Teilen über

Dienste, die vorübergehend eine Teilmenge von Kundendaten oder pseudonymisierten personenbezogenen Daten aus der EU-Datengrenze übertragen

  • Artikel

Einige Dienste verfügen über Komponenten, für die derzeit gearbeitet wird, um in die EU-Datengrenze aufgenommen zu werden, aber der Abschluss dieser Arbeiten verzögert sich. Wie in dieser Dokumentation beschrieben, werden diese Dienstkomponenten in den kommenden Monaten in die EU-Datengrenze aufgenommen. In den folgenden Abschnitten dieser Dokumentation werden die Kundendaten oder pseudonymisierten personenbezogenen Daten erläutert, die diese Dienste derzeit im Rahmen ihrer Dienstvorgänge außerhalb der EU-Datengrenze übertragen.

Azure-Dienste

Azure Bot Service

Azure Bot Service bietet eine Sammlung von Bibliotheken, Tools und Diensten, mit denen Kunden intelligente Bots erstellen, testen, bereitstellen und verwalten können. Die Bot Service-Steuerungsebene verwendet Azure Resource Manager zum Weiterleiten von Anforderungen. Dies bedeutet, dass einige Kundendaten aufgrund der aktuellen Architektureinschränkungen von Azure Resource Manager global verarbeitet werden, wie unter Dienste vorübergehend von der EU-Datengrenze ausgeschlossen. Botname, Botsymbol-URL und alle Konfigurationseinstellungen für den vom Kunden ausgewählten extern integrierten Dienst (z. B. von Facebook ausgestellte Anwendungsanmeldeinformationen für die Interaktion des Bots mit Facebook APIs) können global verarbeitet werden, werden aber im Ruhezustand in der EU-Datengrenze gespeichert, wenn der Bot des Kunden mit regionalen Einstellungen konfiguriert ist, die angeben, dass er pseudonymisierte personenbezogene Daten in einer Region in einer Region in einer Region in einer Region speichern und verarbeiten soll. die EU-Datengrenze.

Azure Communication Services

Wenn Azure Communication Services ein Endbenutzer eines Kunden einen PSTN-Anruf (Public Switched Telephone Network) an eine Notrufnummer (z. B. 112) sendet, wird diesem Benutzer eine temporäre Nummer aus einem Nummernpool zugewiesen, falls ein Rückruf erforderlich ist. Die temporäre Nummer und die zugeordnete Benutzer-ID werden in den USA repliziert und für 60 Minuten beibehalten, falls ein Rückruf erforderlich ist.

Azure DevTest Labs

Azure DevTest Labs übermittelt vorübergehend pseudonymisierte personenbezogene Daten aus der EU. Azure DevTest Labs ist ein Dienst zum Erstellen, Verwenden und Verwalten von IaaS-VMs (Infrastructure-as-a-Service) und PaaS-Umgebungen (Platform-as-a-Service) in Labs. Wenn Kunden Ressourcen in Azure DevTest Labs erstellen oder ändern, wird die primäre eindeutige ID (PUID) des Labs, die als pseudonymisierte personenbezogene Daten gelten, im USA gespeichert. Derzeit wird an der Umgestaltung von Teilen der Azure DevTest Labs zur regionalen Speicherung der PUID gearbeitet.

Azure Monitor: Analyse von Anwendungsänderungen

Analyse von Anwendungsänderungen: Mit Ausnahme der Anwendungsänderungsanalyse, die von Azure Resource Manager abhängig ist, können Azure Monitor-Dienste Kundendaten und pseudonymisierte personenbezogene Daten in der EU speichern und verarbeiten (wie unter Konfigurieren nicht regionaler Azure-Dienste für die EU-Datengrenze beschrieben). Die Anwendungsänderungsanalyse baut auf Azure Resource Graph auf, um Einblicke in Änderungen in mehreren Infrastruktur- und Anwendungsbereitstellungsebenen zu bieten. Die Abhängigkeiten von Resource Graph und Azure Resource Manager erfordern, dass Daten global gespeichert und verarbeitet werden. Kundendaten, die übertragen werden, umfassen vom Kunden bereitgestellte Ressourceneigenschaften, die von Azure Resource Graph gespeichert werden, sowie pseudonymisierte personenbezogene Daten wie Sitzungstoken und primäre eindeutige IDs (PUIDs). Diese Daten können in jedem Microsoft-Rechenzentrum in öffentlichen Azure-Regionen gespeichert oder verarbeitet werden. Alle diese Datenübertragungen sind auf die Abhängigkeiten von Azure Resource Manager zurückzuführen, wie unter Dienste vorübergehend von der EU-Datengrenze ausgeschlossen beschrieben.

