Dienstleistungen, die von der EU-Datengrenze ausgeschlossen sind
Während die Meisten der Unternehmens-Onlinedienste von Microsoft in den Dienstfamilien Azure, Dynamics 365, Power Platform und Microsoft 365 für die EU-Datengrenze nicht gültig sind, gelten die fortlaufenden Datenflüsse von Kundendaten und pseudonymisierten personenbezogenen Daten im Zusammenhang mit dem Betrieb und der Nutzung der Dienste, die in anderen Artikeln oder Abschnitten der EU-Datenbegrenzung in dieser Dokumentation beschrieben sind, Einige Dienste in diesen Familien fallen nicht in den Geltungsbereich der EU-Datengrenze. In der Regel können die Art des Diensts und der damit verbundene Kundenwert nicht durch die Implementierung einer regionalisierten Architektur bereitgestellt werden. In dieser Dokumentation werden primäre Beispiele für Dienste in dieser Kategorie beschrieben. Diese Liste ist nicht erschöpfend und kann im Laufe der Zeit aktualisiert werden. Der Teil der Produktbedingungen des Dienstleistungsvertrags ist die endgültige Quelle für die Bestimmung, ob ein bestimmter Dienst ein EU-Datenbegrenzungsdienst ist.
Azure-Dienste
Azure Front Door (AFD) und Azure Content Delivery Network (CDN)
Azure Front Door und Content Delivery Network übertragen Kundendaten aus der EU. Azure Front Door und Content Delivery Network sind nicht regionale Dienste, die verwendet werden können, um die statischen und dynamischen Inhalte von Kunden ihren Endbenutzern auf der ganzen Welt näher zu bringen. Um globale Anforderungen zu beschleunigen, speichern Azure Front Door und Azure CDN Daten im Auftrag des Kunden an globalen Edgestandorten zwischen. Beide Dienste verwenden eine Netzwerktechnik namens Anycast, um Datenverkehr zwischen Kundenendbenutzern und Point of Presence-Standorten (Point of Presence, PoP) über die schnellstmögliche Route zu leiten. Aufgrund der Natur dieses Routingmechanismus und um die Anforderungen unserer Kunden zu erfüllen, Daten auf der ganzen Welt zu pushen, bleibt nicht der gesamte Datenverkehr innerhalb der EU-Datengrenze. Die Dauer von zwischengespeicherten Inhalten kann basierend auf der Konfiguration eines Kunden in den AFD- oder CDN-Profileinstellungen geändert werden.
Windows 10 IoT Core Services
Windows 10 IoT Core Services überträgt Kundendaten aus der EU. Windows 10 IoT Core Services ist ein globaler Softwareupdateverteilungsdienst, der Kundendaten hostet, die an kundeneigene Kunden verteilt werden. Der Dienst ermöglicht Es Kunden, ihre verwalteten IoT-Geräte mithilfe des globalen Windows Update Content Delivery Network (CDN) zu aktualisieren, und ermöglicht es, ihre benutzerdefinierten Inhalte und Die Windows IoT-Softwareupdates von Microsoft als Windows Update bereitzustellen. Um diese Funktion bereitzustellen, werden Kundendaten sowohl in Azure Storage als auch weltweit auf den Servern gespeichert, die Windows Update unterstützen. Global übertragene Kundendaten umfassen alle Daten, die Kunden in ihr Board-Supported-Package (BSP) hochladen, das benutzerdefinierte Treiber, Anwendungen und andere Daten enthalten kann, die für das Geräteupdate bestimmt sind.
Microsoft 365-Dienste
Microsoft 365-Anwendungen
Microsoft 365-Anwendungen (für Builds, die vor dem 31. Dezember 2022 sind): Um Leistung und Stabilität für bestehende Kunden sicherzustellen, die Microsoft 365-Anwendungen verwenden, gelten die EU-Datenbegrenzungsverpflichtungen nur für Versionen, die nach dem 31. Dezember 2022 veröffentlicht wurden. Kunden, die ältere Builds verwenden, sollten ein Upgrade auf die neueste Version durchführen.
