Residencia de datos y Microsoft Entra ID
Microsoft Entra ID es una solución de identidad como servicio (IDaaS) que almacena y administra la identidad y el acceso a los datos en la nube. Puede usar los datos para habilitar y administrar el acceso a los servicios en la nube, lograr escenarios de movilidad y proteger la organización. Una instancia del servicio Microsoft Entra, llamada un inquilino, es un conjunto aislado de datos de objetos de directorio que el cliente aprovisiona y posee.
Nota:
Microsoft Entra External ID es una solución de administración de identidades y acceso de clientes (CIAM) que almacena y administra datos en un inquilino independiente creado para las aplicaciones orientadas al cliente y los datos del directorio de clientes. Este inquilino se denomina inquilino externo. Al crear un inquilino externo, tiene la opción de seleccionar la ubicación geográfica para el almacenamiento de datos. Es importante tener en cuenta que las ubicaciones de datos y la disponibilidad de la región pueden diferir de las de Microsoft Entra ID, como se indica en este artículo.
Almacén principal
El almacén principal se compone de inquilinos almacenados en unidades de escalado, cada una de las cuales contiene varios inquilinos. Las operaciones de actualización o recuperación de datos en el almacén principal de Microsoft Entra están relacionadas con un solo inquilino en función del token de seguridad del usuario, con lo que se logra el aislamiento del inquilino. Las unidades de escalado se asignan a una ubicación geográfica. Cada ubicación geográfica usa dos o más regiones de Azure para almacenar los datos. En cada región de Azure, los datos de una unidad de escalado se replican en los centros de datos físicos para lograr resistencia y rendimiento.
Más información: unidades de escalado de almacén principal de Microsoft Entra
Microsoft Entra ID está disponible en las siguientes nubes:
- Público
- China*
- Gobierno de EE. UU.*
* Actualmente no está disponible para inquilinos externos.
En la nube pública, se le pedirá que seleccione una ubicación en el momento de la creación del inquilino (por ejemplo, al registrarse para Office 365 o Azure, o al crear más instancias de Microsoft Entra mediante Azure Portal). Microsoft Entra ID asigna la selección a una ubicación geográfica y una sola unidad de escalado. La ubicación del inquilino no se puede cambiar después de establecerla.
La ubicación seleccionada durante la creación del inquilino se asignará a una de las siguientes ubicaciones geográficas:
- Australia*
- Asia/Pacífico
- Europa, Oriente Medio y África (EMEA)
- Japón*
- Norteamérica
- Todo el mundo
* Actualmente no está disponible para inquilinos externos.
Microsoft Entra ID controla los datos de Core Store en función de la facilidad de uso, el rendimiento, la residencia u otros requisitos en función de la ubicación geográfica. Microsoft Entra ID replica cada inquilino a través de su unidad de escalado, en todos los centros de datos, en función de los criterios siguientes:
- Datos de Microsoft Entra Core Store, almacenados en centros de datos más cercanos a la ubicación de residencia del inquilino, para reducir la latencia y proporcionar tiempos de inicio de sesión rápidos de usuario
- Datos almacenados de Microsoft Entra Core Store en centros de datos aislados geográficamente para garantizar la disponibilidad durante eventos imprevistos de un solo centro de datos, eventos catastróficos
- Cumplimiento de la residencia de datos, u otros requisitos, para clientes y ubicaciones geográficas específicos
Modelos de soluciones en la nube de Microsoft Entra
Use la tabla siguiente para ver los modelos de soluciones en la nube de Microsoft Entra en función de la infraestructura, la ubicación de los datos y la soberanía operativa.
