次の方法で共有

顧客データまたは仮名化された個人データのサブセットを EU データ境界から一時的に転送するサービス

  • [アーティクル]

一部のサービスには、EU データ境界に含まれる作業が進行中のコンポーネントがありますが、この作業の完了は遅れます。 このドキュメントで説明されているように、これらのサービス コンポーネントは、今後数か月以内に EU データ境界に含まれます。 このドキュメントの以下のセクションでは、これらのサービスがサービス運用の一環として現在 EU データ境界から転送している顧客データまたは仮名化された個人データについて説明します。

Azure サービス

Azure Bot Service

Azure Bot Serviceには、インテリジェント ボットの構築、テスト、デプロイ、管理を行うライブラリ、ツール、サービスのコレクションが用意されています。 Bot Serviceコントロール プレーンでは、Azure Resource Managerを使用して要求をルーティングします。これは、「EU データ境界から一時的に除外されるサービス」で説明されているように、Azure Resource Managerの現在のアーキテクチャ上の制約により、一部の顧客データがグローバルに処理されていることを意味します。 ボット名、ボット アイコン URL、顧客が選択した外部統合サービスの構成設定 (たとえば、ボットがFacebook API と対話するためにFacebookによって発行されたアプリケーション資格情報) はグローバルに処理される可能性がありますが、顧客のボットがリージョン設定で構成されている場合、EU データ境界に保存されます。EU データ境界。

Azure Communication Services

Azure Communication Services、顧客のエンド ユーザーが緊急電話番号 (たとえば 112) に公衆交換電話網 (PSTN) 通話を行うと、コールバックが必要な場合に備えて、番号のプールからそのユーザーに一時的な番号が割り当てられます。 一時的な番号と関連付けられたユーザー ID は米国にレプリケートされ、コールバックが必要な場合に備えて 60 分間保持されます。

Azure Monitor: アプリケーション変更分析

アプリケーション変更分析: Azure Resource Managerに依存するアプリケーション変更分析を除き、Azure Monitor サービスは、顧客データと仮名化された個人データを EU に格納して処理できます (「EU データ境界に対する Azure 非リージョン サービスの構成」で説明されています)。 アプリケーション変更分析は、Azure Resource Graph 上に構築され、複数のインフラストラクチャとアプリケーション デプロイ レイヤー全体の変更に関する分析情報を提供します。 Resource Graphと Azure Resource Managerへの依存関係では、データをグローバルに格納して処理する必要があります。 転送される顧客データには、セッション トークンやプライマリ一意 ID (PUID) などの仮名化された個人データに加えて、Azure Resource Graphによって格納される顧客が指定したリソース プロパティが含まれます。 このデータは、Azure パブリック リージョン内の任意の Microsoft データセンターに格納または処理できます。 これらのデータ転送はすべて、「EU データ境界から一時的に除外されるサービス」で説明されているように、Azure Resource Managerへの依存関係が原因です。

Azure Monitor: Application Insights

Azure Portal による Application Insights の使用により、一部の仮名化された個人データが EU から一時的に転送されます。 Application Insights は、ライブ Web アプリケーションに対して Application Performance Management (APM) を有効にする Azure Monitor 機能です。 顧客が選択した Geo 内のすべての顧客データが格納および処理されます。 Application Insights JavaScript SDK を使用して Application Insights によって収集された Azure Portal テレメトリには、すべてのリージョンにわたるポータル ユーザーからのセッション ID などの仮名化された個人データが含まれており、これは米国に格納および処理されます。 このデータ転送は一時的であり、「EU データ境界から一時的に除外されるサービス」で説明されているように、Azure Resource Manager に対するAzure portalの依存関係が原因です。