Sicherheitsdienste
Microsoft-Sicherheitsdienste tragen dazu bei, Kunden vor den neuesten Malwareangriffen zu schützen, unabhängig davon, ob sie ihre Endpunkte, Cloudworkloads oder ihre E-Mail- und Zusammenarbeitssoftware schützen. Beispiele für kundenorientierte Sicherheitsfunktionen, die von Microsoft-Sicherheitsdiensten durch die Verwendung von grenzübergreifenden Signalen generiert werden, sind:
- Schutz vor komplexen modernen Sicherheitsbedrohungen: Microsoft verwendet erweiterte Analysefunktionen, einschließlich künstlicher Intelligenz, um global aggregierte sicherheitsbezogene Daten zu analysieren. Dies hilft, Bedrohungen zu verhindern, zu erkennen, zu untersuchen, darauf zu reagieren und zu beheben. Ohne diese zentralisierte Analysefunktion für globale Daten würde sich die Wirksamkeit dieser Dienste erheblich verschlechtern, was Microsoft daran hindert, den Kunden die erforderlichen Schutzebenen bereitzustellen.
- Erkennen eines kompromittierten Unternehmensbenutzers: Microsoft hilft bei der Erkennung von Identitätsgefährdungen, indem verdächtige Kontoanmeldungen aus mehreren geografischen Regionen innerhalb eines kurzen Zeitraums nachverfolgt werden. Dies wird als unmögliche Reiseangriffe bezeichnet. Um diese Art von Schutz zu ermöglichen, verarbeiten Microsoft-Sicherheitsdienste globale Microsoft Entra-Authentifizierungsprotokolle zentral.
- Erkennen von Datenexfiltration: Microsoft kann Kunden vor potenziellen Datenlecks aus dem Unternehmen warnen, indem es mehrere Signale für böswilligen Zugriff auf die Datenspeicherung von verschiedenen Standorten aggregiert, eine Technik, die von böswilligen Akteuren verwendet wird, um unter dem Erkennungsradar zu fliegen (als niedrige und langsame Angriffe bezeichnet).
Microsoft Defender XDR
Microsoft Defender XDR ist eine vereinheitlichte Unternehmensverteidigungssuite vor und nach der Verletzung, die Erkennung, Prävention und Reaktion nativ über Endpunkte, Identitäten, E-Mails und Anwendungen hinweg koordiniert, um integrierten Schutz vor komplexen Angriffen zu bieten. Microsoft Defender XDR-Dienste erfordern Vorgänge globaler Systeme, einschließlich künstlicher Intelligenz, Automatisierung und Menschen in globalen Datasets, um globale Kundenbedrohungen zu verfolgen. Menschliche Sicherheitsforscher und Analysten arbeiten 24 Stunden am Tag, 365 Tage im Jahr, um neue Erkennungen, Signaturen und Heuristiken zu erstellen, indem sie mit Daten arbeiten, die von Standorten auf der ganzen Welt konsolidiert werden. Microsoft Defender XDR-Dienste speichern die meisten EU-Kundendaten in der EU-Region. Begrenzte Übertragungen in die USA werden während der Übertragung und Speicherung verschlüsselt. Der Zugriff auf diese Kundendaten erfolgt nur über eine Secure Admin Workstation (SAW) mit Just-in-Time-Zugriffsberechtigung (JIT). Weitere Informationen finden Sie auf der Seite zum Microsoft Trust Center-Datenspeicherort , und navigieren Sie zu den Microsoft Defender XDR-Diensten innerhalb der Clouddienst-Datenresidenz- und -übertragungsrichtlinien.
Die microsoft Defender XDR-Dienste, die von der EU-Datengrenze ausgeschlossen sind, werden in den folgenden Abschnitten beschrieben.
Microsoft Defender für Endpunkt
Microsoft Defender für Endpunkt ist eine Sicherheitsplattform für Unternehmensendpunkte, die Unternehmensnetzwerke dabei unterstützen soll, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Microsoft Defender bietet Schutz der nächsten Generation, der sicherheitsrelevantes Management, Verringerung der Angriffsfläche, Erkennung und Reaktion von Endpunkten sowie automatisierte Untersuchung und Behebung umfasst. Microsoft Defender für Endpunkt wird kontinuierlich von menschlichen Sicherheitsforschern und Analysten aktualisiert, um neue Erkennungen zu erstellen, sodass menschliche Forscher weltweit mit Daten arbeiten müssen.
Microsoft Defender for Identity
Microsoft Defender for Identity ist ein Clouddienst, der hybride Unternehmensumgebungen vor verschiedenen Arten von erweiterten gezielten Cyberangriffen und Insiderbedrohungen schützt. Defender for Identity ist vollständig in Microsoft Defender XDR integriert und nutzt Signale von lokalen Active Directory- und Cloudidentitäten, um erweiterte Bedrohungen, die gegen eine Organisation gerichtet sind, besser zu identifizieren, zu erkennen und zu untersuchen. Defender for Identity bietet wertvolle Einblicke in Identitätskonfigurationen und bewährte Sicherheitsmethoden, da es kontinuierlich von menschlichen Sicherheitsexperten aktualisiert wird, um neue Erkennungen zu erstellen. Microsoft Defender XDR-Dienste speichern die meisten EU-Kundendaten in der EU. Begrenzte Übertragungen von Kundendaten und pseudonymisierten personenbezogenen Daten in die USA werden während der Übertragung und Speicherung verschlüsselt. Der Zugriff auf Daten erfolgt nur über eine Secure Admin Workstation (SAW) mit Just-in-Time-Zugriffsberechtigung (JIT).
