Multi-Faktor-Authentifizierung von Microsoft Entra: Datenresidenz und Kundendaten
Artikel
Microsoft Entra ID speichert Kundendaten an einem geografischen Ort, der auf der Adresse basiert, die eine Organisation beim Abonnieren eines Microsoft-Onlinediensts wie Microsoft 365 oder Azure angibt. Informationen darüber, wo Ihre Kundendaten gespeichert werden, finden Sie im Microsoft Trust Center im Abschnitt Wo wir Ihre Daten speichern.
Von der cloudbasierten Multi-Faktor-Authentifizierung mit Microsoft Entra und von MFA Server werden personen- und organisationsbezogene Daten verarbeitet und gespeichert. In diesem Artikel wird beschrieben, welche Daten wo gespeichert werden.
Der Dienst „Multi-Faktor-Authentifizierung von Microsoft Entra“ nutzt Rechenzentren in den USA, Europa und der Region „Asien-Pazifik“. Sofern nicht anderes angegeben, erfolgen die folgenden Aktivitäten in den regionalen Rechenzentren:
SMS und Telefonanrufe zur Multi-Faktor-Authentifizierung stammen aus Rechenzentren in der Region des Kunden und werden von globalen Netzbetreibern weitergeleitet. Telefonanrufe mit benutzerspezifischen Begrüßungen stammen immer aus Rechenzentren in den USA.
Universelle Benutzerauthentifizierungsanforderungen aus anderen Regionen werden aktuell abhängig vom Standort des Benutzers verarbeitet.
Von der App „Microsoft Authenticator“ gesendete Pushbenachrichtigungen werden derzeit in den regionalen Rechenzentren basierend auf dem Standort des Benutzers verarbeitet. Anbieterspezifische Gerätedienste wie z. B. Apple Push Notification Service oder Google Firebase Cloud Messaging befinden sich möglicherweise außerhalb des Standorts des Benutzers.
Von der Multi-Faktor-Authentifizierung von Microsoft Entra gespeicherte personenbezogene Daten
Bei personenbezogenen Daten handelt es sich um Informationen auf Benutzerebene, die einer bestimmten Person zugeordnet sind. Die folgenden Datenspeicher enthalten persönliche Informationen:
Blockierte Benutzer
Umgangene Benutzer
Änderungsanforderungen für Microsoft Authenticator-Gerätetoken
Aktivitätsberichte für die Multi-Faktor-Authentifizierung – Speichern der Aktivität bei der Multi-Faktor-Authentifizierung aus den lokalen Komponenten der Multi-Faktor-Authentifizierung: NPS-Erweiterung, AD FS-Adapter und MFA-Server.
Microsoft Authenticator-Aktivierungen
Diese Informationen werden 90 Tage lang aufbewahrt.
Die Multi-Faktor-Authentifizierung von Microsoft Entra protokolliert keine personenbezogenen Daten, wie Benutzernamen, Telefonnummern oder IP-Adressen. Allerdings werden anhand von UserObjectId Authentifizierungsversuche von Benutzern erkannt. Protokolldaten werden für 30 Tage gespeichert.
Von der Multi-Faktor-Authentifizierung von Microsoft Entra gespeicherte Daten
Für öffentliche Azure-Clouds, mit Ausnahme der Azure AD B2C-Authentifizierung, der NPS-Erweiterung und des AD FS-Adapters (Active Directory Federation Services, Active Directory-Verbunddienste) für Windows Server 2016 oder 2019, werden die folgenden personenbezogenen Daten gespeichert:
Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle Blockierte Benutzer (bei Betrugsmeldung) Änderungsanforderungen bei Änderung des Microsoft Authenticator-Gerätetokens
Für Microsoft Azure Government, Microsoft Azure (betrieben von 21Vianet), die Azure AD B2C-Authentifizierung, NPS-Erweiterung und AD FS-Adapter für Windows Server 2016 oder 2019 werden die folgenden personenbezogenen Daten gespeichert:
Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle Blockierte Benutzer (bei Betrugsmeldung) Änderungsanforderungen bei Änderung des Microsoft Authenticator-Gerätetokens
Daten, die von MFA Server gespeichert werden
Wenn Sie MFA Server nutzen, werden die folgenden personenbezogenen Daten gespeichert.
