EU データ境界に対する Azure 非リージョン サービスの構成

Azure 非リージョン サービス (リージョン 別の Azure 製品で完全な一覧を見つけることができます) は、特定の Azure リージョンに依存せず、現在、お客様がデプロイ リージョンを指定できないサービスです。 これらのサービスは、Azure のグローバル クラウドの一部として常に利用できるように設計および最適化されています。 EU のお客様のデータ所在地要件を満たすための EU データ境界コミットメントの一環として、これらのサービスの多くと、それらをサポートする Azure プラットフォームのコア コンポーネントが再設計されています。 この作業には、広範なサービスとプラットフォームの再設計が含まれるものがあります。 一部の Azure 非リージョン サービスでは、この作業が完了しています。その他の場合は作業が進行中であり、サービスは 2024 年を通じてさまざまなスケジュールで EU データ境界で利用できるようになります。 このドキュメントでは、EU データ境界コミットメントを既に満たしている Azure 非リージョン サービスの一覧と、顧客データと仮名化された個人データを EU データ境界に格納および処理するようにサービスを構成する方法について説明します。 EU データ境界外の残余データ転送を伴う Azure 非リージョン サービスの詳細については、「 EU データ境界およびサービスから一時的に除外されるサービス 」を参照してください。これにより 、顧客データまたは仮名化された個人データのサブセットが EU データ境界から一時的に転送されます。

顧客データまたは仮名化された個人データを処理しない地域以外のサービス

次の Azure 非リージョン サービスでは、顧客データや仮名化された個人データは保存または処理されません。

• Azure Advisor
• Azure DNS
• Azure Lighthouse
• Azure Resource Mover
• Azure Service Health
• Traffic Manager

リージョンで構成できるクラウド コンポーネントを備えた顧客デバイス

Azure では、Azure サービスと機能を任意の環境に拡張できる、複数のハイブリッドおよび IoT ソリューションとデバイスがサポートされています。 これらのソリューションは非リージョンと見なされますが、デバイスを購入した後は、Azure への接続を構成して、特定の地理的な場所に顧客データと仮名化された個人データを格納して処理できます。 EU の場所を選択すると、顧客データと仮名化された個人データが EU データ境界内に保存および処理されます。

各サービスの構成の詳細については、以下で説明します。

Azure Sphere

Azure Sphere セキュリティ サービスは、毎日の構成証明セキュリティ検証を可能にする、お客様向けのグローバル セキュリティ サービスであり、Azure Sphere 対応デバイスの OS と顧客が提供するアプリケーション更新プログラムを管理するセキュリティで保護されたソフトウェア サプライ チェーンです。 新しい リージョン データ境界 パラメーターを使用して、顧客データを含む可能性のあるアプリケーション バイナリ ファイルが、EU ベースの Microsoft Product Release and Security Services (PRSS) 署名サービスによって署名され、EU にある Azure Sphere BLOB ストレージに格納されるように指定できるようになりました。 詳細については、「 Azure Sphere CLI イメージ コマンド」を参照してください。

Azure Stack Edge

Azure Stack Edge デバイスを使用すると、デバイスを接続する Azure 地理的な場所を選択できます。 Edge データはこのリージョンに格納され、処理されます。 リージョンの可用性とリージョンの選択の詳細については、「GPU を使用 した Microsoft Azure Stack Edge Pro のリージョンの選択」を参照してください。

Azure Stack HCI

Azure Stack HCI クラスターを登録するときは、登録、課金、管理のためにクラスターが接続される、サポートされている EU ベースの Azure Stack HCI リージョンのいずれかを選択します。 詳細については、「 Azure Stack HCI を Azure に接続する」を参照してください。

Azure Stack Hub

Azure Stack Hub のお客様は、既存の Azure Stack Hub デプロイでのデータ処理の地理的設定を選択できます。 新しい Azure Stack Hub デプロイでは、デプロイ プロセス中に地理的リージョンを設定できます。 Edge データはこのリージョンに格納され、処理されます。 詳細については、「 Azure Stack Hub のセキュリティ制御」を参照してください。

