Microsoft Entra-id en gegevenslocatie
Microsoft Entra ID is een IDaaS-oplossing (Identity as a Service) waarmee identiteiten en toegangsgegevens in de cloud worden opgeslagen en beheerd. U kunt de gegevens gebruiken om toegang tot cloudservices in te schakelen en te beheren, mobiliteitsscenario's te bereiken en uw organisatie te beveiligen. Een exemplaar van de Microsoft Entra-service, een tenant genoemd, is een geïsoleerde set mapobjectgegevens die de klant inricht en eigenaar is.
Notitie
Microsoft Entra Externe ID is een CIAM-oplossing (Identity and Access Management) voor klanten waarmee gegevens worden opgeslagen en beheerd in een afzonderlijke tenant die is gemaakt voor uw klantgerichte apps en klantdirectorygegevens. Deze tenant wordt de externe tenant genoemd. Wanneer u een externe tenant maakt, hebt u de mogelijkheid om de geografische locatie voor gegevensopslag te selecteren. Het is belangrijk te weten dat de beschikbaarheid van gegevenslocaties en regio's kan verschillen van die van Microsoft Entra-id, zoals aangegeven in dit artikel.
Core Store
De Core Store bestaat uit tenants die zijn opgeslagen in schaaleenheden, die elk meerdere tenants bevatten. Gegevensbewerkingen bijwerken of ophalen in de Microsoft Entra Core Store hebben betrekking op één tenant, op basis van het beveiligingstoken van de gebruiker, waardoor tenantisolatie wordt bereikt. Schaaleenheden worden toegewezen aan een geografische locatie. Elke geografische locatie maakt gebruik van twee of meer Azure-regio's om de gegevens op te slaan. In elke Azure-regio worden gegevens van een schaaleenheid gerepliceerd in de fysieke datacenters voor tolerantie en prestaties.
Meer informatie: Microsoft Entra Core Store Scale Units
Microsoft Entra ID is beschikbaar in de volgende clouds:
- Openbaar
- China*
- Amerikaanse overheid*
* Momenteel niet beschikbaar voor externe tenants.
In de openbare cloud wordt u gevraagd om een locatie te selecteren op het moment dat de tenant is gemaakt (bijvoorbeeld registreren voor Office 365 of Azure, of om meer Microsoft Entra-exemplaren te maken via Azure Portal). Microsoft Entra ID wijst de selectie toe aan een geografische locatie en één schaaleenheid. Tenantlocatie kan niet worden gewijzigd nadat deze is ingesteld.
De locatie die tijdens het maken van de tenant is geselecteerd, wordt toegewezen aan een van de volgende geografische locaties:
- Australië*
- Azië/Stille Oceaan
- Europa, Midden-Oosten en Afrika (EMEA)
- Japan*
- Noord-Amerika
- Wereldwijd
* Momenteel niet beschikbaar voor externe tenants.
Microsoft Entra ID verwerkt Core Store-gegevens op basis van bruikbaarheid, prestaties, locatie of andere vereisten op basis van geografische locatie. Microsoft Entra ID repliceert elke tenant via de schaaleenheid, in datacenters, op basis van de volgende criteria:
- Microsoft Entra Core Store-gegevens, opgeslagen in datacenters die zich het dichtst bij de locatie van de tenantlocatie bevinden, om de latentie te verminderen en snelle aanmeldingstijden van gebruikers te bieden
- Microsoft Entra Core Store-gegevens die zijn opgeslagen in geografisch geïsoleerde datacenters om beschikbaarheid te garanderen tijdens onvoorziene gebeurtenissen met één datacenter, onherstelbare gebeurtenissen
- Naleving van gegevenslocatie of andere vereisten voor specifieke klanten en geografische locaties
Microsoft Entra-cloudoplossingsmodellen
Gebruik de volgende tabel om microsoft Entra-cloudoplossingsmodellen te bekijken op basis van infrastructuur, gegevenslocatie en operationele soevereiniteit.
