Services exclus de la limite de données de l’UE

  • Article

Bien que la majorité des services en ligne d’entreprise de Microsoft dans les familles de services Azure, Dynamics 365, Power Platform et Microsoft 365 soient inclus dans le cadre de la limite de données de l’UE, sous réserve des flux continus de données client et de données personnelles pseudonymes liées au fonctionnement et à l’utilisation des services détaillés dans d’autres articles ou sections de la limite de données de l’UE, certains services dans ces Les familles ne sont pas dans l’étendue de la limite de données de l’UE, généralement où la nature du service et la valeur client qu’il fournit ne peuvent pas être fournies en implémentant une architecture régionalisée. Dans cette documentation, nous décrivons les principaux exemples de services de cette catégorie. Cette liste n’est pas exhaustive et peut être mise à jour au fil du temps. La partie Conditions du produit du contrat de services est la source définitive pour déterminer si un service donné est un service de limite de données de l’UE.

Services Azure

Azure Front Door (AFD) et Azure Content Delivery Network (CDN)

Azure Front Door et Content Delivery Network transfèrent les données client à partir de l’UE. Azure Front Door et Content Delivery Network sont des services non régionaux qui peuvent être utilisés pour rapprocher le contenu statique et dynamique des clients de leurs utilisateurs finaux dans le monde entier. Pour accélérer les demandes globales, Azure Front Door et Azure CDN mettez en cache les données à des emplacements périphériques globaux pour le compte du client. Les deux services utilisent une technique de mise en réseau appelée anycast pour diriger le trafic entre les utilisateurs finaux des clients et les emplacements de point de présence (PoP) en utilisant l’itinéraire le plus rapide possible. En raison de la nature de ce mécanisme de routage et afin de répondre aux exigences de nos clients en matière de transmission de données dans le monde entier, tout le trafic ne restera pas dans la limite des données de l’UE. La durée du contenu mis en cache peut être modifiée en fonction de la configuration d’un client dans les paramètres de profil AFD ou CDN.

Windows 10 IoT Standard Services

Windows 10 IoT Standard Services transfère les données client de l’UE. Windows 10 IoT Standard Services est un service mondial de distribution de mises à jour logicielles qui héberge les données client à distribuer aux propres clients de nos clients. Le service permet aux clients de mettre à jour leurs appareils IoT gérés à l’aide du réseau de distribution de contenu (CDN) de Windows Update global, et de fournir leur contenu personnalisé et les mises à jour logicielles Windows IoT de Microsoft en tant que Windows Update. Pour fournir cette fonctionnalité, les données client sont stockées dans le Stockage Azure et dans le monde entier sur les serveurs qui prennent en charge Windows Update. Les données client transférées à l’échelle mondiale incluent toutes les données que les clients chargent dans leur package BSP (Board-Supported-Package), qui peut contenir des pilotes personnalisés, des applications et d’autres données ciblées pour la mise à jour de l’appareil.

Services Microsoft 365

Microsoft 365 Applications

Applications Microsoft 365 (pour les builds antérieures au 31 décembre 2022) : pour garantir les performances et la stabilité des clients existants qui utilisent des applications Microsoft 365, les engagements de limites de données de l’UE s’appliquent uniquement aux versions publiées après le 31 décembre 2022. Les clients qui utilisent des builds plus anciennes doivent effectuer une mise à niveau vers la dernière version.

Services de sécurité

Les services de sécurité Microsoft aident à protéger les clients contre les dernières attaques de programmes malveillants, qu’il s’agisse de protéger leurs points de terminaison, leurs charges de travail cloud ou leurs logiciels de messagerie et de collaboration. Voici quelques exemples de fonctionnalités de sécurité destinées aux clients générées par les services de sécurité Microsoft via l’utilisation de signaux transfrontaliers :

  • Protection contre les menaces de sécurité modernes sophistiquées : Microsoft utilise des fonctionnalités d’analytique avancées, notamment l’intelligence artificielle, pour analyser globalement les données de sécurité agrégées. Cela permet d’empêcher, de détecter, d’examiner, de répondre et de corriger les menaces. Sans cette fonctionnalité d’analyse centralisée sur les données globales, l’efficacité de ces services se dégraderait considérablement, empêchant Microsoft de fournir les niveaux de protection nécessaires aux clients.
  • Détection d’un utilisateur d’entreprise compromis : Microsoft permet de détecter la compromission de l’identité en effectuant le suivi des connexions de compte suspectes à partir de plusieurs régions géographiques pendant une courte période. C’est ce que l’on appelle des attaques de voyage impossibles . Pour activer ce type de protection, les services de sécurité Microsoft traitent de manière centralisée les journaux d’authentification Microsoft Entra globaux.
  • Détection de l’exfiltration de données : Microsoft peut aider à alerter les clients en cas de fuite de données potentielle en provenance de l’entreprise en agrégeant plusieurs signaux d’accès malveillant au stockage de données à partir de différents emplacements, une technique utilisée par des acteurs malveillants pour passer sous le radar de détection (appelées attaques faibles et lentes ).

