Konfigurieren der Datengrenze
Diese Dokumentation enthält Details dazu, wie Kund*innen Azure Resource Manager für die Verwendung in einer Datengrenze konfigurieren können. Die einzige derzeit unterstützte Datengrenzenkonfiguration ist neben der globalen Standardkonfiguration die für die Europäische Union (EU). Die EU-Datengrenze ist eine geografisch definierte Grenze, innerhalb derer sich Microsoft verpflichtet hat, Kundendaten und pseudonymisierte personenbezogene Daten zu speichern und zu verarbeiten, sowie Daten aus Professional Services für Microsoft-Onlinedienste für Unternehmen (einschließlich Azure, Dynamics 365, Power Platform und Microsoft 365) zu speichern, vorbehaltlich eingeschränkter Umstände, unter denen personenbezogene Daten weiterhin außerhalb der EU-Datengrenze übertragen werden. Weitere Informationen finden Sie unter Übersicht über die EU-Datengrenze.
Wichtig
Um Professional Services-Daten in der EU-Datengrenze für Azure zu speichern, müssen Kund*innen Azure Resource Manager für die EU-Datengrenze konfigurieren. Diese Dokumentation enthält Details dazu, wie Kund*innen Azure Resource Manager für die Verwendung in der EU-Datengrenze konfigurieren können.
Eine Datengrenze kann nur in neuen Mandanten eingerichtet werden, für die keine Abonnements oder bereitgestellten Ressourcen vorhanden sind. Sobald ein Mandant sich für eine Datengrenze entschieden hat, kann die Datengrenzenkonfiguration nicht mehr entfernt oder geändert werden. Abonnements und Ressourcen, die unter einem Mandanten mit einer Datengrenze erstellt wurden, können nicht aus diesem Mandanten verschoben werden. Vorhandene Abonnements und Ressourcen können nicht in einen Mandanten mit einer Datengrenze verschoben werden. Jeder Mandant ist auf eine Datengrenze beschränkt, und nachdem die Datengrenze konfiguriert wurde, schränkt Azure Resource Manager Ressourcenbereitstellungen auf Regionen innerhalb dieser Grenze ein. Eine globale Datengrenze stellt keine Einschränkung auf die Regionen dar, für die eine Ressource bereitgestellt werden kann. Kund*innen können eine Datengrenze für ihre Mandanten festlegen, indem sie eine Microsoft.Resources/dataBoundaries-Ressource auf Mandantenebene bereitstellen.
Die integrierte Rolle DataBoundaryTenantAdministrator ist erforderlich, um die Datengrenze zu konfigurieren. Weitere Informationen finden Sie unter Erforderliche Berechtigungen.
Festlegen einer Azure-EU-Datengrenze für Ihren Mandanten:
- Erstellen Sie einen neuen Mandanten innerhalb eines EU-Landes oder einer EU-Region, um eine Microsoft Entra-EU-Datengrenze zu konfigurieren. Weitere Informationen zum Erstellen eines neuen Mandanten innerhalb eines EU-Landes oder einer EU-Region finden Sie unter Erstellen eines neuen Mandanten in Microsoft Entra ID.
- Stellen Sie vor dem Erstellen neuer Abonnements oder Ressourcen eine Microsoft.Resources/dataBoundaries-Ressource mit einer EU-Konfiguration bereit.
- Erstellen Sie ein Abonnement, und stellen Sie Azure-Ressourcen bereit.
Erforderliche Berechtigungen
Zum Konfigurieren der Datengrenze ist die integrierte Rolle DataBoundaryTenantAdministrator im Mandantenbereich erforderlich. Führen Sie die folgenden Schritte aus, um die Rolle zuzuweisen:
- Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen. Weitere Informationen finden Sie unter Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen.
- Gewähren Sie sich mit der Berechtigung „Benutzerzugriffsadministrator*in“ die Rolle
DataBoundaryTenantAdministratorauf Mandantenebene (/), indem Sie Azure CLI, Azure PowerShell oder die REST-API verwenden.
DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID="d1a38570-4b05-4d70-b8e4-1100bcf76d12"
az role assignment create --assignee "{assignee}" --role DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID --scope "/"
Weitere Informationen finden Sie unter Zuweisen von Azure-Rollen.
