通过

适用于所有欧盟数据边界服务的持续数据传输

  • 项目

在某些情况下,Microsoft将继续将数据移出欧盟数据边界,以满足云服务的运营要求,存储在欧盟数据边界中的数据将由位于欧盟数据边界以外的人员远程访问,客户使用欧盟数据边界服务将导致数据传输出欧盟数据边界,以实现客户的预期结果。 Microsoft确保欧盟数据边界之外的任何客户数据、化名个人数据和专业服务数据传输都受到我们的服务协议和产品文档中详述的安全保护措施的保护。

远程访问在欧盟数据边界中存储和处理的数据

Microsoft云服务由世界各地的专家团队构建、运营、安全和维护,为客户提供最高水平的服务质量、支持、安全性和可靠性。 此模型 (称为 Microsoft DevOps 模型) 开发人员和运营人员协同工作,以持续生成、维护和提供服务。 本部分介绍了Microsoft如何最大程度地减少对客户数据、假名化个人数据和专业服务数据的远程访问,以及如何在需要进行此类访问时限制此类访问。

Microsoft使用多层方法来保护客户数据、假名个人数据和专业服务数据免受Microsoft人员未经授权的访问,这些人员包括Microsoft及其子公司的员工以及协助Microsoft员工的第三方组织的合同员工。 若要访问客户数据、化名个人数据或专业服务数据,Microsoft人员除了利用多重身份验证作为Microsoft标准安全要求的一部分外,还必须有后台检查存档。

当Microsoft人员需要从边界外部访问客户数据、化名个人数据或存储在欧盟数据边界内Microsoft系统上的专业服务数据时, (根据欧洲隐私法,尽管数据仍保留在欧盟数据边界Microsoft数据中心基础结构内,) 但我们依赖于确保此类传输安全的技术, 具有受控访问,并且远程访问点上没有持久性存储。 如果需要此类数据传输,Microsoft使用最先进的加密来保护客户数据、匿名个人数据以及静态和传输中的专业服务数据。 有关详细信息,请参阅 加密和密钥管理概述

Microsoft如何保护客户数据

我们设计服务和流程,以最大程度地提高 DevOps 人员作服务的能力,而无需访问客户数据,并采用自动化工具来识别和修复问题。 在极少数情况下,当服务中断或需要无法通过自动化工具实现的维修时,授权Microsoft人员可能需要远程访问存储在欧盟数据边界中的数据,包括客户数据。 没有对客户数据的默认访问权限;仅当任务需要访问时,才向Microsoft人员提供访问权限。 对客户数据的访问必须出于适当的目的,必须限制为达到适当目的所需的客户数据的数量和类型,并且只有通过此级别的访问才能实现该目的。 Microsoft使用实时 (JIT) 访问审批,这些审批仅在为实现该目的需要授予时才授予。 Microsoft还依赖于基于角色的访问控制 (RBAC) ,其中个人访问受到严格的要求,例如需要了解原则、强制持续培训和一个或多个经理的监督。

有权访问客户数据的Microsoft人员从安全管理工作站 (SAW) 进行作。 SAW 是功能有限的计算机,可降低恶意软件、网络钓鱼攻击、虚假网站和传递哈希 (PtH) 攻击等安全风险的风险,并启用旨在使数据难以外泄的对策。 例如,在 SAW 上工作的Microsoft人员在此类设备上对 Internet 的访问受到限制,并且无法访问外部或可移动媒体,因为这些功能在 SAW 实现中被阻止。 Microsoft SAW 和高风险环境计划在 2022 年、2020 年和 2019 年获得了 csoonline.com 颁发的 CSO50 奖项

除了前面所述的控制之外,客户还可以通过启用客户密码箱为许多Microsoft云服务建立其他访问控制。 客户密码箱功能的实现因服务而异,但客户密码箱通常确保Microsoft人员在未经客户的明确批准的情况下无法访问客户数据来执行服务作。 请参阅 Microsoft Purview 客户密码箱Microsoft Azure 的客户密码箱在 Power Platform 中使用客户密码箱安全地访问客户数据,以及 Dynamics 365,了解客户密码箱的实际作示例。

