Microsoft Entra ID et résidence des données

  • Article

Microsoft Entra ID est une solution IDaaS (Identity as a Service) qui stocke et gère les données d’identité et d’accès dans le cloud. Vous pouvez utiliser les données pour activer et gérer l’accès aux services cloud, réaliser des scénarios de mobilité et sécuriser votre organisation. Une instance du service Microsoft Entra ID, appelée locataire, est un ensemble isolé de données d’objet d’annuaire que le client approvisionne et possède.

Remarque

ID externe Microsoft Entra est une solution de gestion des identités et des accès (CIAM) client qui stocke et gère les données d’un locataire distinct créé pour vos applications et données de répertoire client. Ce locataire est appelé locataire externe. Lorsque vous créez un locataire externe, vous pouvez sélectionner l’emplacement géographique pour le stockage de données. Il est important de noter que les emplacements de données et la disponibilité des régions peuvent différer de ceux de Microsoft Entra ID, comme indiqué dans cet article.

Magasin principal

Le magasin principal est constitué de locataires stockés dans des unités d’échelle, chacune contenant plusieurs locataires. Les opérations de mise à jour ou de récupération des données dans le magasin principal Microsoft Entra concernent un locataire unique basé sur le jeton de sécurité de l’utilisateur, ce qui permet d’obtenir l’isolation du locataire. Les unités d’échelle sont affectées à un emplacement géographique. Chaque emplacement géographique utilise au moins deux régions Azure pour stocker les données. Dans chaque région Azure, des données d’unité d’échelle sont répliquées dans les centres de données physiques pour assurer la résilience et les performances.

En savoir plus : Unités d’échelle du magasin principal Microsoft Entra

Microsoft Entra ID est disponible dans les clouds suivants :

  • Publique
  • Chine*
  • Gouvernement américain*

* N’est actuellement pas disponible pour les locataires externes.

Dans le cloud public, vous êtes invité à sélectionner un emplacement au moment de la création du locataire (par exemple, en vous inscrivant à Office 365 ou Azure, ou en créant d’autres instances Microsoft Entra via le portail Azure). Microsoft Entra ID mappe la sélection à une géolocalisation et à une unité d’échelle unique. L’emplacement du locataire ne peut pas être modifié une fois qu’il est défini.

L’emplacement sélectionné lors de la création du locataire est mappé à l’un des emplacements géographiques suivants :

  • Australie*
  • Asie/Pacifique
  • Europe, Moyen-Orient et Afrique (EMEA)
  • Japon*
  • Amérique du Nord
  • Monde entier

* N’est actuellement pas disponible pour les locataires externes.

Microsoft Entra ID gère les données du magasin principal en fonction de la facilité d’utilisation, des performances, de la résidence ou d’autres exigences en fonction de la géolocalisation. Microsoft Entra ID réplique chaque locataire via son unité d’échelle, sur des centres de données, en fonction des critères suivants :

  • Données de magasin principal Microsoft Entra, stockées dans les centres de données les plus proches de l’emplacement de résidence du locataire, pour réduire la latence et fournir des temps de connexion utilisateur rapides
  • Données de magasin principal Microsoft Entra, stockées dans des centres de données géographiquement isolés pour garantir la disponibilité en cas d’événements catastrophiques imprévus dans un seul centre de données
  • Conformité avec la résidence des données, ou d’autres exigences, pour des clients et des géolocalisations spécifiques

Microsoft Entra modèles de solution cloud

Utilisez le tableau suivant pour voir les modèles de solution cloud Microsoft Entra basés sur l’infrastructure, l’emplacement des données et la souveraineté opérationnelle.

Modèle Emplacements Localisation des données Personnel des opérations Placer un locataire dans ce modèle
Emplacement géographique public Australie*, Amérique du Nord, EMEA, Japon*, Asie/Pacifique Au repos, à l’emplacement cible. Exceptions par service ou fonctionnalité Géré par Microsoft. Le personnel du centre de données Microsoft doit passer une vérification des antécédents. Créez le locataire dans l’expérience d’inscription. Choisissez l’emplacement de résidence des données.
Public dans le monde entier Monde entier Tous les emplacements Géré par Microsoft. Le personnel du centre de données Microsoft doit passer une vérification des antécédents. Création de locataire disponible via le canal de support officiel et soumise à la discrétion de Microsoft.
Clouds souverains ou nationaux Gouvernement américain*, Chine* Au repos, à l’emplacement cible. Aucune exception. Géré par un dépositaire de données (1). Le personnel est sélectionné en fonction des exigences. Chaque instance de cloud national a une expérience d’inscription.

* N’est actuellement pas disponible pour les locataires externes.

Références de table:

(1) Dépositaires de données : les centres de données du cloud du gouvernement américain sont gérés par Microsoft. En Chine, Microsoft Entra ID est géré par le biais d’un partenariat avec 21Vianet.

En savoir plus :

Résidence des données entre les composants Microsoft Entra

En savoir plus : Vue d’ensemble du produit Microsoft Entra

Remarque

Pour comprendre l’emplacement des données de service, par exemple Exchange Online ou Skype Entreprise, reportez-vous à la documentation du service correspondante.

