Udostępnij za pośrednictwem

Microsoft Entra ID i miejsce przechowywania danych

  • Artykuł

Microsoft Entra ID to rozwiązanie tożsamości jako usługi (IDaaS), które przechowuje tożsamość i dostęp do danych w chmurze oraz zarządza nimi. Możesz użyć tych danych, aby włączyć dostęp do usług w chmurze i zarządzać nim, osiągnąć scenariusze mobilności i zabezpieczyć organizację. Wystąpienie usługi Microsoft Entra, nazywane dzierżawą, jest izolowanym zestawem danych obiektów katalogu, które klient aprowizuje i jest właścicielem.

Uwaga

Tożsamość zewnętrzna Microsoft Entra to rozwiązanie do zarządzania tożsamościami i dostępem klienta (CIAM), które przechowuje dane i zarządza nimi w oddzielnej dzierżawie utworzonej dla aplikacji przeznaczonych dla klientów i danych katalogu klienta. Ta dzierżawa jest nazywana dzierżawą zewnętrzną. Podczas tworzenia dzierżawy zewnętrznej możesz wybrać lokalizację geograficzną dla magazynu danych. Należy pamiętać, że lokalizacje danych i dostępność regionów mogą różnić się od tych z identyfikatora Entra firmy Microsoft, jak wskazano w tym artykule.

Magazyn podstawowy

Magazyn Core Store składa się z dzierżaw przechowywanych w jednostkach skalowania, z których każdy zawiera wiele dzierżaw. Operacje aktualizacji lub pobierania danych w sklepie Microsoft Entra Core Store odnoszą się do jednej dzierżawy na podstawie tokenu zabezpieczającego użytkownika, co umożliwia izolację dzierżawy. Jednostki skalowania są przypisywane do lokalizacji geograficznej. Każda lokalizacja geograficzna używa co najmniej dwóch regionów świadczenia usługi Azure do przechowywania danych. W każdym regionie świadczenia usługi Azure dane jednostki skalowania są replikowane w fizycznych centrach danych w celu zapewnienia odporności i wydajności.

Dowiedz się więcej: Microsoft Entra Core Store Scale Units

Identyfikator Entra firmy Microsoft jest dostępny w następujących chmurach:

  • Publiczne
  • Chiny*
  • Rząd USA*

* Obecnie niedostępne dla dzierżaw zewnętrznych.

W chmurze publicznej zostanie wyświetlony monit o wybranie lokalizacji w momencie utworzenia dzierżawy (na przykład zarejestrowanie się w usłudze Office 365 lub na platformie Azure lub utworzenie większej liczby wystąpień firmy Microsoft w witrynie Azure Portal). Microsoft Entra ID mapuje wybór na lokalizację geograficzną i pojedynczą jednostkę skalowania. Nie można zmienić lokalizacji dzierżawy po jej ustawieniu.

Lokalizacja wybrana podczas tworzenia dzierżawy będzie mapować na jedną z następujących lokalizacji geograficznych:

  • Australia*
  • Azja/Pacyfik
  • Europa, Bliski Wschód i Afryka (EMEA)
  • Japonia*
  • Ameryka Północna
  • Cały świat

* Obecnie niedostępne dla dzierżaw zewnętrznych.

Identyfikator Entra firmy Microsoft obsługuje dane magazynu Core Store na podstawie użyteczności, wydajności, miejsca pobytu lub innych wymagań w oparciu o lokalizację geograficzną. Identyfikator Entra firmy Microsoft replikuje każdą dzierżawę za pośrednictwem jednostki skalowania w centrach danych na podstawie następujących kryteriów:

  • Dane usługi Microsoft Entra Core Store przechowywane w centrach danych najbliżej lokalizacji rezydencji dzierżawy, aby zmniejszyć opóźnienia i zapewnić szybkie logowanie użytkowników
  • Microsoft Entra Core Store dane przechowywane w geograficznie izolowanych centrach danych w celu zapewnienia dostępności podczas nieprzewidzianych zdarzeń pojedynczych centrów danych, katastrofalne
  • Zgodność z miejscem przechowywania danych lub innymi wymaganiami dla określonych klientów i lokalizacji geograficznych

Modele rozwiązań firmy Microsoft Entra w chmurze

W poniższej tabeli przedstawiono modele rozwiązań firmy Microsoft Entra w chmurze oparte na infrastrukturze, lokalizacji danych i niezależności operacyjnej.