Microsoft Defender XDR

Microsoft Defender XDR est une suite de défense d’entreprise unifiée avant et post-violation qui coordonne en mode natif la détection, la prévention et la réponse sur les points de terminaison, les identités, les e-mails et les applications pour fournir une protection intégrée contre les attaques sophistiquées. les services Microsoft Defender XDR nécessitent des opérations de systèmes globaux, y compris l’intelligence artificielle, l’automatisation et les humains sur des jeux de données mondiaux pour chasser les menaces globales des clients. Les chercheurs et analystes en sécurité humaine exploitent l’aspect intelligence du service 24 heures sur 24, 365 jours par an pour créer de nouvelles détections, signatures et heuristiques en travaillant avec des données consolidées à partir de sites répartis dans le monde entier. Microsoft Defender XDR services stockent la plupart des données client de l’UE dans la région de l’UE. Les transferts limités vers le États-Unis sont chiffrés pendant le transit et le stockage. L’accès à ces données client s’effectue uniquement via une station de travail Administration sécurisée (SAW) avec une autorisation d’accès juste-à-temps (JIT). Pour plus d’informations, visitez la page emplacement des données du Centre de gestion de la confidentialité Microsoft et accédez aux services Microsoft Defender XDR dans les stratégies de résidence et de transfert des données du service cloud.

Les services Microsoft Defender XDR exclus de la limite de données de l’UE sont décrits dans les sections suivantes.

Microsoft Defender pour point de terminaison

Microsoft Defender pour point de terminaison est une plateforme de sécurité de point de terminaison d’entreprise conçue pour aider les réseaux d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées. Microsoft Defender contient une protection de nouvelle génération qui inclut la gestion des vulnérabilités, la réduction de la surface d’attaque, la détection et la réponse des points de terminaison, ainsi que l’investigation et la correction automatisées. Microsoft Defender pour point de terminaison est continuellement mis à jour par les chercheurs et analystes en sécurité humaine pour créer de nouvelles détections, ce qui oblige les chercheurs humains à travailler avec des données à l’échelle mondiale.

Microsoft Defender pour Identity

Microsoft Defender pour Identity est un service cloud qui permet de protéger les environnements hybrides d’entreprise contre plusieurs types de cyberattaques ciblées avancées et de menaces internes. Defender pour Identity est entièrement intégré à Microsoft Defender XDR et tire parti des signaux des identités Active Directory local et cloud pour mieux identifier, détecter et examiner les menaces avancées dirigées contre un organization. Defender pour Identity fournit des informations précieuses sur les configurations d’identité et les meilleures pratiques de sécurité, car il est continuellement mis à jour par les chercheurs en sécurité humaine pour créer de nouvelles détections. Microsoft Defender XDR services stockent la plupart des données client de l’UE dans l’UE. Les transferts limités de données client et de données personnelles pseudonymes vers le États-Unis sont chiffrés pendant le transit et le stockage. L’accès aux données s’effectue uniquement via une station de travail Administration sécurisée (SAW) avec une autorisation d’accès juste-à-temps (JIT).

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps offre une protection complète pour les applications SaaS (Software as a Service), ce qui permet de surveiller et de protéger les données des applications cloud grâce à une protection avancée contre les menaces. Les applications SaaS sont omniprésentes dans les environnements de travail hybrides, et la protection des applications SaaS et des données importantes qu’elles stockent est un grand défi pour les organisations. L’augmentation de l’utilisation des applications, combinée à l’accès des employés aux ressources de l’entreprise en dehors du périmètre de l’entreprise, a introduit de nouveaux vecteurs d’attaque. Pour lutter efficacement contre ces attaques, les équipes de sécurité s’appuient sur Defender for Cloud Apps pour protéger leurs données dans les applications cloud au-delà de l’étendue traditionnelle des répartiteurs de sécurité d’accès au cloud (CASB). Defender for Cloud Apps présente l’image complète des risques liés à l’utilisation des applications SaaS pour un environnement et fournit un contrôle de ce qui est utilisé et quand grâce à l’identification de tous les utilisateurs et applications tierces capables de se connecter. Microsoft Defender for Cloud Apps est continuellement mis à jour par des chercheurs et analystes en sécurité humaine répartis dans le monde entier pour créer de nouvelles détections.