Modelo | Ubicaciones | Ubicación de los datos | Personal de operaciones | Colocar un inquilino en este modelo |
---|---|---|---|---|
Ubicación geográfica pública | Australia*, Norteamérica, EMEA, Japón*, Asia/Pacífico | En reposo, en la ubicación de destino. Excepciones por servicio o característica | Operado por Microsoft. El personal del centro de datos de Microsoft debe superar una comprobación de antecedentes. | Cree el inquilino en la experiencia de registro. Elija la ubicación de la residencia de datos. |
Público en todo el mundo | Todo el mundo | Todas las ubicaciones | Operado por Microsoft. El personal del centro de datos de Microsoft debe superar una comprobación de antecedentes. | Creación de inquilinos disponible a través del canal de soporte técnico oficial y sujeto al criterio de Microsoft. |
Nubes soberanas o nacionales | Gobierno de EE. UU., China* | En reposo, en la ubicación de destino. No hay excepciones. | Operado por un custodio de datos (1). El personal es seleccionado de acuerdo con los requisitos. | Cada instancia de nube nacional tiene una experiencia de registro. |
* Actualmente no está disponible para inquilinos externos.
Referencias de la tabla:
(1) Custodios de datos: los centros de datos de la nube del gobierno de EE. UU. están operados por Microsoft. En China, Microsoft Entra ID se opera mediante una asociación con 21Vianet.
Más información:
- Almacenamiento y procesamiento de datos de clientes europeos en Microsoft Entra ID
- ¿Cuál es la arquitectura de Microsoft Entra?
- Busque la geografía de Azure que se ajuste a sus necesidades
- Microsoft Trust Center
Residencia de datos en componentes de Microsoft Entra
Más información: Microsoft Entra ID, información general del producto
Nota:
Para comprender la ubicación de los datos del servicio, como Exchange Online o Skype Empresarial, consulte la documentación del servicio correspondiente.
Componentes y ubicación de almacenamiento de datos de Microsoft Entra
Componente de Microsoft Entra | Descripción | Ubicación de almacenamiento de datos |
---|---|---|
Servicio de autenticación de Microsoft Entra | Este servicio no tiene estado. Los datos para la autenticación están en el almacén principal de Microsoft Entra. No tiene datos de directorio. El servicio de autenticación Microsoft Entra genera datos de registro en Azure Storage y en el centro de datos donde se ejecuta la instancia de servicio. Cuando los usuarios intentan autenticarse mediante Microsoft Entra ID, se enrutan a una instancia del centro de datos más cercano geográficamente que forma parte de su región lógica de Microsoft Entra. | En ubicación geográfica |
Servicios de Administración de identidad y acceso (IAM) de Microsoft Entra | Experiencias de usuario y de administración: la experiencia de administración de Microsoft Entra no tiene estado ni datos de directorio. Genera datos de registro y uso almacenados en Azure Table Storage. La experiencia del usuario es como en Azure Portal. Servicios de informes y lógica de negocios de la administración de identidades: estos servicios tienen almacenamiento de datos en caché local de grupos y usuarios. Los servicios generan datos de registro y uso que van a Azure Table Storage, Azure SQL y en los servicios de informes de Microsoft Elastic Search. |
En ubicación geográfica |
Autenticación multifactor de Microsoft Entra | Para obtener más información sobre el almacenamiento y la retención de datos de operaciones de autenticación multifactor, consulte Datos de residencia de datos y datos de clientes para la autenticación multifactor de Microsoft Entra. La autenticación multifactor de Microsoft Entra registra el nombre principal de usuario, los números de teléfono de las llamadas de voz y los desafíos de SMS. En el caso de los desafíos de los modos de aplicación móvil, el servicio registra el UPN y un token de dispositivo único. Los centros de datos de la región de los Estados Unidos almacenan la autenticación multifactor de Microsoft Entra y los registros que crea. | Norteamérica |
Servicios de dominio de Microsoft Entra | Consulta las regiones en las que está publicado Microsoft Entra Domain Services en Productos disponibles por región. El servicio contiene metadatos del sistema globalmente en tablas de Azure y no contiene datos personales. | En ubicación geográfica |
