Speichern und Verarbeiten von Kundendaten für europäische Kunden in Microsoft Entra ID
Microsoft Entra ID speichert Kundendaten basierend auf der Erstellung und Bereitstellung eines Mandanten an einem geografischen Standort. Die folgende Liste enthält Informationen dazu, wie der Speicherort definiert wird:
- Microsoft Entra-Administratorcenter oder Microsoft Entra-API: Ein Kunde wählt in der vordefinierten Liste einen Standort aus.
- Dynamics 365 und Power Platform: Ein Kunde stellt seinen Mandanten an einem vordefinierten Standort bereit.
- Datenresidenz in der EU: Für Kunden, die einen Standort in Europa angegeben haben, speichert Microsoft Entra ID den Großteil der Kundendaten in Europa (mit Ausnahme der weiter unten in diesem Artikel genannten Fälle).
- EU-Datengrenze: Für Kunden, die einen Standort innerhalb der EU-Datengrenze (Mitglieder der EU und der European Free Trade Association, EFTA) angegeben haben, speichert und verarbeitet Microsoft Entra ID den Großteil der Kundendaten innerhalb der EU-Datengrenze (mit Ausnahme der weiter unten in diesem Artikel genannten Fälle).
- Microsoft 365: Der Standort basiert auf einer vom Kunden angegebenen Rechnungsadresse.
Die folgenden Abschnitte enthalten Informationen zu Kundendaten, die nicht den Zusagen bezüglich der Datenresidenz in der EU oder EU-Datengrenze entsprechen.
Dienste, die vorübergehend eine Teilmenge von Kundendaten aus der EU-Datenresidenz und EU-Datengrenze übertragen
Für einige Komponenten eines Diensts ist die Aufnahme in die EU-Datenresidenz und EU-Datengrenze im Gange, aber der Abschluss dieser Arbeiten verzögert sich. In den folgenden Abschnitten in diesem Artikel werden die Kundendaten erläutert, die diese Dienste derzeit im Rahmen ihres Servicebetriebs aus Europa übertragen.
EU-Datenresidenz:
Grund für ausgehende Kundendaten: Einige der Mandanten werden aus einem der folgenden Gründe außerhalb des EU-Standorts gespeichert:
- Die Mandanten wurden zunächst mit einer Landeskennzahl erstellt, die NICHT in Europa ist, und später wurde die Landeskennzahl des Mandanten in eine in Europa geändert. Der Speicherort der Microsoft Entra-Verzeichnisdaten wird während der Erstellungszeit des Mandanten festgelegt und nicht geändert, wenn die Landeskennzahl für den Mandanten aktualisiert wird. Seit März 2019 hat Microsoft das Aktualisieren der Landeskennzahl für einen Mandanten blockiert, um eine solche Verwirrung zu vermeiden.
- Es gibt 13 Landeskennzahlen (Länder: Aserbaidschan, Bahrain, Israel, Jordanien, Kasachstan, Kuwait, Libanon, Oman, Pakistan, Katar, Saudi-Arabien, Türkei, VAE), die bis 2013 der Region Asien und später Europa zugeordnet wurden. Mandanten, die vor Juli 2013 aus dieser Landeskennzahl erstellt wurden, werden in Asien und nicht in Europa bereitgestellt.
- Es gibt sieben Landeskennzahlen (Länder: Armenien, Georgien, Irak, Kirgisistan, Tadschikistan, Turkmenistan, Usbekistan), die bis 2017 der Region Asien und später Europa zugeordnet wurden. Mandanten, die vor Februar 2017 aus dieser Landeskennzahl erstellt wurden, werden in Asien und nicht in Europa bereitgestellt.
Typen von ausgehenden Kundendaten: Benutzer- und Gerätekontodaten und Dienstkonfiguration (Anwendung, Richtlinie und Gruppe).
Speicherort ruhender Kundendaten: USA und Asien-Pazifik.
Verarbeitung von Kundendaten: Entspricht dem Speicherort ruhender Kundendaten.
Dienste: Zentraler Verzeichnisspeicher.
EU-Datengrenze:
Weitere Informationen zur vorübergehenden teilweisen Übermittlung von Kundendaten durch Microsoft Entra über die EU-Datengrenze hinaus finden Sie unter Dienste, die eine Teilmenge von Kundendaten vorübergehend aus der EU-Datengrenze heraus übertragen.