Microsoft也会记录和监视对客户数据的访问。 Microsoft执行定期审核,以检查和确认访问管理措施是否符合策略要求,包括Microsoft的合同承诺。

Microsoft如何保护系统生成的日志中的假名化个人数据

目前,为了访问欧盟数据边界中存储的匿名个人数据,Microsoft人员可以使用 SAW 或虚拟桌面基础结构 (VDI) 。 在使用 SAW 访问假名化个人数据时,上一部分所述的特定于 SAW 的安全措施也适用。 使用 VDI 访问欧盟数据边界中匿名的个人数据时,Microsoft强制实施访问限制,为数据访问提供安全环境。 与 SAW 一样,在 VDI 上允许的实用工具列表是有限的,在认证可在 VDI 上运行之前,必须经过严格的安全测试。 使用 VDI 时,通过托管在位于欧盟数据边界中的物理计算机上的虚拟机访问欧盟数据边界中的匿名个人数据,并且欧盟数据边界之外不会保留任何数据。

根据我们的标准策略,禁止在欧盟数据边界之外批量传输数据,并且 VDI 用户只能访问预先批准的 URL 目标。 此外,使用 VDI 环境的Microsoft人员对位于欧盟数据边界中的物理计算机没有管理访问权限。

有关用于保护客户数据和化名个人数据的技术的详细信息,请参阅以下资源:

Microsoft如何保护专业服务数据

在联机服务支持参与期间,Microsoft人员对专业服务数据的访问仅限于使用安全和身份验证控制(包括双重身份验证和虚拟化环境)(如有必要)的已批准的支持管理系统。 在欧盟数据边界内访问专业服务数据时,Microsoft人员使用 SAW 或 VDI。 使用 SAW 或 VDI 访问欧盟数据边界内的专业服务数据时,上述部分所述的特定于 SAW 和 VDI 的安全措施也适用。 Microsoft人员只能通过提供必要的业务理由并获得经理的批准来访问与特定支持参与相关的专业服务数据。 传输中的数据和静态数据均加密。

客户发起的数据传输

转移客户作为服务功能的一部分启动

欧盟数据边界不应干扰或限制客户在使用我们的服务时想要的服务结果。 因此,如果客户管理员或用户在启动数据移出欧盟数据边界的服务中执行作,Microsoft不会限制此类客户发起的传输发生;这样做会扰乱客户的正常业务运营。 在欧盟数据边界之外进行用户启动的数据传输可能有多种原因,例如:

  • 用户在欧盟数据边界之外访问存储在欧盟数据边界内的数据或与服务交互。
  • 用户选择与位于欧盟数据边界之外的其他用户通信。 示例包括发送电子邮件或短信、启动 Teams 聊天或语音通信,例如公用电话交换网络 (PSTN) 呼叫、语音邮件、跨异地会议等。
  • 用户配置服务以将数据移出欧盟数据边界。
  • 用户选择将 EU 数据边界服务与其他Microsoft或第三方产品/服务或连接体验组合在一起,这些体验受适用于欧盟数据边界服务 (的单独条款的约束,例如,利用通过 Microsoft 365 应用程序提供的可选必应支持的体验,或使用可用的连接器将数据从欧盟数据边界服务内部同步到用户可能拥有的帐户,但提供商除外Microsoft) 。
  • 客户管理员选择将欧盟数据边界服务连接到Microsoft或第三方提供的其他服务,其中,这些其他服务受适用于欧盟数据边界服务 (条款的约束,例如,通过配置欧盟数据边界服务以向必应发送查询,或在欧盟数据边界服务与托管在提供商(而不是Microsoft)的服务之间建立连接客户还具有帐户) 。
  • 用户从欧盟数据边界服务 (Teams 应用商店中提供的应用商店获取和使用应用,例如,) ,其中应用受适用于欧盟数据边界服务的条款(例如来自应用提供商的最终用户许可协议)的约束。
  • 组织请求或订阅专业安全服务,其中Microsoft在远程 安全作中心 容量中作,或代表 (执行取证分析,并作为组织安全组) 的一部分。

