Microsoft Entra ID i miejsce przechowywania danych
Microsoft Entra ID to rozwiązanie tożsamości jako usługi (IDaaS), które przechowuje tożsamość i dostęp do danych w chmurze oraz zarządza nimi. Możesz użyć tych danych, aby włączyć dostęp do usług w chmurze i zarządzać nim, osiągnąć scenariusze mobilności i zabezpieczyć organizację. Wystąpienie usługi Microsoft Entra, nazywane dzierżawą, jest izolowanym zestawem danych obiektów katalogu, które klient aprowizuje i jest właścicielem.
Magazyn podstawowy
Magazyn Core Store składa się z dzierżaw przechowywanych w jednostkach skalowania, z których każdy zawiera wiele dzierżaw. Operacje aktualizacji lub pobierania danych w sklepie Microsoft Entra Core Store odnoszą się do jednej dzierżawy na podstawie tokenu zabezpieczającego użytkownika, co umożliwia izolację dzierżawy. Jednostki skalowania są przypisywane do lokalizacji geograficznej. Każda lokalizacja geograficzna używa co najmniej dwóch regionów świadczenia usługi Azure do przechowywania danych. W każdym regionie świadczenia usługi Azure dane jednostki skalowania są replikowane w fizycznych centrach danych w celu zapewnienia odporności i wydajności.
Dowiedz się więcej: Microsoft Entra Core Store Scale Units
Identyfikator Entra firmy Microsoft jest dostępny w następujących chmurach:
- Publiczna
- Chiny
- Administracja USA
W chmurze publicznej zostanie wyświetlony monit o wybranie lokalizacji w momencie utworzenia dzierżawy (na przykład zarejestrowanie się w usłudze Office 365 lub na platformie Azure lub utworzenie większej liczby wystąpień firmy Microsoft w witrynie Azure Portal). Microsoft Entra ID mapuje wybór na lokalizację geograficzną i pojedynczą jednostkę skalowania. Nie można zmienić lokalizacji dzierżawy po jej ustawieniu.
Lokalizacja wybrana podczas tworzenia dzierżawy będzie mapować na jedną z następujących lokalizacji geograficznych:
- Australia
- Azja/Pacyfik
- Europa, Bliski Wschód i Afryka (EMEA)
- Japonia
- Ameryka Północna
- Cały świat
Identyfikator entra firmy Microsoft obsługuje dane magazynu Core Store na podstawie użyteczności, wydajności, rezydencji i/lub innych wymagań w oparciu o lokalizację geograficzną. Identyfikator Entra firmy Microsoft replikuje każdą dzierżawę za pośrednictwem jednostki skalowania w centrach danych na podstawie następujących kryteriów:
- Dane usługi Microsoft Entra Core Store przechowywane w centrach danych najbliżej lokalizacji rezydencji dzierżawy, aby zmniejszyć opóźnienia i zapewnić szybkie logowanie użytkowników
- Microsoft Entra Core Store dane przechowywane w geograficznie izolowanych centrach danych w celu zapewnienia dostępności podczas nieprzewidzianych zdarzeń o jednym centrum danych, katastrofalne
- Zgodność z miejscem przechowywania danych lub innymi wymaganiami dla określonych klientów i lokalizacji geograficznych
Modele rozwiązań firmy Microsoft Entra w chmurze
W poniższej tabeli przedstawiono modele rozwiązań firmy Microsoft Entra w chmurze oparte na infrastrukturze, lokalizacji danych i niezależności operacyjnej.
| Model | Lokalizacje | Lokalizacja danych | Personel operacyjny | Umieszczanie dzierżawy w tym modelu |
|---|---|---|---|---|
| Lokalizacja geograficzna publiczna | Ameryka Północna, EMEA, Japonia, Azja/Pacyfik | W spoczynku w lokalizacji docelowej. Wyjątki według usługi lub funkcji | Obsługiwane przez firmę Microsoft. Personel centrum danych firmy Microsoft musi przejść kontrolę w tle. | Utwórz dzierżawę w środowisku rejestracji. Wybierz lokalizację miejsca przechowywania danych. |
| Publiczne na całym świecie | Cały świat | Wszystkie lokalizacje | Obsługiwane przez firmę Microsoft. Personel centrum danych firmy Microsoft musi przejść kontrolę w tle. | Tworzenie dzierżawy jest dostępne za pośrednictwem oficjalnego kanału pomocy technicznej i zależy od uznania firmy Microsoft. |
| Suwerenne lub krajowe chmury | Rząd USA, Chiny | W spoczynku w lokalizacji docelowej. Bez wyjątków. | Obsługiwane przez opiekuna danych (1). Personel jest sprawdzany zgodnie z wymaganiami. | Każde wystąpienie chmury krajowej ma środowisko rejestracji. |
Odwołania do tabel:
(1) Opiekunowie danych: centra danych w chmurze dla instytucji rządowych USA są obsługiwane przez firmę Microsoft. W Chinach firma Microsoft Entra ID jest obsługiwana we współpracy z firmą 21Vianet.