Model Lokalizacje Lokalizacja danych Personel operacyjny Umieszczanie dzierżawy w tym modelu
Lokalizacja geograficzna publiczna Australia*, Ameryka Północna, EMEA, Japonia*, Azja/Pacyfik W spoczynku w lokalizacji docelowej. Wyjątki według usługi lub funkcji Obsługiwane przez firmę Microsoft. Personel centrum danych firmy Microsoft musi przejść kontrolę w tle. Utwórz dzierżawę w środowisku rejestracji. Wybierz lokalizację miejsca przechowywania danych.
Publiczne na całym świecie Cały świat Wszystkie lokalizacje Obsługiwane przez firmę Microsoft. Personel centrum danych firmy Microsoft musi przejść kontrolę w tle. Tworzenie dzierżawy jest dostępne za pośrednictwem oficjalnego kanału pomocy technicznej i zależy od uznania firmy Microsoft.
Suwerenne lub krajowe chmury Rząd USA*, Chiny* W spoczynku w lokalizacji docelowej. Bez wyjątków. Obsługiwane przez opiekuna danych (1). Personel jest sprawdzany zgodnie z wymaganiami. Każde wystąpienie chmury krajowej ma środowisko rejestracji.

* Obecnie niedostępne dla dzierżaw zewnętrznych.

Odwołania do tabel:

(1) Opiekunowie danych: centra danych w chmurze dla instytucji rządowych USA są obsługiwane przez firmę Microsoft. W Chinach firma Microsoft Entra ID jest obsługiwana we współpracy z firmą 21Vianet.

Więcej informacji:

Miejsce przechowywania danych w składnikach firmy Microsoft Entra

Dowiedz się więcej: Omówienie produktu Microsoft Entra

Uwaga

Aby zrozumieć lokalizację danych usługi, taką jak Exchange Online lub Skype dla firm, zapoznaj się z odpowiednią dokumentacją usługi.

Składniki i lokalizacja przechowywania danych firmy Microsoft

Składnik Microsoft Entra opis Lokalizacja przechowywania danych
Usługa uwierzytelniania entra firmy Microsoft Ta usługa jest bezstanowa. Dane uwierzytelniania są w sklepie Microsoft Entra Core Store. Nie ma danych katalogu. Usługa uwierzytelniania Entra firmy Microsoft generuje dane dziennika w usłudze Azure Storage i w centrum danych, w którym działa wystąpienie usługi. Gdy użytkownicy próbują uwierzytelnić się przy użyciu identyfikatora Entra firmy Microsoft, są kierowani do wystąpienia w geograficznie najbliższym centrum danych, które jest częścią jego regionu logicznego firmy Microsoft Entra. W lokalizacji geograficznej
Usługi zarządzania tożsamościami i dostępem firmy Microsoft (IAM) firmy Microsoft Środowiska użytkownika i zarządzania: środowisko zarządzania entra firmy Microsoft jest bezstanowe i nie ma danych katalogu. Generuje on dane dziennika i użycia przechowywane w usłudze Azure Tables Storage. Środowisko użytkownika jest podobne do witryny Azure Portal.
Usługi biznesowe i usługi raportowania zarządzania tożsamościami: te usługi mają lokalnie buforowany magazyn danych dla grup i użytkowników. Usługi generują dane dziennika i użycia, które przechodzą do usługi Azure Tables Storage, Azure SQL i Microsoft Elastic Search reporting Services.		 W lokalizacji geograficznej
Uwierzytelnianie wieloskładnikowe firmy Microsoft Aby uzyskać szczegółowe informacje na temat przechowywania i przechowywania danych operacji uwierzytelniania wieloskładnikowego, zobacz Data residency and customer data for Microsoft Entra multifactor authentication (Przechowywanie danych i dane klientów na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft). Firma Microsoft Entra multifactor authentication rejestruje główne nazwy użytkownika (UPN), numery telefonów połączeń głosowych i wyzwania sms. W przypadku wyzwań związanych z trybami aplikacji mobilnych usługa rejestruje nazwę UPN i unikatowy token urządzenia. Centra danych w regionie Ameryka Północna przechowują uwierzytelnianie wieloskładnikowe firmy Microsoft i tworzone dzienniki. Ameryka Północna
Usługi domenowe Microsoft Entra Zobacz regiony, w których usługi Microsoft Entra Domain Services są publikowane w produktach dostępnych według regionów. Usługa przechowuje metadane systemu globalnie w tabelach platformy Azure i nie zawiera żadnych danych osobowych. W lokalizacji geograficznej
Microsoft Entra Connect Health Program Microsoft Entra Connect Health generuje alerty i raporty w usłudze Azure Tables Storage i magazynie obiektów blob. W lokalizacji geograficznej
Microsoft Entra dynamiczne grupy członkostwa, Microsoft Entra samoobsługowe zarządzanie grupami Usługa Azure Tables Storage przechowuje definicje reguł dla dynamicznych grup członkostwa. W lokalizacji geograficznej
Serwer proxy aplikacji Firmy Microsoft Entra Serwer proxy aplikacji Firmy Microsoft Entra przechowuje metadane dotyczące dzierżawy, maszyn łączników i danych konfiguracji w usłudze Azure SQL. W lokalizacji geograficznej
Zapisywanie zwrotne haseł firmy Microsoft Entra w programie Microsoft Entra Connect Podczas początkowej konfiguracji program Microsoft Entra Connect generuje asymetryczny klucz, używając systemu kryptograficznego Rivest–Shamir-Adleman (RSA). Następnie wysyła klucz publiczny do usługi w chmurze samoobsługowego resetowania hasła (SSPR), która wykonuje dwie operacje:

