Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Entra ID to rozwiązanie tożsamości jako usługi (IDaaS), które przechowuje tożsamość i dostęp do danych w chmurze oraz zarządza nimi. Możesz użyć tych danych, aby włączyć dostęp do usług w chmurze i zarządzać nim, osiągnąć scenariusze mobilności i zabezpieczyć organizację. Instancja usługi Microsoft Entra ID, nazywana dzierżawą, jest izolowanym zestawem danych obiektów katalogu, które klient aprowizuje i do których ma wyłączne prawa własności.
Uwaga
Microsoft Entra External ID to rozwiązanie do zarządzania tożsamościami klientów i dostępem (CIAM) z opcją i elastycznością przechowywania danych i zarządzania nimi w oddzielnej dzierżawie utworzonej dla aplikacji przeznaczonych dla klientów i danych katalogu klienta. Ta dzierżawa jest nazywana dzierżawą zewnętrzną. Podczas tworzenia dzierżawy zewnętrznej możesz wybrać lokalizację geograficzną (wyświetlaną jako "Kraj/region" w portalu administracyjnym) dla magazynu danych. Należy pamiętać, że lokalizacje danych i dostępność regionów mogą różnić się od tych z identyfikatora Entra firmy Microsoft, jak wskazano w tym artykule.
Magazyn podstawowy
Core Store składa się z dzierżaw przechowywanych w jednostkach skalujących, z których każdy zawiera wiele dzierżaw. Operacje aktualizacji lub pobierania danych w Microsoft Entra Core Store dotyczą jednej dzierżawy na podstawie żetonu użytkownika, co umożliwia izolację tej dzierżawy. Jednostki skalowania są przypisywane do lokalizacji geograficznej. Każda lokalizacja geograficzna używa co najmniej dwóch regionów świadczenia usługi Azure do przechowywania danych. W każdym regionie świadczenia usługi Azure dane jednostki skalowania są replikowane w fizycznych centrach danych pod kątem odporności i wydajności, zgodnie z opisem w architektury Microsoft Entra.
Aby uzyskać więcej informacji na temat Core Store, zobacz Microsoft Entra Core Store Scale Units. Aby uzyskać więcej informacji na temat regionów świadczenia usługi Azure, zobacz lokalizacje geograficzne platformy Azure.
Identyfikator Entra firmy Microsoft jest dostępny w następujących chmurach:
- Publiczny
- Chiny (2)
- Rząd USA (2)
(2) Obecnie niedostępne dla najemców zewnętrznych.
W chmurze publicznej zostanie wyświetlony monit o wybranie lokalizacji (wyświetlanej jako "Kraj/region" w portalu administracyjnym) w momencie tworzenia dzierżawy (na przykład zarejestrowanie się w usłudze Office 365 lub na platformie Azure lub utworzenie większej liczby wystąpień usługi Microsoft Entra za pośrednictwem witryny Azure Portal). Microsoft Entra ID mapuje wybór na lokalizację geograficzną i pojedynczą jednostkę skalowania. Nie można zmienić lokalizacji dzierżawy po jej ustawieniu.
Lokalizacja wybrana podczas tworzenia dzierżawy będzie przypisana do jednej z następujących lokalizacji geograficznych.
- Australia (1)
- Azja/Pacyfik
- Europa, Bliski Wschód i Afryka (EMEA)
- Japonia (1)
- Ameryka Północna
- Cały świat
(1) Dostępne dla dzierżaw zewnętrznych z dodatkiem Go-Local.
Microsoft Entra ID zarządza danymi magazynu Core Store na podstawie użyteczności, wydajności, miejsca przechowywania lub innych wymagań w oparciu o lokalizację geograficzną. Microsoft Entra ID replikuje każdą dzierżawę za pośrednictwem swojej jednostki skalowania, w centrach danych, na podstawie następujących kryteriów:
- Dane usługi Microsoft Entra Core Store przechowywane w centrach danych najbliżej lokalizacji rezydencji dzierżawy, aby zmniejszyć opóźnienia i zapewnić szybkie logowanie użytkowników
- Microsoft Entra Core Store dane przechowywane w geograficznie izolowanych centrach danych, co ma zapewnić dostępność podczas nieprzewidzianych katastrofalnych zdarzeń w pojedynczych centrach danych.