| Model | Locaties | Gegevenslocatie | Operations-personeel | Een tenant in dit model plaatsen |
|---|---|---|---|---|
| Openbare geografische locatie | Australië*, Noord-Amerika, EMEA, Japan*, Azië/Stille Oceaan | In rust, op de doellocatie. Uitzonderingen per service of functie | Beheerd door Microsoft. Het personeel van het Microsoft-datacenter moet een achtergrondcontrole doorgeven. | Maak de tenant in de registratie-ervaring. Kies de locatie voor gegevenslocatie. |
| Wereldwijd openbaar | Wereldwijd | Alle locaties | Beheerd door Microsoft. Het personeel van het Microsoft-datacenter moet een achtergrondcontrole doorgeven. | Het maken van een tenant is beschikbaar via het officiële ondersteuningskanaal en is naar eigen goeddunken van Microsoft. |
| Onafhankelijke of nationale clouds | Amerikaanse overheid*, China* | In rust, op de doellocatie. Geen uitzonderingen. | Beheerd door een gegevensbewaarder (1). Personeel wordt gescreend op basis van de vereisten. | Elke nationale cloudinstantie heeft een registratie-ervaring. |
* Momenteel niet beschikbaar voor externe tenants.
Tabelverwijzingen:
(1) Gegevensbewaarders: datacenters in de Cloud van de Amerikaanse overheid worden beheerd door Microsoft. In China wordt Microsoft Entra ID beheerd via een partnerschap met 21Vianet.
Meer informatie:
- Opslag en verwerking van klantgegevens voor Europese klanten in Microsoft Entra-id
- Wat is de Microsoft Entra-architectuur?
- De Azure-geografie zoeken die aan uw behoeften voldoet
- Microsoft Vertrouwenscentrum
Gegevenslocatie in Microsoft Entra-onderdelen
Meer informatie: Overzicht van Microsoft Entra-producten
Notitie
Raadpleeg de bijbehorende servicedocumentatie voor informatie over de locatie van servicegegevens, zoals Exchange Online of Skype voor Bedrijven.
Microsoft Entra-onderdelen en gegevensopslaglocatie
| Microsoft Entra-onderdeel | Beschrijving | Locatie voor gegevensopslag |
|---|---|---|
| Microsoft Entra-verificatieservice | Deze service is staatloos. De gegevens voor verificatie bevinden zich in de Microsoft Entra Core Store. Er zijn geen mapgegevens. Microsoft Entra Authentication Service genereert logboekgegevens in Azure Storage en in het datacenter waar het service-exemplaar wordt uitgevoerd. Wanneer gebruikers proberen te verifiëren met behulp van Microsoft Entra ID, worden ze doorgestuurd naar een exemplaar in het geografisch dichtstbijzijnde datacenter dat deel uitmaakt van de logische Microsoft Entra-regio. | Op geografische locatie |
| Microsoft Entra identity and Access Management (IAM) Services | Gebruikers- en beheerervaringen: De Microsoft Entra-beheerervaring is staatloos en heeft geen directorygegevens. Hiermee worden logboek- en gebruiksgegevens gegenereerd die zijn opgeslagen in Azure Tables Storage. De gebruikerservaring lijkt op Azure Portal. Bedrijfslogica en rapportageservices voor identiteitsbeheer: deze services hebben lokaal gegevensopslag in de cache voor groepen en gebruikers. De services genereren logboek- en gebruiksgegevens die naar Azure Tables Storage, Azure SQL en in Microsoft Elastic Search Reporting Services gaan. |
Op geografische locatie |
| Meervoudige verificatie van Microsoft Entra | Zie Gegevenslocatie en klantgegevens voor meervoudige verificatiebewerkingen voor meervoudige verificatie en retentie voor meervoudige verificatie van Microsoft Entra. Met Meervoudige verificatie van Microsoft Entra worden de UPN(User Principal Name), telefoonnummers voor spraakoproepen en sms-uitdagingen geregistreerd. Voor uitdagingen met mobiele app-modi registreert de service de UPN en een uniek apparaattoken. Datacenters in de Noord-Amerika regio slaan Microsoft Entra-meervoudige verificatie op en de logboeken die worden gemaakt. | Noord-Amerika |
| Microsoft Entra Domain Services. | Bekijk regio's waar Microsoft Entra Domain Services is gepubliceerd op producten die beschikbaar zijn per regio. De service bevat systeemmetagegevens wereldwijd in Azure Tables en bevat geen persoonlijke gegevens. | Op geografische locatie |
