou konfiguraci do služby Azure Cosmos DB, která ukládá data členství ve skupině pro adresář uživatele, který uchovává. Cosmos DB replikuje databázi do několika datacenter ve stejné oblasti jako tenant, která data izoluje podle modelu cloudového řešení Microsoft Entra. Replikace vytváří vysokou dostupnost a více koncových bodů pro čtení a zápis. Cosmos DB má šifrování informací o databázi a šifrovací klíče jsou uložené v úložišti tajných kódů pro Microsoft. | V geografickém umístění |
| Spolupráce Microsoft Entra business-to-business (B2B) | Spolupráce Microsoft Entra B2B neobsahuje žádná data adresáře. Uživatelé a další objekty adresáře v relaci B2B s jiným tenantem vedou ke kopírování uživatelských dat v jiných tenantech, což může mít vliv na rezidenci dat. | V geografickém umístění |
| Microsoft Entra ID Protection | Microsoft Entra ID Protection používá data přihlášení uživatelů v reálném čase s několika signály z firemních a oborových zdrojů k podávání svých systémů strojového učení, které detekují neobvyklá přihlášení. Osobní údaje se před předáním do systému strojového učení vyčisávají z dat přihlášení v reálném čase. Zbývající data přihlášení identifikují potenciálně riziková uživatelská jména a přihlášení. Po analýze data přejdou do systémů generování sestav Microsoftu. Riziková přihlášení a uživatelská jména se zobrazují ve vytváření sestav pro Správa istrátory. | V geografickém umístění |
| Spravované identity Microsoft Entra pro prostředky Azure | Spravované identity Microsoft Entra pro prostředky Azure se systémy spravovaných identit se můžou ověřovat ve službách Azure bez uložení přihlašovacích údajů. Místo použití uživatelského jména a hesla se spravované identity ověřují ve službách Azure pomocí certifikátů. Služba zapisuje certifikáty, které v Azure Cosmos DB v oblasti USA – východ, která podle potřeby převezme služby při selhání do jiné oblasti. Geografická redundance služby Azure Cosmos DB probíhá globální replikací dat. Replikace databáze vloží kopii jen pro čtení do každé oblasti, na které běží spravované identity Microsoft Entra. Další informace najdete v tématu Služby Azure, které můžou používat spravované identity pro přístup k jiným službám. Microsoft izoluje každou instanci Cosmos DB v modelu cloudového řešení Microsoft Entra. Poskytovatel prostředků, jako je hostitel virtuálního počítače, ukládá certifikát pro ověřování a toky identit s jinými službami Azure. Služba ukládá svůj hlavní klíč pro přístup ke službě Azure Cosmos DB ve službě pro správu tajných kódů datacentra. Azure Key Vault ukládá hlavní šifrovací klíče. |
V geografickém umístění |
| Azure Active Directory B2C | Azure AD B2C je služba pro správu identit, která umožňuje přizpůsobit a spravovat způsob registrace, přihlášení a správy jejich profilů při používání aplikací. B2C používá Core Store k uchovávání informací o identitě uživatele. Databáze Core Store se řídí známými pravidly úložiště, replikace, odstranění a rezidence dat. B2C používá systém Azure Cosmos DB k ukládání zásad a tajných kódů služeb. Cosmos DB obsahuje služby šifrování a replikace informací o databázi. Šifrovací klíč je uložený v úložišti tajných kódů pro Microsoft. Microsoft izoluje instance Cosmos DB v modelu cloudového řešení Microsoft Entra. | Geografické umístění s možností výběru zákazníka |
Související prostředky
Další informace o rezidenci dat v nabídkách Microsoft Cloud najdete v následujících článcích:
- Microsoft Entra ID – Kde se nachází vaše data?
- Rezidence dat v Azure | Microsoft Azure
- Umístění dat Microsoftu 365 – Microsoft 365 Enterprise
- Ochrana osobních údajů Společnosti Microsoft – kde se nachází vaše data?
- Stáhnout PDF: Aspekty ochrany osobních údajů v cloudu