Microsoft Entra ID e residência de dados
O Microsoft Entra ID é uma solução de IDaaS (identidade como serviço) que armazena e gerencia dados de identidade e acesso na nuvem. Você pode usar os dados para habilitar e gerenciar o acesso aos serviços de nuvem, obter cenários de mobilidade e proteger sua organização. Uma instância do serviço do Microsoft Entra, chamada de locatário, é um conjunto isolado de dados do objeto do directory que o cliente provisiona e do qual é o proprietário.
Observação
A ID externa do Microsoft Entra é uma solução de gerenciamento de identidade e acesso do cliente (CIEM) que armazena e gerencia dados em um locatário separado criado para seus aplicativos voltados para o cliente e dados do diretório do cliente. Este locatário é chamado de locatário externo. Ao criar um locatário externo, você tem a opção de selecionar a localização geográfica do armazenamento de dados. É importante observar que os locais de dados e a disponibilidade da região podem ser diferentes daqueles do Microsoft Entra ID, conforme indicado neste artigo.
Repositório Principal
O Repositório Principal é composto por locatários armazenados em unidades de escala, cada um dos quais contém vários locatários. As operações de atualização ou recuperação de dados no Repositório Principal do Microsoft Entra estão relacionadas a um locatário individual, com base no token de segurança do usuário, que leva à isolação do locatário. Unidades de escala são atribuídas a uma localização geográfica. Cada localização geográfica usa duas ou mais regiões do Azure para armazenar os dados. Em cada região do Azure, os dados de uma unidade de escala são replicados nos datacenters físicos para resiliência e desempenho.
Saiba mais: Unidades de Escala do Repositório Principal do Microsoft Entra
O Microsoft Entra ID está disponível nas nuvens a seguir:
- Setor Público
- China*
- Governo dos EUA*
* Não está disponível no momento para locatários externos.
Na nuvem pública, você será solicitado a selecionar um local no momento da criação do locatário (por exemplo, inscrever-se no Office 365 ou no Azure ou criar mais instâncias do Microsoft Entra por meio do portal do Azure). O Microsoft Entra ID mapeia a seleção para uma localização geográfica e uma única unidade de escala. A localização do locatário não pode ser alterada depois de definida.
O local selecionado durante a criação do locatário será mapeado para uma das seguintes localizações geográficas:
- Austrália*
- Ásia/Pacífico
- Europa, Oriente Médio e África (EMEA)
- Japão*
- América do Norte
- No mundo inteiro
* Não está disponível no momento para locatários externos.
O Microsoft Entra ID lida com os dados do Repositório Principal com base na usabilidade, no desempenho, na residência ou em outros requisitos de acordo com a localização geográfica. O Microsoft Entra ID replica cada locatário por meio da respectiva unidade de escala, entre datacenters, de acordo com os seguintes critérios:
- Dados do Repositório Principal do Microsoft Entra, armazenados em datacenters mais próximos da localização de residência do locatário, para reduzir a latência e fornecer horários rápidos de entrada do usuário
- Dados do Microsoft Entra Core Store armazenados em data centers isolados geograficamente para garantir a disponibilidade durante eventos catastróficos imprevistos em um único data center
- Conformidade com a residência de dados ou com outros requisitos para clientes e localizações geográficas específicos
Modelos de solução de nuvem do Microsoft Entra
Use a tabela a seguir para visualizar os modelos de solução de nuvem do Microsoft Entra com base na infraestrutura, na localização dos dados e na soberania operacional.
| Modelar | Locais | Localização dos dados | Equipe de operações | Colocar um locatário neste modelo |
|---|---|---|---|---|
| Área geográfica pública localizada | Austrália*, América do Norte, EMEA, Japão*, Ásia/Pacífico | Inativo, no local de destino. Exceções por serviço ou recurso | Operado pela Microsoft. A equipe do datacenter da Microsoft precisa passar por uma verificação em segundo plano. | Crie o locatário na experiência de inscrição. Escolha o local para residência de dados. |
| Público em todo o mundo | No mundo inteiro | Todos os locais | Operado pela Microsoft. A equipe do datacenter da Microsoft precisa passar por uma verificação em segundo plano. | Criação de locatário disponível por meio do canal de suporte oficial e sujeita a critério da Microsoft. |
| Nuvens soberanas ou nacionais | Governo dos EUA*, China* | Inativo, no local de destino. Sem exceções. | Operado por um custodiante de dados (1). A equipe é selecionada de acordo com os requisitos. | Cada instância de nuvem nacional tem uma experiência de inscrição. |
* Não está disponível no momento para locatários externos.
