Configurare il limite dei dati

Questa documentazione fornisce informazioni dettagliate su come i clienti possono configurare Azure Resource Manager per l'uso in un limite di dati. L'unica configurazione dei limiti dei dati attualmente supportata, a parte la configurazione globale predefinita, è per l'Unione europea (UE). Il limite dei dati ue è un limite geograficamente definito entro il quale Microsoft si impegna a archiviare ed elaborare i dati dei clienti e i dati personali pseudonimizzati e archiviare i dati di Professional Services per microsoft enterprise Servizi online, tra cui Azure, Dynamics 365, Power Platform e Microsoft 365, soggetti a circostanze limitate in cui i dati personali continuano a essere trasferiti al di fuori del limite dei dati dell'UE. Per altre informazioni, vedere Panoramica dei limiti dei dati dell'UE.

Importante

Per archiviare i dati di Professional Services nel limite dei dati dell'UE per Azure, i clienti devono configurare Azure Resource Manager in base al limite dei dati dell'UE. Questa documentazione fornisce informazioni dettagliate su come i clienti possono configurare Azure Resource Manager per l'uso nel limite dei dati dell'UE.

Un limite di dati può essere stabilito solo in nuovi tenant che non dispongono di sottoscrizioni o risorse distribuite esistenti. Dopo che un tenant ha accodato esplicitamente un limite di dati, la configurazione dei limiti dei dati non può essere rimossa o modificata. Le sottoscrizioni e le risorse create in un tenant con un limite di dati non possono essere spostate da tale tenant. Le sottoscrizioni e le risorse esistenti non possono essere spostate in un tenant con un limite di dati. Ogni tenant è limitato a un limite di dati e, dopo aver configurato il limite dei dati, Azure Resource Manager limiterà le distribuzioni delle risorse alle aree entro tale limite. Un limite dati globale non prevede restrizioni sulle aree in cui una risorsa può essere distribuita. I clienti possono acconsentire esplicitamente ai tenant in un limite di dati distribuendo una Microsoft.Resources/dataBoundaries risorsa a livello di tenant.

Il DataBoundaryTenantAdministrator ruolo predefinito è necessario per configurare il limite dei dati. Per altre informazioni, vedere Autorizzazioni obbligatorie.

Per acconsentire esplicitamente al tenant in un limite dati dell'UE di Azure:

1. Creare un nuovo tenant all'interno di un paese o di un'area geografica dell'UE per configurare un limite dati ue di Microsoft Entra. Per altre informazioni su come creare un nuovo tenant all'interno di un paese o un'area geografica dell'UE, vedere Creare un nuovo tenant in Microsoft Entra ID.
2. Prima di creare nuove sottoscrizioni o risorse, distribuire una risorsa Microsoft.Resources/dataBoundaries con una configurazione ue.
3. Creare una sottoscrizione e distribuire le risorse di Azure.

Autorizzazioni obbligatorie

Per configurare il limite dei dati, il DataBoundaryTenantAdministrator ruolo predefinito è necessario nell'ambito del tenant. Per assegnare il ruolo, seguire questa procedura:

1. Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Per altre informazioni, vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.
2. Con il privilegio Amministratore accesso utenti concedere a se stessi il DataBoundaryTenantAdministrator ruolo nell'ambito del tenant (/) usando l'interfaccia della riga di comando di Azure o Azure PowerShell o l'API REST.

Interfaccia della riga di comando di Azure

Interfaccia della riga di comando di Azure

DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID="d1a38570-4b05-4d70-b8e4-1100bcf76d12"

az role assignment create --assignee "{assignee}" --role DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID --scope "/"

PowerShell

Azure PowerShell

$dataBoundaryTenantAdministratorRoleDefinitionId = "d1a38570-4b05-4d70-b8e4-1100bcf76d12"

New-AzRoleAssignment -ObjectId <objectId> -RoleDefinitionId $dataBoundaryTenantAdministratorRoleDefinitionId -Scope "/"

REST API

HTTP

PUT https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentName}?api-version=2020-04-01-preview

Corpo della richiesta:

JSON

{
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/d1a38570-4b05-4d70-b8e4-1100bcf76d12",
    "principalId": "{assignee}"
  }
}

Corpo della risposta:

JSON

{
  "id": "/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentName}",
  "type": "Microsoft.Authorization/roleAssignments",
  "name": "{roleAssignmentName}",
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/d1a38570-4b05-4d70-b8e4-1100bcf76d12",
    "principalId": "{assignee}",
    "principalType": "User", // Could also be "Group", "ServicePrincipal", etc.
  }
}

Per altre informazioni, vedere Assegnare ruoli di Azure.

Creare un limite di dati

L'area geografica dei limiti dei dati offre attualmente due opzioni:

Area geografica dei limiti dei dati	Descrizione
Generale	Per impostazione predefinita, tutti i tenant hanno un limite di dati globale.
UE	Stabilire un limite di dati ue.

Per acconsentire esplicitamente al limite dei dati in un tenant, usare i comandi seguenti.

