Microsoft Entra 多重要素驗證的資料落地與客戶資料
Microsoft Entra ID 會根據組織在訂閱 Microsoft 線上服務 (例如 Microsoft 365 或 Azure) 時所提供的位址,將客戶資料儲存在適當的地理位置。 如需如何儲存客戶資料的相關資訊,請參閱 Microsoft 信任中心的資料所在位置。
雲端式 Microsoft Entra 多重要素驗證和 MFA 伺服器程序,儲存個人資料和組織資料。 本文概述儲存的資料內容與位置。
Microsoft Entra 多重要素驗證服務在美國、歐洲和亞太地區都有資料中心。 下列活動源自區域資料中心,除非另有註明:
- 多重要素驗證 SMS 和通話源自用戶端區域中的資料中心,並由全域提供者路由傳送。 使用自訂問候語的通話一律源自於美國的資料中心。
- 來自其他區域的一般用途使用者驗證要求,目前會根據使用者的位置進行處理。
- 使用 Microsoft Authenticator 應用程式的推播通知,目前會根據使用者的位置在區域資料中心進行處理。 廠商特定的裝置服務 (例如 Apple Push Notification Service 或 Google Firebase Cloud Messaging) 可能會在使用者的位置以外。
Microsoft Entra 多重要素驗證儲存的個人資料
個人資料是與特定人員相關的使用者層級資訊。 下列資料存放區包含個人資訊:
- 已封鎖的使用者
- 略過的使用者
- Microsoft Authenticator 裝置權杖變更要求
- 多重要素驗證活動報告 - 從多重要素驗證內部部署元件儲存多重要素驗證活動:NPS 擴充功能、AD FS 配接器和 MFA 伺服器。
- Microsoft Authenticator 啟用
此資訊會保留 90 天。
Microsoft EntraAzure AD 多重要素驗證不會記錄個人資料,例如使用者名稱、電話號碼或 IP 位址。 不過,UserObjectId 會識別對使用者的驗證嘗試。 此資料會儲存 30 天。
Microsoft Entra 多重要素驗證儲存的資料
針對 Azure 公用雲端,不包括 Azure AD B2C 驗證、NPS 擴充功能,以及 Windows Server 2016 或 2019 Active Directory 同盟服務 (AD FS) 配接器,會儲存下列個人資料:
事件類型 | 資料存放區類型 |
---|---|
OATH 權杖 | 多重要素驗證記錄 |
單向 SMS | 多重要素驗證記錄 |
語音通話 | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 遭封鎖的使用者 (如果已回報詐騙) |
Microsoft Authenticator 通知 | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 遭封鎖的使用者 (如果已回報詐騙) Microsoft Authenticator 裝置權杖變更時的變更要求 |
Microsoft Azure Government、21Vianet 所操作的 Microsoft Azure、Azure AD B2C 驗證、NPS 延伸模組以及 Windows Server 2016 或 2019 AD FS 配接器,會儲存下列個人資料:
事件類型 | 資料存放區類型 |
---|---|
OATH 權杖 | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 |
單向 SMS | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 |
語音通話 | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 遭封鎖的使用者 (如果已回報詐騙) |
Microsoft Authenticator 通知 | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 遭封鎖的使用者 (如果已回報詐騙) Microsoft Authenticator 裝置權杖變更時的變更要求 |
MFA 伺服器所儲存的資料
如果您使用 MFA 伺服器,則會儲存下列個人資料。
重要
2022 年 9 月,Microsoft 宣佈淘汰 Azure MFA 伺服器。 自 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 伺服器的部署將不再為多重要素驗證 (MFA) 要求提供服務,這可能會導致您的組織驗證失敗。 若要確保驗證服務不中斷,並保持支援狀態,組織應該使用最新 Azure MFA 伺服器更新中包含的最新移轉公用程式,移轉使用者的驗證資料至雲端式 Azure MFA 服務。 如需詳細資訊,請參閱 Azure MFA 伺服器移轉。
事件類型 | 資料存放區類型 |
---|---|
OATH 權杖 | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 |
單向 SMS | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 |
語音通話 | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 遭封鎖的使用者 (如果已回報詐騙) |
Microsoft Authenticator 通知 | 多重要素驗證記錄 多重要素驗證活動報告資料存放區 遭封鎖的使用者 (如果已回報詐騙) 當 Microsoft Authenticator 裝置權杖變更時,變更要求 |
Microsoft Entra 多重要素驗證儲存的組織資料
組織資料是租用戶層級的資訊,其可能會公開設定或環境設定。 多重要素驗證頁面中的租用戶設定可能會儲存組織資料,例如,來電驗證要求的鎖定閾值或來電顯示資訊:
- 帳戶鎖定
- 詐騙警示
- 通知
- 通話設定
針對 MFA 伺服器,下列頁面可能會包含組織資料:
- 伺服器設定
- 一次性略過
- 快取規則
- Multi-Factor Authentication Server 狀態
適用於公用雲端的多重要素驗證活動報告
多重要素驗證活動報告會儲存來自內部部署元件的活動:NPS 擴充功能、AD FS 配接器以及 MFA 伺服器。 多重要素驗證服務記錄可用來操作服務。 下列各節說明如何針對不同用戶端區域中的每個元件,儲存活動報告和服務記錄檔的特定驗證方法。 標準語音通話可能會容錯移轉至不同的區域。
注意
多重要素驗證活動報表包含個人資料,例如使用者主體名稱 (UPN) 和完整的電話號碼。
MFA 伺服器和雲端式 MFA
元件 | 驗證方法 | 客戶區域 | 活動報告位置 | 服務記錄位置 |
---|---|---|---|---|
MFA 伺服器 | 所有方法 | 任意 | 美國 | 美國的 MFA 後端 |
雲端 MFA | 所有方法 | 任意 | 區域內 Microsoft Entra 登入記錄 | 雲端區域內 |
適用於公用雲端的多重要素驗證活動報表
下表顯示主權雲端的服務記錄位置。
主權雲端 | 登入記錄 | 多重要素驗證活動報表 | 多重要素驗證服務記錄 |
---|---|---|---|
由 21Vianet 營運的 Microsoft Azure | 中國 | 美國 | 美國 |
Microsoft Government 雲端 | 美國 | 美國 | 美國 |
下一步
如需雲端式 Microsoft Entra 多重要素驗證和 MFA 伺服器會收集哪些使用者資訊的詳細資訊,請參閱 Microsoft Entra 多重要素驗證使用者資料收集。