- Zgodność z miejscem przechowywania danych lub innymi wymaganiami dla określonych klientów i lokalizacji geograficznych
Modele rozwiązań firmy Microsoft Entra w chmurze
W poniższej tabeli przedstawiono modele rozwiązań firmy Microsoft Entra w chmurze oparte na infrastrukturze, lokalizacji danych i niezależności operacyjnej.
| Model | Lokalizacje | Lokalizacja danych | Personel operacyjny | Umieszczenie najemcy w tym modelu |
|---|---|---|---|---|
| Publiczna lokalizacja geograficzna | Australia (1), Ameryka Północna, EMEA, Japonia (1), Azja/Pacyfik | W spoczynku w lokalizacji docelowej. Wyjątki dotyczące składnika usługi lub funkcji, wymienione w następnej sekcji | Obsługiwane przez firmę Microsoft. Personel ośrodka danych firmy Microsoft musi przejść sprawdzenie przeszłości. | Utwórz dzierżawcę w procesie rejestracji. Wybierz lokalizację miejsca przechowywania danych. |
| Publiczne na całym świecie | Cały świat | Wszystkie lokalizacje | Obsługiwane przez firmę Microsoft. Personel centrum danych Microsoft musi przejść kontrolę przeszłości. | Tworzenie dzierżawy jest dostępne za pośrednictwem oficjalnego kanału pomocy technicznej i zależy od dyskrecji firmy Microsoft. |
| Suwerenne lub krajowe chmury | Rząd USA (2), Chiny (2) | W spoczynku w lokalizacji docelowej. Bez wyjątków. | Obsługiwane przez opiekuna danych (3). Personel jest sprawdzany zgodnie z wymaganiami. | Każde wystąpienie chmury krajowej ma proces rejestracji. |
Odwołania do tabel:
- Te miejsca są dostępne dla najemców zewnętrznych z dodatkiem Go-Local.
- (2) Te lokalizacje nie są obecnie dostępne dla dzierżaw zewnętrznych.
- (3) Opiekunowie danych: centra danych w chmurze dla instytucji rządowych USA są obsługiwane przez firmę Microsoft. W Chinach firma Microsoft Entra ID jest obsługiwana we współpracy z firmą 21Vianet.
Więcej informacji:
- Przechowywanie i przetwarzanie danych klienta dla klientów europejskich w usłudze Microsoft Entra ID
- magazyn danych klienta dla klientów australijskich i nowozelandzkich w usłudze Microsoft Entra ID i magazyn danych tożsamości dla klientów australijskich i nowozelandzkich w usłudze Microsoft Entra ID
- magazyn danych klienta dla klientów z Japonii w usłudze Microsoft Entra ID
- Centrum zaufania firmy Microsoft — gdzie znajdują się twoje dane
Lokalizacja danych w komponentach Microsoft Entra
Dowiedz się więcej: Omówienie produktu Microsoft Entra
Uwaga
Aby zrozumieć lokalizację danych usługi dla innych usług poza Microsoft Entra ID, takich jak Exchange Online czy Skype dla firm, zapoznaj się z odpowiednią dokumentacją usługi i Centrum Zaufania .