Azure Data Box

Data Box を注文するときは、ソース国と移行先の Azure リージョンの両方を指定します。 Data Box では、宛先と同じ国/地域内でのみデータ インジェストまたはエグレスがサポートされ、国際国境を越えることはありません。 唯一の例外は、データ ボックスが EU の国/地域との間で出荷できる EU での注文です。 詳細については、「 Azure Data Box、Azure Data Box Heavy FAQ」を参照してください。

Azure Monitor コンポーネント

Azure Monitor は、クラウドおよびオンプレミス環境からシステム生成および診断データを収集、分析、および処理するための包括的なソリューションを提供します。 Azure Monitor は EU データ境界で利用でき、以下のセクションで特定され、顧客データまたは仮名化された個人データのサブセットを EU データ境界から一時的に転送するサービスで詳しく説明されている特定のシナリオを除き、すべての 顧客データと仮名化された個人データを EU データ境界に格納して処理できます。

EU データ境界で使用できるコンポーネント

指標

メトリック は、 監視対象のリソース から時系列データベースに数値データを収集する Azure Monitor の機能です。 メトリックは、一定の間隔で収集され、特定の時間にシステムのいくつかの側面を記述する数値です。 詳細については、 Azure Monitor メトリックのメトリックの種類に関するページを参照してください。 Azure Monitor は、サブスクリプションごとにメトリックを追跡し、そのサブスクリプションの管理者が使用できるようにします。 メトリックは、顧客データを格納または処理しません。

注意

カスタム メトリックを作成して格納できるパブリック プレビュー機能を使用すると、顧客データをメトリックに追加することができ、このデータはグローバルに保存および処理されます。 Microsoft Online Services のプレビュー機能は、EU データ境界またはデータ所在地コミットメントの範囲にありません。

アクティビティ ログ

すべての Azure リソース プロバイダーは、サブスクリプション レベルのイベントに関する分析情報を提供する監査 ログ (アクティビティ ログとも呼ばれます) を収集します。 これらのログには、一部のリソースの種類の顧客データと仮名化された個人データが含まれます。 EU で発信されるデータは EU に格納されます。それ以外の場合、このデータはグローバルに格納されます。

診断ログ

診断ログ は、Azure リソースと、それらが依存する Azure プラットフォームの詳細な診断情報を提供します。 これらのログは、顧客が選択した宛先にルーティングするまで収集されません。 詳細については、「 Azure Monitor の診断設定」を参照してください。

アラートとアクション グループ

アラート と アクション グループ は、Log Analytics ワークスペースまたは Application Insights リソースに基づいて構築されます。これらはどちらも Geo で調整されています。 顧客が EU のアクション グループ エンドポイントに送信したデータは EU に格納され、アラートがトリガーされて電子メール、テキスト、または電話が送信されたときに、EU ベースの SMS システムが使用されます。

このワークフローは、EU 内で完全に実行されると、EU 内のすべての顧客データと仮名化された個人データを格納して処理します。 エンジニアが米国東部など、EU 外でリソースを作成し、このワークフローの監視が米国東部にも設定されている場合、通知が EU 内のパートナーに送信された場合でも、アラート ワークフローは米国で実行されます。

Log Analytics

Log Analytics は、サービスの作成時に選択した Geo 内のすべての顧客データと仮名化された個人データを格納および処理する Azure リージョン サービスです。

EU データ境界で使用できないコンポーネント

アプリケーション変更分析

アプリケーション変更分析は、Azure Resource Graph 上に構築され、複数のインフラストラクチャとアプリケーション デプロイ レイヤー全体の変更に関する分析情報を提供します。 変更分析データは現在、グローバルに保存および処理されていますが、将来的にはリージョン モデルに移行されます。 詳細については、「 顧客データまたは仮名化された個人データのサブセットを EU データ境界から一時的に転送するサービス」を参照してください。

Applications Insights

Application Insights は、サービスの作成時に選択した Geo 内のすべての顧客データを格納および処理する Azure リージョン サービスです。 EU データ境界から顧客データまたは仮名化された個人データ のサブセットを一時的に転送するサービスで説明されているように、仮名化された個人データを EU データ境界に格納して処理する作業が進行中です。