Microsoft Defender für Cloud-Apps
Microsoft Defender für Cloud-Apps bietet umfassenden Schutz für SaaS-Anwendungen (Software-as-a-Service) und hilft dabei, Cloud-App-Daten durch erweiterten Bedrohungsschutz zu überwachen und zu schützen. SaaS-Apps sind in hybriden Arbeitsumgebungen allgegenwärtig, und der Schutz von SaaS-Apps und den wichtigen Daten, die sie speichern, ist eine große Herausforderung für Organisationen. Der Anstieg der App-Nutzung in Kombination mit Mitarbeitern, die auf Unternehmensressourcen außerhalb des Unternehmensperimeters zugreifen, hat neue Angriffsvektoren eingeführt. Um diese Angriffe effektiv zu bekämpfen, verlassen sich Sicherheitsteams auf Defender for Cloud Apps, um ihre Daten in Cloud-Apps über den herkömmlichen Bereich der Cloudzugriffssicherheitsbroker (CASBs) hinaus zu schützen. Defender für Cloud-Apps zeigt das vollständige Bild der Risiken für eine Umgebung durch die Nutzung von SaaS-Apps und ermöglicht die Kontrolle darüber, was und wann verwendet wird, indem alle Benutzer und Apps von Drittanbietern identifiziert werden, die sich anmelden können. Microsoft Defender für Cloud-Apps wird kontinuierlich von global verteilten menschlichen Sicherheitsforschern und Analysten aktualisiert, um neue Erkennungen zu erstellen.
Microsoft Defender für Office 365
Microsoft Defender für Office 365 ist eine nahtlose Integration in Office 365-Abonnements, die vor Bedrohungen in E-Mails, Links (URLS), Anlagen und Tools für die Zusammenarbeit schützt. Microsoft Defender für Office 365 schützt Organisationen vor böswilligen Bedrohungen, indem Administratoren und Sicherheitsteams eine Vielzahl von Funktionen zur Verfügung stellen. Diese Funktionen kommen Benutzern, Administratoren und Sicherheitsvorgängen zum Zeitpunkt der Installation zugute, indem sie schnelle voreingestellte Setupoptionen, die Möglichkeit zum Definieren von Richtlinien für den Schutz vor Bedrohungen, eine robuste Berichterstellung mit Anzeige und Überwachung in Echtzeit, Tools zur Untersuchung und Reaktion auf Bedrohungen sowie automatisierte Untersuchungs- und Reaktionsfunktionen bieten. Da böswillige Bedrohungen selten auf eine einzelne Region beschränkt sind, erfordert Microsoft Defender für Office 365 global verteilte Menschliche Sicherheitsforscher, daten ganzheitlich und global zu analysieren, wobei die meisten Daten in den USA übertragen und gespeichert werden. Die Daten, die Microsoft Defender für Office 365 für die Sicherheitsanalyse sammelt, z. B. Absender-/Empfänger-E-Mail-Adresse, E-Mail-Header einschließlich IP-Adresse des Absenders, in E-Mail-Inhalten enthaltene URLs und bereinigungs-/verschleierte Betreffzeilen werden verschlüsselt, sodass Sicherheitsexperten und Techniker nicht auf die Inhalte auf lesbare Weise zugreifen können.
Microsoft Cloud Security
Die Suite der Microsoft Cloud Security-Dienste bietet Sicherheitsstatusverwaltung und Bedrohungsschutz für Workloads von Kunden, die in Azure, Hybrid und anderen Cloudplattformen ausgeführt werden, einschließlich IoT-Geräten (Internet der Dinge). Dabei handelt es sich um globale Dienste, die Echtzeitwarnungen und Sicherheitsempfehlungen für die Cloudressourcen von Kunden bereitstellen. CloudSicherheitsdienste speichern die meisten Kundendaten von EU-Kunden in der EU-Region mit begrenzten Übertragungen, die in den USA gespeichert sind. Cloudsicherheitsdienste steuern Daten streng mit eingeschränkten rollenbasierten Zugriffssteuerungen (RBAC), Secure Admin Workstations (SAW) und JiT-Zugriffsberechtigungen (Just-in-Time). Die Datenübertragung erfolgt verschlüsselt über das Netzwerk und die Datenspeicherung wird für eine kontinuierliche Überwachung und Erkennung instrumentiert.