Składniki Microsoft Entra i miejsce przechowywania danych
| Składnik Microsoft Entra | opis | Lokalizacja przechowywania danych |
|---|---|---|
| Usługa uwierzytelniania entra firmy Microsoft | Ta usługa jest bezstanowa. Dane uwierzytelniania są w sklepie Microsoft Entra Core Store. Nie ma danych katalogu. Usługa uwierzytelniania Entra firmy Microsoft generuje dane logów w usłudze Azure Storage oraz w centrum danych, gdzie działa wystąpienie usługi. Gdy użytkownicy próbują uwierzytelnić się za pomocą Microsoft Entra ID, są przekierowani do instancji w geograficznie najbliższym centrum danych, które jest częścią jego regionu logicznego Microsoft Entra. | W lokalizacji geograficznej |
| Usługi zarządzania tożsamościami i dostępem Microsoft Entra (IAM) |
Doświadczenia użytkowników i zarządzania: Doświadczenie zarządzania Microsoft Entra jest bezstanowe i nie zawiera danych katalogu. Generuje on dane dziennika i użycia przechowywane w usłudze Azure Tables Storage. Środowisko użytkownika jest podobne do witryny Azure Portal. Usługi biznesowe i usługi raportowania zarządzania tożsamościami: te usługi mają lokalnie buforowany magazyn danych dla grup i użytkowników. Usługi generują dane dziennika i użycia, które przechodzą do usługi Azure Tables Storage, Azure SQL i Microsoft Elastic Search reporting Services. |
W lokalizacji geograficznej |
| Uwierzytelnianie wieloskładnikowe Microsoft Entra | Aby uzyskać szczegółowe informacje na temat przechowywania danych i czasu ich przechowywania dla operacji uwierzytelniania wieloskładnikowego, zobacz Rezydencja danych i dane klientów dla uwierzytelniania wieloskładnikowego Microsoft Entra. Microsoft Entra uwierzytelnianie wieloskładnikowe rejestruje Nazwę główną użytkownika (UPN), numery telefonów połączeń głosowych i wyzwania SMS. W przypadku problemów z trybami aplikacji mobilnych, usługa zapisuje UPN oraz unikatowy token urządzenia. | Ameryka Północna i/lub lokalizacja geograficzna |
| Usługi domenowe Microsoft Entra | Zobacz regiony, w których usługi Microsoft Entra Domain Services są publikowane w produktach dostępnych według regionów. Usługa przechowuje metadane systemu globalnie w tabelach platformy Azure i nie zawiera żadnych danych osobowych. | W geograficznej lokalizacji |
| Microsoft Entra Connect Health | Program Microsoft Entra Connect Health generuje alerty i raporty w magazynie tabel Azure i magazynie obiektów Blob. | W położeniu geograficznym |
| Microsoft Entra dynamiczne grupy członkostwa, Microsoft Entra samoobsługowe zarządzanie grupami | Usługa Azure Tables Storage przechowuje definicje reguł dla dynamicznych grup członkostwa. | W geograficznej lokalizacji |
| Proxy aplikacji Microsoft Entra | Proxy aplikacji Microsoft Entra przechowuje metadane dotyczące dzierżawy, maszyn łączników i danych konfiguracji w bazie danych Azure SQL. | W lokalizacji geograficznej |
| Zapisywanie zwrotne haseł w Microsoft Entra przy użyciu Microsoft Entra Connect | Podczas początkowej konfiguracji program Microsoft Entra Connect generuje asymetryczny klucz, używając systemu kryptograficznego Rivest–Shamir-Adleman (RSA). Następnie wysyła klucz publiczny do usługi w chmurze samoobsługowego resetowania hasła (SSPR), która wykonuje dwie operacje: 1. Tworzy dwa przekaźniki usługi Azure Service Bus dla lokalnej usługi Microsoft Entra Connect w celu bezpiecznego komunikowania się z usługą samoobsługowego resetowania hasła (SSPR) . Generuje klucz Advanced Encryption Standard (AES), K1 Lokalizacje przekaźnika usługi Azure Service Bus, odpowiadające klucze słuchacza i kopia klucza AES (K1) są przekazywane do usługi Microsoft Entra Connect w odpowiedzi. W przyszłości komunikacja między SSPR a programem Microsoft Entra Connect będzie się odbywać za pośrednictwem nowego kanału ServiceBus i będzie szyfrowana przy użyciu protokołu SSL. Nowe resetowanie haseł, przesyłane w trakcie operacji, są szyfrowane przy użyciu klucza publicznego RSA wygenerowanego przez klienta podczas onboardingu. Klucz prywatny