Condividi tramite

Microsoft Entra ID e residenza dei dati

  • Articolo

Microsoft Entra ID è una soluzione IDaaS (Identity as a Service) che archivia e gestisce i dati di identità e accesso nel cloud. È possibile usare i dati per abilitare e gestire l'accesso ai servizi cloud, ottenere scenari di mobilità e proteggere l'organizzazione. Un'istanza del servizio Microsoft Entra, denominata tenant, è un set isolato di dati oggetto directory di cui il cliente effettua il provisioning e il proprietario.

Nota

Microsoft Entra External ID è una soluzione CIAM (Customer Identity and Access Management) che archivia e gestisce i dati in un tenant separato creato per le app rivolte ai clienti e i dati della directory dei clienti. Questo tenant è denominato tenant esterno. Quando si crea un tenant esterno, è possibile selezionare la posizione geografica per l'archiviazione dei dati. È importante notare che le posizioni dei dati e la disponibilità dell'area possono differire da quelle dell'ID Microsoft Entra, come indicato in questo articolo.

Core Store

Core Store è costituito da tenant archiviati in unità di scala, ognuna delle quali contiene più tenant. Le operazioni di aggiornamento o recupero dei dati in Microsoft Entra Core Store sono correlate a un singolo tenant, in base al token di sicurezza dell'utente, che ottiene l'isolamento del tenant. Le unità di scala vengono assegnate a una posizione geografica. Ogni posizione geografica usa due o più aree di Azure per archiviare i dati. In ogni area di Azure i dati delle unità di scala vengono replicati nei data center fisici per ottenere resilienza e prestazioni.

Altre informazioni: Unità di scala di Microsoft Entra Core Store

Microsoft Entra ID è disponibile nei cloud seguenti:

  • Pubblico
  • Cina*
  • Governo degli Stati Uniti*

* Non attualmente disponibile per i tenant esterni.

Nel cloud pubblico viene richiesto di selezionare una posizione al momento della creazione del tenant (ad esempio, iscriversi a Office 365 o Azure o creare più istanze di Microsoft Entra tramite il portale di Azure). Microsoft Entra ID esegue il mapping della selezione a una posizione geografica e a una singola unità di scala. La posizione del tenant non può essere modificata dopo che è stata impostata.

La posizione selezionata durante la creazione del tenant verrà mappata a una delle posizioni geografiche seguenti:

  • Australia*
  • Asia/Pacifico
  • Europa, Medio Oriente e Africa (EMEA)
  • Giappone*
  • America del Nord
  • Tutto il mondo

* Non attualmente disponibile per i tenant esterni.

Microsoft Entra ID gestisce i dati di Core Store in base all'usabilità, alle prestazioni, alla residenza o ad altri requisiti in base alla posizione geografica. Microsoft Entra ID replica ogni tenant tramite l'unità di scala, tra data center, in base ai criteri seguenti:

  • Dati di Microsoft Entra Core Store, archiviati nei data center più vicini alla posizione di residenza del tenant, per ridurre la latenza e fornire tempi di accesso utente rapidi
  • Dati di Microsoft Entra Core Store archiviati in data center geograficamente isolati per garantire la disponibilità durante eventi imprevisti a data center singolo e irreversibili
  • Conformità alla residenza dei dati o ad altri requisiti per clienti e posizioni geografiche specifiche

Modelli di soluzioni cloud Microsoft Entra

Usare la tabella seguente per visualizzare i modelli di soluzioni cloud Microsoft Entra basati su infrastruttura, posizione dei dati e sovranità operativa.

Modello Posizioni Ubicazione dei dati Personale operativo Inserire un tenant in questo modello
Area geografica pubblica Australia*, America del Nord, EMEA, Giappone*, Asia/Pacifico Inattivi, nella posizione di destinazione. Eccezioni per servizio o funzionalità Gestito da Microsoft. Il personale del data center Microsoft deve superare un controllo in background. Creare il tenant nell'esperienza di iscrizione. Scegliere la località per la residenza dei dati.
Pubblico in tutto il mondo Tutto il mondo Tutte le aree Gestito da Microsoft. Il personale del data center Microsoft deve superare un controllo in background. Creazione del tenant disponibile tramite canale di supporto ufficiale e soggetta a discrezione di Microsoft.
Cloud sovrani o nazionali Governo degli Stati Uniti*, Cina* Inattivi, nella posizione di destinazione. Nessuna eccezione. Gestito da un responsabile dati (1). Il personale viene sottoposto a screening in base ai requisiti. Ogni istanza del cloud nazionale ha un'esperienza di iscrizione.

* Non attualmente disponibile per i tenant esterni.

Riferimenti a tabelle:

(1) Responsabili dei dati: i data center nel cloud del governo degli Stati Uniti sono gestiti da Microsoft. In Cina, Microsoft Entra ID viene gestito tramite una partnership con 21Vianet.

Altre informazioni:

Residenza dei dati nei componenti di Microsoft Entra

Altre informazioni: Panoramica del prodotto Microsoft Entra

Nota

Per comprendere la posizione dei dati del servizio, ad esempio Exchange Online o Skype for Business, fare riferimento alla documentazione del servizio corrispondente.