Azure シリアル コンソール

Azure シリアル コンソール機能 (Azure Virtual Machines と Azure Virtual Machine Scale Setsの一部): Azure portalのシリアル コンソールは、Virtual Machinesと仮想マシン スケール セットのテキスト ベースのコンソールにアクセスできます。 お客様が選択した Geo に保存されているすべての顧客データが保存されますが、Azure portalを介して使用すると、ポータル内でコンソール エクスペリエンスを提供する唯一の目的で、コンソール コマンドと応答が Geo の外部で処理される場合があります。 このデータ転送は一時的であり、「EU データ境界から一時的に除外されるサービス」で説明されているように、Azure Resource Manager に対するAzure portalの依存関係が原因です。

Cloud Shell

Cloud Shell一部の仮名化された個人データを EU から一時的に転送します。 Cloud Shellは、Azure リソースを管理するための対話型のブラウザー ベースのシェルを提供します。 仮名化された個人データと見なされるプライマリ一意 ID (PUID) は、ライブ サイトの調査に利用され、グローバルに格納されます。 PUID を地域的に格納するために、Cloud Shellの一部を再設計する作業が進行中です。 Cloud Shellは、「Azure 非リージョン サービスの構成」で説明されているように、顧客データとその他のすべての仮名化された個人データを EU データ境界に格納および処理できます。

Dynamics 365および Power Platform サービス

Power Automate

Power Automate は 、一部の仮名化された個人データを EU から一時的に転送します。 Power Automate を使用すると、ユーザーはワークフローを使用してタスクとプロセスを自動化できます。 エンタープライズ ユーザーには、ソリューション対応ワークフロー (ソリューション以外の個人用ワークフロー) を共有できる 2 つのオプションがあります。 「EU データ境界から一時的に除外されるサービス」の説明に従って、ユーザーのオブジェクト ID が Azure Resource Managerでグローバルにレプリケートされているリソース グループ名を含む、ユーザーごとのリソース グループ内に非ソリューション ワークフローが作成されます。 今後、ソリューション以外のワークフローをソリューション対応ワークフローに置き換える作業が進行中です。 それまで、お客様は、お客様の環境に ソリューション対応フロー を要求することで、仮名化された個人データが EU データ境界内に存在することを確認できます。

Microsoft 365 サービス

Exchange Online

Exchange Onlineは、サービス正常性監視のために、一部の仮名化された個人データを EU データ境界から転送します。 サービス操作の一環として、DevOps 担当者が EU データ境界の内外に格納されているシステム生成データを組み合わせたクエリを実行すると、クエリ 実行時に仮名化された個人データの一時的なエグレスが発生する可能性があります。

Microsoft Teams

Teams Q&A

Teams Q&A は、Viva Engage (旧称 Yammer) を利用した Teams のエクスペリエンスであり、発表者は会議の出席者から質問を受け、リアルタイムで回答できます。 Teams Q&A のデータは、2024 年 12 月 31 日まで、次のシナリオで北米に処理され、格納されます。

  • Q&A フィードの読み込み、Q&A フィードのスクロールなど、Teams Q&A 機能とのユーザーの対話に関する仮名化された個人データ。
  • Teams Q&A に事前にViva Engageネットワーク (テナント) なしでオンボードした顧客、または 2019 より前にViva Engageにオンボードした顧客の顧客データ (メッセージやリアクションなど)。 (Teams Q&2019 以降にViva Engageにオンボードされた顧客は、顧客データが処理され、EU データ境界に格納されることに注意してください)。
  • 顧客 A のユーザーが顧客 B がホストする会議にゲストとして招待され、その会議で Teams Q&A が使用されている場合、参加者の UserID は北米に格納されます。

Microsoft 365 テナント管理者は、PowerShell を使用するか、Teams 管理センターを使用して Teams 会議ポリシーを構成することで、いつでもMicrosoft Teamsの Q&A を無効にすることができます 。 Q&A を無効にしても、Q&A コンテンツを使用して以前に作成した会議には影響しません。これは、レビューや新しい質問と返信の作成に引き続きアクセスできます。 ただし、Teams Q&A を無効にした後、会議の開催者は、新しい Teams 会議、ウェビナー、またはタウン ホール イベントで Q&A を追加することはできません。