na maszynie Microsoft Entra Connect odszyfrowuje je, co uniemożliwia podsystemom potoków uzyskiwanie dostępu do hasła w postaci zwykłego tekstu. Klucz AES szyfruje ładunek komunikatu (zaszyfrowane hasła, więcej danych i metadanych), co uniemożliwia złośliwym osobom atakującym usługi ServiceBus manipulowanie ładunkiem, nawet przy pełnym dostępie do wewnętrznego kanału usługi ServiceBus. W przypadku zapisywania zwrotnego haseł Microsoft Entra Connect potrzebuje kluczy i danych: — klucz AES (K1), który szyfruje ładunki resetowania lub żądań zmiany z usługi SSPR do Microsoft Entra Connect, za pośrednictwem potoku ServiceBus — klucz prywatny z pary kluczy asymetrycznych, który odszyfrowuje hasła w ładunkach resetowania lub żądaniach zmiany — klucze odbiornika ServiceBus Klucz AES (K1) i para kluczy asymetrycznych są rotowane co najmniej co 180 dni, przy czym czas ten można zmienić podczas niektórych zdarzeń konfiguracji dołączania lub odłączania. Przykładem jest sytuacja, gdy klient wyłącza i ponownie włącza przywracanie zapisów hasła, co może nastąpić podczas aktualizacji składnika podczas obsługi i konserwacji. Klucze zapisywania zwrotnego i dane przechowywane w bazie danych Microsoft Entra Connect są szyfrowane za pomocą interfejsów programowania aplikacji ochrony danych (DPAPI) (CALG_AES_256). Wynikiem jest główny klucz szyfrowania ADSync przechowywany w magazynie poświadczeń systemu Windows w kontekście lokalnego konta usługi ADSync. Magazyn poświadczeń systemu Windows oferuje automatyczne ponowne zaszyfrowanie tajnych danych, gdy hasło konta usługi zostaje zmienione. Aby zresetować hasło konta usługi, unieważnia wpisy tajne w magazynie poświadczeń systemu Windows dla konta usługi. Ręczne zmiany na nowym koncie usługi mogą spowodować unieważnienie przechowywanych wpisów tajnych. Domyślnie usługa ADSync jest uruchamiana w kontekście konta usługi wirtualnej. Konto można dostosować podczas instalacji do konta usługi domeny z najniższymi uprawnieniami, zarządzanego konta usługi (konta Microsoft) lub konta usługi zarządzanej przez grupę (gMSA). Konta usług wirtualnych i zarządzanych mają automatyczną rotację haseł, ale klienci zarządzają rotacją haseł dla niestandardowego aprowizowanego konta domeny. Jak wspomniano, resetowanie hasła powoduje utratę przechowywanych wpisów tajnych. |
W lokalizacji geograficznej |
| Usługa rejestracji urządzeń Microsoft Entra | Usługa Microsoft Entra Device Registration Service oferuje zarządzanie cyklem życia komputerów i urządzeń w katalogu, co umożliwia scenariusze takie jak dostęp warunkowy na podstawie stanu urządzenia oraz zarządzanie mobilnymi urządzeniami. | W lokalizacji geograficznej |
| Microsoft Entra zarządzanie | Firma Microsoft Entra provisioning tworzy, usuwa i aktualizuje użytkowników w systemach, takich jak aplikacje oprogramowania jako usługi (oprogramowanie jako usługa) (SaaS). Zarządza tworzeniem użytkowników w usłudze Microsoft Entra ID i lokalnej usłudze Microsoft Windows Server Active Directory z chmurowych źródeł HR, takich jak Workday. Usługa przechowuje konfigurację w instancji Azure Cosmos DB, która przechowuje dane członkostwa w grupie dla katalogu użytkowników, który przechowuje. Usługa Azure Cosmos DB replikuje bazę danych do wielu centrów danych w tym samym regionie co klient, co zapewnia izolację danych zgodnie z modelem rozwiązania chmurowego Microsoft Entra. Replikacja tworzy wysoką dostępność oraz wiele punktów końcowych odczytu i zapisu. Usługa Azure Cosmos DB ma szyfrowanie informacji o bazie danych, a klucze szyfrowania są przechowywane w magazynie tajnych danych firmy Microsoft. | W lokalizacji geograficznej |
| Współpraca B2B w Microsoft Entra | Współpraca firmy Microsoft Entra B2B nie ma danych katalogowych. Użytkownicy i inne obiekty katalogowe we współpracy B2B z innym najemcą powodują skopiowanie danych użytkownika u pozostałych najemców, co może mieć wpływ na miejsce przechowywania danych. | W lokalizacji geograficznej |
