MICROSOFT Entra ID a rezidence dat
Microsoft Entra ID je řešení Identity as a Service (IDaaS), které ukládá a spravuje identity a přístup k datům v cloudu. Data můžete použít k povolení a správě přístupu ke cloudovým službám, k dosažení scénářů mobility a k zabezpečení vaší organizace. Instance služby Microsoft Entra, která se nazývá tenant, je izolovaná sada dat objektu adresáře, která zákazník zřídí a vlastní.
Poznámka:
Microsoft Entra Externí ID je řešení pro správu identit a přístupu zákazníka (CIAM), které ukládá a spravuje data v samostatném tenantovi vytvořeném pro vaše aplikace určené pro zákazníky a data adresáře zákazníků. Tento tenant se nazývá externí tenant. Při vytváření externího tenanta máte možnost vybrat zeměpisné umístění úložiště dat. Je důležité si uvědomit, že umístění dat a dostupnost oblastí se můžou lišit od umístění dat a dostupnosti oblastí Microsoft Entra ID, jak je uvedeno v tomto článku.
Core Store
Core Store se skládá z tenantů uložených ve škálovacích jednotkách, z nichž každý obsahuje více tenantů. Operace aktualizace nebo načítání dat v Microsoft Entra Core Store se vztahují k jednomu tenantovi na základě tokenu zabezpečení uživatele, který dosahuje izolace tenanta. Jednotky škálování se přiřazují k geografickému umístění. Každé geografické umístění používá k ukládání dat dvě nebo více oblastí Azure. V každé oblasti Azure se data jednotek škálování replikují ve fyzických datacentrech pro zajištění odolnosti a výkonu.
Další informace: Jednotky škálování úložiště Microsoft Entra Core Store
ID Microsoft Entra je k dispozici v následujících cloudech:
- Veřejná
- Čína*
- Státní správa USA*
* Není aktuálně k dispozici pro externí tenanty.
Ve veřejném cloudu se zobrazí výzva k výběru umístění v době vytvoření tenanta (například registrace k Office 365 nebo Azure nebo vytvoření dalších instancí Microsoft Entra prostřednictvím webu Azure Portal). ID Microsoft Entra mapuje výběr na geografické umístění a jednu jednotku škálování. Umístění tenanta nejde po nastavení změnit.
Umístění vybrané během vytváření tenanta se mapuje na jedno z následujících geografických umístění:
- Austrálie*
- Asie/Tichomoří
- Evropa, Střední východ a Afrika (EMEA)
- Japonsko*
- Severní Amerika
- Celosvětově
* Není aktuálně k dispozici pro externí tenanty.
ID Microsoft Entra zpracovává data Core Store na základě použitelnosti, výkonu, rezidence nebo jiných požadavků na základě geografického umístění. Microsoft Entra ID replikuje každého tenanta prostřednictvím své jednotky škálování napříč datovými centry na základě následujících kritérií:
- Data Microsoft Entra Core Store uložená v datacentrech, která jsou nejblíže umístění rezidence tenanta, aby se snížila latence a poskytovala rychlá doba přihlašování uživatelů
- Microsoft Entra Core Store data uložená v geograficky izolovaných datacentrech za účelem zajištění dostupnosti během nepředvídatelných událostí s jedním datovým centrem, katastrofických událostí
- Dodržování předpisů s rezidencí dat nebo jinými požadavky pro konkrétní zákazníky a geografická umístění
Modely cloudových řešení Microsoft Entra
Následující tabulka vám ukáže modely cloudových řešení Microsoft Entra založené na infrastruktuře, umístění dat a provozní suverenitě.