在全球范围内履行 GDPR 数据主体权利请求

Microsoft已实施系统,使我们的客户能够根据 GDPR 通用数据保护条例 (DSR) 响应数据主体权利请求 (GDPR) (,例如,根据客户认为合适的 GDPR) 第 17 条的要求删除个人数据,并且这些系统可供全球客户使用。 为了使我们的客户能够保持 GDPR 合规性,必须全局处理包含用户标识符的 DSR 信号,以确保根据请求删除或导出与数据主体相关的所有数据。 当我们的客户确定删除数据是适当的,以响应数据主体要求删除其个人数据时,必须与该数据主体相关的所有个人数据,并从欧盟数据边界内外的所有Microsoft数据存储中查找和删除。 同样,当客户管理员提交导出请求时,Microsoft必须导出到客户管理员指定的存储位置,即使不在欧盟数据边界之外,也必须导出有关该数据主体的所有个人数据。 有关详细信息,请参阅 数据主体请求和 GDPR 和 CCPA

专业服务数据

咨询服务

为Microsoft咨询服务提供给Microsoft的专业服务数据,包括规划、建议、指导、数据迁移、部署和解决方案/软件开发服务,不在欧盟数据边界范围内。 咨询服务的此专业服务数据当前存储在基于美国Microsoft数据中心,并由客户参与提供服务的团队访问。

VDI

为了调查和修正某些客户支持案例,Microsoft人员可以通过位于欧盟数据边界外部物理计算机上的 VDI 访问专业服务数据。 Microsoft人员还可以通过欧盟数据边界外的 VDI 访问系统生成日志中的假名个人数据,以调查和修正某些客户问题。 这两种方案都会导致在欧盟数据边界之外临时处理专业服务数据:但是,欧盟数据边界之外不会保留任何数据。

技术支持案例标题

技术支持案例标题(被视为专业服务数据)在Microsoft内有效管理和路由支持案例方面起着关键作用。 这些游戏用于多个系统和工具,以提高运营效率和服务交付。 这包括有效的案例路由、诊断和故障排除、峰值检测、会审和优先级以及服务请求评估。 由客户提供或由Microsoft代表客户生成的技术支持案例标题可能存储在欧盟数据边界外的数据中心。

向产品工程师上报的案例

如果支持工程师无法直接解决案例,他们可能需要将其上报给产品团队,以便进一步进行故障排除。 在这种情况下,支持案例的专业服务数据可能存储在欧盟数据边界外的数据中心。 此数据可能包括支持案例说明和重现步骤。 本文前面的远程访问 在欧盟数据边界中存储和处理的数据 中介绍了要解决此情况的专业服务数据。

支持案例中的客户语音邮件

当客户拨打Microsoft请求支持,并为支持代理留下语音邮件时,被视为专业服务数据的语音邮件可能会存储在欧盟数据边界之外。 正在欧盟数据边界中存储语音邮件。

保护客户

为了防范全球网络安全威胁,Microsoft必须全局运行安全作。 为此,Microsoft传输 (,如本文后面的 安全作 中所述,) 欧盟数据边界之外有限的假名化个人数据和专业服务数据,在极少数情况下传输有限的客户数据。 恶意参与者正在全球运营,发起地理分布式攻击,使用协调的隐身策略,并逃避检测。 跨地理边界分析上下文威胁数据允许Microsoft安全服务通过提供高质量、自动化的安全检测、保护和响应来保护客户。

此跨界分析的结果会提供多个保护方案,包括向客户发出恶意活动、攻击或企图违规的警报。

拥有强大的安全保护有利于我们的客户和计算生态系统,并支持客户数据、假名化个人数据、专业服务数据和关键基础结构的安全性方面的监管义务。 根据 GDPR 和欧盟基本权利宪章,Microsoft 的方法通过促进隐私、数据保护和安全性来提供价值。

对从欧盟传输的有限客户数据、化名个人数据和专业服务数据的访问权限仅限于Microsoft安全人员,使用仅限于安全目的,包括检测、调查、缓解和响应安全事件。 传输的客户数据、化名个人数据和专业服务数据通过加密和访问限制进行保护。 有关访问控制的其他信息,请参阅本文前面的远程访问 在欧盟数据边界中存储和处理的数据

Microsoft通过使用跨界信号提供的面向客户的功能示例包括:

