Rezidence dat a zákaznická data pro vícefaktorové ověřování Microsoft Entra
ID Microsoft Entra ukládá zákaznická data do geografického umístění na základě adresy, kterou organizace poskytuje při přihlášení k odběru online služby Microsoftu, jako je Microsoft 365 nebo Azure. Informace o tom, kde jsou uložená zákaznická data, najdete v tématu Umístění vašich dat v Centru zabezpečení Microsoftu.
Cloudové vícefaktorové ověřování Microsoft Entra a proces MFA Serveru a ukládání osobních údajů a dat organizace. Tento článek popisuje, co a kde se ukládají data.
Vícefaktorová ověřovací služba Microsoft Entra má datacentra v USA, Evropě a Asii a Tichomoří. Následující činnosti pocházejí z regionálních datacenter s výjimkou případů, kdy je uvedeno:
- Vícefaktorové ověřování SMS a telefonní hovory pocházejí z datacenter v oblasti zákazníka a směrují se globálními poskytovateli. Telefon volání pomocí vlastních pozdravů vždy pocházejí z datových center v USA.
- Žádosti o ověřování uživatelů pro obecné účely z jiných oblastí se v současné době zpracovávají na základě umístění uživatele.
- Nabízená oznámení, která používají aplikaci Microsoft Authenticator, se v současné době zpracovávají v regionálních datacentrech na základě umístění uživatele. Služby zařízení specifické pro dodavatele, například Apple Push Notification Service nebo Google Firebase Cloud Messaging, můžou být mimo umístění uživatele.
Osobní údaje uložené vícefaktorovým ověřováním Microsoft Entra
Osobní údaje jsou informace na úrovni uživatele, které jsou spojené s konkrétní osobou. Následující úložiště dat obsahují osobní údaje:
- Blokovaní uživatelé
- Vynechaní uživatelé
- Žádosti o změnu tokenu zařízení Microsoft Authenticator
- Sestavy aktivit vícefaktorového ověřování – ukládají vícefaktorovou ověřovací aktivitu z místních komponent vícefaktorového ověřování: rozšíření NPS, adaptér AD FS a server MFA.
- Aktivace Microsoft Authenticatoru
Tyto informace se uchovávají po dobu 90 dnů.
Vícefaktorové ověřování Microsoftu neprotokoluje osobní údaje, jako jsou uživatelská jména, telefonní čísla nebo IP adresy. UserObjectId však identifikuje pokusy o ověření uživatelům. Data protokolu se ukládají po dobu 30 dnů.
Data uložená vícefaktorovým ověřováním Microsoft Entra
Pro veřejné cloudy Azure s výjimkou ověřování Azure AD B2C, rozšíření NPS a adaptéru Active Directory Federation Services (AD FS) Windows Serveru 2016 nebo 2019 (AD FS) se ukládají následující osobní údaje:
| Typ události | Typ úložiště dat |
|---|---|
| Token OATH | Protokoly vícefaktorového ověřování |
| Jednosměrná SMS | Protokoly vícefaktorového ověřování |
| Hlasový hovor | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování Blokovaní uživatelé (pokud byly nahlášeny podvody) |
| Oznámení Microsoft Authenticatoru | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování Blokovaní uživatelé (pokud byly nahlášeny podvody) Žádosti o změnu při změně tokenu zařízení Microsoft Authenticator |
V případě Microsoft Azure Government microsoft Azure provozovaný společností 21Vianet, ověřováním Azure AD B2C, rozšířením NPS a adaptérem služby AD FS pro Windows Server 2016 nebo 2019 se ukládají následující osobní údaje:
| Typ události | Typ úložiště dat |
|---|---|
| Token OATH | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování |
| Jednosměrná SMS | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování |
| Hlasový hovor | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování Blokovaní uživatelé (pokud byly nahlášeny podvody) |
| Oznámení Microsoft Authenticatoru | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování Blokovaní uživatelé (pokud byly nahlášeny podvody) Žádosti o změnu při změně tokenu zařízení Microsoft Authenticator |
Data uložená serverem MFA
Pokud používáte MFA Server, ukládají se následující osobní údaje.