| Model | Umístění | Umístění dat | Provozní pracovníci | Vložení tenanta do tohoto modelu |
|---|---|---|---|---|
| Veřejná geografická oblast | Austrálie*, Severní Amerika, EMEA, Japonsko*, Asie/Tichomoří | V klidovém stavu v cílovém umístění. Výjimky podle služby nebo funkce | Provozuje společnost Microsoft. Pracovníci datacentra Microsoftu musí projít kontrolou na pozadí. | Vytvořte tenanta v prostředí registrace. Zvolte umístění pro rezidenci dat. |
| Veřejná po celém světě | Celosvětově | Všechna místa | Provozuje společnost Microsoft. Pracovníci datacentra Microsoftu musí projít kontrolou na pozadí. | Vytvoření tenanta dostupné prostřednictvím oficiálního kanálu podpory a podle vlastního uvážení Microsoftu. |
| Suverénní nebo národní cloudy | Státní správa USA*, Čína* | V klidovém stavu v cílovém umístění. Žádné výjimky. | Provozuje ho správce dat (1). Personál se monitoruje podle požadavků. | Každá národní cloudová instance má prostředí registrace. |
* Není aktuálně k dispozici pro externí tenanty.
Odkazy na tabulky:
(1) Správci dat: Datacentra v cloudu státní správy USA provozuje Microsoft. V Číně se Microsoft Entra ID provozuje prostřednictvím partnerství se společností 21Vianet.
Další informace:
- Ukládání a zpracování zákaznických dat pro evropské zákazníky v Microsoft Entra ID
- Co je architektura Microsoft Entra?
- Vyhledání zeměpisné oblasti Azure, která vyhovuje vašim potřebám
- Centrum zabezpečení společnosti Microsoft
Rezidence dat napříč komponentami Microsoft Entra
Další informace: Přehled produktu Microsoft Entra
Poznámka:
Informace o umístění dat služby, jako je Exchange Online nebo Skype pro firmy, najdete v příslušné dokumentaci ke službě.
Komponenty Microsoft Entra a umístění úložiště dat
| Součást Microsoft Entra | Popis | Umístění úložiště dat |
|---|---|---|
| Ověřovací služba Microsoft Entra | Tato služba je bezstavová. Data pro ověřování jsou v Microsoft Entra Core Storu. Neobsahuje žádná data adresáře. Ověřovací služba Microsoft Entra generuje data protokolů ve službě Azure Storage a v datacentru, kde instance služby běží. Když se uživatelé pokusí ověřit pomocí ID Microsoft Entra, budou přesměrováni na instanci v geograficky nejbližším datacentru, které je součástí logické oblasti Microsoft Entra. | V geografickém umístění |
| Služby Microsoft Entra identity a správy přístupu (IAM) | Prostředí pro správu a uživatele: Prostředí pro správu Microsoft Entra je bezstavové a nemá žádná data adresáře. Generuje data protokolu a využití uložená ve službě Azure Tables Storage. Uživatelské prostředí se podobá webu Azure Portal. Obchodní logika správy identit a služby generování sestav: Tyto služby mají místně uložené úložiště dat v mezipaměti pro skupiny a uživatele. Služby generují data protokolu a využití, která se přejdou do služby Azure Tables Storage, Azure SQL a ve službě Microsoft Elastic Search Reporting Services. |
V geografickém umístění |
| Vícefaktorové ověřování Microsoft Entra | Podrobnosti o úložišti a uchovávání dat vícefaktorového ověřování najdete v tématu Rezidence dat a zákaznická data pro vícefaktorové ověřování Microsoft Entra. Vícefaktorové ověřování Microsoftu protokoluje hlavní název uživatele (UPN), telefonní čísla hlasových hovorů a výzvy sms. V případě problémů s režimy mobilních aplikací služba protokoluje hlavní název uživatele (UPN) a jedinečný token zařízení. Datacentra v Severní Amerika oblasti ukládají vícefaktorové ověřování Microsoft Entra a protokoly, které vytvoří. | Severní Amerika |
| Microsoft Entra Domain Services | Podívejte se na oblasti, ve kterých je služba Microsoft Entra Domain Services publikovaná v produktech dostupných v jednotlivých oblastech. Služba uchovává systémová metadata globálně v tabulkách Azure a neobsahuje žádné osobní údaje. | V geografickém umístění |
