次の方法で共有


Microsoft Entra 多要素認証のデータ所在地と顧客データ

Microsoft Entra ID は、Microsoft 365 や Azure などの Microsoft オンライン サービスをサブスクライブするときに組織が提供する住所に基づいて、地理的な場所に顧客データを保存します。 ご自身の顧客のデータがどこに保存されるかについては、Microsoft トラスト センターの「お客様のデータの場所」を参照してください。

クラウドベースの Microsoft Entra 多要素認証と MFA Server では、個人データと組織データが処理されて格納されます。 この記事では、どのようなデータがどこに保存されるのかについて、概要を説明します。

Microsoft Entra 多要素認証サービスには、米国、ヨーロッパ、アジア太平洋にデータセンターがあります。 次のアクティビティは、特に明記されている場合を除き、リージョンのデータセンターから生じたものです。

  • 多要素認証の SMS と通話は、顧客のリージョン内のデータセンターから発信され、グローバル プロバイダーによってルーティングされます。 カスタム応答を使用した音声通話は、常に米国内のデータ センターから発信されます。
  • 他のリージョンからの汎用ユーザー認証要求は、現在、ユーザーの場所に基づいて処理されています。
  • Microsoft Authenticator アプリを使用したプッシュ通知は、現在、ユーザーの場所に基づいて、リージョンのデータセンターで処理されています。 Apple プッシュ通知サービスや Google Firebase Cloud Messaging などのベンダー固有のデバイス サービスは、ヨーロッパの外部にある可能性があります。

Microsoft Entra 多要素認証によって格納される個人データ

個人データは、特定のユーザーに関連付けられているユーザー レベルの情報です。 次のデータ ストアには、個人情報が含まれています。

  • ブロックされたユーザー
  • バイパスされたユーザー
  • Microsoft Authenticator デバイス トークン変更要求
  • 多要素認証アクティビティ レポート - NPS 拡張機能、AD FS アダプター、MFA サーバーなどの多要素認証のオンプレミス コンポーネントからの多要素認証アクティビティを格納します。
  • Microsoft Authenticator のアクティブ化

この情報は 90 日間保持されます。

Microsoft Entra 多要素認証では、ユーザー名、電話番号、IP アドレスなどの個人データは記録されません。 ただし、 UserObjectId は、ユーザーへの認証試行を識別します。 ログ データは 30 日間保存されます。

Microsoft Entra 多要素認証によって格納されるデータ

Azure パブリック クラウド (Azure AD B2C 認証、NPS 拡張機能、および Windows Server 2016 または 2019 Active Directory フェデレーション サービス (AD FS) アダプターを除く) では、次の個人データが格納されます。

イベントの種類 データ ストアの種類
OATH トークン 多要素認証ログ
単方向 SMS 多要素認証ログ
音声通話 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
ブロックされたユーザー (不正アクセスが報告された場合)
Microsoft Authenticator 通知 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
ブロックされたユーザー (不正アクセスが報告された場合)
Microsoft Authenticator デバイス トークン変更時の変更要求

Microsoft Azure Government、21Vianet が運営する Microsoft Azure、Azure AD B2C 認証、NPS 拡張機能、Windows Server 2016 または 2019 AD FS アダプターの場合、次の個人データが保存されます。

イベントの種類 データ ストアの種類
OATH トークン 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
単方向 SMS 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
音声通話 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
ブロックされたユーザー (不正アクセスが報告された場合)
Microsoft Authenticator 通知 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
ブロックされたユーザー (不正アクセスが報告された場合)
Microsoft Authenticator デバイス トークン変更時の変更要求

MFA Server によって格納されるデータ

MFA Server を使用すると、次の個人データが格納されます。

重要

2022 年 9 月、Microsoft は Azure Multi-Factor Authentication Server の廃止を発表しました。 2024 年 9 月 30 日以降、Azure Multi-Factor Authentication Server のデプロイでは、多要素認証要求機能が提供されなくなり、組織で認証が失敗する可能性があります。 認証サービスが中断されることなくサポート状態を維持するには、組織が、最新の Azure MFA Server 更新プログラムに含まれている最新の移行ユーティリティを使用して、クラウドベースの Azure MFA サービスにユーザーの認証データを移行する必要があります。 詳細については、MFA Server の移行に関する記事を参照してください。

イベントの種類 データ ストアの種類
OATH トークン 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
単方向 SMS 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
音声通話 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
ブロックされたユーザー (不正アクセスが報告された場合)
Microsoft Authenticator 通知 多要素認証ログ
多要素認証アクティビティ レポート データ ストア
ブロックされたユーザー (不正アクセスが報告された場合)
Microsoft Authenticator デバイス トークン変更時の変更要求

Microsoft Entra 多要素認証によって格納される組織データ

組織データは、構成または環境のセットアップが公開される可能性がある、テナントレベルの情報です。 多要素認証ページのテナント設定には、着信電話認証要求のロックアウトしきい値や発信者 ID 情報など、組織データが格納される場合があります。

  • アカウントのロックアウト
  • 不正アクセスのアラート
  • 通知
  • 電話の設定

MFA サーバーの場合、次のページに組織データが含まれている可能性があります。

  • サーバーの設定
  • ワンタイム バイパス
  • キャッシュ規則
  • Multi-Factor Authentication Server の状態

パブリック クラウドの多要素認証アクティビティ レポート

多要素認証アクティビティ レポートには、NPS 拡張機能、AD FS アダプター、MFA サーバーなどのオンプレミス コンポーネントからのアクティビティが格納されます。 多要素認証サービス ログは、サービスを運用するために使用されます。 以降のセクションでは、さまざまな顧客リージョンの各コンポーネントについて、特定の認証方法に対するアクティビティ レポートとサービス ログがどこに格納されているかを示しています。 標準音声通話は、別のリージョンにフェールオーバーする場合があります。

Note

多要素認証アクティビティ レポートには、ユーザー プリンシパル名 (UPN) や完全な電話番号などの個人データが含まれます。

MFA サーバーとクラウドベースの MFA

コンポーネント 認証方法 顧客リージョン アクティビティ レポートの場所 サービス ログの場所
MFA サーバー すべてのメソッド Any United States 米国内の MFA バックエンド
クラウドの MFA すべてのメソッド [任意] リージョンの Microsoft Entra サインイン ログ リージョン内のクラウド

ソブリン クラウドの多要素認証アクティビティ レポート

次の表に、ソブリン クラウドのサービス ログの場所を示します。

ソブリン クラウド サインイン ログ 多要素認証アクティビティ レポート 多要素認証サービス ログ
21Vianet が運用する Microsoft Azure 中国 United States United States
Microsoft Government Cloud United States United States United States

次のステップ

クラウドベースの Microsoft Entra 多要素認証と MFA Server によって収集されるユーザー情報の詳細については、Microsoft Entra 多要素認証によるユーザー データの収集に関するページを参照してください。