Microsoft Entra Connect Health | Microsoft Entra Connect Health genera alertas e informes en Azure Table Storage y Blob Storage. | En ubicación geográfica |
Grupos de pertenencia dinámica de Microsoft Entra, administración de grupos de autoservicio de Microsoft Entra | Azure Table Storage contiene las definiciones de las reglas de grupos de pertenencia dinámica. | En ubicación geográfica |
Proxy de aplicación de Microsoft Entra | El proxy de aplicación de Microsoft Entra almacena metadatos sobre el inquilino, las máquinas del conector y los datos de configuración en Azure SQL. | En ubicación geográfica |
Escritura diferida de contraseñas de Microsoft Entra en Microsoft Entra Connect | Durante la configuración inicial, Microsoft Entra Connect genera un par de claves asimétricas mediante el sistema criptográfico Rivest-Shamir-Adleman (RSA). A continuación, envía la clave pública al servicio en la nube de autoservicio de restablecimiento de contraseña (SSPR), que realiza dos operaciones: 1. Crea dos retransmisiones de Azure Service Bus para que el servicio local de Microsoft Entra Connect se comunique de forma segura con el servicio SSPR. 2. Genera una clave Estándar de cifrado avanzado (AES), K1. Las ubicaciones de retransmisión de Azure Service Bus, las claves del agente de escucha correspondientes y una copia de la clave AES (K1) van a Microsoft Entra Connect en la respuesta. Las comunicaciones futuras entre SSPR y Microsoft Entra Connect se producen a través del nuevo canal de Service Bus y se cifran mediante SSL. Los nuevos restablecimientos de contraseña, enviados durante la operación, se cifran con la clave pública RSA generada por el cliente durante la incorporación. La clave privada de la máquina de Microsoft Entra Connect los descifra, lo que impide que los subsistemas de la canalización accedan a la contraseña en texto no cifrado. La clave AES cifra la carga del mensaje (contraseñas cifradas, más datos y metadatos), lo que impide que los atacantes malintencionados contra Service Bus manipulen la carga, incluso con acceso total al canal interno de Service Bus. Para la escritura diferida de contraseñas, Microsoft Entra Connect necesita claves y datos: - La clave AES (K1) que cifra la carga de restablecimiento o las solicitudes de cambio desde el servicio SSPR hacia Microsoft Entra Connect, mediante la canalización de ServiceBus - La clave privada, del par de claves asimétricas que descifra las contraseñas, en cargas de solicitud de restablecimiento o cambio - Las claves del cliente de escucha de ServiceBus La clave AES (K1) y la clave asimétrica se rotan como mínimo cada 180 días, una duración que puede cambiar durante determinados eventos de configuración de incorporación o retirada. Un ejemplo es que un cliente deshabilita y vuelve a habilitar la escritura diferida de contraseñas, lo que puede producirse durante la actualización de componentes durante el servicio y el mantenimiento. Las claves de escritura diferida y los datos almacenados en la base de datos de Microsoft Entra Connect se cifran mediante interfaces de programación de aplicaciones de protección de datos (DPAPI) (CALG_AES_256). El resultado es la clave de cifrado de ADSync maestra almacenada en el almacén de credenciales de Windows en el contexto de la cuenta de servicio local de ADSync. El almacén de credenciales de Windows proporciona el nuevo cifrado automático de secretos a medida que cambia la contraseña de la cuenta de servicio. Al restablecer la contraseña de la cuenta de servicio, se invalidan los secretos en el almacén de credenciales de Windows de la cuenta de servicio. Los cambios manuales en una nueva cuenta de servicio podrían invalidar los secretos almacenados. De manera predeterminada, el servicio ADSync se ejecuta en el contexto de una cuenta de servicio virtual. Es posible que la cuenta se personalice durante la instalación en una cuenta de servicio de dominio con privilegios mínimos, una cuenta de servicio administrada (cuenta Microsoft) o una cuenta de servicio administrada de grupo (gMSA). Aunque las cuentas de servicio virtuales y administradas tienen rotación automática de contraseñas, los clientes administran la rotación de contraseñas de una cuenta de dominio aprovisionada personalizada. Como se ha mencionado, al restablecer la contraseña, se pierden los secretos almacenados. |
