Partager via


Résidence des données et données client pour l’authentification multifacteur Microsoft Entra

Microsoft Entra ID stocke les données client dans un emplacement géographique en fonction de l’adresse fournie par une organisation lors de l’abonnement à un service Microsoft Online, comme Microsoft 365 ou Azure. Pour plus d’informations sur l’emplacement de stockage de vos données client, consultez la section Où se trouvent vos données ? dans le Centre de gestion de la confidentialité Microsoft.

L’authentification multifacteur Microsoft Entra basée sur le cloud et le serveur MFA traitent et stockent les données personnelles ainsi que les données organisationnelles. Cet article présente ces données et indique où elles sont stockées.

Le service d’authentification multifacteur Microsoft Entra dispose de centres de données aux États-Unis, en Europe et en Asie-Pacifique. Les activités suivantes proviennent des centres de données régionaux, sauf mention contraire :

  • Les appels téléphoniques et les SMS pour l’authentification multifacteur proviennent des centres de données de la région du client et sont routés par des fournisseurs du monde entier. Les appels téléphoniques utilisant des messages d’accueil personnalisés proviennent toujours de centres de données situés aux États-Unis.
  • Les requêtes d’authentification d’utilisateurs à usage général provenant d’autres régions sont actuellement traitées à l’emplacement de l’utilisateur.
  • Les notifications Push qui utilisent l’application Microsoft Authenticator sont actuellement traitées dans les centres de données régionaux en fonction de la localisation de l’utilisateur. Les services d’appareil spécifiques à un fournisseur, par exemple Apple Push Notification Service ou Google Firebase Cloud Messaging, peuvent se trouver en dehors de la zone géographique de l’utilisateur.

Données personnelles stockées par l’authentification multifacteur Microsoft Entra

Les données personnelles représentent des informations au niveau de l’utilisateur associées à une personne spécifique. Les banques de données suivantes contiennent des informations personnelles :

  • Utilisateurs bloqués
  • Utilisateurs ignorés
  • Demandes de modification du jeton de l’appareil Microsoft Authenticator
  • Rapports d’activité d’authentification multifacteur. Ils stockent l’activité d’authentification multifacteur à partir des composants locaux de l’authentification multifacteur : extension NPS, adaptateur AD FS et serveur MFA.
  • Activations Microsoft Authenticator

Ces informations sont conservées pendant 90 jours.

L’authentification multifacteur Microsoft Entra n’enregistre pas de données personnelles, comme les noms d’utilisateur, les numéros de téléphone ou les adresses IP. Toutefois, UserObjectId identifie les tentatives d’authentification pour les utilisateurs. Les données de journal sont stockées pendant 30 jours.

Données stockées par l’authentification multifacteur Microsoft Entra

Pour les clouds publics Azure, à l’exception de l’authentification Azure AD B2C, de l’extension NPS et de l’adaptateur de services de fédération Active Directory (AD FS) Windows Server 2016 ou 2019, les données personnelles suivantes sont stockées :

Type d'événement Type de banque de données
Jeton OATH Journaux d’authentification multifacteur
SMS unidirectionnel Journaux d’authentification multifacteur
Appel vocal Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
Utilisateurs bloqués (si fraude signalée)
Notification Microsoft Authenticator Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
Utilisateurs bloqués (si fraude signalée)
Demandes de modification en cas de changement du jeton de l’appareil Microsoft Authenticator

Pour Microsoft Azure Government, Microsoft Azure Operated by 21Vianet, l’authentification Azure AD B2C, NPS Extension, et l’adaptateur Windows Server 2016 ou 2019 AD FS, les données personnelles suivantes sont stockées :

Type d'événement Type de banque de données
Jeton OATH Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
SMS unidirectionnel Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
Appel vocal Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
Utilisateurs bloqués (si fraude signalée)
Notification Microsoft Authenticator Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
Utilisateurs bloqués (si fraude signalée)
Demandes de modification en cas de changement du jeton de l’appareil Microsoft Authenticator

Données stockées par le serveur MFA

Si vous utilisez le serveur MFA, les données personnelles suivantes sont stockées.