Więcej informacji:
- Przechowywanie i przetwarzanie danych klienta dla klientów europejskich w usłudze Microsoft Entra ID
- Power BI: Microsoft Entra ID — gdzie znajdują się Twoje dane?
- Co to jest architektura firmy Microsoft Entra?
- Znajdź lokalizację geograficzną platformy Azure, która spełnia Twoje potrzeby
- Centrum zaufania firmy Microsoft
Miejsce przechowywania danych w składnikach firmy Microsoft Entra
Dowiedz się więcej: Omówienie produktu Microsoft Entra
Uwaga
Aby zrozumieć lokalizację danych usługi, taką jak Exchange Online lub Skype dla firm, zapoznaj się z odpowiednią dokumentacją usługi.
Składniki i lokalizacja przechowywania danych firmy Microsoft
| Składnik Microsoft Entra | opis | Lokalizacja przechowywania danych |
|---|---|---|
| Usługa uwierzytelniania entra firmy Microsoft | Ta usługa jest bezstanowa. Dane uwierzytelniania są w sklepie Microsoft Entra Core Store. Nie ma danych katalogu. Usługa uwierzytelniania Entra firmy Microsoft generuje dane dziennika w usłudze Azure Storage i w centrum danych, w którym działa wystąpienie usługi. Gdy użytkownicy próbują uwierzytelnić się przy użyciu identyfikatora Entra firmy Microsoft, są kierowani do wystąpienia w najbliższym geograficznie centrum danych, które jest częścią jego regionu logicznego Firmy Microsoft Entra. | W lokalizacji geograficznej |
| Usługi zarządzania tożsamościami i dostępem firmy Microsoft (IAM) firmy Microsoft | Środowiska użytkownika i zarządzania: środowisko zarządzania entra firmy Microsoft jest bezstanowe i nie ma danych katalogu. Generuje on dane dziennika i użycia przechowywane w usłudze Azure Tables Storage. Środowisko użytkownika jest podobne do witryny Azure Portal. Usługi biznesowe i usługi raportowania zarządzania tożsamościami: te usługi mają lokalnie buforowany magazyn danych dla grup i użytkowników. Usługi generują dane dziennika i użycia, które przechodzą do usługi Azure Tables Storage, Azure SQL i Microsoft Elastic Search reporting Services. |
W lokalizacji geograficznej |
| Uwierzytelnianie wieloskładnikowe firmy Microsoft | Aby uzyskać szczegółowe informacje na temat przechowywania i przechowywania danych operacji uwierzytelniania wieloskładnikowego usługi MFA, zobacz Data residency and customer data for Microsoft Entra multifactor authentication (Przechowywanie danych i przechowywanie danych klientów na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft). Firma Microsoft Entra multifactor authentication rejestruje główne nazwy użytkownika (UPN), numery telefonów połączeń głosowych i wyzwania sms. W przypadku wyzwań związanych z trybami aplikacji mobilnych usługa rejestruje nazwę UPN i unikatowy token urządzenia. Centra danych w regionie Ameryka Północna przechowują uwierzytelnianie wieloskładnikowe firmy Microsoft i tworzone dzienniki. | Ameryka Północna |
| Usługi domenowe Microsoft Entra | Zobacz regiony, w których usługi Microsoft Entra Domain Services są publikowane w produktach dostępnych według regionów. Usługa przechowuje metadane systemu globalnie w tabelach platformy Azure i nie zawiera żadnych danych osobowych. | W lokalizacji geograficznej |
| Microsoft Entra Connect Health | Usługa Microsoft Entra Połączenie Health generuje alerty i raporty w usłudze Azure Tables Storage i magazynie obiektów blob. | W lokalizacji geograficznej |
| Microsoft Entra dynamic membership for groups, Microsoft Entra self-service group management | Usługa Azure Tables Storage przechowuje definicje reguł członkostwa dynamicznego. | W lokalizacji geograficznej |
| Serwer proxy aplikacji Firmy Microsoft Entra | Serwer proxy aplikacji Firmy Microsoft Entra przechowuje metadane dotyczące dzierżawy, maszyn łączników i danych konfiguracji w usłudze Azure SQL. | W lokalizacji geograficznej |