  • 为了提供针对复杂的现代安全威胁的保护,Microsoft依靠其高级分析功能(包括人工智能)来分析聚合安全相关数据(包括活动日志),以防范、检测、调查、响应和修正这些攻击。 有限的客户数据、全球合并的假名化个人数据和专业服务数据用于创建统计摘要,以减少误报结果,提高效率,并创建独特的机器学习模型,以便对已知和未知威胁进行近实时的高级检测。 全局模型允许我们微调并启用特定作的自定义模型。 如果没有这种跨全球数据的集中式分析功能,这些服务的效率将大幅下降,我们无法保护我们的客户,也无法提供一致的用户体验。
  • 借助超大规模云,无需事先了解特定攻击,即可对与安全相关的系统生成的日志进行各种持续分析。 在许多情况下,全局系统生成的日志使Microsoft或其客户能够阻止以前未知的攻击,而在其他情况下,Microsoft和客户可以使用系统生成的日志来识别最初未检测到但稍后可以根据新的威胁情报发现的威胁。
  • 在短时间内,通过识别从多个地理区域登录到单个帐户的被入侵企业用户, () 称为“不可能的旅行”攻击。 为了防止这些类型的方案,Microsoft安全产品 ((如果适用),安全运营和威胁情报团队) 跨地理位置集中处理和存储Microsoft Entra身份验证系统生成的日志等数据。
  • 通过聚合来自不同位置的多个恶意访问数据存储的信号来检测企业的数据外泄,恶意参与者使用这种技术在检测雷达下飞行, (称为“低速”攻击) 。

为了最大程度地减少这项工作对隐私的影响,Microsoft的安全威胁猎手团队会限制持续传输到系统生成的日志和服务配置信息,以检测和调查恶意活动或违规的早期指标。 包括的假名数据和专业服务数据将主要合并并存储在美国但可能包括全球其他数据中心区域,以便如前所述进行威胁检测工作。 根据 DPA 的条款和适用的合同承诺传输和保护假名个人数据。 在极少数情况下,由于安全调查而访问或传输客户数据或专业服务数据,通过提升的审批和控制来执行此作,如本文前面的Microsoft如何保护客户数据和Microsoft如何保护专业服务数据部分所述。

安全作

Microsoft安全运营使用一系列内部服务来监视、调查和响应客户日常运营所依赖的平台面临的威胁。 为这些作处理的跨地域边界假名个人数据、有限的客户数据或有限的专业服务数据有助于阻止针对云基础结构的恶意尝试,并Microsoft联机服务。

出于安全目的处理的假名个人数据和专业服务数据将传输到全球任何 Azure 区域。 这使Microsoft的安全运营(如 Microsoft安全响应中心 (MSRC) )能够以高效、有效的方式提供每年 365 天每天 24 小时的安全服务,以响应全球威胁。 这些数据用于监视、调查和响应Microsoft的平台、产品和服务中的安全事件,保护客户和Microsoft免受其安全和隐私的威胁。 例如,当确定某个 IP 地址或电话号码用于欺诈活动时,会全局发布该地址或电话号码,以阻止来自使用它的任何工作负载的访问。

安全分析师访问来自全球各个位置的合并数据,因为 MSRC 具有后续作模型,具有分布式专业知识和技能,可为安全调查提供持续监视和响应,包括但不限于以下方案:

  • 客户已识别其租户或订阅中的恶意活动,并联系Microsoft支持人员,以获取解决事件的帮助。
  • MSRC 明确指示 (客户租户、订阅或资源中的泄露) ,并在客户批准后通知客户、帮助调查和响应事件。
  • 在事件调查过程中,如果发现影响客户的安全事件,Microsoft安全响应中心 (MSRC) 将按照严格的协议进行进一步调查,以方便通知和响应安全事件。
  • Microsoft内部安全团队之间共享威胁情报和调查详细信息,以便进行敏捷响应和修正。

有关访问控制的其他信息,请参阅本文前面的远程访问 在欧盟数据边界中存储和处理的数据

安全威胁情报

Microsoft威胁情报 服务监视、调查和响应客户环境面临的威胁。 为安全调查收集的数据可能包括系统生成日志中的假名化个人数据、有限的客户数据和有限的专业服务数据。 此数据用于帮助阻止针对客户的云基础结构的恶意尝试,并及时向组织提供威胁情报和入侵指示,帮助他们提高保护级别。