| Stav služby Microsoft Entra Connect | Microsoft Entra Connect Health generuje výstrahy a sestavy ve službě Azure Tables Storage a v úložišti objektů blob. | V geografickém umístění |
| Dynamické skupiny členství Microsoft Entra, samoobslužná správa skupin Microsoft Entra | Azure Tables Storage obsahuje definice pravidel pro dynamické skupiny členství. | V geografickém umístění |
| Proxy aplikace Microsoft Entra | Proxy aplikace Microsoft Entra ukládá metadata o tenantovi, počítačích konektorů a konfiguračních datech v Azure SQL. | V geografickém umístění |
| Zpětný zápis hesla Microsoft Entra v Microsoft Entra Connect | Během počáteční konfigurace vygeneruje Microsoft Entra Connect asymetrický klíčpair pomocí kryptografického systému Rivest–Shamir–Adleman (RSA). Pak odešle veřejný klíč do cloudové služby samoobslužného resetování hesla (SSPR), která provádí dvě operace: 1. Vytvoří dva přenosy Azure Service Bus pro místní službu Microsoft Entra Connect pro zabezpečenou komunikaci se službou SSPR 2. Vygeneruje klíč AES (Advanced Encryption Standard), K1 Umístění přenosu azure Service Bus, odpovídající klíče naslouchacího procesu a kopie klíče AES (K1) přejde v odpovědi na Microsoft Entra Connect. Budoucí komunikace mezi SSPR a Microsoft Entra Connect probíhá přes nový kanál ServiceBus a jsou šifrovaná pomocí SSL. Nové resetování hesla odeslané během operace se šifruje pomocí veřejného klíče RSA vygenerovaného klientem během onboardingu. Privátní klíč na počítači Microsoft Entra Connect je dešifruje, což brání subsystémům kanálu v přístupu k heslu ve formátu prostého textu. Klíč AES zašifruje datovou část zprávy (šifrovaná hesla, další data a metadata), což brání útočníkům služby ServiceBus v manipulaci s datovou částí, a to i s úplným přístupem k internímu kanálu ServiceBus. Pro zpětný zápis hesla potřebuje Microsoft Entra Connect klíče a data: – klíč AES (K1), který šifruje datovou část resetování, nebo žádosti o změnu ze služby SSPR na Microsoft Entra Connect prostřednictvím kanálu ServiceBus – privátní klíč z dvojice asymetrických klíčů, který dešifruje hesla, v resetování nebo změně datových částí požadavků – klíče naslouchacího procesu ServiceBus Klíč AES (K1) a asymetrický klíč se obměňují minimálně každých 180 dnů, dobu trvání, kterou můžete změnit během určitých událostí konfigurace onboardingu nebo offboardingu. Příkladem je zákaz a opětovné povolení zpětného zápisu hesla, ke kterému může dojít během upgradu součástí během údržby a údržby. Klíče zpětného zápisu a data uložená v databázi Microsoft Entra Connect jsou šifrované programovacími rozhraními aplikace ochrany dat (DPAPI) (CALG_AES_256). Výsledkem je hlavní šifrovací klíč ADSync uložený ve službě Windows Credential Vault v kontextu místního účtu služby ADSync. Trezor přihlašovacích údajů systému Windows poskytuje automatické přešifrování tajných kódů, protože se změní heslo pro účet služby. Resetování hesla účtu služby zneplatní tajné kódy v trezoru přihlašovacích údajů systému Windows pro účet služby. Ruční změny nového účtu služby můžou zneplatnit uložené tajné kódy. Ve výchozím nastavení se služba ADSync spouští v kontextu účtu virtuální služby. Účet se může přizpůsobit během instalace na účet služby domain service s nejnižší úrovní oprávnění, účet spravované služby (účet Microsoft) nebo účet spravované služby skupiny (gMSA). Zatímco virtuální a spravované účty služeb mají automatickou obměnu hesel, zákazníci spravují obměnu hesel pro vlastní zřízený účet domény. Jak je uvedeno, resetování hesla způsobí ztrátu uložených tajných kódů. |