Windows Update

Windows Update for Business 展開サービスを使用すると、IT 管理者は、organization内のデバイスのさまざまな種類の Windows Updatesを受け取って管理できます。 このサービスに登録されているデバイスが Windows 更新プログラムにチェックすると、デバイス ID とデバイスの IP アドレスが処理され、2024 年 4 月 30 日まで米国に保存されます。

セキュリティ サービス

Microsoft Entra IDと Azure Active Directory B2C

Microsoft Entra IDAzure Active Directory B2C: Microsoft Entra IDは、クラウドベースの ID とアクセス管理サービスです。 Microsoft Entra IDは、お客様とその従業員が、外部リソース (Microsoft 365、Azure portal、その他の SaaS アプリケーションなど) と内部リソース (オンプレミス アプリケーションなど) に地球上の任意の場所からアクセスするのに役立ちます。 Microsoft Entra IDは、非リージョン サービスとして動作します。 Azure Active Directory B2C (Azure AD B2C) は、サービスとしての企業間 (B2C) ID を提供します。 これにより、企業は顧客向けのアプリケーションを構築し、これらの B2C アプリケーションへの顧客、コンシューマー、市民のアクセスを管理できます。 Microsoft Entra IDと同様に、Azure AD B2C はリージョン以外のサービスとして動作します。 このセクションでは、顧客データをグローバルに処理するサービス コンポーネントについて詳しく説明します。EU データ境界でデータストレージと処理を移動するための作業が進行中です。

  • サービス インシデント調査のためのグローバル統合: Microsoft Entra IDサインイン ログには、顧客の問題を解決し、サービスに影響を与えるイベントの広範性と重大度を判断するために、インシデント調査にオンコール エンジニアが使用する限られた顧客データが含まれています。
  • Email: セルフサービス パスワード リセットには、顧客の問題を解決し、サービスに影響を与えるイベントの広範性と重大度を判断するために、インシデント調査のためにオンコール エンジニアによって使用される限られた顧客データが含まれています。
  • 従来の EU 以外のテナント: 少数のMicrosoft Entra テナントが最初に作成され、ヨーロッパにはない国コードが作成され、その後、テナントの国コードがヨーロッパのテナントの国コードに変更されました。 Microsoft Entra ディレクトリ データの場所は、テナントの作成時に決定され、テナントの国コードが更新されるときに変更されません。 2019 年 3 月以降、Microsoft はこのような混乱を避けるために、テナントの国コードの更新をブロックしました。

Microsoft Entra IDと Azure Active Directory B2C は、一部の仮名化された個人データを EU データ境界から転送します。 サービス操作の一環として、DevOps 担当者が EU データ境界の内外に格納されているシステム生成データを組み合わせたクエリを実行すると、クエリ 実行時に仮名化された個人データの一時的なエグレスが発生する可能性があります。

Microsoft Intune

Microsoft Intuneは、クラウドベースのエンドポイント管理ソリューションです。 Intuneは、Windows 10とWindows 11の特定のエディションで利用できる個別の無料サービスである、Windows Update for Business を構成するために使用できます。 Intune一部の仮名化された個人データを EU から一時的に転送します。 Intuneを使用してビジネス用のWindows Updateを構成する場合、Intuneは、仮名化されたデバイス識別子を含む構成の詳細を Business 用にWindows Updateします。 ビジネスが EU データ境界内に構成の詳細を格納および処理するために、Windows Updateを再設計する作業が進行中です。

サービス操作の一環として、DevOps 担当者が EU データ境界の内外に格納されているシステム生成データを組み合わせたクエリを実行すると、クエリ ランタイムの期間中に仮名化された個人データの一時的なエグレスも発生する可能性があります。