Freigeben über

Speicherung und Verarbeitung von Kundendaten für europäische Kunden in Microsoft Entra ID

  • Artikel

Microsoft Entra ID speichert Kundendaten basierend auf der Erstellung und Bereitstellung eines Mandanten an einem geografischen Standort. Die folgende Liste liefert Informationen darüber, wie der Ort definiert ist:

  • Microsoft Entra Admin Center oder Microsoft Entra-API: Kundschaft wählt in der vordefinierten Liste einen Standort aus.
  • Dynamics 365 und Power Platform: Kundschaft stellt ihren Mandanten an einem vordefinierten Standort bereit.
  • Datenresidenz in der EU: Kundschaft, die einen Standort in Europa angegeben haben, speichert Microsoft Entra ID den Großteil der Kundendaten in Europa (mit Ausnahme der weiter unten in diesem Artikel genannten Fälle).
  • EU-Datengrenze – Für Kunden, die einen Standort innerhalb der EU-Datengrenze (Mitglieder der EU und EFTA) angegeben haben, speichert und verarbeitet Microsoft Entra ID die meisten Kundendaten in der EU-Datengrenze, es sei denn, an anderer Stelle in diesem Artikel wird etwas anderes erwähnt.
  • Microsoft 365 – Der Standort basiert auf einer vom Kunden bereitgestellten Rechnungsadresse.

In den folgenden Abschnitten werden Informationen zu Kundendaten bereitgestellt, die den Verpflichtungen der EU-Datenresidenz oder der EU-Daten-Grenze nicht entsprechen.

Dienste, die vorübergehend eine Teilmenge von Kundendaten aus der EU-Datenresidenz und EU-Datengrenze übertragen

Für einige Komponenten eines Diensts ist die Aufnahme in die EU-Datenresidenz und EU-Datengrenze im Gange, aber der Abschluss dieser Arbeiten verzögert sich. In den folgenden Abschnitten in diesem Artikel werden die Kundendaten erläutert, die diese Dienste derzeit im Rahmen ihrer Dienstvorgänge aus Europa übertragen.

EU-Datenresidenz:

  • Grund für ausgehende Kundendaten: Einige der Mandanten werden aus einem der folgenden Gründe außerhalb des EU-Standorts gespeichert:

    • Die Mandanten wurden zunächst mit einer Landeskennzahl erstellt, die NICHT in Europa ist, und später wurde die Landeskennzahl des Mandanten in eine in Europa geändert. Der Speicherort der Microsoft Entra-Verzeichnisdaten wird während der Erstellungszeit des Mandanten festgelegt und nicht geändert, wenn die Landeskennzahl für den Mandanten aktualisiert wird. Ab März 2019 hat Microsoft die Aktualisierung des Ländercodes für einen Mandanten blockiert, um solche Verwirrungen zu vermeiden.
    • Es gibt 13 Ländercodes (Länder umfassen: Aserbaidschan, Bahrain, Israel, Jordanien, Kasachstan, Kuwait, Libanon, Oman, Pakistan, Katar, Saudi-Arabien, Türkhanien, VAE), die bis 2013 in Asien zugeordnet und später Europa zugeordnet wurden. Mandanten, die vor Juli 2013 aus dieser Landeskennzahl erstellt wurden, werden in Asien und nicht in Europa bereitgestellt.
    • Es gibt sieben Ländercodes (Länder: Armenien, Georgien, Irak, Kirgisistan, Tadschikistan, Turkmenistan, Usbekistan), die bis 2017 nach Asien zugeordnet und später Europa zugeordnet wurden. Mandanten, die vor Februar 2017 aus dieser Landeskennzahl erstellt wurden, werden in Asien und nicht in Europa bereitgestellt.

  • Typen von ausgehenden Kundendaten: Benutzer- und Gerätekontodaten und Dienstkonfiguration (Anwendung, Richtlinie und Gruppe).

  • Speicherort ruhender Kundendaten: USA und Asien-Pazifik.

  • Verarbeitung von Kundendaten: Entspricht dem Speicherort ruhender Kundendaten.

  • Dienste: Zentraler Verzeichnisspeicher.

EU-Datengrenze:

Weitere Informationen zur vorübergehenden teilweisen Übermittlung von Kundendaten durch Microsoft Entra über die EU-Datengrenze hinaus finden Sie unter Dienste, die eine Teilmenge von Kundendaten vorübergehend aus der EU-Datengrenze heraus übertragen.

