Freigeben über

Optionale Dienstfunktionen, die Kundendaten oder pseudonymisierte personenbezogene Daten aus der EU-Datengrenze übertragen

  • Artikel

Einige Dienste umfassen funktionen, die optional sind (in einigen Fällen ist ein Kundenabonnement erforderlich) und bei denen Kundenadministratoren diese Funktionen für ihre Dienstmandanten aktivieren oder deaktivieren können. Wenn sie den Benutzern eines Kunden zur Verfügung gestellt und von diesen verwendet werden, führen diese Funktionen zu Datenübertragungen aus der EU-Datengrenze, wie in den folgenden Abschnitten dieser Dokumentation beschrieben.

Azure-Dienste

Azure OpenAI-Dienst

Globale Bereitstellungstypen

Kunden erstellen Azure OpenAI-Ressourcen in einer angegebenen Azure-Region und konfigurieren Richtlinien, Netzwerke und Berechtigungen für die Ressource. Um ein Azure OpenAI-Modell zu verwenden, erstellen Kunden eine Modellbereitstellung innerhalb einer Azure OpenAI-Ressource und wählen dabei das zu verwendende Modell und den Bereitstellungstyp aus. Wenn der Kunde einen "globalen" Bereitstellungstyp (z. B. Global Standard) auswählt, können an diese Bereitstellung gesendete Eingabeaufforderungen und Vervollständigungen verarbeitet werden, um Rückschlüsse zu schließen oder zu optimieren, in jeder Azure OpenAI-Region weltweit, auch außerhalb der EU für eine Azure OpenAI-Ressource, die in einer Region innerhalb der EU erstellt wurde. Ruhende Kundendaten werden weiterhin im ausgewählten geografischen Raum gespeichert. Azure-Administratoren können Azure Policy verwenden, um die Verwendung von "globalen" Bereitstellungstypen für die Azure OpenAI-Ressourcen zu verbieten, für die die Richtlinie gilt.

Microsoft 365-Dienste

Microsoft 365-Anwendungen

Forschung

Die Recherche ist eine ältere Textauswahlfunktion in Microsoft Word, Excel und PowerPoint, die 2017 durch die moderne Übersetzungserfahrung ersetzt wurde. Das Feature ermöglicht es einem Benutzer, Text auszuwählen, um Bedeutungen, Übersetzungen oder Thesauruseinträge für den ausgewählten Text nachzuschlagen. Die Modern-Features haben das Legacyfeature standardmäßig ersetzt, und das Feature Modern speichert und verarbeitet Kundendaten innerhalb der EU-Datengrenze. Administratoren können das Legacyfeature erneut aktivieren, wenn sie die moderne Benutzeroberfläche nicht möchten. Übertragene Kundendaten: beliebiger Benutzertext, der in das Feature eingegeben wird. Die Verwendung des Legacyfeatures sendet Kundendaten zur Verarbeitung an die USA oder Asien, Südosten.

Microsoft Teams

Einladungen für freigegebene Kanäle

Einladungen für freigegebene Kanäle: Für Mandanten, die Azure Active Directory B2B Direct Connect aktiviert und eine mandantenübergreifende Beziehung mit einem Mandanten konfiguriert haben, der Benutzer außerhalb der EU-Datengrenze enthält, werden die E-Mail-Adresse und der Name des Hostingunternehmens vorübergehend in den USA gespeichert, wenn ein Benutzer innerhalb der EU-Datengrenze als Gast für Teams in einem anderen Mandanten eingeladen wird. Sobald der EU-Mandant die Einladung angenommen hat, wird die E-Mail-Adresse durch die pseudonyme Benutzerkennung des Benutzers ersetzt. Wenn der EU-Benutzer die Einladung ablehnt, wird das Paar aus E-Mail-Adresse und Firmenname gelöscht. Kundendaten verlassen die EU-Datengrenze, um dieses mandantenübergreifende Szenario für freigegebene Kanäle zu unterstützen. Beispiele für übertragene Kundendaten: E-Mail-Adresse des Gastbenutzers und Name des Hostingunternehmens. Kundendaten werden vorübergehend in den USA gespeichert. Wenn ein EU-Mandant einen Benutzer aus einem anderen Mandanten (Gastmandant) einlädt, werden einige Daten am Speicherort des Gastmandanten gespeichert.