1. Tworzy dwa przekaźniki usługi Azure Service Bus dla lokalnej usługi Microsoft Entra Connect w celu bezpiecznego komunikowania się z usługą
samoobsługowego resetowania hasła 2. Generuje klucz Advanced Encryption Standard (AES), K1

Lokalizacje przekaźnika usługi Azure Service Bus, odpowiadające im klucze odbiornika i kopię klucza AES (K1) przechodzi do usługi Microsoft Entra Connect w odpowiedzi. W przyszłości komunikacja między samoobsługowym resetowaniem hasła i programem Microsoft Entra Connect odbywa się za pośrednictwem nowego kanału usługi ServiceBus i jest szyfrowana przy użyciu protokołu SSL.
Nowe resetowanie haseł przesyłane podczas operacji są szyfrowane przy użyciu klucza publicznego RSA wygenerowanego przez klienta podczas dołączania. Klucz prywatny na maszynie Microsoft Entra Connect odszyfrowuje je, co uniemożliwia podsystemom potoków uzyskiwanie dostępu do hasła w postaci zwykłego tekstu.
Klucz AES szyfruje ładunek komunikatu (zaszyfrowane hasła, więcej danych i metadanych), co uniemożliwia złośliwym osobom atakującym usługi ServiceBus manipulowanie ładunkiem, nawet przy pełnym dostępie do wewnętrznego kanału usługi ServiceBus.
W przypadku zapisywania zwrotnego haseł firma Microsoft Entra Connect potrzebuje kluczy i danych:

— klucz AES (K1), który szyfruje ładunek resetowania lub zmienia żądania z usługi SSPR do usługi Microsoft Entra Connect, za pośrednictwem potoku
ServiceBus — klucz prywatny z pary kluczy asymetrycznych, która odszyfrowuje hasła, w ładunkach resetowania lub zmiany żądań
— klucze