Referências de tabela:
(1) Guardiões de dados: os datacenters na nuvem do governo dos EUA são operados pela Microsoft. Na China, o Microsoft Entra ID é operado por meio de uma parceria com a 21Vianet.
Saiba mais:
- Armazenamento e processamento de dados de clientes europeus no Microsoft Entra ID
- O que é a arquitetura do Microsoft Entra?
- Encontre a geografia do Azure que atende às suas necessidades
- Central de Confiabilidade da Microsoft
Residência de dados em componentes Microsoft Entra
Saiba mais: visão geral do produto Microsoft Entra
Observação
Para entender a localização dos dados de serviço, como o Exchange Online ou o Skype for Business, veja a documentação de serviço correspondente.
Componentes e local de armazenamento de dados do Microsoft Entra
| componente do Microsoft Entra | Descrição | Local de armazenamento de dados |
|---|---|---|
| O serviço de autenticação do Microsoft Entra | Esse serviço é sem estado. Os dados para autenticação estão no Microsoft Entra Core Store. Ele não tem dados de diretório. O Serviço de Autenticação do Microsoft Entra gera dados de log no armazenamento do Azure e no data center em que a instância de serviço é executada. Quando os usuários tentam se autenticar por meio do Microsoft Entra ID, eles são encaminhados para uma instância no data center geograficamente mais próximo que faz parte da região lógica do Microsoft Entra. | Em localização geográfica |
| Serviços de IAM (Gerenciamento de Identidade e Acesso) do Microsoft Entra | Experiências de usuário e gerenciamento: a experiência de gerenciamento do Microsoft Entra é sem estado e não tem dados de diretório. Ele gera dados de log e de uso mantidos no armazenamento de Tabelas do Azure. A experiência do usuário é como a do portal do Azure. Lógica de negócios de gerenciamento de identidades e serviços de relatórios: esses serviços têm o armazenamento de dados em cache local para grupos e usuários. Os serviços geram dados de log e de uso que vão para o armazenamento de Tabelas do Azure, para o SQL do Azure e para os serviços de relatórios do Microsoft Elastic Search. |
Em localização geográfica |
| Autenticação multifator do Microsoft Entra | Para obter detalhes sobre o armazenamento e a retenção de dados de operações de autenticação multifator, consulte Dados de residência de dados e dados do cliente para a autenticação multifator do Microsoft Entra. A autenticação multifator do Microsoft Entra registra em log o nome UPN, os números de telefone de chamada de voz e os desafios de SMS. Para os desafios nos modos de aplicativo móvel, o serviço registra em log o UPN e um token de dispositivo exclusivo. Os datacenters na região América do Norte armazenam a autenticação multifator do Microsoft Entra e os logs que ele cria. | América do Norte |
| Serviços de Domínio do Microsoft Entra | Confira as regiões em que o Microsoft Entra Domain Services foi publicado em Produtos disponíveis por região. O serviço mantém os metadados do sistema globalmente nas Tabelas do Azure e não contém dados pessoais. | Em localização geográfica |
| Microsoft Entra Connect Health | O Microsoft Entra Connect Health gera alertas e relatórios no armazenamento de Tabelas do Azure e no armazenamento de blobs. | Em localização geográfica |
| Associação dinâmica do Microsoft Entra para grupos, gerenciamento de grupo de autoatendimento do Microsoft Entra | O armazenamento de Tabelas do Azure mantém as definições de regra de associação dinâmica. | Em localização geográfica |
| Proxy de aplicativo do Microsoft Entra | O Proxy de Aplicativo do Microsoft Entra armazena metadados sobre o locatário, os computadores dos conectores e os dados de configuração no SQL do Azure. | Em localização geográfica |
| Write-back de senha do Microsoft Entra no Microsoft Entra Connect | Durante a configuração inicial, o Microsoft Entra Connect gera um par de chaves assimétrico usando o sistema de criptografia RSA (Rivest-Shamir-Adleman). Em seguida, ele envia a chave pública para o serviço de nuvem de SSPR (redefinição de senha por autoatendimento), que executa duas operações: 1. Cria duas retransmissões do Barramento de Serviço do Azure para que o serviço local do Microsoft Entra Connect se comunique com segurança com o serviço SSPR 2. Gera uma chave de criptografia AES, K1 Os locais de retransmissão do Barramento de Serviço do Azure, as chaves do ouvinte correspondentes e uma cópia da chave AES (K1) são enviados para o Microsoft Entra Connect na resposta. As comunicações futuras entre a SSPR e o Microsoft Entra Connect ocorrem no novo canal do ServiceBus e são criptografadas com SSL. As novas redefinições de senha, enviadas durante a operação, são criptografadas com a chave pública RSA gerada pelo cliente durante a integração. A chave privada no computador