Wichtig
Im September 2022 hat Microsoft angekündigt, dass die Unterstützung von Microsoft Azure Multi-Factor Authentication-Server eingestellt wird. Ab dem 30. September 2024 werden Bereitstellungen von Azure Multi-Factor Authentication-Server keine Anforderungen für die Multi-Faktor-Authentifizierung mehr bedienen. Dies könnte dazu führen, dass bei Authentifizierungen in Ihrer Organisation Fehler auftreten. Um unterbrechungsfreie Authentifizierungsdienste sicherzustellen und in einem unterstützten Zustand zu verbleiben, sollten Organisationen mithilfe des neuesten Migrationshilfsprogramms, das im aktuellsten Azure MFA-Server-Update enthalten ist, die Authentifizierungsdaten ihrer Benutzer zum cloudbasierten Azure MFA-Dienst migrieren. Weitere Informationen finden Sie unter Azure MFA-Server-Migration.
Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle Blockierte Benutzer (bei Betrugsmeldung) Änderungsanforderungen bei Änderung des Microsoft Authenticator-Gerätetokens
Von der Multi-Faktor-Authentifizierung von Microsoft Entra gespeicherte organisationsbezogene Daten
Organisationsdaten sind Informationen auf Mandantenebene, die die Konfiguration oder Einrichtung der Umgebung verfügbar machen können. In den Mandanteneinstellungen können auf den Seiten zur Multi-Faktor-Authentifizierung Organisationsdaten wie Informationen zu Sperrschwellenwerten oder zur Anruferkennung für eingehende telefonische Authentifizierungsanforderungen gespeichert sein:
Kontosperrung
Betrugswarnung
Benachrichtigungen
Einstellungen für Telefonanruf
Für den MFA-Server können die folgenden Seiten Organisationsdaten enthalten:
Servereinstellungen
Einmalumgehung
Cacheregeln
Status des Multi-Factor Authentication-Servers
Aktivitätsberichte für die mehrstufige Authentifizierung für die öffentliche Cloud
Aktivitätsberichte für die mehrstufige Authentifizierung speichern Aktivitäten aus den lokalen Komponenten der mehrstufigen Authentifizierung: NPS-Erweiterung, AD FS-Adapter und MFA-Server.
Die Multi-Factor Authentication-Dienstprotokolle werden zum Betrieb des Diensts verwendet.
Die folgenden Abschnitte zeigen, wo Aktivitätsberichte und Dienstprotokolle für bestimmte Authentifizierungsmethoden für die jeweiligen Komponenten in verschiedenen Kundenregionen gespeichert werden.
Standard-Sprachanrufe können per Failover auf eine andere Region umgeleitet werden.
Hinweis
Die Multi-Factor Authentication-Aktivitätsberichte enthalten personenbezogene Daten, etwa den Benutzerprinzipalnamen (User Principal Name, UPN) und die vollständige Telefonnummer.
MFA-Server und cloudbasierte MFA
Komponente
Authentifizierungsmethode
Kundenregion
Speicherort des Aktivitätsberichts
Speicherort des Dienstprotokolls
MFA-Server
Alle Methoden
Any
USA
MFA-Back-End in den USA
Cloud-MFA
Alle Methoden
Beliebig
Microsoft Entra-Anmeldeprotokolle in der Region
Cloud in Region
Aktivitätsberichte für die mehrstufige Authentifizierung für Sovereign Clouds
Die folgende Tabelle enthält den Speicherort für Dienstprotokolle für Sovereign Clouds:
Erfahren Sie, wie Microsoft die Sicherheit von Kundendaten von Personen in den Bereichen „Audit“, „Compliance“, „Risk“ und „Legal“ gewährleistet, die ein allgemeines Verständnis der grundlegenden Sicherheits- und Datenschutzpraktiken von Microsoft 365 zum Schutz ihrer Kundendaten anstreben.
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren
Hier erfahren Sie mehr über die verschiedenen in Microsoft Entra ID verfügbaren Authentifizierungsmethoden und -funktionen, um Anmeldeereignisse zu verbessern und zu schützen.
Das Verständnis von International Revenue Share Fraud (IRSF) ist für die Implementierung präventiver Maßnahmen für die MFA-Telefonieüberprüfung (Multi-Faktor-Authentifizierung) von Microsoft Entra von entscheidender Bedeutung.
Hier erfahren Sie, wie die Microsoft Entra-Multi-Faktor-Authentifizierung zum Schutz des Zugriffs auf Daten und Anwendungen beiträgt und gleichzeitig ein einfaches Anmeldeverfahren für Benutzer*innen bietet.
Dieses Dokument enthält Anleitungen zu Strategien, die eine Organisation übernehmen sollte, um das Risiko der Sperrung während unvorhergesehener Störungen zu reduzieren.