Composants Microsoft Entra et emplacement du stockage des données

Composant Microsoft Entra Description Emplacement de stockage des données
Service d'authentification Microsoft Entra Ce service est sans état. Les données d’authentification se situent dans le magasin principal Microsoft Entra. Il n’a pas de données d’annuaire. Le service d’authentification Microsoft Entra génère des données de journal dans le stockage Azure et dans le centre de données où l’instance de service s’exécute. Lorsque les utilisateurs tentent de s’authentifier à l’aide de Microsoft Entra ID, ils sont routés vers une instance du centre de données le plus proche qui fait partie de sa région logique Microsoft Entra. À l’emplacement géographique
Services de gestion des identités et des accès (IAM) Microsoft Entra Expériences utilisateur et de gestion : l’expérience de gestion Microsoft Entra est sans état et ne contient pas de données d’annuaire. Il génère des données de journal et d’utilisation stockées dans le stockage Tables Azure. L’expérience utilisateur est semblable à la Portail Azure.
Services de création de rapports et logique métier de gestion des identités : ces services disposent d’un stockage de données mis en cache localement pour les groupes et les utilisateurs. Les services génèrent des données de journal et d’utilisation qui sont envoyées au stockage Tables Azure, Azure SQL et dans Microsoft services de création de rapports de recherche élastique.		 À l’emplacement géographique
Authentification multi-facteur Microsoft Entra Pour plus d’informations sur le stockage et la conservation des données des opérations multifacteur, consultez Résidence des données et données client pour l’authentification multifacteur Microsoft Entra. L’authentification multifacteur Microsoft Entra enregistre le nom d’utilisateur principal (UPN), les numéros de téléphone d’appel vocal et les défis liés aux SMS. Pour les défis liés aux modes d’application mobile, le service journalise l’UPN et un jeton d’appareil unique. Les centres de données de la région Amérique du Nord stockent l’authentification multifacteur Microsoft Entra et les journaux qu’elle crée. Amérique du Nord
Microsoft Entra Domain Services Consultez les régions où Microsoft Entra Domain Services est publié dans Produits disponibles par région. Le service conserve les métadonnées système globalement dans les tables Azure et ne contient aucune donnée personnelle. À l’emplacement géographique
Microsoft Entra Connect Health Microsoft Entra Connect Health génère des alertes et des rapports dans le stockage Tables Azure et le stockage d’objets blob. À l’emplacement géographique
Appartenance dynamique pour les groupes Microsoft Entra, gestion des groupes en libre-service Microsoft Entra Le stockage Tables Azure contient des définitions de règles d’appartenance dynamique. À l’emplacement géographique
Proxy d’application Microsoft Entra Proxy d'application Microsoft Entra stocke les métadonnées relatives au locataire, aux machines de connecteur et aux données de configuration dans Azure SQL. À l’emplacement géographique
Réécriture du mot de passe Microsoft Entra dans Microsoft Entra Connect Lors de la configuration initiale, Microsoft Entra Connect génère un paire de clés asymétrique, à l’aide du cryptosystème Rivest-Shamir-Adleman (RSA). Il envoie ensuite la clé publique au service cloud de réinitialisation de mot de passe en libre-service (SSPR), qui effectue deux opérations :

1. Crée deux relais Azure Service Bus pour le service local Microsoft Entra Connect afin de communiquer en toute sécurité avec le service
 2 SSPR. Génère une clé AES (Advanced Encryption Standard), K1

Les emplacements de relais Azure Service Bus, les clés d’écouteur correspondantes et une copie de la clé AES (K1) sont envoyés à Microsoft Entra Connect dans la réponse. Les communications futures entre SSPR et Microsoft Entra Connect se produisent sur le nouveau canal ServiceBus et sont chiffrées à l’aide du protocole SSL.
Les nouvelles réinitialisations de mot de passe, envoyées pendant l’opération, sont chiffrées avec la clé publique RSA générée par le client lors de l’intégration. La clé privée sur la machine Microsoft Entra Connect les déchiffre, ce qui empêche les sous-systèmes de pipeline d’accéder au mot de passe en texte clair.
La clé AES chiffre la charge utile du message (mots de passe chiffrés, plus de données et métadonnées), ce qui empêche les attaquants ServiceBus malveillants de falsifier la charge utile, même avec un accès complet au canal ServiceBus interne.
Pour la réécriture du mot de passe, Microsoft Entra Connect a besoin de clés et de données :

– La clé AES (K1) qui chiffre la charge utile de réinitialisation, ou les demandes de modification du service SSPR vers Microsoft Entra Connect, via le pipeline ServiceBus
– La clé privée, de la paire de clés asymétriques qui déchiffre les mots de passe, dans les charges utiles de réinitialisation ou de demande de modification
– Les clés d’écouteur ServiceBus

