Miejsce przechowywania danych i dane klienta na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft
Microsoft Entra ID przechowuje dane klientów w lokalizacji geograficznej na podstawie adresu, który organizacja udostępnia podczas subskrybowania usługi online firmy Microsoft, takiej jak Microsoft 365 lub Azure. Aby uzyskać informacje na temat miejsca przechowywania danych klienta, zobacz Where your data is located in the Microsoft Trust Center (Gdzie znajdują się Twoje dane w Centrum zaufania firmy Microsoft).
Oparta na chmurze firma Microsoft Entra multifactor authentication i MFA Server przetwarza i przechowuje dane osobowe i dane organizacyjne. W tym artykule opisano, co i gdzie są przechowywane dane.
Usługa uwierzytelniania wieloskładnikowego firmy Microsoft ma centra danych w Stany Zjednoczone, Europie i Azji i Pacyfiku. Następujące działania pochodzą z regionalnych centrów danych z wyjątkiem przypadków, w których określono:
- Wiadomości SMS i połączenia telefoniczne uwierzytelniania wieloskładnikowego pochodzą z centrów danych w regionie klienta i są kierowane przez dostawców globalnych. Telefon wywołania przy użyciu niestandardowych powitań zawsze pochodzą z centrów danych w Stany Zjednoczone.
- Żądania uwierzytelniania użytkowników ogólnego przeznaczenia z innych regionów są obecnie przetwarzane na podstawie lokalizacji użytkownika.
- Powiadomienia wypychane korzystające z aplikacji Microsoft Authenticator są obecnie przetwarzane w regionalnych centrach danych na podstawie lokalizacji użytkownika. Usługi urządzeń specyficzne dla dostawcy, takie jak Apple Push Notification Service lub Google Firebase Cloud Messaging, mogą znajdować się poza lokalizacją użytkownika.
Dane osobowe przechowywane przez uwierzytelnianie wieloskładnikowe firmy Microsoft
Dane osobowe to informacje na poziomie użytkownika skojarzone z określoną osobą. Następujące magazyny danych zawierają dane osobowe:
- Zablokowani użytkownicy
- Pomijani użytkownicy
- Żądania zmiany tokenu urządzenia Microsoft Authenticator
- Raporty aktywności uwierzytelniania wieloskładnikowego — przechowują aktywność uwierzytelniania wieloskładnikowego ze składników lokalnych uwierzytelniania wieloskładnikowego: rozszerzenia serwera NPS, adaptera usług AD FS i serwera MFA.
- Aktywacje programu Microsoft Authenticator
Te informacje są przechowywane przez 90 dni.
Uwierzytelnianie wieloskładnikowe firmy Microsoft nie rejestruje danych osobowych, takich jak nazwy użytkowników, numery telefonów lub adresy IP. Jednak identyfikator UserObjectId identyfikuje próby uwierzytelniania użytkowników. Dane dziennika są przechowywane przez 30 dni.
Dane przechowywane przez uwierzytelnianie wieloskładnikowe firmy Microsoft
W przypadku chmur publicznych platformy Azure z wyłączeniem uwierzytelniania usługi Azure AD B2C, rozszerzenia NPS i karty Active Directory Federation Services (AD FS) systemu Windows Server 2016 lub 2019 przechowywane są następujące dane osobowe:
| Typ zdarzenia | Typ magazynu danych |
|---|---|
| Token OATH | Dzienniki uwierzytelniania wieloskładnikowego |
| Jednokierunkowa wiadomość SMS | Dzienniki uwierzytelniania wieloskładnikowego |
| Połączenie głosowe | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego Zablokowani użytkownicy (jeśli zgłoszono oszustwa) |
| Powiadomienie Microsoft Authenticator | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego Zablokowani użytkownicy (jeśli zgłoszono oszustwa) Zmienianie żądań po zmianie tokenu urządzenia Microsoft Authenticator |
W przypadku platformy Microsoft Azure Government platforma Microsoft Azure obsługiwana przez uwierzytelnianie 21Vianet, uwierzytelnianie usługi Azure AD B2C, rozszerzenie SERWERA NPS i adapter windows Server 2016 lub 2019 ad FS są przechowywane następujące dane osobowe:
| Typ zdarzenia | Typ magazynu danych |
|---|---|
| Token OATH | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego |
| Jednokierunkowa wiadomość SMS | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego |
| Połączenie głosowe | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego Zablokowani użytkownicy (jeśli zgłoszono oszustwa) |
| Powiadomienie Microsoft Authenticator | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego Zablokowani użytkownicy (jeśli zgłoszono oszustwa) Zmienianie żądań po zmianie tokenu urządzenia Microsoft Authenticator |
Dane przechowywane przez serwer MFA
Jeśli używasz serwera MFA, przechowywane są następujące dane osobowe.