Důležité
V září 2022 oznámil Microsoft vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení Azure Multi-Factor Authentication Serveru nebudou obsluhovat žádosti o vícefaktorové ověřování, což může způsobit selhání ověřování pro vaši organizaci. Aby se zajistilo nepřerušované ověřování a aby zůstaly v podporovaném stavu, organizace by měly migrovat ověřovací data uživatelů do cloudové služby Azure MFA pomocí nejnovějšího nástroje pro migraci, který je součástí nejnovější aktualizace Azure MFA Serveru. Další informace najdete v tématu Migrace serverů Azure MFA.
| Typ události | Typ úložiště dat |
|---|---|
| Token OATH | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování |
| Jednosměrná SMS | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování |
| Hlasový hovor | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování Blokovaní uživatelé (pokud byly nahlášeny podvody) |
| Oznámení Microsoft Authenticatoru | Protokoly vícefaktorového ověřování Úložiště dat sestavy aktivit vícefaktorového ověřování Blokovaní uživatelé (pokud byly nahlášeny podvody) Žádosti o změnu, když se změní token zařízení Microsoft Authenticator |
Organizační data uložená vícefaktorovým ověřováním Microsoft Entra
Data organizace jsou informace na úrovni tenanta, které můžou vystavit konfiguraci nebo nastavení prostředí. Nastavení tenanta ze stránek s vícefaktorovým ověřováním může ukládat data organizace, jako jsou prahové hodnoty uzamčení nebo informace o ID volajícího pro příchozí žádosti o ověření telefonu:
- Uzamčení účtu
- Výstraha podvodů
- Oznámení
- Nastavení telefonních hovorů
Pro MFA Server můžou následující stránky obsahovat data organizace:
- Nastavení serveru
- Jednorázové přihlášení
- Pravidla ukládání do mezipaměti
- Stav serveru Multi-Factor Authentication
Sestavy aktivit vícefaktorového ověřování pro veřejný cloud
Sestavy aktivit vícefaktorového ověřování ukládají aktivitu z místních komponent: rozšíření NPS, adaptér služby AD FS a server MFA. K provozu služby se používají protokoly vícefaktorové ověřovací služby. Následující části ukazují, kde se sestavy aktivit a protokoly služeb ukládají pro konkrétní metody ověřování pro každou komponentu v různých oblastech zákazníků. Standardní hlasové hovory můžou být převzetí služeb při selhání do jiné oblasti.
Poznámka:
Sestavy aktivit vícefaktorového ověřování obsahují osobní údaje, jako je hlavní název uživatele (UPN) a úplné telefonní číslo.
Server MFA a cloudové vícefaktorové ověřování
| Komponenta | Metoda ověřování | Oblast zákazníka | Umístění sestavy aktivit | Umístění protokolu služby |
|---|---|---|---|---|
| Server MFA | Všechny metody | Všechny | USA | Back-end vícefaktorového ověřování v USA |
| Vícefaktorové ověřování cloudu | Všechny metody | Všechny | Protokoly přihlášení Microsoft Entra v oblasti | Cloud v oblasti |
Sestavy aktivit vícefaktorového ověřování pro suverénní cloudy
Následující tabulka uvádí umístění protokolů služeb pro suverénní cloudy.
| Suverénní cloud | Protokoly přihlašování | Sestava aktivit vícefaktorového ověřování | Protokoly vícefaktorové ověřovací služby |
|---|---|---|---|
| Platforma Microsoft Azure provozovaná společností 21Vianet | Čína | USA | USA |
| Microsoft Government Cloud | USA | USA | USA |
Další kroky
Další informace o tom, jaké informace o uživatelích shromažďuje cloudová vícefaktorová ověřování Microsoft Entra a MFA Server, naleznete v tématu Shromažďování uživatelských dat vícefaktorového ověřování Microsoft Entra.