Azure Monitor: Application Insights

Durch die Verwendung von Application Insights im Azure-Portal werden vorübergehend einige pseudonymisierte personenbezogene Daten aus der EU übertragen. Application Insights ist ein Azure Monitor-Feature, das die Anwendungsleistungsverwaltung (Application Performance Management, APM) für Live-Webanwendungen ermöglicht. Es speichert und verarbeitet alle Kundendaten in dem vom Kunden ausgewählten geografischen Bereich. Azure-Portal-Telemetriedaten, die von Application Insights mit dem Application Insights JavaScript SDK gesammelt werden, umfassen pseudonymisierte personenbezogene Daten wie Sitzungs-IDs von Portalbenutzern in allen Regionen. Diese werden im USA gespeichert und verarbeitet. Diese Datenübertragung ist vorübergehend und aufgrund der Abhängigkeit des Azure-Portal von Azure Resource Manager, wie unter Dienste vorübergehend ausgeschlossen von der EU-Datengrenze beschrieben.

Serielle Azure-Konsole

Feature der seriellen Azure-Konsole (Teil von Azure Virtual Machines und Azure Virtual Machine Scale Sets): Die serielle Konsole im Azure-Portal bietet Zugriff auf eine textbasierte Konsole für Virtual Machines- und VM-Skalierungsgruppen. Es speichert alle ruhenden Kundendaten in dem vom Kunden ausgewählten geografischen Raum, aber bei Verwendung über den Azure-Portal können Konsolenbefehle und -antworten außerhalb des geografischen Raums verarbeitet werden, um die Konsolenerfahrung innerhalb des Portals bereitzustellen. Diese Datenübertragung ist vorübergehend und aufgrund der Abhängigkeit des Azure-Portal von Azure Resource Manager, wie unter Dienste vorübergehend ausgeschlossen von der EU-Datengrenze beschrieben.

Cloud Shell

Cloud Shell übermittelt vorübergehend pseudonymisierte personenbezogene Daten aus der EU. Cloud Shell bietet eine interaktive browserbasierte Shell zum Verwalten von Azure-Ressourcen. Die primäre eindeutige ID (PUID), die als pseudonymisierte personenbezogene Daten gilt, wird für Live-Site-Untersuchungen genutzt und global gespeichert. Derzeit wird an der Neustrukturierung von Teilen der Cloud Shell zur regionalen Speicherung der PUID gearbeitet. Cloud Shell können Kundendaten und alle anderen pseudonymisierten personenbezogenen Daten in der EU-Datengrenze speichern und verarbeiten, wie unter Konfigurieren nicht regionaler Azure-Dienste beschrieben.

Dynamics 365- und Power Platform-Dienste

Power Automate

Power Automate überträgt vorübergehend pseudonymisierte personenbezogene Daten aus der EU. Mit Power Automate können Benutzer Aufgaben und Prozesse mithilfe von Workflows automatisieren. Unternehmensbenutzer haben zwei Optionen: lösungsfähige Workflows, die sie freigeben können, oder persönliche Workflows, die keine Lösung sind. Nicht-Lösungsworkflows werden in Benutzerressourcengruppen mit Ressourcengruppennamen erstellt, die die Objekt-ID des Benutzers enthalten, die global in Azure Resource Manager repliziert werden, wie unter Dienste vorübergehend von der EU-Datengrenze ausgeschlossen beschrieben. Es wird daran gearbeitet, in Zukunft nicht lösungsbezogene Workflows durch lösungsfähige Workflows zu ersetzen. Bis dahin können Kunden sicherstellen, dass sich ihre pseudonymisierten personenbezogenen Daten innerhalb der EU-Datengrenze befinden, indem sie lösungsorientierte Abläufe für ihre Umgebung anfordern.