Ważne
We wrześniu 2022 r. firma Microsoft ogłosiła wycofanie serwera usługi Azure Multi-Factor Authentication. Od 30 września 2024 r. wdrożenia serwera usługi Azure Multi-Factor Authentication nie będą już obsługiwać żądań uwierzytelniania wieloskładnikowego, co może spowodować niepowodzenie uwierzytelniania w organizacji. Aby zapewnić nieprzerwane usługi uwierzytelniania i pozostać w obsługiwanym stanie, organizacje powinny migrować dane uwierzytelniania użytkowników do usługi Azure MFA opartej na chmurze przy użyciu najnowszej aktualizacji serwera usługi Azure MFA. Aby uzyskać więcej informacji, zobacz Azure MFA Server Migration (Migracja serwera usługi Azure MFA).
| Typ zdarzenia | Typ magazynu danych |
|---|---|
| Token OATH | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego |
| Jednokierunkowa wiadomość SMS | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego |
| Połączenie głosowe | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego Zablokowani użytkownicy (jeśli zgłoszono oszustwa) |
| Powiadomienie Microsoft Authenticator | Dzienniki uwierzytelniania wieloskładnikowego Magazyn danych raportu aktywności uwierzytelniania wieloskładnikowego Zablokowani użytkownicy (jeśli zgłoszono oszustwa) Zmienianie żądań w przypadku zmiany tokenu urządzenia Microsoft Authenticator |
Dane organizacyjne przechowywane przez uwierzytelnianie wieloskładnikowe firmy Microsoft
Dane organizacyjne to informacje na poziomie dzierżawy, które mogą uwidaczniać konfigurację lub konfigurację środowiska. Ustawienia dzierżawy ze stron uwierzytelniania wieloskładnikowego mogą przechowywać dane organizacyjne, takie jak progi blokady lub informacje o identyfikatorze rozmówcy dla przychodzących żądań uwierzytelniania telefonu:
- Blokada konta
- Alert dotyczący wykrycia oszustwa
- Notifications
- Ustawienia połączenia telefonicznego
W przypadku serwera MFA następujące strony mogą zawierać dane organizacyjne:
- Ustawienia serwera
- Jednorazowe obejście
- Reguły buforowania
- Stan serwera usługi Multi-Factor Authentication
Raporty aktywności uwierzytelniania wieloskładnikowego dla chmury publicznej
Działanie uwierzytelniania wieloskładnikowego raportuje działanie magazynu z składników lokalnych: rozszerzenie serwera NPS, adapter usług AD FS i serwer MFA. Dzienniki usługi uwierzytelniania wieloskładnikowego są używane do obsługi usługi. W poniższych sekcjach pokazano, gdzie raporty aktywności i dzienniki usług są przechowywane dla określonych metod uwierzytelniania dla każdego składnika w różnych regionach klienta. Standardowe połączenia głosowe mogą przejść w tryb failover do innego regionu.
Uwaga
Raporty dotyczące uwierzytelniania wieloskładnikowego zawierają dane osobowe, takie jak główna nazwa użytkownika (UPN) i pełny numer telefonu.
Serwer MFA i uwierzytelnianie wieloskładnikowe oparte na chmurze
| Składnik | Metoda uwierzytelniania | Region klienta | Lokalizacja raportu aktywności | Lokalizacja dziennika usługi |
|---|---|---|---|---|
| Serwer uwierzytelniania wieloskładnikowego | Wszystkie metody | Dowolne | Stany Zjednoczone | Zaplecze usługi MFA w usłudze Stany Zjednoczone |
| Uwierzytelnianie wieloskładnikowe w chmurze | Wszystkie metody | Dowolne | Dzienniki logowania w usłudze Microsoft Entra w regionie | Chmura w regionie |
Raporty aktywności uwierzytelniania wieloskładnikowego dla suwerennych chmur
W poniższej tabeli przedstawiono lokalizację dzienników usług dla suwerennych chmur.
| Suwerenna chmura | Dzienniki logowania | Raport aktywności uwierzytelniania wieloskładnikowego | Dzienniki usługi uwierzytelniania wieloskładnikowego |
|---|---|---|---|
| Platforma Microsoft Azure obsługiwana przez firmę 21Vianet | Chiny | Stany Zjednoczone | Stany Zjednoczone |
| Microsoft Government Cloud | Stany Zjednoczone | Stany Zjednoczone | Stany Zjednoczone |
Następne kroki
Aby uzyskać więcej informacji o tym, jakie informacje o użytkowniku są zbierane przez oparte na chmurze uwierzytelnianie wieloskładnikowe firmy Microsoft i serwer MFA, zobacz Zbieranie danych użytkownika uwierzytelniania wieloskładnikowego firmy Microsoft.