Die microsoft Cloud Security-Dienste, die von der EU-Datengrenze ausgeschlossen sind, werden in den folgenden Abschnitten beschrieben.
Microsoft Defender für Cloud
Microsoft Defender für Cloud ist eine cloudnative Anwendungsschutzplattform mit einer Reihe von Sicherheitsmaßnahmen und -methoden, die darauf ausgelegt sind, cloudbasierte Anwendungen vor verschiedenen Cyberbedrohungen und Sicherheitsrisiken zu schützen. Defender für Cloud kombiniert mehrere Funktionen, einschließlich DevOps-Sicherheitsverwaltung, Cloudsicherheitsstatusverwaltung und Schutz von Cloudworkloads. Um Sicherheitsbedrohungen zu erkennen und Kundenressourcen zu schützen, muss Microsoft Defender für Cloud die Kundenaktivitäten global mit eingeschränkten pseudonymisierten personenbezogenen Daten und Übertragungen von Kundendaten in die USA analysieren. Diese pseudonymisierten personenbezogenen Daten und Kundendaten werden in den USA verschlüsselt gespeichert, es sei denn, ein Kunde stellt seinen Mandanten in der Europäischen Union. Stellt ein Kunde seinen Mandanten in der Europäischen Union bereit, werden alle pseudonymisierten personenbezogenen Daten und Kundendaten, die aus den Ressourcen des Kunden in der Europäischen Union abgeleitet werden, im Ruhezustand in der Europäischen Union gespeichert. Defender für Cloud kann eine Kopie sicherheitsrelevanter Kundendaten an den jeweiligen Standorten speichern, die von einer Kundenressource gesammelt oder einer Kundenressource zugeordnet sind, z. B. einem virtuellen Computer oder einem Microsoft Entra-Mandanten.
Microsoft Sentinel
Microsoft Sentinel ist eine skalierbare, cloudnative Lösung, die Sicherheitsinformationen, Ereignisverwaltung (SIEM) Orchestrierung, Automatisierung und Reaktion (SOAR) bereitstellt. Microsoft Sentinel bietet intelligente Sicherheitsanalysen und Threat Intelligence im gesamten Unternehmen. Mit Microsoft Sentinel erhalten Sie eine einzige Lösung für die Angriffserkennung, Die Sichtbarkeit von Bedrohungen, die proaktive Suche und die Reaktion auf Bedrohungen. Microsoft Sentinel bietet eine Vogelperspektive im gesamten Unternehmen, um den Stress durch immer komplexere Angriffe, steigende Anzahl von Warnungen und lange Auflösungszeitrahmen zu verringern. Microsoft Sentinel kann die meisten Kundendaten in der EU-Datengrenze speichern und verarbeiten, wenn sich der entsprechende Azure Monitor-Arbeitsbereich in der EU befindet. Weitere Informationen finden Sie unter Geografische Verfügbarkeit und Datenresidenz in Microsoft Sentinel. Andernfalls können Kundendaten und pseudonymisierte personenbezogene Daten wie Objekt-IDs außerhalb der EU-Datengrenze übertragen werden.
Microsoft Defender für IoT
Microsoft Defender für IoT ist eine einheitliche Sicherheitslösung, die speziell entwickelt wurde, um Geräte, Sicherheitsrisiken und Bedrohungen für Das Internet der Dinge (Internet of Things, IoT) und Betriebstechnologie (OT) zu identifizieren. Verwenden Sie Defender für IoT, um Ihre gesamte IoT/OT-Umgebung zu schützen, einschließlich vorhandener Geräte, die möglicherweise nicht über integrierte Sicherheits-Agents verfügen. Defender für IoT bietet Überwachung auf Netzwerkebene ohne Agent und lässt sich sowohl in Industrielle Geräte als auch in SOC-Tools (Security Operation Center) integrieren. Defender für IoT verwendet die Überwachung ohne Agent, um Transparenz und Sicherheit in Ihrem Netzwerk bereitzustellen, und identifiziert spezialisierte Protokolle, Geräte oder M2M-Verhalten (Machine-to-Machine). Microsoft Defender für IoT analysiert die Aktivitäten von Kunden global, um Kunden die Perspektive zu bieten, die sie benötigen, um ihre IoT-Sicherheitslösung an allen Standorten zu sehen. Darüber hinaus werden Sicherheitserkennungsdaten von Defender für IoT angezeigt und analysiert, um Sicherheitslücken zu erkennen und handlungsrelevante Empfehlungen bereitzustellen. Microsoft Defender für IoT kann andere Microsoft Online Services verwenden, um sicherheitsrelevante Kundendaten zu verarbeiten, und diese Daten werden basierend auf den Konfigurationseinstellungen dieses Diensts gespeichert.
