Microsoft Entra 多重要素驗證的資料駐留和客戶資料
Microsoft Entra ID 會根據組織在訂閱 Microsoft 365 或 Azure 等Microsoft在線服務時所提供的位址,將客戶數據儲存在地理位置。 如需客戶數據儲存位置的詳細資訊,請參閱 Microsoft 信任中心 數據的位置。
雲端式Microsoft Entra 多重要素驗證和 MFA Server 處理及儲存個人資料和組織數據。 本文概述儲存數據的內容和位置。
Microsoft Entra 多重要素驗證服務在美國、歐洲和亞太地區都有數據中心。 下列活動源自區域數據中心,除另有說明外:
- 多重要素驗證 SMS 和電話來自客戶區域中的數據中心,並由全域提供者路由傳送。 使用自定義問候語的電話一律來自美國的數據中心。
- 目前會根據使用者的位置處理來自其他區域的一般用途用戶驗證要求。
- 使用 Microsoft Authenticator 應用程式的推播通知,目前會根據使用者的位置在區域數據中心進行處理。 廠商特定的裝置服務,例如 Apple 推播通知服務或 Google Firebase 雲端通訊,可能不在使用者的位置。
Microsoft Entra 多重要素驗證所儲存的個人資料
個人資料是與特定人員相關聯的用戶層級資訊。 下列資料存放區包含個人資訊:
- 封鎖的使用者
- 略過的使用者
- Microsoft Authenticator 裝置令牌變更要求
- 多重要素驗證活動報告— 從多重要素驗證內部部署元件儲存多重要素驗證活動:NPS 擴充功能、AD FS 配接器和 MFA 伺服器。
- Microsoft Authenticator 啟用
這項資訊會保留90天。
Microsoft Entra 多重要素驗證不會記錄個人資料,例如使用者名稱、電話號碼或 IP 位址。 不過,UserObjectId 用於識別用戶進行的身份驗證嘗試。 記錄數據會儲存 30 天。
Microsoft Entra 多重要素驗證所儲存的資料
針對 Azure 公用雲端,不包括 Azure AD B2C 驗證、NPS 擴充功能和 Windows Server 2016 或 2019 Active Directory 同盟服務 (AD FS) 配接器,會儲存下列個人資料:
| 事件類型 | 數據存放區類型 |
|---|---|
| OATH 令牌 | 多重要素驗證記錄 |
| 單向簡訊 | 多重要素驗證記錄 |
| 語音通話 | 多重要素驗證記錄 多重要素驗證活動報告數據存放區 封鎖的使用者(如果報告詐騙) |
| Microsoft Authenticator 通知 | 多重要素驗證記錄 多重要素驗證活動報告資料儲存庫 封鎖的使用者(如果報告詐騙) Microsoft Authenticator 裝置令牌變更時的變更請求 |
針對 Microsoft Azure 政府雲端,由 21Vianet 運營的 Microsoft Azure、Azure AD B2C 驗證、NPS 擴充功能和 Windows Server 2016 或 2019 AD FS 配接器,會儲存下列個人資料:
| 事件類型 | 數據存放區類型 |
|---|---|
| OATH 令牌 | 多重要素驗證記錄 多重要素驗證活動報告數據存放區 |
| 單向簡訊 | 多因素驗證記錄 多重驗證活動報告資料存放區 |
| 語音通話 | 多重要素驗證記錄 多重要素驗證活動報告數據存放區 封鎖的使用者(如果報告詐騙) |
| Microsoft Authenticator 通知 | 多重要素驗證記錄 多重因素驗證活動報告資料庫 封鎖的使用者(如果報告詐騙) Microsoft Authenticator 裝置令牌變更時的變更請求 |
MFA Server 所儲存的數據
如果您使用 MFA Server,則會儲存下列個人資料。
重要
2022 年 9 月,Microsoft宣佈淘汰 Azure Multifactor authentication Server。 從 2024 年 9 月 30 日起,Azure 多重要素驗證伺服器部署將不再服務多重要素驗證要求,這可能會導致貴組織驗證失敗。 為了確保未中斷的驗證服務並維持在支援的狀態,組織應該 使用最新 Azure MFA Server 更新中包含的最新移轉公用程式,將使用者的驗證數據 移轉至雲端式 Azure MFA 服務。 如需詳細資訊,請參閱 Azure MFA Server Migration。
| 事件類型 | 數據存放區類型 |
|---|---|
| OATH 令牌 | 多重要素驗證記錄 多重要素驗證活動報告數據存放區 |
| 單向簡訊 | 多重要素驗證記錄 多因素身份驗證活動報告資料儲存庫 |
| 語音通話 | 多重要素驗證記錄 多重要素驗證活動報告數據存放區 封鎖的使用者(如果報告詐騙) |
| Microsoft Authenticator 通知 | 多重要素驗證記錄 多重要素驗證活動報告數據存放區 封鎖的使用者(如果報告詐騙) Microsoft Authenticator 裝置令牌變更時變更要求 |
Microsoft Entra 多因素驗證所儲存的組織資料
組織數據是可能揭露組態或環境設定的租戶層級資訊。 來自多重要素驗證頁面的租用戶設定可能會儲存組織數據,例如鎖定閾值或來電電話驗證要求的來電標識符資訊:
- 帳戶鎖定
- 詐騙警示
- 通知
- 通話設定
針對 MFA Server,下列頁面可能包含組織數據:
- 伺服器設定
- 一次性略過
- 快取規則
- 多因素認證伺服器狀態
公共雲的多重要素驗證活動報告
多因素驗證活動報告儲存來自內部部署元件的活動:NPS 擴充功能、AD FS 配接器和 MFA 伺服器。 多重要素驗證服務的日誌被用來運行服務。 下列各節顯示活動報告和服務記錄的儲存位置,用於不同客戶區域中每個元件的特定驗證方法。 標準語音通話可能會切換至不同的區域。
注意
多重要素驗證活動報告包含個人資料,例如用戶主體名稱(UPN)和完整的電話號碼。
MFA 伺服器和雲端式 MFA
| 元件 | 驗證方法 | 客戶區域 | 活動報告位置 | 服務記錄位置 |
|---|---|---|---|---|
| MFA 伺服器 | 所有方法 | 任何 | 美國 | 美國多因素驗證後端 |
| 雲端 MFA | 所有方法 | 任何 | 地區內的 Microsoft Entra 登入記錄 | 區域中的雲端 |
主權雲端的多重要素驗證活動報告
下表顯示主權雲端服務記錄的位置。
| 主權云 | 登入記錄 | 多重要素驗證活動報告 | 多重要素驗證服務記錄 |
|---|---|---|---|
| 由 21Vianet 運營的 Microsoft Azure | 中國 | 美國 | 美國 |
| Microsoft政府雲端 | 美國 | 美國 | 美國 |
後續步驟
如需雲端式Microsoft Entra 多重要素驗證和 MFA Server 所收集之使用者資訊的詳細資訊,請參閱 Microsoft Entra 多重要素驗證用戶數據收集。