Erstellen der Datengrenze
Es sind derzeit zwei geografische Räume für Datengrenzen verfügbar:
| Geografische Räume für Datengrenzen | Beschreibung |
|---|---|
| Global | Standardmäßig verfügen alle Mandanten über eine globale Datengrenze. |
| EU | Richten Sie eine EU-Datengrenze ein. |
Verwenden Sie die folgenden Befehle, um eine Datengrenze für einen Mandanten festzulegen.
az data-boundary create --data-boundary <data-boundary-geo> --default default
Der Schalter --default ist derzeit obligatorisch, wird aber in Zukunft eingestellt.
Weitere Informationen finden Sie unter Azure CLI-Referenz.
Lesedatengrenze
Um Datengrenzen in bestimmten Bereichen abzurufen. Zu den Bereichen gehören:
| `Scope` | Wert |
|---|---|
| Mandant | (leer) |
| Abonnement | subscriptions/{subscriptionId} |
| Ressourcengruppe | subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} |
az data-boundary show --scope <scope-path> --default default
Abrufen der Datengrenze des Mandanten:
az data-boundary show-tenant --default default
Der Schalter --default ist derzeit obligatorisch, wird aber in Zukunft eingestellt.
Weitere Informationen finden Sie unter Azure CLI-Referenz.
Problembehandlung
In der folgenden Tabelle sind die Fehlermeldungen im Zusammenhang mit Datengrenzen aufgelistet:
| Fehlercode | Fehlermeldung | Erklärung |
|---|---|---|
| NonEmptyTenantCannotChangeDataBoundary | Der Mandant <tenant-name> enthält bereits Abonnements. Updates der Datengrenze für nicht leere Mandanten werden nicht unterstützt. | Kund*innen können nur eine Azure-Datengrenze auf einen brandneuen Mandanten ohne Verwaltungsgruppen, Abonnements oder Ressourcen anwenden. |
| AuthorizationFailed | Der Client <client-name> mit der Objekt-ID <object-id> hat keine Berechtigung zum Durchführen der Aktion Microsoft.Resources/dataBoundaries/write im Geltungsbereich <scope-name>, oder der Geltungsbereich ist ungültig. Wenn der Zugriff erst vor Kurzem gewährt wurde, aktualisieren Sie Ihre Anmeldeinformationen. |
Stellen Sie sicher, dass Sie über die Rolle „Datengrenzenadministrator*in“ im Mandantenbereich verfügen. Siehe Erforderliche Berechtigungen. |
| InvalidResourceLocation InvalidResourceGroupLocation |
Ungültiger Speicherort <region-name> für Ressourcengruppe. Für die Mandanten-ID des angegebenen Abonnements wird die Datengrenze <data-boundary-geo> festgelegt. Der Speicherort der Ressourcengruppe wird durch die Datengrenze eingeschränkt. Die Liste der Regionen in der Datengrenze lautet: <region-list>. | Sobald eine Datengrenze für einen Mandanten gilt, können Benutzer*innen nur Ressourcen in Regionen innerhalb der Datengrenze erstellen. Benutzer*innen können beispielsweise keine Ressourcen in WestUS erstellen, wenn eine EU-Datengrenze auf den Mandanten angewendet wird. Um diesen Fehler zu beheben, wählen Sie einen Bereich aus der Liste aus, die in der Fehlermeldung zurückgegeben wird. |
| InvalidSubscriptionMoveDataBoundary | Die Übertragungsaktion ist fehlgeschlagen. Die Übertragung dieses Abonnements ist aufgrund von Datengrenzeneinschränkungen für den Mandanten nicht zulässig. | Es ist nicht möglich, ein Abonnement zu verschieben, wenn die Quell- oder Zielmandanten eine nicht globale Datengrenze aufweisen. Die Verschiebung des Abonnements wird auch dann blockiert, wenn die Quell- und Zielmandanten dieselbe Datengrenze aufweisen. |
Nächste Schritte
Weitere Informationen finden Sie unter Übersicht über die EU-Datengrenze.