Microsoft Entra ID 中针对欧洲客户的客户数据存储和处理

Microsoft Entra ID 根据租户的创建和预配方式,将客户数据存储在一个地理位置。 以下列表提供了有关如何定义位置的信息:

  • Microsoft Entra 管理中心或 Microsoft Entra API - 客户从预定义列表中选择一个位置。
  • Dynamics 365 和 Power Platform - 客户在预定义位置预配其租户。
  • 欧盟数据驻留 - 对于在欧洲提供位置的客户,Microsoft Entra ID 将大部分客户数据存储在欧洲,本文后面介绍的情况除外。
  • 欧盟数据边界 - 对于在欧盟数据边界内提供位置的客户(欧盟和欧洲自由贸易联盟的成员),Microsoft Entra ID 在欧盟数据边界中存储和处理大多数客户数据,本文后面介绍的情况除外。
  • Microsoft 365 - 该位置基于客户提供的帐单邮寄地址。

以下几节内容提供了有关不符合欧盟数据驻留或欧盟数据边界承诺的客户数据的信息。

暂时将一部分客户数据传出欧盟数据驻留和欧盟数据边界的服务

对于服务的某些组件,将它们纳入到欧盟数据驻留和欧盟数据边界中的工作正在进行,但这项工作的完成会有延迟。 本文的以下部分介绍了这些服务当前作为其服务运营的一部分从欧洲传出的客户数据。

欧盟数据驻留:

  • 客户数据流出的原因 - 由于以下原因之一,一些租户存储在欧盟位置之外:

    • 租户最初是使用不在欧洲的国家/地区代码创建的,后来租户的国家/地区代码更改为欧洲的国家/地区代码。 Microsoft Entra 目录数据位置在租户创建期间确定,在更新租户的国家/地区代码时未更改。 从 2019 年 3 月开始,Microsoft 已阻止更新租户的国家/地区代码,以避免这种混淆。
    • 有 13 个国家/地区代码(包括:阿塞拜疆、巴林、以色列、约旦、哈萨克斯坦、科威特、黎巴嫩、阿曼、巴基斯坦、卡塔尔、沙特阿拉伯、土耳其、阿联酋)在 2013 年之前映射到亚洲区域,自那以后映射到欧洲。 2013 年 7 月之前通过此国家/地区代码创建的租户在亚洲而不是欧洲预配。
    • 有 7 个国家代码(包括:亚美尼亚、格鲁吉亚、伊拉克、吉尔吉斯斯坦、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦)在 2017 年之前映射到亚洲区域,自那以后映射到欧洲。 2017 年 2 月之前通过此国家/地区代码创建的租户在亚洲而不是欧洲预配。
  • 流出的客户数据类型 - 用户和设备帐户数据以及服务配置(应用程序、策略和组)。

  • 客户静态数据位置 - 美国和亚洲/太平洋地区。

  • 客户数据处理 - 与静态位置相同。

  • 服务 - 目录核心存储

欧盟数据边界:

了解 Microsoft Entra 暂时将部分客户数据传出欧盟数据边界的更多信息:暂时将一部分客户数据传出欧盟数据边界的服务

永久性地将一部分客户数据传出欧盟数据驻留和欧盟数据边界的服务

服务的某些组件会继续将有限数量的客户数据传出欧盟数据驻留和欧盟数据边界,因为此类传输旨在促进服务的运行。

欧盟数据驻留:

Microsoft Entra ID:当某个 IP 地址或电话号码确定被用于欺诈活动时,它们会在全球发布,以阻止任何使用它们的工作负载的访问。

欧盟数据边界:

了解 Microsoft Entra 永久性地将部分客户数据传出欧盟数据边界的更多信息:永久性地将一部分客户数据传出欧盟数据边界的服务

其他注意事项

将数据传输到欧盟数据驻留和欧盟数据边界之外的可选服务功能

欧盟数据驻留:

某些服务包含可选的功能(在某些情况下需要客户订阅),这种情况下,客户管理员可以选择为其服务租赁启用或禁用这些功能。 如果客户的用户可用并使用了这些功能,则这些功能将导致数据传输到欧洲外,如本文的以下部分所述。

  • 多租户管理:组织可以选择在 Microsoft Entra ID 中创建多租户组织。 例如,客户可以在 B2B 上下文中邀请用户加入其租户。 客户可以创建多租户软件即服务 (SaaS) 应用程序,使其他第三方租户可以在第三方租户中预配应用程序。 客户可以将两个或更多个租户相互关联,并在某些情况下充当单个租户,例如多租户组织 (MTO) 形成、租户到租户同步以及共享电子邮件域共享。 管理员配置和多租户协作的使用可能发生在欧盟数据驻留和欧盟数据边界之外的租户中,从而导致某些客户数据(例如用户和设备帐户数据、使用情况数据以及服务配置(应用程序、策略和组))在协作的租户位置中进行存储和处理。
  • 应用程序代理:应用程序代理允许客户通过外部 URL 或内部应用程序门户访问云和本地应用程序。 客户可以选择高级路由配置,它将使得客户数据流出欧盟数据驻留和欧盟数据边界,包括用户帐户数据、使用情况数据和应用程序配置数据。

欧盟数据边界:

详细了解将客户数据传出欧盟数据边界的可选服务功能:将客户数据传出欧盟数据边界的可选服务功能

其他欧盟数据边界联机服务

集成到 Microsoft Entra ID 中的服务和应用程序有权访问客户数据。 查看每个服务和应用程序存储和处理客户数据的方式,并验证它们是否符合公司的数据处理要求。

后续步骤

要详细了解 Microsoft 服务的数据驻留信息,请参阅 Microsoft 信任中心的“数据所在位置”部分。