Microsoft Copilot Studio

Microsoft Copilot Studio einige pseudonymisierte personenbezogene Daten aus der EU-Datengrenze übertragen. Wenn DevOps-Mitarbeiter Abfragen ausführen, die vom System generierte Daten kombinieren, die innerhalb und außerhalb der EU-Datengrenze gespeichert sind, kann es im Rahmen von Dienstvorgängen während der Dauer der Abfragelaufzeit zu vorübergehendem Ausgehenden pseudonymisierter personenbezogener Daten kommen.

Microsoft 365-Dienste

Exchange Online

Exchange Online einige pseudonymisierte personenbezogene Daten zur Überwachung der Dienstintegrität aus der EU-Datengrenze übertragen. Wenn DevOps-Mitarbeiter Abfragen ausführen, die vom System generierte Daten kombinieren, die innerhalb und außerhalb der EU-Datengrenze gespeichert sind, kann es im Rahmen von Dienstvorgängen während der Dauer der Abfragelaufzeit zu vorübergehendem Ausgehenden pseudonymisierter personenbezogener Daten kommen.

Microsoft Teams

Teams Q&A

Teams Q&A ist eine Erfahrung in Teams, die von Viva Engage (früher Yammer genannt) unterstützt wird und es Referenten ermöglicht, Fragen von Besprechungsteilnehmern in Echtzeit zu beantworten. Daten aus Teams Q&A werden in den folgenden Szenarien bis zum 31. Dezember 2024 in Nordamerika verarbeitet und gespeichert.

  • Pseudonymisierte personenbezogene Daten über die Interaktionen eines Benutzers mit dem Microsoft Teams Q&A-Feature, z. B. das Laden des F&A-Feeds oder das Scrollen durch den F&A-Feed.
  • Kundendaten (z. B. Nachrichten und Reaktionen) für Kunden, die das Onboarding in Teams Q&A ohne vorheriges Viva Engage-Netzwerk (Mandanten) durchgeführt haben, oder Kunden, die vor 2019 das Onboarding in Viva Engage durchgeführt haben. (Beachten Sie, dass Teams Q&A-Kunden, die nach 2019 ein Onboarding in Viva Engage durchgeführt haben, ihre Kundendaten in der EU-Datengrenze verarbeitet und gespeichert werden.)
  • Wenn ein Benutzer von Kunde A als Gast zu einer von Kunden B gehosteten Besprechung eingeladen wird und diese Besprechung Teams Q&A verwendet, wird die Benutzer-ID der Teilnehmer in Nordamerika gespeichert.

Microsoft 365-Mandantenadministratoren können Q&A in Microsoft Teams jederzeit deaktivieren, entweder mithilfe von PowerShell oder durch Konfigurieren von Teams-Besprechungsrichtlinien über das Teams Admin Center. Das Deaktivieren von Q&A wirkt sich nicht auf zuvor erstellte Besprechungen mit Q&A-Inhalten aus, auf die weiterhin zur Überprüfung und erstellung neuer Fragen und Antworten zugegriffen werden kann. Nach dem Deaktivieren von Teams Q&A stehen Besprechungsorganisatoren jedoch nicht mehr zur Verfügung, um Q&A in neuen Teams-Besprechungen, Webinaren oder Rathausveranstaltungen hinzuzufügen.

Windows Update

Mit dem Bereitstellungsdienst Windows Update for Business kann ein IT-Administrator verschiedene Arten von Windows-Updates für Geräte in seinen organization empfangen und verwalten. Wenn bei diesem Dienst registrierte Geräte nach Windows-Updates suchen, werden die Geräte-ID und die IP-Adresse für das Gerät bis zum 30. April 2024 in den USA verarbeitet und gespeichert.