| Microsoft Entra ID — ochrona | Ochrona tożsamości Microsoft Entra używa danych logowania użytkowników w czasie rzeczywistym z wieloma sygnałami ze źródeł firmowych i branżowych, aby nakarmić swoje systemy uczenia maszynowego, które wykrywają nietypowe logowania. Dane osobowe są czyszczone z danych logowania w czasie rzeczywistym przed przekazaniem ich do systemu uczenia maszynowego. Pozostałe dane logowania identyfikują potencjalnie ryzykowne nazwy użytkowników i identyfikatory logowania. Po analizie dane przechodzą do systemów raportowania firmy Microsoft. Ryzykowne logowania i nazwy użytkowników są wyświetlane w raportach dla administratorów. | W lokalizacji geograficznej |
| Tożsamości zarządzane dla zasobów platformy Azure | Tożsamości zarządzane dla zasobów platformy Azure z systemami tożsamości zarządzanych mogą uwierzytelniać się w usługach platformy Azure bez przechowywania poświadczeń. Zamiast używać nazwy użytkownika i hasła, tożsamości zarządzane uwierzytelniają się w usługach platformy Azure przy użyciu certyfikatów. Usługa zapisuje certyfikaty, które wystawia w usłudze Azure Cosmos DB w regionie wschodnich Stanów Zjednoczonych, które w razie potrzeby mogą być przeniesione do innego regionu. Nadmiarowość geograficzna usługi Azure Cosmos DB odbywa się przez globalną replikację danych. Replikacja bazy danych umieszcza kopię tylko do odczytu w każdym regionie, gdzie uruchamiane są tożsamości zarządzane przez Microsoft Entra. Aby dowiedzieć się więcej, zobacz Usługi platformy Azure, które mogą używać tożsamości zarządzanych do uzyskiwania dostępu do innych usług. Firma Microsoft izoluje każde wystąpienie usługi Azure Cosmos DB w modelu rozwiązania firmy Microsoft Entra w chmurze.
Dostawca zasobów, taki jak host maszyny wirtualnej, przechowuje certyfikat na potrzeby uwierzytelniania i przepływów tożsamości z innymi usługami platformy Azure. Usługa przechowuje swój klucz główny do uzyskania dostępu do Azure Cosmos DB w usłudze zarządzania tajemnicami w centrum danych. Usługa Azure Key Vault przechowuje główne klucze szyfrowania. |
W lokalizacji geograficznej |
| Migawki kopii zapasowych i odzyskiwania firmy Microsoft Entra | Firma Microsoft automatycznie tworzy migawki niektórych danych katalogowych w regularnych odstępach czasu, które są przechowywane na zarządzanej przez Microsoft platformie Azure i replikowane do wielu centrów danych w tym samym regionie co dzierżawca. Replikacja tworzy wysoką dostępność oraz wiele punktów końcowych odczytu i zapisu. Migawki są szyfrowane przy użyciu algorytmu kryptograficznego AES-256 przy użyciu kluczy zarządzanych przez firmę Microsoft. Nie są dostępne żadne uprawnienia ani role firmy Microsoft do usuwania ani modyfikowania migawek utworzonych przez usługę Microsoft Entra Backup and Recovery. | W lokalizacji geograficznej |
dodatek Go-Local
Dodatek Go-Local to funkcja w Microsoft Entra External ID, która umożliwia niektórym klientom konfigurowanie pewnych usług w celu przechowywania danych w spoczynku w wybranej lokalizacji geograficznej, takiej jak kraj lub region. Ta funkcja jest sposobem spełnienia zasad firmowych i wymagań dotyczących zgodności. Podczas tworzenia dzierżawy zewnętrznej wybierasz kraj lub region przechowywania danych.
Dodatek Go-Local jest płatnym dodatkiem, ale jest opcjonalny. Jeśli zdecydujesz się z niego korzystać, zostanie naliczona dodatkowa opłata oprócz Twojego planu Microsoft Entra External ID Basic. Aby uzyskać więcej informacji, zobacz Cennik identyfikatora zewnętrznego firmy Microsoft.
Następujące kraje/regiony mają obecnie opcję rezydencji danych lokalnych:
- Australia
- Japonia
Powiązane zasoby
Aby uzyskać więcej informacji na temat rezydencji danych w ofertach usługi Microsoft Cloud, zobacz następujące artykuły:
- Rezydencja danych na platformie Azure | Microsoft Azure
- Lokalizacje danych platformy Microsoft 365 — Microsoft 365 Enterprise
- Prywatność firmy Microsoft — gdzie znajdują się Twoje dane?
- Pobierz plik PDF: Zagadnienia dotyczące prywatności w chmurze