EU データ境界で利用可能なその他のリージョン以外のサービス

これらのサービスはすべて、EU データ境界で使用するように構成できます。 次のセクションでは、EU データ境界に顧客データと仮名化された個人データを格納および処理するように、一覧表示された非リージョン サービスを構成する方法について説明します。

各サービスの構成の詳細については、次のセクションで説明します。

Azure Bot Service

Azure Bot Serviceには、インテリジェント ボットの構築、テスト、デプロイ、管理を行うライブラリ、ツール、サービスのコレクションが用意されています。 Bot Serviceを使用すると、EU データ境界内にボットを作成でき、ボットに関連するすべてのデータ プレーン関連データが EU 内に格納および処理されます。 顧客データと仮名化された個人データは、顧客データ のサブセットまたは仮名化された個人データを EU データ境界から一時的に転送するサービスに記載されている特定の残余転送とは別に、EU データ境界に保存および処理されます。 ボットにリージョン設定を追加する方法の詳細については、「地域化のサポート - Bot Service」を参照してください。

Azure Communication Services

Azure Communication Services リソースを作成するときは、(Azure リージョンではなく) geography を指定します。 すべてのチャット メッセージとリソース データは、Communication Services によって内部的に選択されたリージョンに、その地域に格納されます。 EU データ境界の一部であるヨーロッパの地域またはいずれかの国の地域を選択すると、顧客データのサブセットまたは仮名化された個人データを EU データ境界から一時的に転送するサービスに記載されている特定の残余転送とは別 に、顧客データと仮名化された個人データが EU データ境界に保存され、処理されます。 詳細については、「Azure Communication Servicesのリージョンの可用性とデータ所在地」を参照してください。

Azure Stack HCI 上のAzure Kubernetes Service

Azure Stack HCI 上のAzure Kubernetes Serviceは、クラスターの構成時に選択したリージョンにデータを送信します。 含まれる顧客データはすべて、このリージョンに格納され、処理されます。

Azure Migrate

Azure Migrate プロジェクトを作成するときは、(Azure リージョンではなく) 地域を指定します。 オンプレミス環境から収集されたすべてのメタデータは、プロジェクトを作成した場所に安全に格納され、処理されます。 EU で地域を選択すると、データが EU データ境界に保存され、処理されます。 各地域に関連付けられている特定のメタデータの場所については、「 Azure Migrate でサポートされている地域」を参照してください。 詳細については、「Azure Migrate アプライアンス FAQ - データの格納方法」を参照してください。

Azure Virtual Desktop

新しい Azure Virtual Desktop ホスト プールを作成するときは、そのホスト プールのメタデータが作成される Azure リージョンを指定します。 これにより、ホスト プールに関連付けられている情報 (ホスト プールまたはアプリケーション名を含む) が格納される場所が決まります。 いずれかの EU リージョンを選択した場合、このデータは EU 内でのみ保存および処理されます。 Microsoft は、ユーザーまたはユーザーが自分の Azure Virtual Desktop Virtual Machinesにアクセスできる場所を制御または制限しません。 詳細については、「 Azure Virtual Desktop のデータの場所」を参照してください。 お客様の管理者は、[デバイス リダイレクトの構成] を使用して、ローカル デバイスへのファイルの転送 を構成することもできます。

Azure VM イメージ ビルダー

Azure VM Builder: EU リージョンで作成された仮想マシン (VM) イメージ テンプレートの場合、データのストレージと処理は EU で行われます。 詳細については、「 Azure Image Builder Bicep ファイルまたは ARM JSON テンプレートを作成する」を参照してください。

Cloud Shell

Cloud Shellは、Azure リソースを管理するための対話型の認証されたブラウザーからアクセスできるターミナルです。 Cloud Shellを使用すると、EU データ境界でCloud Shellリージョンを選択することで、EU データ境界内に新しいストレージを作成できます。 顧客データは、Cloud Shellに保存または処理されず、仮名化された個人データは、EU データ境界に保存され、EU データ境界から顧客データまたは仮名化された個人データのサブセットを一時的に転送するサービスに記載されている特定の残余転送とは別に、EU データ境界に保存および処理されます。 詳細については、「Azure Cloud Shellでファイルを永続化する」を参照してください。