Microsoft Defender für Storage
Microsoft Defender für Storage ist eine native Azure-Sicherheitsintelligenzebene, die potenzielle Bedrohungen für Ihre Speicherkonten erkennt. Dies trägt dazu bei, die drei wichtigsten Auswirkungen auf Ihre Daten und Workloads zu verhindern: böswillige Dateiuploads, Exfiltration vertraulicher Daten und Datenbeschädigung. Microsoft Defender für Storage bietet umfassende Sicherheit, indem vom System generierte Protokolle auf Datenebene und Steuerungsebene aus Azure Blob Storage, Azure Files und Azure Data Lake Storage-Diensten analysiert werden. Es verwendet erweiterte Funktionen zur Bedrohungserkennung, die von Microsoft Security Intelligence, Microsoft Defender Antivirus und der Ermittlung vertraulicher Daten unterstützt werden, um Sie bei der Ermittlung und Entschärfung potenzieller Bedrohungen zu unterstützen.
Dynamic 365 Fraud Protection
Dynamics 365 Fraud Protection ist ein ausgereifter Technologiestapel, der vernetzte Big Data über mehrere Branchen hinweg nutzt und hochmoderne künstliche Intelligenz (KI) anwendet, um präzisere Entscheidungen in Echtzeit zu ermöglichen. Dynamic 365 Fraud Protection bietet erweiterte Erkennung von Kontobetrug, Verbindung mit einem Betrugsschutznetzwerk, Gerätefingerabdrücke, anpassbare Kontoregel-Engines, Botschutz und benutzerdefinierte Konfigurationsoptionen. Das Fraud Protection Network (FPN) pseudonymisiert Transaktionsdaten für die Verwendung in einem proprietären Machine Learning-Modell für die Verarbeitung und Analyse. Dies trägt dazu bei, genaue Bewertungen und Einblicke in die globale Betrugserkennung zu erhalten. Darüber hinaus wird der Gerätefingerabdruck verwendet, um pseudonymisierte personenbezogene Daten in der Umgebung des Kunden basierend auf der bereitgestellten Geografischen Region des Kunden zu sammeln.
Microsoft Copilot for Security
Microsoft Copilot for Security ist eine generative KI-gestützte Sicherheitslösung, die dazu beiträgt, die Effizienz und Die Fähigkeiten von Verteidigern zu erhöhen, um sicherheitsrelevante Ergebnisse bei Maschinengeschwindigkeit und Skalierung zu verbessern. Copilot for Security bietet eine natürliche, assistive Copilot-Erfahrung, die Sicherheitsexperten in End-to-End-Szenarien wie Reaktion auf Vorfälle, Bedrohungssuche, Intelligence-Erfassung und Statusverwaltung unterstützt. Die Lösung nutzt die volle Leistungsfähigkeit der Azure OpenAI-Architektur, um mithilfe sicherheitsspezifischer Plug-Ins eine Antwort auf eine Benutzeraufforderung zu generieren, einschließlich organisationsspezifischer Informationen, autorisierender Quellen und globaler Threat Intelligence.
Copilot for Security speichert Kundendaten und pseudonymisierte personenbezogene Daten wie Benutzeraufforderungen und Microsoft Entra-Objekt-IDs im Mandanten-Geo. Wenn ein Kunde seinen Mandanten in der EU bereitstellt und sich nicht für die Datenfreigabe entschieden hat, werden alle Kundendaten und pseudonymisierten personenbezogenen Daten im Ruhezustand an der EU-Datengrenze gespeichert. Die Verarbeitung von Eingabeaufforderungen kann in der angegebenen Sicherheits-GPU-Region erfolgen. Weitere Informationen zur Geografischen Auswahl von Sicherheits-GPU finden Sie unter Erste Schritte mit Copilot for Security oder außerhalb des GPU-Geo, wenn sich der Benutzer für die Datenfreigabe entschieden hat. Weitere Informationen zur Datenfreigabe finden Sie unter Datenschutz und Datensicherheit in Microsoft Security Copilot.