V geografickém umístění |
| Microsoft Entra Device Registration Service | Služba Microsoft Entra Device Registration Service má v adresáři správu životního cyklu počítačů a zařízení, což umožňuje scénáře, jako je podmíněný přístup stavu zařízení a správa mobilních zařízení. | V geografickém umístění |
| Zřizování Microsoft Entra | Zřizování Microsoft Entra vytváří, odebírá a aktualizuje uživatele v systémech, jako je software jako služba (software jako služba (SaaS)). Spravuje vytváření uživatelů v Microsoft Entra ID a místní službě Microsoft Windows Server Active Directory z cloudových zdrojů lidských zdrojů, jako je Workday. Služba ukládá svou konfiguraci do instance služby Azure Cosmos DB, která ukládá data členství ve skupině pro adresář uživatele, který uchovává. Azure Cosmos DB replikuje databázi do několika datacenter ve stejné oblasti jako tenant, která data izoluje podle modelu cloudového řešení Microsoft Entra. Replikace vytváří vysokou dostupnost a více koncových bodů pro čtení a zápis. Azure Cosmos DB má šifrování informací o databázi a šifrovací klíče jsou uložené v úložišti tajných kódů pro Microsoft. | V geografickém umístění |
| Spolupráce Microsoft Entra business-to-business (B2B) | Spolupráce Microsoft Entra B2B neobsahuje žádná data adresáře. Uživatelé a další objekty adresáře v relaci B2B s jiným tenantem vedou ke kopírování uživatelských dat v jiných tenantech, což může mít vliv na rezidenci dat. | V geografickém umístění |
| Ochrana Microsoft Entra ID | Microsoft Entra ID Protection používá data přihlášení uživatelů v reálném čase s několika signály z firemních a oborových zdrojů k podávání svých systémů strojového učení, které detekují neobvyklá přihlášení. Osobní údaje se před předáním do systému strojového učení vyčisávají z dat přihlášení v reálném čase. Zbývající data přihlášení identifikují potenciálně riziková uživatelská jména a přihlášení. Po analýze data přejdou do systémů generování sestav Microsoftu. V sestavách pro správce se zobrazují riziková přihlášení a uživatelská jména. | V geografickém umístění |
| Spravované identity pro prostředky Azure | Spravované identity pro prostředky Azure se systémy spravovaných identit se můžou ověřovat ve službách Azure bez uložení přihlašovacích údajů. Místo použití uživatelského jména a hesla se spravované identity ověřují ve službách Azure pomocí certifikátů. Služba zapisuje certifikáty, které v Azure Cosmos DB v oblasti USA – východ, která podle potřeby převezme služby při selhání do jiné oblasti. Geografická redundance služby Azure Cosmos DB probíhá globální replikací dat. Replikace databáze vloží kopii jen pro čtení do každé oblasti, na které běží spravované identity Microsoft Entra. Další informace najdete v tématu Služby Azure, které můžou používat spravované identity pro přístup k jiným službám. Microsoft izoluje každou instanci služby Azure Cosmos DB v modelu cloudového řešení Microsoft Entra. Poskytovatel prostředků, jako je hostitel virtuálního počítače, ukládá certifikát pro ověřování a toky identit s jinými službami Azure. Služba ukládá svůj hlavní klíč pro přístup ke službě Azure Cosmos DB ve službě pro správu tajných kódů datacentra. Azure Key Vault ukládá hlavní šifrovací klíče. |
V geografickém umístění |
Související prostředky
Další informace o rezidenci dat v nabídkách Microsoft Cloud najdete v následujících článcích:
- Rezidence dat v Azure | Microsoft Azure
- Umístění dat Microsoftu 365 – Microsoft 365 Enterprise
- Ochrana osobních údajů Společnosti Microsoft – kde se nachází vaše data?
- Stáhnout PDF: Aspekty ochrany osobních údajů v cloudu