| Zapisywanie zwrotne haseł firmy Microsoft Entra w usłudze Microsoft Entra Połączenie | Podczas początkowej konfiguracji firma Microsoft Entra Połączenie generuje asymetryczny klucz przy użyciu systemu kryptograficznego Rivest–Shamir-Adleman (RSA). Następnie wysyła klucz publiczny do usługi w chmurze samoobsługowego resetowania hasła (SSPR), która wykonuje dwie operacje: 1. Tworzy dwa przekaźniki usługi Azure Service Bus dla usługi lokalnej firmy Microsoft Połączenie w celu bezpiecznego komunikowania się z usługą samoobsługowego resetowania hasła 2. Generuje klucz Advanced Encryption Standard (AES), K1 Lokalizacje przekaźnika usługi Azure Service Bus, odpowiednie klucze odbiornika i kopię klucza AES (K1) przechodzi do firmy Microsoft Entra Połączenie w odpowiedzi. W przyszłości komunikacja między samoobsługowym resetowaniem hasła i usługą Microsoft Entra Połączenie odbywa się za pośrednictwem nowego kanału ServiceBus i są szyfrowane przy użyciu protokołu SSL. Nowe resetowanie haseł przesyłane podczas operacji są szyfrowane przy użyciu klucza publicznego RSA wygenerowanego przez klienta podczas dołączania. Klucz prywatny na maszynie microsoft Entra Połączenie je odszyfruje, co uniemożliwia podsystemom potoków uzyskiwanie dostępu do hasła w postaci zwykłego tekstu. Klucz AES szyfruje ładunek komunikatu (zaszyfrowane hasła, więcej danych i metadanych), co uniemożliwia złośliwym osobom atakującym usługi ServiceBus manipulowanie ładunkiem, nawet przy pełnym dostępie do wewnętrznego kanału usługi ServiceBus. W przypadku zapisywania zwrotnego haseł firma Microsoft Entra Połączenie potrzebuje kluczy i danych: — klucz AES (K1), który szyfruje ładunek resetowania lub zmienia żądania z usługi samoobsługowego resetowania do usługi Microsoft Entra Połączenie, za pośrednictwem potoku ServiceBus — klucz prywatny, z pary kluczy asymetrycznych, która odszyfruje hasła, w ładunkach resetowania lub zmiany żądań — klucze odbiornika ServiceBus Klucz AES (K1) i asymetryczny klucz obracają się co najmniej co 180 dni, a czas trwania można zmienić podczas niektórych zdarzeń konfiguracji dołączania lub odłączania. Przykładem jest wyłączenie i ponowne włączenie zapisywania zwrotnego haseł, które może wystąpić podczas uaktualniania składnika podczas usługi i konserwacji. Klucze zapisywania zwrotnego i dane przechowywane w bazie danych microsoft Entra Połączenie są szyfrowane za pomocą interfejsów programowania aplikacji ochrony danych (DPAPI) (CALG_AES_256). Wynikiem jest główny klucz szyfrowania ADSync przechowywany w magazynie poświadczeń systemu Windows w kontekście lokalnego konta usługi ADSync. Magazyn poświadczeń systemu Windows dostarcza automatyczne ponowne szyfrowanie wpisów tajnych w miarę zmiany hasła dla konta usługi. Aby zresetować hasło konta usługi, unieważnia wpisy tajne w magazynie poświadczeń systemu Windows dla konta usługi. Ręczne zmiany na nowym koncie usługi mogą spowodować unieważnienie przechowywanych wpisów tajnych. Domyślnie usługa ADSync jest uruchamiana w kontekście konta usługi wirtualnej. Konto można dostosować podczas instalacji do konta usługi domeny o najniższych uprawnieniach, zarządzanego konta usługi (MSA) lub konta usługi zarządzanej przez grupę (gMSA). Konta usług wirtualnych i zarządzanych mają automatyczną rotację haseł, ale klienci zarządzają rotacją haseł dla niestandardowego aprowizowanego konta domeny. Jak wspomniano, resetowanie hasła powoduje utratę przechowywanych wpisów tajnych. |
W lokalizacji geograficznej |
| Microsoft Entra Device Registration Service | Usługa rejestracji urządzeń firmy Microsoft ma zarządzanie cyklem życia komputera i urządzenia w katalogu, które umożliwia scenariusze, takie jak dostęp warunkowy stanu urządzenia i zarządzanie urządzeniami przenośnymi. | W lokalizacji geograficznej |
| Aprowizacja firmy Microsoft | Firma Microsoft Entra provisioning tworzy, usuwa i aktualizuje użytkowników w systemach, takich jak aplikacje typu oprogramowanie jako usługa (SaaS). Zarządza tworzeniem użytkowników w usłudze Microsoft Entra ID i lokalną usługą AD ze źródeł hr w chmurze, takich jak Workday. Usługa przechowuje konfigurację w usłudze Azure Cosmos DB, która przechowuje dane członkostwa w grupie dla przechowywanego katalogu użytkowników. Usługa Cosmos DB replikuje bazę danych do wielu centrów danych w tym samym regionie co dzierżawa, co izoluje dane zgodnie z modelem rozwiązania Firmy Microsoft Entra w chmurze. Replikacja tworzy wysoką dostępność oraz wiele punktów końcowych odczytu i zapisu. Usługa Cosmos DB ma szyfrowanie informacji o bazie danych, a klucze szyfrowania są przechowywane w magazynie wpisów tajnych dla firmy Microsoft. | W lokalizacji geograficznej |