Componenti di Microsoft Entra e posizione di archiviazione dei dati

Componente Microsoft Entra Descrizione Posizione di archiviazione dei dati
Servizio di autenticazione Microsoft Entra Questo servizio è senza stato. I dati per l'autenticazione si trovano in Microsoft Entra Core Store. Non contiene dati di directory. Il servizio di autenticazione Microsoft Entra genera i dati di log in Archiviazione di Azure e nel data center in cui viene eseguita l'istanza del servizio. Quando gli utenti tentano di eseguire l'autenticazione usando Microsoft Entra ID, vengono indirizzati a un'istanza nel data center geograficamente più vicino che fa parte dell'area logica Microsoft Entra. Nella posizione geografica
Servizi di gestione delle identità e degli accessi (IAM) di Microsoft Entra Esperienze utente e gestione: l'esperienza di gestione di Microsoft Entra è senza stato e non dispone di dati della directory. Genera dati di log e utilizzo archiviati nell'archiviazione tabelle di Azure. L'esperienza utente è simile al portale di Azure.
Logica di business di gestione delle identità e Reporting Services: questi servizi hanno memorizzato nella cache locale l'archiviazione dei dati per gruppi e utenti. I servizi generano dati di log e utilizzo che passano ad Archiviazione tabelle di Azure, Azure SQL e in Microsoft Elastic Search Reporting Services.		 Nella posizione geografica
Autenticazione a più fattori Microsoft Entra Per informazioni dettagliate sull'archiviazione e la conservazione dei dati delle operazioni di autenticazione a più fattori, vedere Residenza dei dati e dati dei clienti per l'autenticazione a più fattori di Microsoft Entra. L'autenticazione a più fattori Microsoft Entra registra i problemi relativi al nome dell'entità utente (UPN), ai numeri di telefono delle chiamate vocali e agli SMS. Per le sfide relative alle modalità dell'app per dispositivi mobili, il servizio registra l'UPN e un token univoco del dispositivo. I data center nell'area America del Nord archiviano l'autenticazione a più fattori Microsoft Entra e i log creati. America del Nord
Servizi di dominio Microsoft Entra Vedere le aree in cui Microsoft Entra Domain Services è pubblicato in Prodotti disponibili inbase all'area. Il servizio contiene i metadati di sistema a livello globale nelle tabelle di Azure e non contiene dati personali. Nella posizione geografica
Microsoft Entra Connect Health Microsoft Entra Connect Health genera avvisi e report in Archiviazione tabelle di Azure e archiviazione BLOB. Nella posizione geografica
Gruppi di appartenenza dinamica di Microsoft Entra, gestione gruppi self-service di Microsoft Entra L'archiviazione di Tabelle di Azure contiene le definizioni delle regole per i gruppi di appartenenza dinamica. Nella posizione geografica
Proxy dell’applicazione di Microsoft Entra Microsoft Entra application proxy archivia i metadati relativi al tenant, ai computer del connettore e ai dati di configurazione in Azure SQL. Nella posizione geografica
Writeback delle password di Microsoft Entra in Microsoft Entra Connect Durante la configurazione iniziale, Microsoft Entra Connect genera una coppia di chiavi asimmetriche usando il sistema di crittografia Rivest–Shamir-Adleman (RSA). Invia quindi la chiave pubblica al servizio cloud di reimpostazione della password self-service (SSPR), che esegue due operazioni:

1. Crea due inoltri del bus di servizio di Azure per il servizio locale Microsoft Entra Connect per comunicare in modo sicuro con il servizio SSPR
2. Genera una chiave AES (Advanced Encryption Standard), K1

I percorsi di inoltro del bus di servizio di Azure, le chiavi del listener corrispondenti e una copia della chiave AES (K1) passa a Microsoft Entra Connect nella risposta. Le comunicazioni future tra SSPR e Microsoft Entra Connect si verificano tramite il nuovo canale ServiceBus e vengono crittografate tramite SSL.
Le nuove reimpostazioni della password inviate durante l'operazione vengono crittografate con la chiave pubblica RSA generata dal client durante l'onboarding. La chiave privata nel computer Microsoft Entra Connect li decrittografa, impedendo ai sottosistemi della pipeline di accedere alla password di testo non crittografato.
La chiave AES crittografa il payload del messaggio (password crittografate, più dati e metadati), che impedisce agli utenti malintenzionati del bus di servizio di manomettere il payload, anche con accesso completo al canale ServiceBus interno.
Per il writeback delle password, Microsoft Entra Connect necessita di chiavi e dati:

- La chiave AES (K1) che crittografa il payload di reimpostazione o modifica le richieste dal servizio SSPR a Microsoft Entra Connect, tramite la pipeline ServiceBus
- La chiave privata, dalla coppia di chiavi asimmetriche che decrittografa le password, nei payload della richiesta di reimpostazione o modifica
- Le chiavi del listener ServiceBus