Microsoft Entra IDと Azure Active Directory B2C

Microsoft Entra IDと Azure Active Directory B2C: Microsoft Entra テナントには、ユーザーを管理するためのディレクトリが含まれており、organizationで使用されるアプリケーションとリソースに ID とアクセス管理 (IAM) 機能が提供されます。 Microsoft Entra テナントを作成するときは、場所として地域 (Azure リージョンではなく) を指定します。 EU データ境界の一部である場所を選択すると、顧客データと仮名化された個人データは、次の場所に記載されている特定の残余転送とは別に、EU データ境界に保存および処理されます。

• 顧客データまたは仮名化された個人データのサブセットを EU データ境界から継続的に転送するサービス
• 顧客データまたは仮名化された個人データのサブセットを EU データ境界から一時的に転送するサービス
• 顧客データまたは仮名化された個人データを EU データ境界から転送するオプションのサービス機能

詳細については、「クイック スタート: Microsoft Entra IDで新しいテナントを作成する」を参照してください。 [プロパティ] ページに移動し、関連付けられている国または地域の値が EU データ境界の一部であることを確認することで、Microsoft Entra 管理センターを使用して、Microsoft Entra ディレクトリ データの場所を確認できます。

Microsoft Fabric

Microsoft Fabric の場合、顧客のサービス テナントがホストされる地理的領域 (Geo) は、サインアップした最初のユーザーによって決定されます。 詳細については、「 Power BI の実装計画: テナントのセットアップ」を参照してください。 お客様は、EU データセンターの場所でテナントとすべての Microsoft Fabric 容量をプロビジョニングすることで、EU データ境界のスコープ内にサービスを構成できます。 顧客データと仮名化された個人データは、顧客データのサブセットまたは仮名化された個人データを継続的に EU データ境界から転送するサービスに記載されている特定の残余転送とは別 に、EU データ境界に保存および処理されます。

Fabric では、新しい Microsoft Fabric 容量を作成するときに顧客データが格納されている Azure リージョンを選択することもできます。 一覧表示される既定のオプションは、テナント ホーム リージョンです。 そのリージョンを選択すると、関連するすべてのデータ (顧客データを含む) がその Geo に格納されます。 別のリージョンを選択した場合、一部の顧客データは引き続きホーム Geo に保存されます。 EU 内のリージョンを選択すると、顧客データは EU データ境界に格納されます。

• テナントのホーム リージョンを見つけるには、「Fabric の ホーム リージョンを検索する」を参照してください。
• [Multi-Geo] オプションを使用して場所を変更する方法と、新しい Geo とホーム Geo に格納される情報の詳細については、「 Fabric Premium の Multi-Geo サポートを構成する」を参照してください。

Power BI Embedded

Power BI Embedded分析を使用すると、レポート、ダッシュボード、タイルなどの Power BI アイテムを Web アプリケーションまたは Web サイトに埋め込むことができます。 新しいPower BI Embedded リソースを作成するときに、容量を格納するワークスペース データとコンテンツを使用する Azure リージョンを選択できます。 一覧表示される既定のオプションは、テナント ホーム リージョンです。そのリージョンを選択すると、すべてのデータとコンテンツがその Geo に格納されます。 別のリージョンを選択した場合、一部のデータとコンテンツは引き続きホーム Geo に保存されます。

• テナントのホーム リージョンを見つけるには、「Power BI サービスのデータが格納されている場所」を参照してください。
• Multi-Geo オプションを使用して場所を変更する方法と、新しい Geo とホーム Geo に格納される情報の詳細については、「Power BI Embedded分析の複数地域のサポート」および「Power BI Premiumに対する複数地域のサポートの構成: 考慮事項と制限事項」を参照してください。

Translator

データを EU 内で保存および処理する必要があるお客様のために、 Translator はヨーロッパのエンドポイント (api-eur.cognitive.microsofttranslator.com) を提供します。 Translator European エンドポイントを使用する場合、要求は EU データ境界内のデータセンターによってのみ処理されます。 EU データ境界内のデータセンターが利用できない場合、要求は処理されないため、エラーが返されます。 欧州エンドポイントに送信されるすべての要求は、要求が EU 外から発信された場合でも、EU でのみ処理されます。 詳細については、「 Translator V3.0 リファレンス - Azure Cognitive Services」を参照してください。