Microsoft Entra 多重身份验证的数据驻留和客户数据
Microsoft Entra ID 根据组织在订阅 Microsoft 在线服务(例如 Microsoft 365 或 Azure)时提供的地址,将客户数据存储在相关地理位置。 要了解客户数据的存储位置,请参阅 Microsoft 信任中心的数据存储在何处?。
基于云的 Microsoft Entra 多重身份验证和 MFA 服务器会处理和存储个人数据和组织数据。 本文简要介绍了存储哪些数据及存储在何处。
Microsoft Entra 多重身份验证服务在美国、欧洲和亚太地区都有数据中心。 以下活动源自区域数据中心,但以下情况除外:
- 使用短信和电话进行的多重身份验证源自客户所在区域的数据中心,由全球提供商进行路由。 使用自定义问候语的电话呼叫始终源自美国的数据中心。
- 来自其他区域的常规用途用户身份验证请求当前根据用户位置进行处理。
- 使用 Microsoft Authenticator 应用的推送通知当前在区域数据中心根据用户位置进行处理。 特定于供应商的设备服务(如 Apple Push Notification 服务或 Google Firebase Cloud Messaging)可能位于用户位置之外。
Microsoft Entra 多重身份验证存储的个人数据
个人数据是与特定人员关联的用户级信息。 以下数据存储包含个人信息:
- 被阻止的用户
- 免验证的用户
- Microsoft Authenticator 设备令牌更改请求
- 多重身份验证活动报告 - 存储本地多重身份验证组件(NPS 扩展、AD FS 适配器和 MFA 服务器)中的多重身份验证活动。
- Microsoft Authenticator 激活
此信息将保留 90 天。
Microsoft Entra 多重身份验证不会记录个人数据,如用户名、电话号码或 IP 地址。 但是,UserObjectId 会识别对用户的身份验证尝试。 日志数据将存储 30 天。
Microsoft Entra 多重身份验证存储的数据
对于 Azure 公有云(不包括 Azure AD B2C 身份验证、NPS 扩展、Windows Server 2016 或 2019 Active Directory 联合身份验证服务 (AD FS) 适配器),将存储以下个人数据:
| 事件类型 | 数据存储类型 |
|---|---|
| OATH 令牌 | 多重身份验证日志 |
| 单向短信 | 多重身份验证日志 |
| 语音呼叫 | 多重身份验证日志 多重身份验证活动报告数据存储 被阻止的用户(如果报告了欺诈) |
| Microsoft Authenticator 通知 | 多重身份验证日志 多重身份验证活动报告数据存储 被阻止的用户(如果报告了欺诈) Microsoft Authenticator 设备令牌更改时的更改请求 |
对于 Microsoft Azure 政府、由世纪互联运营的 Microsoft Azure、Azure AD B2C 身份验证、NPS 扩展,以及 Windows Server 2016 或 2019 AD FS 适配器,将存储以下个人数据:
| 事件类型 | 数据存储类型 |
|---|---|
| OATH 令牌 | 多重身份验证日志 多重身份验证活动报告数据存储 |
| 单向短信 | 多重身份验证日志 多重身份验证活动报告数据存储 |
| 语音呼叫 | 多重身份验证日志 多重身份验证活动报告数据存储 被阻止的用户(如果报告了欺诈) |
| Microsoft Authenticator 通知 | 多重身份验证日志 多重身份验证活动报告数据存储 被阻止的用户(如果报告了欺诈) Microsoft Authenticator 设备令牌更改时的更改请求 |
MFA 服务器存储的数据
使用 MFA 服务器将会存储以下个人数据。
重要
2022 年 9 月,Microsoft 宣布弃用 Azure 多重身份验证服务器。 从 2024 年 9 月 30 日开始,Azure 多重身份验证服务器部署将不再为多重身份验证请求提供服务,这可能会导致组织的身份验证失败。 为确保身份验证服务不间断并保持受支持状态,组织应使用最新 Azure MFA 服务器更新中包含的最新迁移实用工具将其用户身份验证数据迁移到基于云的 Azure MFA 服务。 有关详细信息,请参阅 Azure MFA 服务器迁移。
| 事件类型 | 数据存储类型 |
|---|---|
| OATH 令牌 | 多重身份验证日志 多重身份验证活动报告数据存储 |
| 单向短信 | 多重身份验证日志 多重身份验证活动报告数据存储 |
| 语音呼叫 | 多重身份验证日志 多重身份验证活动报告数据存储 被阻止的用户(如果报告了欺诈) |
| Microsoft Authenticator 通知 | 多重身份验证日志 多重身份验证活动报告数据存储 被阻止的用户(如果报告了欺诈) Microsoft Authenticator 设备令牌更改时的更改请求 |
Microsoft Entra 多重身份验证存储的组织数据
组织数据是可公开配置或环境设置的租户级信息。 “多重身份验证”页中的租户设置可存储组织数据,例如锁定阈值或传入电话身份验证请求的呼叫方 ID 信息:
- 帐户锁定
- 欺诈警报
- 通知
- 电话呼叫设置
对于 MFA 服务器,以下页面可能包含组织数据:
- 服务器设置
- 免验证一次
- 缓存规则
- 多重身份验证服务器状态
公有云的多重身份验证活动报告
多重身份验证活动报告会存储来自本地组件(NPS 扩展、AD FS 适配器和 MFA 服务器)的活动。 多重身份验证服务日志用于运行服务。 以下部分显示活动报告和服务日志(用于不同客户区域的每个组件的特定身份验证方法)的存储位置。 标准语音呼叫可能会故障转移到不同的区域。
注意
多重身份验证活动报告包含个人数据,如用户主体名称 (UPN) 和完整的电话号码。
MFA 服务器和基于云的 MFA
| 组件 | 身份验证方法 | 客户区域 | 活动报告位置 | 服务日志位置 |
|---|---|---|---|---|
| MFA 服务器 | 所有方法 | 任意 | 美国 | 美国的 MFA 后端 |
| 云 MFA | 所有方法 | 任意 | 区域中的 Microsoft Entra 登录日志 | 云区域内 |
主权云的多重身份验证活动报告
下表显示了主权云的服务日志的位置。
| 主权云 | 登录日志 | 多重身份验证活动报告 | 多重身份验证服务日志 |
|---|---|---|---|
| 由世纪互联运营的 Microsoft Azure | 中国 | 美国 | 美国 |
| Microsoft 政府云 | 美国 | 美国 | 美国 |
后续步骤
要详细了解基于云的 Microsoft Entra 多重身份验证和 MFA 服务器收集的用户信息,请参阅 Microsoft Entra 多重身份验证用户数据收集。