Résidence des données et données client pour l’authentification multifacteur Microsoft Entra
Microsoft Entra ID stocke les données client dans un emplacement géographique en fonction de l’adresse fournie par une organisation lors de l’abonnement à un service Microsoft Online, comme Microsoft 365 ou Azure. Pour plus d’informations sur l’emplacement de stockage de vos données client, consultez la section Où se trouvent vos données ? dans le Centre de gestion de la confidentialité Microsoft.
L’authentification multifacteur Microsoft Entra basée sur le cloud et le serveur MFA traitent et stockent les données personnelles ainsi que les données organisationnelles. Cet article présente ces données et indique où elles sont stockées.
Le service d’authentification multifacteur Microsoft Entra dispose de centres de données aux États-Unis, en Europe et en Asie-Pacifique. Les activités suivantes proviennent des centres de données régionaux, sauf mention contraire :
- Les appels téléphoniques et les SMS pour l’authentification multifacteur proviennent des centres de données de la région du client et sont routés par des fournisseurs du monde entier. Les appels téléphoniques utilisant des messages d’accueil personnalisés proviennent toujours de centres de données situés aux États-Unis.
- Les requêtes d’authentification d’utilisateurs à usage général provenant d’autres régions sont actuellement traitées à l’emplacement de l’utilisateur.
- Les notifications Push qui utilisent l’application Microsoft Authenticator sont actuellement traitées dans les centres de données régionaux en fonction de la localisation de l’utilisateur. Les services d’appareil spécifiques à un fournisseur, par exemple Apple Push Notification Service ou Google Firebase Cloud Messaging, peuvent se trouver en dehors de la zone géographique de l’utilisateur.
Données personnelles stockées par l’authentification multifacteur Microsoft Entra
Les données personnelles représentent des informations au niveau de l’utilisateur associées à une personne spécifique. Les banques de données suivantes contiennent des informations personnelles :
- Utilisateurs bloqués
- Utilisateurs ignorés
- Demandes de modification du jeton de l’appareil Microsoft Authenticator
- Rapports d’activité d’authentification multifacteur. Ils stockent l’activité d’authentification multifacteur à partir des composants locaux de l’authentification multifacteur : extension NPS, adaptateur AD FS et serveur MFA.
- Activations Microsoft Authenticator
Ces informations sont conservées pendant 90 jours.
L’authentification multifacteur Microsoft Entra n’enregistre pas de données personnelles, comme les noms d’utilisateur, les numéros de téléphone ou les adresses IP. Toutefois, UserObjectId identifie les tentatives d’authentification pour les utilisateurs. Les données de journal sont stockées pendant 30 jours.
Données stockées par l’authentification multifacteur Microsoft Entra
Pour les clouds publics Azure, à l’exception de l’authentification Azure AD B2C, de l’extension NPS et de l’adaptateur de services de fédération Active Directory (AD FS) Windows Server 2016 ou 2019, les données personnelles suivantes sont stockées :
| Type d'événement | Type de banque de données |
|---|---|
| Jeton OATH | Journaux d’authentification multifacteur |
| SMS unidirectionnel | Journaux d’authentification multifacteur |
| Appel vocal | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur Utilisateurs bloqués (si fraude signalée) |
| Notification Microsoft Authenticator | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur Utilisateurs bloqués (si fraude signalée) Demandes de modification en cas de changement du jeton de l’appareil Microsoft Authenticator |
Pour Microsoft Azure Government, Microsoft Azure Operated by 21Vianet, l’authentification Azure AD B2C, NPS Extension, et l’adaptateur Windows Server 2016 ou 2019 AD FS, les données personnelles suivantes sont stockées :
| Type d'événement | Type de banque de données |
|---|---|
| Jeton OATH | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur |
| SMS unidirectionnel | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur |
| Appel vocal | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur Utilisateurs bloqués (si fraude signalée) |
| Notification Microsoft Authenticator | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur Utilisateurs bloqués (si fraude signalée) Demandes de modification en cas de changement du jeton de l’appareil Microsoft Authenticator |
Données stockées par le serveur MFA
Si vous utilisez le serveur MFA, les données personnelles suivantes sont stockées.