| Microsoft Entra Connect Health | Microsoft Entra Verbinding maken Health genereert waarschuwingen en rapporten in Azure Tables Storage en Blob Storage. | Op geografische locatie |
| Dynamisch Microsoft Entra-lidmaatschap voor groepen, selfservicegroepsbeheer van Microsoft Entra | Azure Tables Storage bevat dynamische lidmaatschapsregeldefinities. | Op geografische locatie |
| Microsoft Entra-toepassingsproxy | In de Microsoft Entra-toepassingsproxy worden metagegevens opgeslagen over de tenant, connectormachines en configuratiegegevens in Azure SQL. | Op geografische locatie |
| Microsoft Entra-wachtwoord terugschrijven in Microsoft Entra Verbinding maken | Tijdens de initiële configuratie genereert Microsoft Entra Verbinding maken een asymmetrische keypair, met behulp van het cryptosysteem Rivest-Shamir-Adleman (RSA). Vervolgens wordt de openbare sleutel verzonden naar de selfservice voor wachtwoordherstel (SSPR), die twee bewerkingen uitvoert: 1. Hiermee maakt u twee Azure Service Bus-relays voor de Microsoft Entra Verbinding maken on-premises service om veilig te communiceren met de SSPR-service 2. Genereert een AES-sleutel (Advanced Encryption Standard), K1 De Azure Service Bus Relay-locaties, bijbehorende listenersleutels en een kopie van de AES-sleutel (K1) gaat naar Microsoft Entra Verbinding maken in het antwoord. Toekomstige communicatie tussen SSPR en Microsoft Entra Verbinding maken plaatsvinden via het nieuwe ServiceBus-kanaal en worden versleuteld met SSL. Nieuwe wachtwoordherstelbewerkingen, verzonden tijdens de bewerking, worden versleuteld met de openbare RSA-sleutel die door de client wordt gegenereerd tijdens de onboarding. De persoonlijke sleutel op de Microsoft Entra-Verbinding maken-computer ontsleutelt ze, waardoor pijplijnsubsystemen geen toegang hebben tot het wachtwoord voor tekst zonder opmaak. De AES-sleutel versleutelt de nettolading van het bericht (versleutelde wachtwoorden, meer gegevens en metagegevens), waardoor kwaadwillende ServiceBus-aanvallers niet kunnen knoeien met de nettolading, zelfs met volledige toegang tot het interne ServiceBus-kanaal. Voor het terugschrijven van wachtwoorden heeft Microsoft Entra Verbinding maken sleutels en gegevens nodig: - De AES-sleutel (K1) die de nettolading opnieuw instellen versleutelt of aanvragen van de SSPR-service wijzigt naar Microsoft Entra Verbinding maken, via de ServiceBus-pijplijn - De persoonlijke sleutel, van het asymmetrische sleutelpaar waarmee de wachtwoorden worden ontsleuteld, bij het opnieuw instellen of wijzigen van nettoladingen van aanvragen - De ServiceBus-listenersleutels De AES-sleutel (K1) en de asymmetrische keypair draaien minimaal elke 180 dagen, een duur die u kunt wijzigen tijdens bepaalde onboarding- of offboarding-configuratie-gebeurtenissen. Een voorbeeld is dat een klant wachtwoord terugschrijven uitschakelt en opnieuw kan inschakelen, wat kan gebeuren tijdens de upgrade van onderdelen tijdens de service en het onderhoud. De write-backsleutels en gegevens die zijn opgeslagen in de Microsoft Entra-Verbinding maken-database, worden versleuteld door DPAPI (Data Protection Application Programming Interfaces) (CALG_AES_256). Het resultaat is de hoofd-ADSync-versleutelingssleutel die is opgeslagen in de Windows Credential Vault in de context van het on-premises ADSync-serviceaccount. De Windows Credential Vault levert automatische hercodering van geheimen wanneer het wachtwoord voor het serviceaccount wordt gewijzigd. Als u het wachtwoord van het serviceaccount opnieuw wilt instellen, worden geheimen in de Windows-referentiekluis voor het serviceaccount ongeldig gemaakt. Handmatige wijzigingen in een nieuw serviceaccount kunnen de opgeslagen geheimen ongeldig maken. De ADSync-service wordt standaard uitgevoerd in de context van een virtueel serviceaccount. Het account kan tijdens de installatie worden aangepast aan een domeinserviceaccount met minimale bevoegdheden, een beheerd serviceaccount (Microsoft-account) of een door een groep beheerd serviceaccount (gMSA). Hoewel virtuele en beheerde serviceaccounts automatische wachtwoordrotatie hebben, beheren klanten wachtwoordrotatie voor een aangepast ingerichte domeinaccount. Zoals vermeld, leidt het opnieuw instellen van het wachtwoord tot verlies van opgeslagen geheimen. |