odbiornika ServiceBus Klucz AES (K1) i asymetryczny klucz obracają się co najmniej co 180 dni, a czas trwania można zmienić podczas niektórych zdarzeń konfiguracji dołączania lub odłączania. Przykładem jest wyłączenie i ponowne włączanie zapisywania zwrotnego haseł, które mogą wystąpić podczas uaktualniania składnika podczas usługi i konserwacji.
Klucze zapisywania zwrotnego i dane przechowywane w bazie danych Microsoft Entra Connect są szyfrowane za pomocą interfejsów programowania aplikacji ochrony danych (DPAPI) (CALG_AES_256). Wynikiem jest główny klucz szyfrowania ADSync przechowywany w magazynie poświadczeń systemu Windows w kontekście lokalnego konta usługi ADSync. Magazyn poświadczeń systemu Windows dostarcza automatyczne ponowne zaszyfrowanie wpisów tajnych w miarę zmiany hasła dla konta usługi. Aby zresetować hasło konta usługi, unieważnia wpisy tajne w magazynie poświadczeń systemu Windows dla konta usługi. Ręczne zmiany na nowym koncie usługi mogą spowodować unieważnienie przechowywanych wpisów tajnych.
Domyślnie usługa ADSync jest uruchamiana w kontekście konta usługi wirtualnej. Konto można dostosować podczas instalacji do konta usługi domeny z najniższymi uprawnieniami, zarządzanego konta usługi (konta Microsoft) lub konta usługi zarządzanej przez grupę (gMSA). Konta usług wirtualnych i zarządzanych mają automatyczną rotację haseł, ale klienci zarządzają rotacją haseł dla niestandardowego aprowizowanego konta domeny. Jak wspomniano, resetowanie hasła powoduje utratę przechowywanych wpisów tajnych.		 W lokalizacji geograficznej
Microsoft Entra Device Registration Service Usługa rejestracji urządzeń firmy Microsoft ma zarządzanie cyklem życia komputera i urządzenia w katalogu, które umożliwia scenariusze, takie jak dostęp warunkowy stanu urządzenia i zarządzanie urządzeniami przenośnymi. W lokalizacji geograficznej
Aprowizacja firmy Microsoft Firma Microsoft Entra provisioning tworzy, usuwa i aktualizuje użytkowników w systemach, takich jak aplikacje oprogramowania jako usługi (oprogramowanie jako usługa) (SaaS). Zarządza tworzeniem użytkowników w usłudze Microsoft Entra ID i lokalną usługą Microsoft Windows Server Active Directory ze źródeł hr w chmurze, takich jak Workday. Usługa przechowuje konfigurację w wystąpieniu usługi Azure Cosmos DB, w którym przechowywane są dane członkostwa w grupie dla przechowywanego katalogu użytkowników. Usługa Azure Cosmos DB replikuje bazę danych do wielu centrów danych w tym samym regionie co dzierżawa, co izoluje dane zgodnie z modelem rozwiązania Firmy Microsoft Entra w chmurze. Replikacja tworzy wysoką dostępność oraz wiele punktów końcowych odczytu i zapisu. Usługa Azure Cosmos DB ma szyfrowanie informacji o bazie danych, a klucze szyfrowania są przechowywane w magazynie wpisów tajnych dla firmy Microsoft. W lokalizacji geograficznej
Współpraca między firmami firmy Microsoft (B2B) Współpraca firmy Microsoft Entra B2B nie ma danych katalogu. Użytkownicy i inne obiekty katalogów w relacji B2B z inną dzierżawą powodują skopiowanie danych użytkownika w innych dzierżawach, co może mieć wpływ na miejsce przechowywania danych. W lokalizacji geograficznej
Microsoft Entra ID — ochrona Ochrona tożsamości Microsoft Entra używa danych logowania użytkowników w czasie rzeczywistym z wieloma sygnałami ze źródeł firmowych i branżowych, aby nakarmić swoje systemy uczenia maszynowego, które wykrywają nietypowe logowania. Dane osobowe są czyszczone z danych logowania w czasie rzeczywistym przed przekazaniem ich do systemu uczenia maszynowego. Pozostałe dane logowania identyfikują potencjalnie ryzykowne nazwy użytkowników i identyfikatory logowania. Po analizie dane przechodzą do systemów raportowania firmy Microsoft. Ryzykowne logowania i nazwy użytkowników są wyświetlane w raportach dla administratorów. W lokalizacji geograficznej
Tożsamości zarządzane dla zasobów platformy Azure Tożsamości zarządzane dla zasobów platformy Azure z systemami tożsamości zarządzanych mogą uwierzytelniać się w usługach platformy Azure bez przechowywania poświadczeń. Zamiast używać nazwy użytkownika i hasła, tożsamości zarządzane uwierzytelniają się w usługach platformy Azure przy użyciu certyfikatów. Usługa zapisuje certyfikaty, które wystawia w usłudze Azure Cosmos DB w regionie Wschodnie stany USA, które w razie potrzeby przejdą w tryb failover do innego regionu. Nadmiarowość geograficzna usługi Azure Cosmos DB odbywa się przez globalną replikację danych. Replikacja bazy danych umieszcza kopię tylko do odczytu w każdym regionie, w którym są uruchamiane tożsamości zarządzane przez firmę Microsoft Entra. Aby dowiedzieć się więcej, zobacz Usługi platformy Azure, które mogą używać tożsamości zarządzanych do uzyskiwania dostępu do innych usług. Firma Microsoft izoluje każde wystąpienie usługi Azure Cosmos DB w modelu rozwiązania firmy Microsoft Entra w chmurze.
Dostawca zasobów, taki jak host maszyny wirtualnej, przechowuje certyfikat na potrzeby uwierzytelniania i przepływów tożsamości z innymi usługami platformy Azure. Usługa przechowuje swój klucz główny w celu uzyskania dostępu do usługi Azure Cosmos DB w usłudze zarządzania wpisami tajnymi centrum danych. Usługa Azure Key Vault przechowuje główne klucze szyfrowania.		 W lokalizacji geograficznej

Aby uzyskać więcej informacji na temat rezydencji danych w ofertach usługi Microsoft Cloud, zobacz następujące artykuły:

Następne kroki