Important

En septembre 2022, Microsoft a annoncé la dépréciation du serveur Azure Multi-Factor Authentication. À partir du 30 septembre 2024, les déploiements du serveur Multi-Factor Authentication Azure ne traiteront plus les requêtes d’authentification multifacteur, ce qui risque d’entraîner l’échec des authentifications pour votre organisation. Pour garantir le maintien des services d’authentification et assurer la prise en charge, les organisations doivent migrer les données d’authentification de leurs utilisateurs vers le service Azure MFA basé sur le cloud en utilisant la dernière version de l’utilitaire de migration, fournie avec la mise à jour du serveur Azure MFA la plus récente. Pour plus d’informations, consultez Migration du serveur Azure MFA.

Type d'événement Type de banque de données
Jeton OATH Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
SMS unidirectionnel Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
Appel vocal Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
Utilisateurs bloqués (si fraude signalée)
Notification Microsoft Authenticator Journaux d’authentification multifacteur
Magasin de données d’activité d’authentification multifacteur
Utilisateurs bloqués (si fraude signalée)
Demandes de modification en cas de changement du jeton de l’appareil Microsoft Authenticator

Données organisationnelles stockées par l’authentification multifacteur Microsoft Entra

Les données organisationnelles représentent des informations au niveau du locataire qui pourraient exposer la configuration ou la configuration de l’environnement. Les paramètres de locataire des pages d’authentification multifacteur peuvent stocker des données organisationnelles telles que des seuils de verrouillage ou des informations d’identification de l’appelant pour les demandes d’authentification téléphonique entrantes :

  • Verrouillage de compte
  • Alerte de fraude
  • Notifications
  • Paramètres de l’appel téléphonique

Pour le serveur MFA, les pages suivantes peuvent contenir des données organisationnelles :

  • Paramètres du serveur
  • Contournement à usage unique
  • Règles de mise en cache
  • État du serveur Multi-Factor Authentication

Rapports d’activité de l’authentification multifacteur pour le cloud public

Les rapports d’activité de l’authentification multifacteur stockent les informations relatives à l’activité à partir des composants locaux : extension NPS, adaptateur AD FS et serveur MFA. Les journaux du service d’authentification multifacteur sont utilisés pour exploiter le service. Les sections suivantes montrent l’emplacement de stockage des rapports d’activité et des journaux des services pour les méthodes d’authentification spécifiques à chaque composant dans les différentes régions des clients. Les appels vocaux standard peuvent faire l’objet d’un basculement vers une région distincte.

Notes

Les rapports d’activité d’authentification multifacteur contiennent des données à caractère personnel, telles que le nom d’utilisateur principal (UPN) et le numéro de téléphone complet.

Serveur MFA et authentification MFA basée sur le cloud

Composant Méthode d'authentification Région du client Emplacement du rapport d’activité Emplacement du journal de service
Serveur MFA Toutes les méthodes Quelconque États-Unis Serveur back-end MFA aux États-Unis
Authentification MFA cloud Toutes les méthodes Tout Journaux de connexion Microsoft Entra dans la région Cloud régional

Rapports d’activité de l’authentification multifacteur pour les clouds souverains

Le tableau suivant montre l’emplacement des journaux de service pour les clouds souverains.

Cloud souverain Journaux d’activité de connexion Rapport d’activité d’authentification multifacteur Journaux du service d’authentification multifacteur
Microsoft Azure géré par 21Vianet Chine États-Unis États-Unis
Cloud de Microsoft pour le Secteur Public États-Unis États-Unis États-Unis

Étapes suivantes

Pour plus de détails sur les informations utilisateur collectées par l’authentification multifacteur Microsoft Entra basée sur le cloud et le serveur MFA, consultez Collecte de données utilisateur de l’authentification multifacteur Microsoft Entra.