Op geografische locatie |
| Microsoft Entra Device Registration Service | Microsoft Entra Device Registration Service heeft computer- en apparaatlevenscyclusbeheer in de directory, waarmee scenario's zoals voorwaardelijke toegang voor apparaatstatus en beheer van mobiele apparaten mogelijk zijn. | Op geografische locatie |
| Microsoft Entra-inrichting | Met Microsoft Entra-inrichting worden gebruikers in systemen gemaakt, verwijderd en bijgewerkt, zoals SaaS-toepassingen (Software as a Service). Het beheert het maken van gebruikers in Microsoft Entra ID en on-premises Microsoft Windows Server Active Directory vanuit HR-bronnen in de cloud, zoals Workday. De service slaat de configuratie op in een Azure Cosmos DB-exemplaar, waarin de groepslidmaatschapsgegevens worden opgeslagen voor de gebruikersmap die wordt bewaard. Azure Cosmos DB repliceert de database naar meerdere datacenters in dezelfde regio als de tenant, waarmee de gegevens worden geïsoleerd volgens het Microsoft Entra-cloudoplossingsmodel. Replicatie maakt hoge beschikbaarheid en meerdere lees- en schrijfeindpunten. Azure Cosmos DB heeft versleuteling voor de databasegegevens en de versleutelingssleutels worden opgeslagen in de geheimenopslag voor Microsoft. | Op geografische locatie |
| Samenwerking tussen Microsoft Entra entra business-to-business (B2B) | Microsoft Entra B2B-samenwerking heeft geen adreslijstgegevens. Gebruikers en andere mapobjecten in een B2B-relatie, met een andere tenant, resulteren in gebruikersgegevens die zijn gekopieerd in andere tenants, wat gevolgen kan hebben voor de gegevenslocatie. | Op geografische locatie |
| Microsoft Entra ID-beveiliging | Microsoft Entra ID Protection maakt gebruik van realtime gebruikersaanmeldingsgegevens, met meerdere signalen van bedrijfs- en branchebronnen, om de machine learning-systemen te voeden die afwijkende aanmeldingen detecteren. Persoonlijke gegevens worden verwijderd uit realtime aanmeldgegevens voordat deze worden doorgegeven aan het machine learning-systeem. De resterende aanmeldingsgegevens identificeren mogelijk riskante gebruikersnamen en aanmeldingen. Na analyse worden de gegevens naar Microsoft-rapportagesystemen verzonden. Riskante aanmeldingen en gebruikersnamen worden weergegeven in rapportage voor Beheer istrators. | Op geografische locatie |
| Beheerde identiteiten voor Azure-resources | Beheerde identiteiten voor Azure-resources met beheerde identiteitssystemen kunnen worden geverifieerd bij Azure-services, zonder referenties op te slaan. In plaats van gebruikersnaam en wachtwoord te gebruiken, worden beheerde identiteiten geverifieerd bij Azure-services met certificaten. De service schrijft certificaten die worden uitgegeven in Azure Cosmos DB in de regio VS - oost, die indien nodig een failover naar een andere regio uitvoert. Georedundantie van Azure Cosmos DB vindt plaats door globale gegevensreplicatie. Databasereplicatie plaatst een alleen-lezen kopie in elke regio die door Microsoft Entra beheerde identiteiten worden uitgevoerd. Zie Azure-services die beheerde identiteiten kunnen gebruiken voor toegang tot andere services voor meer informatie. Microsoft isoleert elke Azure Cosmos DB-instantie in een Microsoft Entra-cloudoplossingsmodel. De resourceprovider, zoals de host van de virtuele machine (VM), slaat het certificaat op voor verificatie en identiteitsstromen, met andere Azure-services. De service slaat de hoofdsleutel op voor toegang tot Azure Cosmos DB in een datacentrum-service voor geheimenbeheer. Azure Key Vault slaat de hoofdversleutelingssleutels op. |
Op geografische locatie |
Verwante resources
Zie de volgende artikelen voor meer informatie over gegevenslocatie in Microsoft Cloud-aanbiedingen:
- Gegevenslocatie in Azure | Microsoft Azure
- Microsoft 365-gegevenslocaties - Microsoft 365 Enterprise
- Microsoft-privacy: waar bevinden uw gegevens zich?
- PDF downloaden: Privacyoverwegingen in de cloud
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor