Microsoft Entra-id en gegevenslocatie
Microsoft Entra ID is een IDaaS-oplossing (Identity as a Service) waarmee identiteiten en toegangsgegevens in de cloud worden opgeslagen en beheerd. U kunt de gegevens gebruiken om toegang tot cloudservices in te schakelen en te beheren, mobiliteitsscenario's te bereiken en uw organisatie te beveiligen. Een exemplaar van de Microsoft Entra-service, een tenant genoemd, is een geïsoleerde set mapobjectgegevens die de klant inricht en eigenaar is.
Core Store
De Core Store bestaat uit tenants die zijn opgeslagen in schaaleenheden, die elk meerdere tenants bevatten. Gegevensbewerkingen bijwerken of ophalen in de Microsoft Entra Core Store hebben betrekking op één tenant, op basis van het beveiligingstoken van de gebruiker, waardoor tenantisolatie wordt bereikt. Schaaleenheden worden toegewezen aan een geografische locatie. Elke geografische locatie maakt gebruik van twee of meer Azure-regio's om de gegevens op te slaan. In elke Azure-regio wordt een schaaleenheidgegevens gerepliceerd in de fysieke datacenters voor tolerantie en prestaties.
Meer informatie: Microsoft Entra Core Store Scale Units
Microsoft Entra ID is beschikbaar in de volgende clouds:
- Openbaar
- China
- Amerikaanse overheid
In de openbare cloud wordt u gevraagd om een locatie te selecteren op het moment dat de tenant is gemaakt (bijvoorbeeld registreren voor Office 365 of Azure, of om meer Microsoft Entra-exemplaren te maken via Azure Portal). Microsoft Entra ID wijst de selectie toe aan een geografische locatie en één schaaleenheid. Tenantlocatie kan niet worden gewijzigd nadat deze is ingesteld.
De locatie die tijdens het maken van de tenant is geselecteerd, wordt toegewezen aan een van de volgende geografische locaties:
- Australië
- Azië/Stille Oceaan
- Europa, Midden-Oosten en Afrika (EMEA)
- Japan
- Noord-Amerika
- Wereldwijd
Microsoft Entra ID verwerkt Core Store-gegevens op basis van bruikbaarheid, prestaties, locatie en/of andere vereisten op basis van geografische locatie. Microsoft Entra ID repliceert elke tenant via de schaaleenheid, in datacenters, op basis van de volgende criteria:
- Microsoft Entra Core Store-gegevens, opgeslagen in datacenters die zich het dichtst bij de locatie van de tenant bevinden, om latentie te verminderen en snelle aanmeldingstijden van gebruikers te bieden
- Microsoft Entra Core Store-gegevens die zijn opgeslagen in geografisch geïsoleerde datacenters om beschikbaarheid te garanderen tijdens onvoorziene gebeurtenissen met één datacenter, onherstelbare gebeurtenissen
- Naleving van gegevenslocatie of andere vereisten voor specifieke klanten en geografische locaties
Microsoft Entra-cloudoplossingsmodellen
Gebruik de volgende tabel om microsoft Entra-cloudoplossingsmodellen te bekijken op basis van infrastructuur, gegevenslocatie en operationele soevereiniteit.
| Model | Locaties | Gegevenslocatie | Operations-personeel | Een tenant in dit model plaatsen |
|---|---|---|---|---|
| Openbare geografische locatie | Noord-Amerika, EMEA, Japan, Azië/Stille Oceaan | In rust, op de doellocatie. Uitzonderingen per service of functie | Beheerd door Microsoft. Het personeel van het Microsoft-datacenter moet een achtergrondcontrole doorgeven. | Maak de tenant in de registratie-ervaring. Kies de locatie voor gegevenslocatie. |
| Wereldwijd openbaar | Wereldwijd | Alle locaties | Beheerd door Microsoft. Het personeel van het Microsoft-datacenter moet een achtergrondcontrole doorgeven. | Het maken van een tenant is beschikbaar via het officiële ondersteuningskanaal en is naar eigen goeddunken van Microsoft. |
| Onafhankelijke of nationale clouds | Amerikaanse overheid, China | In rust, op de doellocatie. Geen uitzonderingen. | Beheerd door een gegevensbewaarder (1). Personeel wordt gescreend op basis van de vereisten. | Elke nationale cloudinstantie heeft een registratie-ervaring. |
Tabelverwijzingen:
(1) Gegevensbewaarders: Datacenters in de Cloud van de Amerikaanse overheid worden beheerd door Microsoft. In China wordt Microsoft Entra ID beheerd via een partnerschap met 21Vianet.
Meer informatie:
- Opslag en verwerking van klantgegevens voor Europese klanten in Microsoft Entra-id
- Power BI: Microsoft Entra-id: waar bevinden zich uw gegevens?
- Wat is de Microsoft Entra-architectuur?
- De Azure-geografie zoeken die aan uw behoeften voldoet
- Microsoft Vertrouwenscentrum
Gegevenslocatie in Microsoft Entra-onderdelen
Meer informatie: Overzicht van Microsoft Entra-producten
Notitie
Raadpleeg de bijbehorende servicedocumentatie voor informatie over de locatie van servicegegevens, zoals Exchange Online of Skype voor Bedrijven.
Microsoft Entra-onderdelen en gegevensopslaglocatie
| Microsoft Entra-onderdeel | Omschrijving | Locatie voor gegevensopslag |
|---|---|---|
| Microsoft Entra-verificatieservice | Deze service is staatloos. De gegevens voor verificatie bevinden zich in de Microsoft Entra Core Store. Er zijn geen mapgegevens. Microsoft Entra Authentication Service genereert logboekgegevens in Azure Storage en in het datacenter waar het service-exemplaar wordt uitgevoerd. Wanneer gebruikers proberen te verifiëren met behulp van Microsoft Entra ID, worden ze doorgestuurd naar een exemplaar in het geografisch dichtstbijzijnde datacenter dat deel uitmaakt van de logische Microsoft Entra-regio. | Op geografische locatie |
| Microsoft Entra identity and Access Management (IAM) Services | Gebruikers- en beheerervaringen: De Microsoft Entra-beheerervaring is staatloos en heeft geen directorygegevens. Hiermee worden logboek- en gebruiksgegevens gegenereerd die zijn opgeslagen in Azure Tables Storage. De gebruikerservaring lijkt op Azure Portal. Bedrijfslogica en rapportageservices voor identiteitsbeheer: deze services hebben lokaal gegevensopslag in de cache voor groepen en gebruikers. De services genereren logboek- en gebruiksgegevens die naar Azure Tables Storage, Azure SQL en in Microsoft Elastic Search Reporting Services gaan. |
Op geografische locatie |
| Meervoudige verificatie van Microsoft Entra | Zie Gegevenslocatie en klantgegevens voor Meervoudige verificatie van Microsoft Entra voor meer informatie over MFA-bewerkingen voor gegevensopslag en -retentie. Met Meervoudige verificatie van Microsoft Entra worden de UPN(User Principal Name), telefoonnummers voor spraakoproepen en sms-uitdagingen geregistreerd. Voor uitdagingen met mobiele app-modi registreert de service de UPN en een uniek apparaattoken. Datacenters in de Noord-Amerika regio slaan Microsoft Entra-meervoudige verificatie op en de logboeken die worden gemaakt. | Noord-Amerika |
| Microsoft Entra Domain Services. | Bekijk regio's waar Microsoft Entra Domain Services is gepubliceerd op producten die beschikbaar zijn per regio. De service bevat systeemmetagegevens wereldwijd in Azure Tables en bevat geen persoonlijke gegevens. | Op geografische locatie |
| Microsoft Entra Connect Health | Microsoft Entra Verbinding maken Health genereert waarschuwingen en rapporten in Azure Tables Storage en Blob Storage. | Op geografische locatie |
| Dynamisch Microsoft Entra-lidmaatschap voor groepen, selfservicegroepsbeheer van Microsoft Entra | Azure Tables Storage bevat dynamische lidmaatschapsregeldefinities. | Op geografische locatie |
| Microsoft Entra-toepassingsproxy | In de Microsoft Entra-toepassingsproxy worden metagegevens opgeslagen over de tenant, connectormachines en configuratiegegevens in Azure SQL. | Op geografische locatie |
| Microsoft Entra-wachtwoord terugschrijven in Microsoft Entra Verbinding maken | Tijdens de initiële configuratie genereert Microsoft Entra Verbinding maken een asymmetrische keypair, met behulp van het cryptosysteem Rivest-Shamir-Adleman (RSA). Vervolgens wordt de openbare sleutel verzonden naar de selfservice voor wachtwoordherstel (SSPR), die twee bewerkingen uitvoert: 1. Hiermee maakt u twee Azure Service Bus-relays voor de Microsoft Entra Verbinding maken on-premises service om veilig te communiceren met de SSPR-service 2. Genereert een AES-sleutel (Advanced Encryption Standard), K1 De Azure Service Bus Relay-locaties, bijbehorende listenersleutels en een kopie van de AES-sleutel (K1) gaat naar Microsoft Entra Verbinding maken in het antwoord. Toekomstige communicatie tussen SSPR en Microsoft Entra Verbinding maken plaatsvinden via het nieuwe ServiceBus-kanaal en worden versleuteld met SSL. Nieuwe wachtwoordherstelbewerkingen, verzonden tijdens de bewerking, worden versleuteld met de openbare RSA-sleutel die door de client wordt gegenereerd tijdens de onboarding. De persoonlijke sleutel op de Microsoft Entra-Verbinding maken-computer ontsleutelt ze, waardoor pijplijnsubsystemen geen toegang hebben tot het wachtwoord voor tekst zonder opmaak. De AES-sleutel versleutelt de nettolading van het bericht (versleutelde wachtwoorden, meer gegevens en metagegevens), waardoor kwaadwillende ServiceBus-aanvallers niet kunnen knoeien met de nettolading, zelfs met volledige toegang tot het interne ServiceBus-kanaal. Voor het terugschrijven van wachtwoorden heeft Microsoft Entra Verbinding maken sleutels en gegevens nodig: - De AES-sleutel (K1) die de nettolading opnieuw instellen versleutelt of aanvragen van de SSPR-service wijzigt naar Microsoft Entra Verbinding maken, via de ServiceBus-pijplijn - De persoonlijke sleutel, van het asymmetrische sleutelpaar waarmee de wachtwoorden worden ontsleuteld, bij het opnieuw instellen of wijzigen van nettoladingen van aanvragen - De ServiceBus-listenersleutels De AES-sleutel (K1) en de asymmetrische keypair draaien minimaal elke 180 dagen, een duur die u kunt wijzigen tijdens bepaalde onboarding- of offboarding-configuratie-gebeurtenissen. Een voorbeeld is dat een klant wachtwoord terugschrijven uitschakelt en opnieuw inschakelt, wat kan gebeuren tijdens de upgrade van onderdelen tijdens de service en het onderhoud. De write-backsleutels en gegevens die zijn opgeslagen in de Microsoft Entra-Verbinding maken-database, worden versleuteld door DPAPI (Data Protection Application Programming Interfaces) (CALG_AES_256). Het resultaat is de hoofd-ADSync-versleutelingssleutel die is opgeslagen in de Windows Credential Vault in de context van het on-premises ADSync-serviceaccount. Windows Credential Vault levert automatische herversleuteling van geheimen wanneer het wachtwoord voor het serviceaccount wordt gewijzigd. Als u het wachtwoord van het serviceaccount opnieuw wilt instellen, worden geheimen in de Windows-referentiekluis voor het serviceaccount ongeldig gemaakt. Handmatige wijzigingen in een nieuw serviceaccount kunnen de opgeslagen geheimen ongeldig maken. De ADSync-service wordt standaard uitgevoerd in de context van een virtueel serviceaccount. Het account kan tijdens de installatie worden aangepast aan een domeinserviceaccount met minimale bevoegdheden, een beheerd serviceaccount (MSA) of een door een groep beheerd serviceaccount (gMSA). Hoewel virtuele en beheerde serviceaccounts automatische wachtwoordrotatie hebben, beheren klanten wachtwoordrotatie voor een aangepast ingerichte domeinaccount. Zoals vermeld, leidt het opnieuw instellen van het wachtwoord tot verlies van opgeslagen geheimen. |
Op geografische locatie |
| Microsoft Entra Device Registration Service | Microsoft Entra Device Registration Service heeft computer- en apparaatlevenscyclusbeheer in de directory, waarmee scenario's zoals voorwaardelijke toegang voor apparaatstatus en beheer van mobiele apparaten mogelijk zijn. | Op geografische locatie |
| Microsoft Entra-inrichting | Microsoft Entra-inrichting maakt, verwijdert en werkt gebruikers bij in systemen, zoals SaaS-toepassingen (Software as Service). Het beheert het maken van gebruikers in Microsoft Entra ID en on-premises AD vanuit HR-bronnen in de cloud, zoals Workday. De service slaat de configuratie op in een Azure Cosmos DB, waarin de groepslidmaatschapsgegevens worden opgeslagen voor de gebruikersmap die wordt bewaard. Cosmos DB repliceert de database naar meerdere datacenters in dezelfde regio als de tenant, waarmee de gegevens worden geïsoleerd volgens het Microsoft Entra-cloudoplossingsmodel. Replicatie maakt hoge beschikbaarheid en meerdere lees- en schrijfeindpunten. Cosmos DB heeft versleuteling voor de databasegegevens en de versleutelingssleutels worden opgeslagen in de geheimenopslag voor Microsoft. | Op geografische locatie |
| Samenwerking tussen Microsoft Entra entra business-to-business (B2B) | Microsoft Entra B2B-samenwerking heeft geen adreslijstgegevens. Gebruikers en andere mapobjecten in een B2B-relatie, met een andere tenant, resulteren in gebruikersgegevens die zijn gekopieerd in andere tenants, wat gevolgen kan hebben voor de gegevenslocatie. | Op geografische locatie |
| Microsoft Entra ID-beveiliging | Microsoft Entra ID Protection maakt gebruik van realtime gebruikersaanmeldingsgegevens, met meerdere signalen van bedrijfs- en branchebronnen, om de machine learning-systemen te voeden die afwijkende aanmeldingen detecteren. Persoonlijke gegevens worden verwijderd uit realtime aanmeldgegevens voordat deze worden doorgegeven aan het machine learning-systeem. De resterende aanmeldingsgegevens identificeren mogelijk riskante gebruikersnamen en aanmeldingen. Na analyse worden de gegevens naar Microsoft-rapportagesystemen verzonden. Riskante aanmeldingen en gebruikersnamen worden weergegeven in rapportage voor Beheer istrators. | Op geografische locatie |
| Door Microsoft Entra beheerde identiteiten voor Azure-resources | Door Microsoft Entra beheerde identiteiten voor Azure-resources met systemen voor beheerde identiteiten kunnen worden geverifieerd bij Azure-services, zonder referenties op te slaan. In plaats van gebruikersnaam en wachtwoord te gebruiken, worden beheerde identiteiten geverifieerd bij Azure-services met certificaten. De service schrijft certificaten die worden uitgegeven in Azure Cosmos DB in de regio VS - oost, die indien nodig een failover naar een andere regio uitvoert. Georedundantie van Azure Cosmos DB vindt plaats door globale gegevensreplicatie. Databasereplicatie plaatst een alleen-lezen kopie in elke regio die door Microsoft Entra beheerde identiteiten worden uitgevoerd. Zie Azure-services die beheerde identiteiten kunnen gebruiken voor toegang tot andere services voor meer informatie. Microsoft isoleert elk Cosmos DB-exemplaar in een Microsoft Entra-cloudoplossingsmodel. De resourceprovider, zoals de host van de virtuele machine (VM), slaat het certificaat op voor verificatie en identiteitsstromen, met andere Azure-services. De service slaat de hoofdsleutel op voor toegang tot Azure Cosmos DB in een datacentrum-service voor geheimenbeheer. Azure Key Vault slaat de hoofdversleutelingssleutels op. |
Op geografische locatie |
| Azure Active Directory B2C | Azure AD B2C is een service voor identiteitsbeheer om aan te passen en te beheren hoe klanten zich registreren, aanmelden en hun profielen beheren wanneer ze toepassingen gebruiken. B2C maakt gebruik van de Core Store om gebruikersidentiteitsgegevens te bewaren. De Core Store-database volgt bekende regels voor opslag, replicatie, verwijdering en gegevenslocatie. B2C maakt gebruik van een Azure Cosmos DB-systeem voor het opslaan van servicebeleid en -geheimen. Cosmos DB heeft versleutelings- en replicatieservices voor databasegegevens. De versleutelingssleutel wordt opgeslagen in de opslag van geheimen voor Microsoft. Microsoft isoleert Cosmos DB-exemplaren in een Microsoft Entra-cloudoplossingsmodel. | Door de klant selecteerbare geografische locatie |
Verwante resources
Zie de volgende artikelen voor meer informatie over gegevenslocatie in Microsoft Cloud-aanbiedingen:
- Microsoft Entra-id : waar bevinden zich uw gegevens?
- Gegevenslocatie in Azure | Microsoft Azure
- Microsoft 365-gegevenslocaties - Microsoft 365 Enterprise
- Microsoft-privacy: waar bevinden uw gegevens zich?
- PDF downloaden: Privacyoverwegingen in de cloud