Azure Bot Services by Teams App

Die Verwendung von Azure Bot Services hat eine technische Einschränkung, dass jeder Bot nur über einen einzelnen globalen Endpunkt verfügen kann. Für Teams-Erstanbieter-Bots werden Anforderungen an den globalen Endpunkt gesendet und dann an einen regionalen Endpunkt in der Nähe des Benutzers umgeleitet. Kundenadministratoren können Anwendungen einzeln oder durch Deaktivieren von Erstanbieteranwendungen deaktivieren. Beispiele für übertragene Kundendaten: Alle vom Bot gesammelten Kundendaten. Kundendaten werden an dem Endpunkt verarbeitet, der vom Botersteller festgelegt wird. Zu den regionalen Endpunkten gehören Japan, Asien, Südosten, Europa und die VEREINIGTEN Staaten.

Telefonnummernverwaltung

Telefonnummernverwaltung: Kundenadministratoren können ihren Bestellungen einen benutzerdefinierten Namen für neue PSTN-Nummern (Public Switched Telephone Network) oder Nummernportierung geben, damit sie diese Bestellungen schnell identifizieren können. Beispiel: "10 neue Nummern für Das Büro In Wien". Kundendaten, die an Nordamerika übertragen und in Nordamerika verarbeitet werden: Von Kunden angegebene benutzerdefinierte Namen.

Sicherheitsdienste

Microsoft Entra ID

Mandantenübernahme

Mandantenübernahme: Wenn sich ein Self-Service-Benutzer für einen Clouddienst registriert, der die Microsoft Entra-ID verwendet, wird er basierend auf seiner E-Mail-Domäne einem nicht verwalteten Microsoft Entra-Verzeichnis hinzugefügt. Der geografische Standort dieses Mandanten kann variieren. Jeder benutzer, der in diesem Mandanten erstellt wird, ist ein Administrator für sein eigenes Konto. Um den Mandanten effektiver zu verwalten, kann er in einen regulären Microsoft Entra ID-Mandanten mit einem globalen Administrator konvertiert werden. Während der Übernahme des Mandanten können Transaktionen eine geografische Grenze überschreiten. Nach der Konvertierung erfüllt der Mandant alle Georesidenzanforderungen basierend auf dem Land oder der Region des Mandanten.

Mehrinstanzenfähige Verwaltung

Mehrinstanzenfähige Verwaltung: Eine Organisation kann sich dafür entscheiden, eine mehrinstanzenfähige Organisation in Microsoft Entra ID zu erstellen. Beispielsweise kann ein Kunde Benutzer in einem B2B-Kontext zu seinen Mandanten einladen. Ein Kunde kann eine mehrinstanzenfähige SaaS-Anwendung erstellen, die es anderen Drittanbietermandanten ermöglicht, die Anwendung im Drittanbietermandanten bereitzustellen. Ein Kunde kann zwei oder mehr Mandanten miteinander in Beziehung setzen und in bestimmten Szenarien als einzelner Mandant fungieren, z. B. bei der Bildung einer mehrinstanzenfähigen Organisation (MTO), der Synchronisierung von Mandant zu Mandant und der Freigabe freigegebener E-Mail-Domänen. Die Administratorkonfiguration und Die Verwendung der mehrinstanzenfähigen Zusammenarbeit kann bei Mandanten außerhalb der EU-Datengrenze erfolgen, was dazu führt, dass einige Kundendaten wie Benutzer- und Gerätekontodaten, Nutzungsdaten und Dienstkonfigurationen (Anwendung, Richtlinie und Gruppe) am Standort des zusammenarbeitenden Mandanten gespeichert und verarbeitet werden. Wenn ein Benutzermitglied eines EU Data Boundary-Mandanten mit einem Nicht-EU-Datenbegrenzungsmandanten zusammenarbeitet, gehen seine Nutzungsdaten auch außerhalb der EU-Datengrenze aus.