| Współpraca między firmami firmy Microsoft (B2B) | Współpraca firmy Microsoft Entra B2B nie ma danych katalogu. Użytkownicy i inne obiekty katalogów w relacji B2B z inną dzierżawą powodują skopiowanie danych użytkownika w innych dzierżawach, co może mieć wpływ na miejsce przechowywania danych. | W lokalizacji geograficznej |
| Ochrona tożsamości Microsoft Entra | Ochrona tożsamości Microsoft Entra używa danych logowania użytkowników w czasie rzeczywistym z wieloma sygnałami ze źródeł firmowych i branżowych, aby nakarmić swoje systemy uczenia maszynowego, które wykrywają nietypowe logowania. Dane osobowe są czyszczone z danych logowania w czasie rzeczywistym przed przekazaniem ich do systemu uczenia maszynowego. Pozostałe dane logowania identyfikują potencjalnie ryzykowne nazwy użytkowników i identyfikatory logowania. Po analizie dane przechodzą do systemów raportowania firmy Microsoft. Ryzykowne logowania i nazwy użytkowników są wyświetlane w raportowaniu dla Administracja istratorów. | W lokalizacji geograficznej |
| Tożsamości zarządzane usługi Microsoft Entra dla zasobów platformy Azure | Tożsamości zarządzane firmy Microsoft dla zasobów platformy Azure z systemami tożsamości zarządzanych mogą uwierzytelniać się w usługach platformy Azure bez przechowywania poświadczeń. Zamiast używać nazwy użytkownika i hasła, tożsamości zarządzane uwierzytelniają się w usługach platformy Azure przy użyciu certyfikatów. Usługa zapisuje certyfikaty, które wystawia w usłudze Azure Cosmos DB w regionie Wschodnie stany USA, które w razie potrzeby przejdą w tryb failover do innego regionu. Nadmiarowość geograficzna usługi Azure Cosmos DB odbywa się przez globalną replikację danych. Replikacja bazy danych umieszcza kopię tylko do odczytu w każdym regionie, w którym są uruchamiane tożsamości zarządzane przez firmę Microsoft Entra. Aby dowiedzieć się więcej, zobacz Usługi platformy Azure, które mogą używać tożsamości zarządzanych do uzyskiwania dostępu do innych usług. Firma Microsoft izoluje każde wystąpienie usługi Cosmos DB w modelu rozwiązania firmy Microsoft Entra w chmurze. Dostawca zasobów, taki jak host maszyny wirtualnej, przechowuje certyfikat na potrzeby uwierzytelniania i przepływów tożsamości z innymi usługami platformy Azure. Usługa przechowuje swój klucz główny w celu uzyskania dostępu do usługi Azure Cosmos DB w usłudze zarządzania wpisami tajnymi centrum danych. Usługa Azure Key Vault przechowuje główne klucze szyfrowania. |
W lokalizacji geograficznej |
| Azure Active Directory B2C | Usługa Azure AD B2C to usługa zarządzania tożsamościami służąca do dostosowywania, rejestrowania i zarządzania profilami klientów podczas korzystania z aplikacji oraz zarządzania nimi. Usługa B2C używa magazynu Podstawowego do przechowywania informacji o tożsamości użytkownika. Baza danych magazynu Core Store jest zgodna ze znanymi regułami przechowywania, replikacji, usuwania i przechowywania danych. Usługa B2C używa systemu usługi Azure Cosmos DB do przechowywania zasad i wpisów tajnych usługi. Usługa Cosmos DB ma usługi szyfrowania i replikacji na temat informacji o bazie danych. Jego klucz szyfrowania jest przechowywany w magazynie wpisów tajnych dla firmy Microsoft. Firma Microsoft izoluje wystąpienia usługi Cosmos DB w modelu rozwiązania firmy Microsoft Entra w chmurze. | Lokalizacja geograficzna do wyboru przez klienta |
Powiązane zasoby
Aby uzyskać więcej informacji na temat rezydencji danych w ofertach usługi Microsoft Cloud, zobacz następujące artykuły:
- Microsoft Entra ID — gdzie znajdują się Twoje dane?
- Rezydencja danych na platformie Azure | Microsoft Azure
- Lokalizacje danych platformy Microsoft 365 — Microsoft 365 Enterprise
- Prywatność firmy Microsoft — gdzie znajdują się Twoje dane?
- Pobierz plik PDF: Zagadnienia dotyczące prywatności w chmurze