对于检测到 国家/地区威胁 证据或其他恶意行为(由高级参与者)进行的威胁调查,Microsoft团队收集威胁情报,例如Microsoft威胁情报中心 (MSTIC) ,提醒客户注意的活动。 MSTIC 可以通过从各种Microsoft产品和服务收集的全球统一系统生成的日志和诊断数据,以及 MSTIC 人员的专家分析来识别恶意活动。

出于安全目的,地理位置分散的分析师团队访问全球统一的系统生成的日志对于及时识别攻击或漏洞(提供不间断的调查)至关重要。 MSTIC 分析师拥有特定的攻击者知识和技能,这些知识和技能不能简单地在其他区域复制,因为他们可能具有特定的区域攻击者专业知识。 因此,MSTIC 分析作必须跨越地缘政治边界,为客户提供最高水平的专业知识。 有关访问控制的其他信息,请参阅本文前面的远程访问 在欧盟数据边界中存储和处理的数据

为客户提供最佳威胁情报需要 MSTIC 利用全球信号来应对以下场景:

  • 用于实现国家情报目标的恶意国家活动。
  • 恶意国家/地区活动,在破坏性、不可恢复的攻击中使用商品恶意软件和策略,或用于掩盖攻击者的身份 (假标志) 并提供合理的可否认性。 非法金融敲诈计划中使用的恶意犯罪活动 (例如,针对民用关键资源或基础设施的勒索软件攻击) 。

预览版/试用版中的服务

欧盟数据边界中仅包括正式可用的付费Microsoft服务。 不包括预览版或作为免费试用版提供的服务。

已弃用的服务

截至 2022 年 12 月 31 日,Microsoft宣布弃用的服务不包括在欧盟数据边界中。 Microsoft云服务遵循 现代生命周期策略,在大多数情况下,当我们宣布某个服务已弃用时,我们还推荐了欧盟数据边界范围内的替代产品/服务或后续产品/服务。 例如,Microsoft Stream (经典) 是Microsoft 365 的企业视频服务,已替换为Stream (基于 SharePoint) 。 客户被告知,Stream (经典) 已于 2024 年 4 月 15 日弃用。 提供了迁移指南和公共预览工具,以帮助客户迁移到欧盟数据边界内的Stream (基于 SharePoint) 。

本地软件和客户端应用程序

存储在本地软件和客户端应用程序中的数据不包括在欧盟数据边界中,因为Microsoft无法控制客户的本地环境中发生的情况。 使用本地软件和客户端应用程序生成的诊断数据也不包括在欧盟数据边界中。

注意

使用Microsoft 365 应用版 (订阅) 系统生成的日志和诊断数据包含在欧盟数据边界中。 有关详细信息,请参阅 Microsoft 365 遥测集合

目录数据

Microsoft可能会从Microsoft Entra (复制有限的Microsoft Entra目录数据,包括欧盟数据边界之外的用户名和电子邮件地址) ,以提供服务。

网络传输

为了降低路由延迟并保持路由复原能力,Microsoft使用可变网络路径,这些路径偶尔会导致客户流量路由到欧盟数据边界之外。 这可能包括代理服务器的负载均衡。

服务和平台质量、复原能力和管理

Microsoft人员可能需要从系统生成的日志和来自支持案例的专业服务数据进行全球合并,以确保服务高效运行,并计算和监视服务的实时全局质量指标。 这些传输中可以包含有限数量的假名化个人数据,例如对象 ID 或主要唯一 ID (PUID) ,以及专业服务数据(如联机服务支持案例中的跟踪 ID 或会话 ID)。 此数据用于解决各种服务可作性和管理问题。 示例包括:

  • 计算受服务影响事件影响的用户数,以确定其普及性和严重性,或计算每月活跃用户 (MAU) 和每日活跃用户 (DAU) ,以确保基于此数据的计费计算是完整和准确的。 出于 MAU 和 DAU 计算目的传输的假名化个人数据仅在编译聚合分析所需的时间范围内保留在欧盟数据边界之外。

  • 将有限数量的假名个人数据发送到位于欧盟数据边界外的数据中心,以验证客户的订阅许可证状态。