Anwendungsproxy

Der Anwendungsproxy ermöglicht Kunden den Zugriff auf cloudbasierte und lokale Anwendungen über eine externe URL oder ein internes Anwendungsportal. Kunden können erweiterte Routingkonfigurationen wählen, die dazu führen würden, dass Kundendaten außerhalb der EU-Datengrenze eingehen. Diese Daten umfassen Benutzerkontodaten, Nutzungsdaten und Anwendungskonfigurationsdaten.

Public Switched Telephone Network (PSTN) mit Mehrstufiger Authentifizierung

Public Switched Telephone Network (PSTN) mit mehrstufiger Authentifizierung: Die mehrstufige Authentifizierung ist ein Prozess, bei dem Benutzer während des Anmeldevorgangs zu einer anderen Form der Identifizierung aufgefordert werden, z. B. einen Code auf ihrem Mobiltelefon oder einen Fingerabdruckscan. Während des Authentifizierungsprozesses sind Telefonanrufe oder SMS-Plattformen wie SMS, RCS oder WhatsApp auf ein Netzwerk angewiesen, das globale Anbieter betreiben. Geräteherstellerspezifische Dienste, z. B. Pushbenachrichtigungen von Apple oder Google, können außerhalb Europas sein. Infolgedessen können PSTN-Telefonnummern (Public Switched Telephone Network) und Authentifizierungen mit der Authenticator-App, einschließlich kennwortlos, außerhalb der EU-Datengrenze verarbeitet werden. Administratoren können ihren Microsoft Entra-Mandanten mit OATH-Token konfigurieren, um sicherzustellen, dass Kundendaten innerhalb der EU-Datengrenze verbleiben.

Microsoft Copilot for Security

Speicherort der Eingabeaufforderungsauswertung

Eingabeaufforderungen sind die primäre Eingabe, die Copilot for Security benötigt, um Antworten zu generieren, die Kunden bei sicherheitsbezogenen Aufgaben unterstützen. Eingabeaufforderungen werden mithilfe von GPU-Ressourcen in Azure-Rechenzentren ausgewertet, die mit Azure-Sicherheits- und Datenschutzkontrollen geschützt sind. Kundenadministratoren können ihre Speicherorte für die Eingabeaufforderungsauswertung entweder für eine vordefinierte Zuordnung basierend auf ihrem Mandantenstandort oder an einem beliebigen Ort konfigurieren, an dem GPU-Kapazität verfügbar ist. Wenn Kunden ihre Eingabeaufforderungen auswählen, um überall mit GPU-Verfügbarkeit ausgewertet zu werden, können Kundeneingabeaufforderungen und -antworten außerhalb der EU-Datengrenze verarbeitet werden. Kundendaten und pseudonymisierte personenbezogene Daten bleiben in der EU-Datengrenze gespeichert, wenn der Kunde seinen Mandanten und die Sicherheits-GPU in der EU bereitstellt. Kundenadministratoren können ihren Speicherort für die Eingabeaufforderungsauswertung in der EU konfigurieren, um sicherzustellen, dass ihre Eingabeaufforderungen in der EU-Datengrenze verarbeitet werden.

Datenfreigabe

Die Datenfreigabe in Copilot for Security wird verwendet, um die Produktleistung zu überprüfen und eine menschliche Überprüfung der Daten durchzuführen, um das Sicherheits-KI-Modell von Microsoft zu erstellen und zu validieren. Wenn die Datenfreigabe aktiviert ist, werden Kundendaten wie Eingabeaufforderungen und Antworten für Microsoft freigegeben, um die Produktleistung zu verbessern, die Genauigkeit zu verbessern und die Antwortlatenz zu beheben. In diesem Fall können Kundendaten wie Aufforderungen außerhalb der EU-Datengrenze gespeichert werden. Die Datenfreigabe ist standardmäßig aktiviert. Kundenadministratoren können die Datenfreigabe für Kundendaten während der ersten Ausführung oder jederzeit danach deaktivieren.