Sicherheitsdienste

Microsoft Entra ID und Azure Active Directory B2C

Microsoft Entra ID und Azure Active Directory B2C: Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst. Microsoft Entra ID hilft Kunden und ihren Mitarbeitern, von jedem Standort auf der Welt auf externe Ressourcen (z. B. Microsoft 365, die Azure-Portal, andere SaaS-Anwendungen) und interne Ressourcen (z. B. lokale Anwendungen) zuzugreifen. Microsoft Entra ID wird als nicht regionaler Dienst betrieben. Azure Active Directory B2C (Azure AD B2C) bietet Business-to-Consumer-Identität (B2C) als Dienst. Sie ermöglicht Es Unternehmen, kundenorientierte Anwendungen zu erstellen und den Kunden-, Consumer- und Bürgerzugriff auf diese B2C-Anwendungen zu verwalten. Wie Microsoft Entra ID fungiert Azure AD B2C als nicht regionaler Dienst. Dieser Abschnitt enthält Details zu Dienstkomponenten, die dazu führen, dass Kundendaten global verarbeitet werden, wobei daran gearbeitet wird, die Datenspeicherung und -verarbeitung in der EU-Datengrenze zu verschieben.

  • Globale Konsolidierung für die Untersuchung von Dienstvorfällen: Microsoft Entra ID Anmeldeprotokolle enthalten eingeschränkte Kundendaten, die von Bereitschaftstechnikern für Incidentuntersuchungen verwendet werden, um Kundenprobleme zu beheben und die Durchdringlichkeit und den Schweregrad eines dienstbeeinflussenden Ereignisses zu bestimmen.
  • Email: Die Self-Service-Kennwortzurücksetzung enthält eingeschränkte Kundendaten, die von Bereitschaftstechnikern für Incidentuntersuchungen verwendet werden, um Kundenprobleme zu beheben und die Durchdringlichkeit und den Schweregrad eines dienstbeeinflussenden Ereignisses zu bestimmen.
  • Legacymandanten außerhalb der EU: Eine kleine Anzahl von Microsoft Entra Mandanten wurde ursprünglich mit einem Ländercode erstellt, der NICHT in Europa ist, und später wurde der Ländercode des Mandanten in den Ländercode in Europa geändert. Der Microsoft Entra Verzeichnisdatenspeicherort wird während des Erstellungszeitpunkts des Mandanten festgelegt und nicht geändert, wenn der Ländercode für den Mandanten aktualisiert wird. Ab März 2019 hat Microsoft die Aktualisierung des Ländercodes auf einem Mandanten blockiert, um solche Verwirrungen zu vermeiden.

Microsoft Entra ID und Azure Active Directory B2C übertragen pseudonymisierte personenbezogene Daten aus der EU-Datengrenze. Wenn DevOps-Mitarbeiter Abfragen ausführen, die vom System generierte Daten kombinieren, die innerhalb und außerhalb der EU-Datengrenze gespeichert sind, kann es im Rahmen von Dienstvorgängen während der Dauer der Abfragelaufzeit zu vorübergehendem Ausgehenden pseudonymisierter personenbezogener Daten kommen.

Microsoft Intune

Microsoft Intune ist eine cloudbasierte Endpunktverwaltungslösung. Intune kann zum Konfigurieren von Windows Update for Business verwendet werden, einem separaten kostenlosen Dienst, der für bestimmte Editionen von Windows 10 und Windows 11 verfügbar ist. Intune überträgt vorübergehend pseudonymisierte personenbezogene Daten aus der EU. Wenn Intune zum Konfigurieren von Windows Update for Business verwendet wird, übergibt Intune die Konfigurationsdetails, einschließlich pseudonymisierter Gerätebezeichner, an Windows Update for Business. Derzeit wird daran gearbeitet, Windows Update for Business neu zu erstellen, um die Konfigurationsdetails innerhalb der EU-Datengrenze zu speichern und zu verarbeiten.

Wenn DevOps-Mitarbeiter Abfragen ausführen, die vom System generierte Daten kombinieren, die innerhalb und außerhalb der EU-Datengrenze gespeichert sind, kann es im Rahmen von Dienstvorgängen auch während der Dauer der Abfragelaufzeit zu vorübergehendem Ausgehenden pseudonymisierter personenbezogener Daten kommen.