En ubicación geográfica |
Servicio de registro de dispositivos de Microsoft Entra | El servicio de Registro de dispositivos de Microsoft Entra tiene la administración del ciclo de vida del equipo y del dispositivo en el directorio, lo que permite escenarios como el acceso condicional de estado del dispositivo y la administración de dispositivos móviles. | En ubicación geográfica |
Aprovisionamiento de Microsoft Entra | El aprovisionamiento de Microsoft Entra crea, quita y actualiza usuarios en sistemas, como aplicaciones de software como servicio (software como servicio [SaaS]). Administra la creación de usuarios en Microsoft Entra ID y Microsoft Windows Server Active Directory local desde orígenes de RR. HH. en la nube, como Workday. El servicio almacena su configuración en una instancia de Azure Cosmos DB, que almacena los datos de pertenencia a grupos para el directorio de usuario que mantiene. Azure Cosmos DB replica la base de datos en varios centros de datos de la misma región que el inquilino, que aísla los datos, según el modelo de soluciones en la nube de Microsoft Entra. La replicación crea alta disponibilidad y varios puntos de conexión de lectura y escritura. Azure Cosmos DB tiene cifrado en la información de la base de datos y las claves de cifrado se almacenan en el almacenamiento de secretos de Microsoft. | En ubicación geográfica |
Colaboración de negocio a negocio (B2B) de Microsoft Entra | La colaboración B2B de Microsoft Entra no tiene datos de directorio. Los usuarios y otros objetos de directorio de una relación B2B con otro inquilino dan lugar a la copia de datos de usuario en otros inquilinos, lo que podría tener implicaciones de residencia de datos. | En ubicación geográfica |
Protección de Microsoft Entra ID | La Protección de Microsoft Entra ID usa los datos de inicio de sesión de usuarios en tiempo real, con varias señales de orígenes de la empresa y del sector, para alimentar sus sistemas de aprendizaje automático que detectan inicios de sesión anómalos. Los datos personales se limpian de los datos de inicio de sesión en tiempo real antes de pasarlos al sistema de aprendizaje automático. Los datos de inicio de sesión restantes identifican nombres de usuario e inicios de sesión potencialmente de riesgo. Después del análisis, los datos van a los sistemas de informes de Microsoft. Los inicios de sesión y los nombres de usuario de riesgo aparecen en los informes de los administradores. | En ubicación geográfica |
Identidades administradas de recursos de Azure | Las identidades administradas para recursos de Azure con sistemas de identidades administradas se pueden autenticar en los servicios de Azure, sin almacenar credenciales. En lugar de usar el nombre de usuario y la contraseña, las identidades administradas se autentican en los servicios de Azure con certificados. El servicio escribe los certificados que emite en Azure Cosmos DB en la región Este de EE. UU., que conmuta por error a otra región según sea necesario. La redundancia geográfica de Azure Cosmos DB se produce mediante la replicación de datos global. La replicación de base de datos coloca una copia de solo lectura en cada región en la que se ejecutan las identidades administradas de Microsoft Entra. Para obtener más información, consulte Servicios de Azure que pueden usar identidades administradas para acceder a otros servicios. Microsoft aísla cada instancia de Azure Cosmos DB en un modelo de solución en la nube de Microsoft Entra. El proveedor de recursos, como el host de la máquina virtual, almacena el certificado para la autenticación y los flujos de identidad con otros servicios de Azure. El servicio almacena su clave maestra para acceder a Azure Cosmos DB en un servicio de administración de secretos del centro de datos. Azure Key Vault almacena las claves de cifrado maestras. |
En ubicación geográfica |
Recursos relacionados
Para más información sobre la residencia de datos en las ofertas de Microsoft Cloud, consulte los artículos siguientes:
- Residencia de datos en Azure | Microsoft Azure
- ¿Dónde se almacenan los datos de los clientes de Microsoft 365?
- Privacidad de Microsoft: Dónde se encuentran tus datos
- Descargar archivo PDF: Consideraciones sobre la privacidad en la nube