Dienste, die permanent eine Teilmenge von Kundendaten aus der EU-Datenresidenz und EU-Datengrenze übertragen
Einige Komponenten eines Diensts werden weiterhin eine begrenzte Menge an Kundendaten aus der EU-Datenresidenz und EU-Datengrenze übertragen, da diese Übertragung die Funktion der Dienste erleichtern soll.
EU-Datenresidenz:
Microsoft Entra ID: Wenn festgestellt wird, dass eine IP-Adresse oder Telefonnummer für betrügerische Aktivitäten verwendet wird, werden sie global veröffentlicht, um den Zugriff von Workloads zu blockieren, die sie verwenden.
EU-Datengrenze:
Weitere Informationen zur permanenten teilweisen Übermittlung von Kundendaten durch Microsoft Entra über die EU-Datengrenze hinaus finden Sie unter Dienste, die eine Teilmenge von Kundendaten permanent aus der EU-Datengrenze heraus übertragen.
Weitere Überlegungen
Optionale Dienstfunktionen, die Daten außerhalb der Datenresidenz in der EU und der EU-Datengrenze übertragen
EU-Datenresidenz:
Einige Dienste umfassen Funktionen, die optional sind (in einigen Fällen ist ein Kundenabonnement erforderlich), und Kundenadministratoren können diese Funktionen für ihre Dienstberechtigungen aktivieren oder deaktivieren. Wenn diese Funktionen von den Benutzern eines Kunden zur Verfügung gestellt und verwendet werden, führen diese Funktionen zu Datenübertragungen aus Europa, wie in den folgenden Abschnitten in diesem Artikel beschrieben.
- Mehrmandanten-Verwaltung: Eine Organisation kann eine mehrmandantenfähige Organisation innerhalb von Microsoft Entra ID erstellen. Beispielsweise kann ein Kunde in einem B2B-Kontext Benutzer zu seinem Mandanten einladen. Ein Kunde/eine Kundin kann eine mehrmandantenfähige SaaS-Anwendung erstellen, die anderen Mandanten von Drittanbietern ermöglicht, die Anwendung im Drittanbietermandanten bereitzustellen. Ein Kunde kann zwei oder mehr Mandanten miteinander verbinden und festlegen, dass diese in bestimmten Szenarien als ein einzelner Mandant fungieren, z. B. beim Erstellen einer mehrmandantenfähigen Organisation (Multi-Tenant Organization, MTO), bei der Synchronisierung zwischen Mandanten und bei der gemeinsamen Nutzung einer E-Mail-Domäne. Die Administratorkonfiguration und die Verwendung der mehrmandantenfähigen Zusammenarbeit können mit Mandanten außerhalb der Datenresidenz in der EU und der EU-Datengrenze erfolgen. Aus diesem Grund werden einige Kundendaten wie Benutzer- und Gerätekontodaten, Nutzungsdaten und Dienstkonfigurationen (Anwendung, Richtlinie und Gruppe) am Standort des an der Zusammenarbeit beteiligten Mandanten gespeichert und verarbeitet.
- Anwendungsproxy: Der Anwendungsproxy ermöglicht Kunden den Zugriff auf Cloud- und lokale Anwendungen über eine externe URL oder ein internes Anwendungsportal. Kund*innen können erweiterte Routingkonfigurationen auswählen, welche die ausgehende Übertragung von Kundendaten außerhalb der Datenresidenz in der EU und der EU-Datengrenze zulassen (einschließlich Benutzerkontodaten, Nutzungsdaten und Anwendungskonfigurationsdaten).
EU-Datengrenze:
Weitere Informationen über optionale Servicefunktionen, die Kundendaten außerhalb der EU-Datengrenze übertragen finden Sie unter Optionale Dienstfunktionen, die Kundendaten außerhalb der EU-Datengrenze übertragen.
Andere Onlinedienste, die der EU-Datengrenze entsprechen
Dienste und Anwendungen, die in Microsoft Entra ID integriert sind, haben Zugriff auf Kundendaten. Überprüfen Sie, wie die einzelnen Dienste und Anwendungen Kundendaten speichern und verarbeiten, und vergewissern Sie sich, dass sie die Datenverarbeitungsanforderungen Ihres Unternehmens erfüllen.
Nächste Schritte
Weitere Informationen zur Datenresidenz von Microsoft-Diensten finden Sie im Microsoft Trust Center im Abschnitt Wo wir Ihre Daten speichern.