Microsoft Defender pour Office 365

Microsoft Defender pour Office 365 est une intégration transparente aux abonnements Office 365 qui protège contre les menaces dans les e-mails, les liens (URL), les pièces jointes et les outils de collaboration. Microsoft Defender pour Office 365 protège les organisations contre les menaces malveillantes en fournissant aux administrateurs et aux équipes des opérations de sécurité un large éventail de fonctionnalités. Ces fonctionnalités commencent à bénéficier aux utilisateurs, aux administrateurs et aux opérations de sécurité au moment de l’installation en fournissant des options de configuration prédéfinies rapides, la possibilité de définir des stratégies de protection contre les menaces, des rapports robustes qui incluent l’affichage et la surveillance en temps réel, des outils d’investigation et de réponse aux menaces, ainsi que des fonctionnalités automatisées d’investigation et de réponse. Étant donné que les menaces malveillantes sont rarement limitées à une seule région, Microsoft Defender pour Office 365 nécessite que les chercheurs en sécurité humaine répartis à l’échelle mondiale analysent les données de manière holistique et globale avec la plupart des données transférées et stockées dans le États-Unis. Les données que Microsoft Defender pour Office 365 collectent pour l’analyse de la sécurité, telles que l’adresse e-mail de l’expéditeur/destinataire, les en-têtes de courrier, y compris l’adresse IP de l’expéditeur, les URL incluses dans le contenu de courrier électronique et les lignes d’objet nettoyées/obfuscatées sont chiffrées afin que les chercheurs en sécurité et les ingénieurs ne puissent pas accéder au contenu de manière lisible par l’utilisateur.

Microsoft Cloud Security

La suite de services Microsoft Cloud Security fournit la gestion de la posture de sécurité et la protection contre les menaces pour les charges de travail des clients s’exécutant dans Azure, hybrides et d’autres plateformes cloud, y compris les appareils IoT (Internet des objets). Il s’agit de services globaux qui fournissent des alertes en temps réel et des recommandations de sécurité pour les ressources cloud des clients. Les services de sécurité cloud stockent la plupart des données client des clients de l’UE dans la région de l’UE avec des transferts limités qui sont stockés dans le États-Unis. Les services de sécurité cloud contrôlent strictement les données avec des contrôles d’accès en fonction du rôle (RBAC) restreints, des stations de travail Administration sécurisées (SAW) et des autorisations d’accès juste-à-temps (JIT). Le transfert de données est chiffré sur le réseau et le stockage des données est instrumenté pour la surveillance et les détections continues.

Les services Microsoft Cloud Security exclus de la limite de données de l’UE sont décrits dans les sections suivantes.

Microsoft Defender pour le cloud

Microsoft Defender pour le cloud est une plateforme de protection des applications native cloud avec un ensemble de mesures et de pratiques de sécurité conçues pour protéger les applications cloud contre diverses cybermenaces et vulnérabilités. Defender pour le cloud combine plusieurs fonctionnalités, notamment la gestion de la sécurité DevOps, la gestion de la posture de sécurité cloud et la protection des charges de travail cloud. Pour détecter les menaces de sécurité et protéger les ressources des clients, Microsoft Defender pour le cloud doit analyser l’activité des clients à l’échelle mondiale avec des données personnelles pseudonymes limitées et des transferts de données client vers le États-Unis. Ces données personnelles pseudonymes et les données client sont stockées chiffrées dans le États-Unis, sauf si un client approvisionne son locataire dans l’Union européenne. Si un client approvisionne son locataire dans l’Union européenne, toutes les données personnelles pseudonymes et les données client dérivées des ressources du client dans l’Union européenne seront stockées au repos dans l’Union européenne. Defender pour le cloud peut stocker une copie des données client liées à la sécurité dans les emplacements respectifs, collectées à partir d’une ressource client ou associée à celle-ci, telle qu’une machine virtuelle ou un locataire Microsoft Entra.

Microsoft Sentinel

Microsoft Sentinel est une solution native cloud évolutive qui fournit les informations de sécurité, la gestion des événements (SIEM), l’orchestration, l’automatisation et la réponse (SOAR). Microsoft Sentinel fournit des analyses de sécurité intelligentes et des informations sur les menaces dans l’ensemble de l’entreprise. Avec Microsoft Sentinel, vous obtenez une solution unique pour la détection des attaques, la visibilité des menaces, la chasse proactive et la réponse aux menaces. Microsoft Sentinel offre une vue d’ensemble de l’entreprise, réduisant ainsi le stress des attaques de plus en plus sophistiquées, l’augmentation des volumes d’alertes et les délais de résolution longs. Microsoft Sentinel peut stocker et traiter la plupart des données client dans la limite de données de l’UE lorsque son espace de travail Azure Monitor correspondant se trouve dans l’UE. Pour plus d’informations, consultez Disponibilité géographique et résidence des données dans Microsoft Sentinel. Dans le cas contraire, les données client et les données personnelles pseudonymes telles que les ID d’objet peuvent être transférées en dehors de la limite des données de l’UE.