La chiave AES (K1) e la coppia di chiavi asimmetriche ruotano un minimo di 180 giorni, una durata che è possibile modificare durante determinati eventi di configurazione di onboarding o offboarding. Un esempio è che un cliente disabilita e riabilita il writeback delle password, che può verificarsi durante l'aggiornamento dei componenti durante il servizio e la manutenzione.
Le chiavi di writeback e i dati archiviati nel database Microsoft Entra Connect vengono crittografati da DPAPI (Data Protection Application Programming Interface) (CALG_AES_256). Il risultato è la chiave di crittografia master ADSync archiviata nell'insieme di credenziali delle credenziali di Windows nel contesto dell'account del servizio locale ADSync. L'insieme di credenziali delle credenziali di Windows fornisce una nuova crittografia automatica del segreto quando cambia la password per l'account del servizio. La reimpostazione della password dell'account di servizio invalida i segreti nell'insieme di credenziali di Windows per l'account di servizio. Le modifiche manuali a un nuovo account del servizio potrebbero invalidare i segreti archiviati.
Per impostazione predefinita, il servizio ADSync viene eseguito nel contesto di un account del servizio virtuale. L'account può essere personalizzato durante l'installazione in un account del servizio di dominio con privilegi minimi, in un account del servizio gestito (account Microsoft) o in un account del servizio gestito del gruppo .GMSA. Mentre gli account del servizio virtuale e gestito hanno una rotazione automatica delle password, i clienti gestiscono la rotazione delle password per un account di dominio con provisioning personalizzato. Come indicato, per reimpostare la password causa la perdita di segreti archiviati.		 Nella posizione geografica
Servizio Registrazione dispositivi Microsoft Entra Il servizio Registrazione dispositivi Microsoft Entra dispone della gestione del ciclo di vita del computer e del dispositivo nella directory, che abilita scenari come l'accesso condizionale dello stato del dispositivo e la gestione dei dispositivi mobili. Nella posizione geografica
Provisioning di Microsoft Entra Il provisioning di Microsoft Entra crea, rimuove e aggiorna gli utenti nei sistemi, ad esempio applicazioni Software as a Service (SaaS). Gestisce la creazione degli utenti in Microsoft Entra ID e Microsoft Windows Server Active Directory locale da origini HR cloud, ad esempio Workday. Il servizio archivia la configurazione in un'istanza di Azure Cosmos DB, che archivia i dati di appartenenza al gruppo per la directory utente che mantiene. Azure Cosmos DB replica il database in più data center nella stessa area del tenant, che isola i dati, in base al modello di soluzione cloud Microsoft Entra. La replica crea disponibilità elevata e più endpoint di lettura e scrittura. Azure Cosmos DB dispone della crittografia sulle informazioni del database e le chiavi di crittografia vengono archiviate nell'archiviazione dei segreti per Microsoft. Nella posizione geografica
Collaborazione business-to-business di Microsoft Entra (B2B) Microsoft Entra B2B Collaboration non dispone di dati di directory. Gli utenti e altri oggetti directory in una relazione B2B, con un altro tenant, generano dati utente copiati in altri tenant, che potrebbero avere implicazioni sulla residenza dei dati. Nella posizione geografica
Microsoft Entra ID Microsoft Entra ID Protection usa dati di accesso utente in tempo reale, con più segnali provenienti da origini aziendali e del settore, per alimentare i sistemi di Machine Learning che rilevano accessi anomali. I dati personali vengono eliminati dai dati di log in tempo reale prima che vengano passati al sistema di Machine Learning. I dati di accesso rimanenti identificano nomi utente e account di accesso potenzialmente rischiosi. Dopo l'analisi, i dati passano ai sistemi di creazione report Microsoft. Gli account di accesso e i nomi utente rischiosi vengono visualizzati nella creazione di report per amministratori. Nella posizione geografica
Identità gestite per le risorse di Azure Le identità gestite per le risorse di Azure con sistemi di identità gestite possono eseguire l'autenticazione ai servizi di Azure, senza archiviare le credenziali. Anziché usare nome utente e password, le identità gestite eseguono l'autenticazione ai servizi di Azure con certificati. Il servizio scrive i certificati che rilascia in Azure Cosmos DB nell'area Stati Uniti orientali, che eseguono il failover in un'altra area, in base alle esigenze. La ridondanza geografica di Azure Cosmos DB viene eseguita dalla replica globale dei dati. La replica del database inserisce una copia di sola lettura in ogni area in cui vengono eseguite le identità gestite di Microsoft Entra. Per altre informazioni, vedere Servizi di Azure che possono usare le identità gestite per accedere ad altri servizi. Microsoft isola ogni istanza di Azure Cosmos DB in un modello di soluzione cloud Microsoft Entra.
Il provider di risorse, ad esempio l'host della macchina virtuale, archivia il certificato per l'autenticazione e i flussi di identità, con altri servizi di Azure. Il servizio archivia la chiave master per accedere ad Azure Cosmos DB in un servizio di gestione dei segreti del data center. Azure Key Vault archivia le chiavi di crittografia master.		 Nella posizione geografica

Per altre informazioni sulla residenza dei dati nelle offerte di Microsoft Cloud, vedere gli articoli seguenti:

Passaggi successivi