Configurar limite de dados
Esta documentação fornece detalhes sobre como os clientes podem configurar o Azure Resource Manager para uso em um limite de dados. A única configuração de limite de dados atualmente suportada, além da configuração Global padrão, é para a União Europeia (UE). O Limite de Dados da UE é um limite geograficamente definido dentro do qual a Microsoft se comprometeu a armazenar e processar Dados do Cliente e dados pessoais pseudonimizados e armazenar Dados de Serviços Profissionais para serviços corporativos online da Microsoft, incluindo Azure, Dynamics 365, Power Platform e Microsoft 365, sujeito a circunstâncias limitadas em que os dados pessoais continuam a ser transferidos para fora do Limite de Dados da UE. Para obter mais informações, consulte Visão geral dos limites de dados da UE.
Importante
Para armazenar Dados de Serviços Profissionais no Limite de Dados da UE para o Azure, os clientes devem configurar o Azure Resource Manager para o Limite de Dados da UE. Esta documentação fornece detalhes sobre como os clientes podem configurar o Azure Resource Manager para uso no Limite de Dados da UE.
Um limite de dados só pode ser estabelecido em novos locatários que não tenham assinaturas ou recursos implantados existentes. Depois que um locatário é aceito em um limite de dados, a configuração do limite de dados não pode ser removida ou modificada. As assinaturas e os recursos criados sob um locatário com um limite de dados não podem ser movidos para fora desse locatário. As assinaturas e os recursos existentes não podem ser movidos para um locatário com um limite de dados. Cada locatário é limitado a um limite de dados e, depois que o limite de dados for configurado, o Azure Resource Manager restringirá as implantações de recursos a regiões dentro desse limite. Um limite de dados global não tem restrições sobre as regiões nas quais um recurso pode ser implantado. Os clientes podem optar por seus locatários em um limite de dados implantando um Microsoft.Resources/dataBoundaries recurso no nível do locatário.
A DataBoundaryTenantAdministrator função interna é necessária para configurar o limite de dados. Para obter mais informações, consulte Permissões necessárias.
Para optar pelo seu inquilino num Limite de Dados da UE do Azure:
- Crie um novo locatário dentro de um país ou região da UE para configurar um Limite de Dados da UE do Microsoft Entra. Para obter mais informações sobre como criar um novo locatário em um país ou região da UE, consulte Criar um novo locatário no Microsoft Entra ID.
- Antes de criar novas assinaturas ou recursos, implante um recurso Microsoft.Resources/dataBoundaries com uma configuração da UE.
- Crie uma assinatura e implante recursos do Azure.
Permissões necessárias
Para configurar o limite de dados, a DataBoundaryTenantAdministrator função interna é necessária no escopo do locatário. Use as seguintes etapas para atribuir a função:
- Elevar o acesso para gerir todas as subscrições e grupos de gestão do Azure. Para obter mais informações, veja Elevar o acesso para gerir todas as subscrições e grupos de gestão do Azure.
- Com o privilégio de Administrador de Acesso de Usuário, conceda a si mesmo a
DataBoundaryTenantAdministratorfunção no escopo do locatário (/) usando a CLI do Azure ou o Azure PowerShell ou a API REST.
DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID="d1a38570-4b05-4d70-b8e4-1100bcf76d12"
az role assignment create --assignee "{assignee}" --role DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID --scope "/"
Para mais informações, consulte Atribuir Funções do Azure.
Criar limite de dados
Atualmente, a área geográfica de limite de dados tem duas opções:
| Limite geográfico de dados | Description |
|---|---|
| Global | Por padrão, todos os locatários têm um limite de dados global. |
| EU | Estabelecer uma fronteira de dados da UE. |
Para aceitar um locatário para o limite de dados, use os comandos a seguir.
az data-boundary create --data-boundary <data-boundary-geo> --default default
A --default mudança é atualmente obrigatória, mas será progressivamente eliminada no futuro.
Para obter mais informações, consulte Referência da CLI do Azure.
Ler limite de dados
Para obter o limite de dados em escopos especificados. Os escopos incluem:
| Âmbito | Value |
|---|---|
| Inquilino | (vazio) |
| Subscrição | assinaturas/{subscriptionId} |
| Grupo de recursos | assinaturas/{subscriptionId}/resourceGroups/{resourceGroupName} |
az data-boundary show --scope <scope-path> --default default
Obter limite de dados do locatário:
az data-boundary show-tenant --default default
A --default mudança é atualmente obrigatória, mas será progressivamente eliminada no futuro.
Para obter mais informações, consulte Referência da CLI do Azure.
Resolução de Problemas
A tabela a seguir lista as mensagens de erro relacionadas ao limite de dados:
| Código de erro | Mensagem de Erro | Explicação |
|---|---|---|
| NonEmptyTenantCannotChangeDataBoundary | O nome> do locatário do locatário <já contém assinaturas. Não há suporte para a atualização de limite de dados para locatários não vazios. | Os clientes só podem aplicar um limite de dados do Azure a um novo locatário sem grupos de gerenciamento, assinaturas ou recursos. |
| AuthorizationFailed | O client-name do cliente <com ID de <objeto object-id> não tem autorização para executar ações Microsoft.Resources/dataBoundaries/write sobre <scope-name> ou o escopo é inválido.> Se o acesso tiver sido concedido recentemente, atualize as credenciais. |
Verifique se você tem a função de Administrador de Limite de Dados no escopo do locatário. Consulte Permissões necessárias. |
| InvalidResourceLocation InvalidResourceGroupLocation |
Nome da região> do local <do grupo de recursos inválido. O ID do locatário para uma determinada assinatura é aceito no <limite de dados geográficos> com limite de dados. O local do grupo de recursos é restrito pelo limite de dados. A lista de regiões no limite de dados é: <region-list>. | Depois que um limite de dados se aplica a um locatário, os usuários só podem criar recursos em regiões dentro do limite de dados. Por exemplo, os usuários não podem criar recursos no WestUS se um limite de dados da UE for aplicado ao locatário. Para resolver esse erro, escolha uma região da lista retornada na mensagem de erro. |
| InvalidSubscriptionMoveDataBoundary | Falha na ação de transferência. A transferência desta subscrição não é permitida devido a restrições de limite de dados no inquilino. | Não é possível mover uma assinatura se os locatários de origem ou de destino tiverem um limite de dados não global. A movimentação de assinatura é bloqueada mesmo se os locatários de origem e de destino tiverem o mesmo limite de dados. |
Próximos passos
Para obter mais informações, consulte Visão geral dos limites de dados da UE.