Important
En septembre 2022, Microsoft a annoncé la dépréciation du serveur Azure Multi-Factor Authentication. À partir du 30 septembre 2024, les déploiements du serveur Multi-Factor Authentication Azure ne traiteront plus les requêtes d’authentification multifacteur, ce qui risque d’entraîner l’échec des authentifications pour votre organisation. Pour garantir le maintien des services d’authentification et assurer la prise en charge, les organisations doivent migrer les données d’authentification de leurs utilisateurs vers le service Azure MFA basé sur le cloud en utilisant la dernière version de l’utilitaire de migration, fournie avec la mise à jour du serveur Azure MFA la plus récente. Pour plus d’informations, consultez Migration du serveur Azure MFA.
| Type d'événement | Type de banque de données |
|---|---|
| Jeton OATH | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur |
| SMS unidirectionnel | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur |
| Appel vocal | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur Utilisateurs bloqués (si fraude signalée) |
| Notification Microsoft Authenticator | Journaux d’authentification multifacteur Magasin de données d’activité d’authentification multifacteur Utilisateurs bloqués (si fraude signalée) Demandes de modification en cas de changement du jeton de l’appareil Microsoft Authenticator |
Données organisationnelles stockées par l’authentification multifacteur Microsoft Entra
Les données organisationnelles représentent des informations au niveau du locataire qui pourraient exposer la configuration ou la configuration de l’environnement. Les paramètres de locataire des pages d’authentification multifacteur peuvent stocker des données organisationnelles telles que des seuils de verrouillage ou des informations d’identification de l’appelant pour les demandes d’authentification téléphonique entrantes :
- Verrouillage de compte
- Alerte de fraude
- Notifications
- Paramètres de l’appel téléphonique
Pour le serveur MFA, les pages suivantes peuvent contenir des données organisationnelles :
- Paramètres du serveur
- Contournement à usage unique
- Règles de mise en cache
- État du serveur Multi-Factor Authentication
Rapports d’activité de l’authentification multifacteur pour le cloud public
Les rapports d’activité de l’authentification multifacteur stockent les informations relatives à l’activité à partir des composants locaux : extension NPS, adaptateur AD FS et serveur MFA. Les journaux du service d’authentification multifacteur sont utilisés pour exploiter le service. Les sections suivantes montrent l’emplacement de stockage des rapports d’activité et des journaux des services pour les méthodes d’authentification spécifiques à chaque composant dans les différentes régions des clients. Les appels vocaux standard peuvent faire l’objet d’un basculement vers une région distincte.
Notes
Les rapports d’activité d’authentification multifacteur contiennent des données à caractère personnel, telles que le nom d’utilisateur principal (UPN) et le numéro de téléphone complet.
Serveur MFA et authentification MFA basée sur le cloud
| Composant | Méthode d'authentification | Région du client | Emplacement du rapport d’activité | Emplacement du journal de service |
|---|---|---|---|---|
| Serveur MFA | Toutes les méthodes | Quelconque | États-Unis | Serveur back-end MFA aux États-Unis |
| Authentification MFA cloud | Toutes les méthodes | Tout | Journaux de connexion Microsoft Entra dans la région | Cloud régional |
Rapports d’activité de l’authentification multifacteur pour les clouds souverains
Le tableau suivant montre l’emplacement des journaux de service pour les clouds souverains.
| Cloud souverain | Journaux d’activité de connexion | Rapport d’activité d’authentification multifacteur | Journaux du service d’authentification multifacteur |
|---|---|---|---|
| Microsoft Azure géré par 21Vianet | Chine | États-Unis | États-Unis |
| Cloud de Microsoft pour le Secteur Public | États-Unis | États-Unis | États-Unis |
Étapes suivantes
Pour plus de détails sur les informations utilisateur collectées par l’authentification multifacteur Microsoft Entra basée sur le cloud et le serveur MFA, consultez Collecte de données utilisateur de l’authentification multifacteur Microsoft Entra.