La clé AES (K1) et la paire de touches asymétriques sont en rotation au minimum tous les 180 jours, une durée que vous pouvez modifier pendant certains événements de configuration d’intégration ou de retrait. Par exemple, un client désactive et réactive la réécriture du mot de passe, ce qui peut se produire pendant la mise à niveau du composant pendant le service et la maintenance.
Les clés d’écriture différée et les données stockées dans la base de données Microsoft Entra Connect sont chiffrées par des interfaces de programmation d’applications de protection des données (DPAPI) (CALG_AES_256). Le résultat est la clé de chiffrement ADSync principale stockée dans le coffre d’informations d’identification Windows dans le contexte du compte de service local ADSync. Le coffre d’informations d’identification Windows fournit le rechiffrement automatique des secrets lorsque le mot de passe du compte de service change. La réinitialisation du mot de passe du compte de service invalide les secrets dans le coffre d’informations d’identification Windows pour le compte de service. Les modifications manuelles apportées à un nouveau compte de service peuvent invalider les secrets stockés.
Par défaut, le service ADSync s’exécute dans le contexte d’un compte de service virtuel. Le compte peut être personnalisé lors de l’installation sur un compte de service de domaine avec privilèges minimum, un compte de service managé (compte Microsoft) ou un compte de service managé de groupe (gMSA). Alors que les comptes de service virtuel et managé ont une rotation automatique des mots de passe, les clients gèrent la rotation des mots de passe pour un compte de domaine provisionné personnalisé. Comme indiqué, la réinitialisation du mot de passe entraîne la perte de secrets stockés.		 À l’emplacement géographique
Service d’inscription d’appareil Microsoft Entra Le service d’inscription d’appareil Microsoft Entra propose une gestion du cycle de vie des ordinateurs et des appareils dans l’annuaire, ce qui permet des scénarios tels que l’accès conditionnel à l’état de l’appareil et la gestion des appareils mobiles. À l’emplacement géographique
Approvisionnement Microsoft Entra L’approvisionnement Microsoft Entra crée, supprime et met à jour des utilisateurs dans des systèmes, tels que des applications SaaS (software as service). Il gère la création d’utilisateurs dans Microsoft Entra ID et Microsoft Windows Server Active Directory local à partir de sources RH cloud, telles que Workday. Le service stocke sa configuration dans l’instance Azure Cosmos DB, qui stocke les données d’appartenance au groupe pour le répertoire utilisateur qu’il conserve. Azure Cosmos DB réplique la base de données dans plusieurs centres de données dans la même région que le locataire, ce qui isole les données, selon le modèle de solution cloud Microsoft Entra. La réplication crée une haute disponibilité et plusieurs points de terminaison de lecture et d’écriture. Azure Cosmos DB a un chiffrement sur les informations de base de données, et les clés de chiffrement sont stockées dans le stockage des secrets pour Microsoft. À l’emplacement géographique
Collaboration B2B (Business-to-Business) Microsoft Entra La collaboration B2B Microsoft Entra ne dispose pas de données d’annuaire. Les utilisateurs et autres objets d’annuaire dans une relation B2B, avec un autre locataire, entraînent la copie des données utilisateur dans d’autres locataires, ce qui peut avoir des implications sur la résidence des données. À l’emplacement géographique
Protection de l'identifiant Microsoft Entra Microsoft Entra ID Protection utilise des données de connexion utilisateur en temps réel, avec plusieurs signaux provenant de sources de l’entreprise et du secteur, pour alimenter ses systèmes d’apprentissage automatique qui détectent les connexions anormales. Les données personnelles sont nettoyées à partir des données de connexion en temps réel avant d’être transmises au système machine learning. Les données de connexion restantes identifient les noms d’utilisateur et les connexions potentiellement risqués. Après analyse, les données sont envoyées aux systèmes de création de rapports Microsoft. Les noms d’utilisateur et les connexions à risque s’affichent dans les rapports pour les administrateurs. À l’emplacement géographique
Identités gérées pour les ressources Azure Les identités managées pour des ressources Azure avec des systèmes d’identités managées peuvent s’authentifier auprès des services Azure, sans stocker les informations d’identification. Au lieu d’utiliser le nom d’utilisateur et le mot de passe, les identités managées s’authentifient auprès des services Azure avec des certificats. Le service écrit les certificats qu’il émet dans Azure Cosmos DB dans la région USA Est, qui basculent vers une autre région, si nécessaire. La géoredondance d’Azure Cosmos DB se produit par réplication de données globale. La réplication de base de données place une copie en lecture seule dans chaque région exécutée par les identités managées Microsoft Entra. Pour en savoir plus, voir Services Azure qui peuvent utiliser des identités managées pour accéder à d’autres services. Microsoft isole chaque instance Azure Cosmos DB dans un modèle de solution cloud Microsoft Entra.
Le fournisseur de ressources, tel que l’hôte de machine virtuelle, stocke le certificat pour l’authentification et les flux d’identité, avec d’autres services Azure. Le service stocke sa clé principale pour accéder à Azure Cosmos DB dans un service de gestion des secrets de centre de données. Azure Key Vault stocke les clés de chiffrement principales.		 À l’emplacement géographique

Pour plus d’informations sur la résidence des données dans les offres cloud Microsoft, consultez les articles suivants :

Étapes suivantes