Interfaccia della riga di comando di Azure

Interfaccia della riga di comando di Azure

az data-boundary create --data-boundary <data-boundary-geo> --default default

L'opzione --default è attualmente obbligatoria, ma verrà eliminata gradualmente in futuro.

Per altre informazioni, vedere Informazioni di riferimento sull'interfaccia della riga di comando di Azure.

PowerShell

Azure PowerShell

Set-AzDataBoundary -DataBoundary <data-boundary-geo>

Per altre informazioni, vedere Informazioni di riferimento su Azure PowerShell.

REST API

HTTP

PUT https://management.azure.com/providers/Microsoft.Resources/dataBoundaries/default?api-version=2024-08-01 

Corpo della richiesta:

JSON

{ 
  "properties": { 
    "dataBoundary": "<data-boundary-geo>" 
  } 
} 

Response

```json
{ 
  "name": "{tenantId}", 
  "id": " /providers/Microsoft.Resources/dataBoundaries/{tenantId}",   
  "properties": { 
    "dataBoundary": "{dataBoundaryGeo}", 
    "provisioningState": "Created" 
  } 
} 

Per altre informazioni, vedere Informazioni di riferimento sulle API REST di Azure.

Leggere il limite dei dati

Per ottenere il limite dei dati in ambiti specificati. Gli ambiti includono:

Ambito	Valore
Tenant	(vuoto)
Abbonamento	subscriptions/{subscriptionId}
Gruppo di risorse	subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}

Interfaccia della riga di comando di Azure

Interfaccia della riga di comando di Azure

az data-boundary show --scope <scope-path> --default default

Ottenere il limite dei dati del tenant:

Interfaccia della riga di comando di Azure

az data-boundary show-tenant --default default

L'opzione --default è attualmente obbligatoria, ma verrà eliminata gradualmente in futuro.

Per altre informazioni, vedere Informazioni di riferimento sull'interfaccia della riga di comando di Azure.

PowerShell

Azure PowerShell

Get-AzDataBoundaryScope -Scope <scope-path>

Ottenere il limite dei dati del tenant:

Azure PowerShell

Get-AzDataBoundaryTenant

Per altre informazioni, vedere Informazioni di riferimento su Azure PowerShell.

REST API

HTTP

GET https://management.azure.com/{scope}/providers/Microsoft.Resources/dataBoundaries/default?api-version=2024-08-01 

Corpo della risposta:

JSON

{ 
  "name": "{tenantId}", 
  "id": " /providers/Microsoft.Resources/dataBoundaries/{tenantId}",   
  "properties": { 
    "dataBoundary": "{dataBoundaryGeo}", 
    "provisioningState": "Succeeded" 
  } 
} 

Per altre informazioni, vedere Informazioni di riferimento sulle API REST di Azure.

Risoluzione dei problemi

Nella tabella seguente sono elencati i messaggi di errore correlati ai limiti dei dati:

Codice di errore	Error message	Spiegazione
NonEmptyTenantCannotChangeDataBoundary	Il <nome> del tenant contiene già sottoscrizioni. L'aggiornamento dei limiti dei dati per i tenant non vuoti non è supportato.	I clienti possono applicare un limite di dati di Azure solo a un nuovo tenant senza gruppi di gestione, sottoscrizioni o risorse.
AuthorizationFailed	Il client-name <> con ID oggetto-ID> oggetto <non dispone dell'autorizzazione per eseguire un'azione Microsoft.Resources/dataBoundaries/write sul nome> dell'ambito <o l'ambito non è valido. Se l'accesso è stato concesso di recente, aggiornare le credenziali.	Assicurarsi di avere il ruolo Amministratore limiti dati nell'ambito del tenant. Vedere Autorizzazioni necessarie.
InvalidResourceLocation InvalidResourceGroupLocation	Nome dell'area geografica> del gruppo <di risorse non valido. L'ID tenant per la sottoscrizione specificata è consenso esplicito nel <limite dei dati geo-limite> di dati. La posizione del gruppo di risorse è limitata dal limite dei dati. L'elenco di aree nel limite dati è: <region-list>.	Una volta applicato un limite di dati a un tenant, gli utenti possono creare risorse solo nelle aree all'interno del limite dei dati. Ad esempio, gli utenti non possono creare risorse in WestUS se viene applicato un limite di dati UE al tenant. Per risolvere questo errore, selezionare un'area dall'elenco restituito nel messaggio di errore.
InvalidSubscriptionMoveDataBoundary	Azione di trasferimento non riuscita. Il trasferimento di questa sottoscrizione non è consentito a causa di restrizioni relative ai limiti dei dati nel tenant.	Non è possibile spostare una sottoscrizione se i tenant di origine o di destinazione hanno un limite di dati non globale. Lo spostamento della sottoscrizione viene bloccato anche se i tenant di origine e di destinazione hanno lo stesso limite di dati.

Passaggi successivi

Per altre informazioni, vedere Panoramica dei limiti dei dati dell'UE.