Dienste, die permanent eine Teilmenge von Kundendaten aus der EU-Datenresidenz und EU-Datengrenze übertragen

Einige Komponenten eines Diensts werden weiterhin eine begrenzte Menge an Kundendaten aus der EU-Datenresidenz und EU-Datengrenze übertragen, da diese Übertragung die Funktion der Dienste erleichtern soll.

EU-Datenresidenz:

Microsoft Entra ID: Wenn festgestellt wird, dass eine IP-Adresse oder Telefonnummer für betrügerische Aktivitäten verwendet wird, wird sie global veröffentlicht, um den Zugriff von Workloads zu blockieren, die sie verwenden.

EU-Datengrenze:

Weitere Informationen zur permanenten teilweisen Übermittlung von Kundendaten durch Microsoft Entra über die EU-Datengrenze hinaus finden Sie unter Dienste, die eine Teilmenge von Kundendaten permanent aus der EU-Datengrenze heraus übertragen.

Weitere Überlegungen

Optionale Dienstfunktionen, die Daten außerhalb der Datenresidenz in der EU und der EU-Datengrenze übertragen

EU-Datenresidenz:

Einige Dienste bieten optionale Features. In einigen Fällen benötigen Sie ein Abonnement, um es zu verwenden. Als Kundenadministrator können Sie diese Features für Ihre Dienstkonten aktivieren oder deaktivieren. Wenn sie von den Benutzern eines Kunden zur Verfügung gestellt und verwendet werden, führen diese Funktionen zu Datenübertragungen aus Europa, wie in den folgenden Abschnitten in diesem Artikel beschrieben.

  • Mehrmandanten-Verwaltung: Eine Organisation kann eine Mehrmandanten-Organisation innerhalb von Microsoft Entra ID erstellen. Beispielsweise kann Kundschaft in einem B2B-Kontext Benutzende zu ihrem Mandanten einladen. Kundschaft kann eine mehrmandantenfähige SaaS-Anwendung (Software-as-a-Service) erstellen, die anderen Mandanten von Drittanbietern ermöglicht, die Anwendung im Drittanbietermandanten bereitzustellen. Kundschaft kann zwei oder mehr Mandanten verknüpfen, damit sie in bestimmten Situationen als eine Einheit zusammenarbeiten können. Dazu gehören die Bildung einer mehrinstanzenfähigen Organisation (Multitenant Organization, MTO), das Synchronisieren von Mandanten und das Freigeben einer E-Mail-Domäne. Die Administratorkonfiguration und die Verwendung der mehrmandantenfähigen Zusammenarbeit können mit Mandanten außerhalb der Datenresidenz in der EU und der EU-Datengrenze erfolgen. Aus diesem Grund werden einige Kundendaten wie Benutzer- und Gerätekontodaten, Nutzungsdaten und Dienstkonfigurationen (Anwendung, Richtlinie und Gruppe) am Standort des an der Zusammenarbeit beteiligten Mandanten gespeichert und verarbeitet.
  • Anwendungsproxy: Der Anwendungsproxy ermöglicht Kundschaft den Zugriff auf cloudbasierte und lokale Anwendungen über eine externe URL oder ein internes Anwendungsportal. Kunden können fortschrittliche Routingkonfigurationen auswählen, die dazu führen würden, dass Kundendaten außerhalb der EU-Datenresidenz und EU-Datenbeschränkungsgrenze abfließen, einschließlich Benutzerkontodaten, Nutzungsdaten und Anwendungskonfigurationsdaten.

EU-Datengrenze:

Weitere Informationen zu optionalen Dienstfunktionen, die Kundendaten aus der EU-Datengrenze übertragen, finden Sie unter . Optionale Dienstfunktionen, die Kundendaten aus der EU-Datengrenze übertragen.

Andere Onlinedienste im Rahmen der EU-Datengrenze.

Dienste und Anwendungen, die in Microsoft Entra ID integriert sind, haben Zugriff auf Kundendaten. Überprüfen Sie, wie jeder Dienst und jede Anwendung Kundendaten speichert und verarbeitet, und stellen Sie sicher, dass sie die Datenverarbeitungsanforderungen Ihres Unternehmens erfüllen.

Nächste Schritte

Weitere Informationen zur Datenresidenz von Microsoft-Diensten finden Sie im Microsoft Trust Center im Abschnitt Wo wir Ihre Daten speichern.