Microsoft Defender pour IoT

Microsoft Defender pour IoT est une solution de sécurité unifiée conçue spécifiquement pour identifier les appareils, les vulnérabilités et les menaces liés à l’Internet des objets (IoT) et aux technologies d’exploitation (OT). Utilisez Defender pour IoT pour sécuriser l’ensemble de votre environnement IoT/OT, y compris les appareils existants qui n’ont peut-être pas d’agents de sécurité intégrés. Defender pour IoT fournit une surveillance de la couche réseau sans agent et s’intègre à l’équipement industriel et aux outils soc (Security Operation Center). Defender pour IoT utilise la surveillance sans agent pour fournir une visibilité et une sécurité sur votre réseau, et identifie les protocoles spécialisés, les appareils ou les comportements machine à machine (M2M). Microsoft Defender pour IoT analyse les activités des clients à l’échelle mondiale afin de fournir aux clients la perspective nécessaire pour voir leur solution de sécurité IoT dans tous les emplacements. En outre, Defender pour IoT affiche et analyse les données de détection de sécurité pour reconnaître les lacunes de sécurité et fournir des recommandations exploitables. Microsoft Defender pour IoT peut utiliser d’autres services en ligne Microsoft pour traiter les données client liées à la sécurité, et ces données sont stockées en fonction des paramètres de configuration de ce service.

Microsoft Defender pour le stockage

Microsoft Defender pour le stockage est une couche native Azure de renseignement de sécurité qui détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Microsoft Defender pour le stockage offre une sécurité complète en analysant les journaux générés par le système du plan de données et du plan de contrôle à partir des services Stockage Blob Azure, Azure Files et Azure Data Lake Storage. Il utilise des fonctionnalités avancées de détection des menaces alimentées par Renseignement de sécurité Microsoft, antivirus Microsoft Defender et découverte de données sensibles pour vous aider à détecter et à atténuer les menaces potentielles.

Dynamic 365 Fraud Protection

Dynamics 365 Fraud Protection est une pile technologique sophistiquée qui utilise le Big Data connecté dans plusieurs secteurs d’activité et applique une intelligence artificielle (IA) de pointe pour aider à prendre des décisions plus précises en temps réel. Dynamic 365 Fraud Protection fournit une détection améliorée de la fraude de compte, la connexion à un réseau de protection contre la fraude, l’empreinte digitale des appareils, les moteurs de règles de compte adaptables, la protection des bots et les options de configuration personnalisée. Le réseau de protection contre la fraude (FPN) pseudonyme les données de transaction à utiliser dans un modèle Machine Learning propriétaire à des fins de traitement et d’analyse. Cela permet de fournir des scores et des insights précis sur la détection des fraudes à l’échelle mondiale. En outre, l’empreinte digitale des appareils est utilisée pour collecter des données personnelles pseudonymes dans l’environnement du client, en fonction de la zone géographique approvisionnée des clients.

Microsoft Copilot pour la sécurité

Microsoft Copilot pour la sécurité est une solution de sécurité générative basée sur l’IA qui permet d’augmenter l’efficacité et les capacités des défenseurs afin d’améliorer les résultats de sécurité à la vitesse et à l’échelle de la machine. Copilot pour la sécurité offre une expérience de copilote d’assistance en langage naturel qui aide les professionnels de la sécurité dans des scénarios de bout en bout tels que la réponse aux incidents, la chasse aux menaces, la collecte de renseignements et la gestion de la posture. La solution tire parti de toute la puissance de l’architecture Azure OpenAI pour générer une réponse à une invite utilisateur en utilisant des plug-ins spécifiques à la sécurité, y compris des informations spécifiques à organization, des sources faisant autorité et des informations globales sur les menaces.

Copilot pour la sécurité stocke les données client et les données personnelles pseudonymes, telles que les invites utilisateur et les ID d’objet Microsoft Entra dans la zone géographique du locataire. Si un client approvisionne son locataire dans l’UE et n’a pas choisi le partage de données, toutes les données client et les données personnelles pseudonymes sont stockées au repos dans la limite de données de l’UE. Le traitement des invites peut se produire dans la zone géographique du GPU de sécurité désignée. Pour plus d’informations sur la sélection de la zone géographique du GPU de sécurité, consultez Prise en main de Copilot pour la sécurité ou en dehors de la zone géographique gpu si l’utilisateur a choisi le partage de données. Pour plus d’informations sur le partage de données, consultez Confidentialité et sécurité des données dans Microsoft Security Copilot.