do Microsoft Entra Connect as descriptografa, o que impede que os subsistemas de pipeline acessem a senha de texto sem formatação. A chave AES criptografa o conteúdo da mensagem (senhas criptografadas, mais dados e metadados), o que impede que invasores mal-intencionados do ServiceBus adulterem o conteúdo, mesmo com acesso completo ao canal interno do ServiceBus. Para o write-back de senha, o Microsoft Entra Connect precisa ter chaves e dados: – A chave AES (K1) que criptografa o conteúdo de redefinição ou as solicitações de alteração do serviço SSPR para o Microsoft Entra Connect, por meio do pipeline do Barramento de Serviço – A chave privada, do par de chaves assimétricas que descriptografa as senhas, em conteúdos de solicitação de redefinição ou de alteração – As chaves do ouvinte do ServiceBus A chave AES (K1) e o par de chaves assimétricas são girados, no mínimo, a cada 180 dias, uma duração que você pode alterar durante determinados eventos de configuração de integração ou de remoção. Um exemplo disso é um cliente que desabilita e habilita novamente o write-back de senha, que pode ocorrer durante a atualização do componente durante o serviço e a manutenção. As chaves de write-back e os dados armazenados no banco de dados do Microsoft Entra Connect são criptografados pelas DPAPI (interfaces de programação de aplicativo de proteção de dados) (CALG_AES_256). O resultado é a chave de criptografia ADSync mestre armazenada no Cofre de Credenciais do Windows no contexto da conta de serviço local do ADSync. O Cofre de Credenciais do Windows fornece nova criptografia automática de segredos quando a senha da conta de serviço é alterada. A redefinição da senha da conta de serviço invalida os segredos no Cofre de Credenciais do Windows da conta de serviço. Aa alterações manuais em uma nova conta de serviço podem invalidar os segredos armazenados. Por padrão, o serviço ADSync é executado no contexto de uma conta de serviço virtual. A conta pode ser personalizada durante a instalação para uma conta de serviço de domínio com privilégios mínimos, uma conta de serviço gerenciada (conta Microsoft) ou uma gMSA (conta de serviço gerenciado de grupo). Embora as contas de serviço virtuais e gerenciadas tenham rotação automática de senha, os clientes gerenciam a rotação de senha para uma conta de domínio provisionada personalizada. Conforme observado, a redefinição da senha causa perda dos segredos armazenados. |
Em localização geográfica |
| Registro de dispositivo do Microsoft Entra | O Serviço de Registro de Dispositivos do Microsoft Entra tem o gerenciamento do ciclo de vida do computador e do dispositivo no diretório, que permite cenários como acesso condicional de estado do dispositivo e gerenciamento de dispositivo móvel. | Em localização geográfica |
| Provisionamento do Microsoft Entra | O provisionamento do Microsoft Entra cria, remove e atualiza usuários em sistemas, como aplicativos saaS (software como serviço). Ele gerencia a criação de usuários no Microsoft Entra ID e no Microsoft Windows Server Active Directory local de fontes de RH na nuvem, como o Workday. O serviço armazena sua configuração em uma instância do Azure Cosmos DB, que armazena os dados de associação de grupo para o diretório de usuário que ele mantém. O Azure Cosmos DB replica o banco de dados em vários datacenters na mesma região do locatário, o que isola os dados, de acordo com o modelo de solução de nuvem do Microsoft Entra. A replicação cria alta disponibilidade e vários pontos de extremidade de leitura e gravação. O Azure Cosmos DB tem a criptografia nas informações do banco de dados, e as chaves de criptografia são mantidas no armazenamento de segredos da Microsoft. | Em localização geográfica |
| Colaboração B2B (entre empresas) do Microsoft Entra | A colaboração B2B do Microsoft Entra não tem dados de diretório. Os usuários e outros objetos de diretório em uma relação B2B, com outro locatário, resultam na cópia de dados de usuário em outros locatários, o que pode ter implicações de residência de dados. | Em localização geográfica |
| Proteção do Microsoft Entra ID | O Microsoft Entra ID Protection usa dados de logon de usuário em tempo real, com vários sinais de fontes da empresa e do setor, para alimentar os respectivos sistemas de machine learning que detectam logons anormais. Os dados pessoais são removidos dos dados de logon em tempo real antes de serem transmitidos para o sistema de machine learning. Os dados de logon restantes identificam os nomes de usuário e os logons potencialmente suspeitos. Após a análise, os dados são enviados aos sistemas de relatórios da Microsoft. Os logons e os nomes de usuário suspeitos são exibidos nos relatórios dos Administradores. | Em localização geográfica |
| Identidades gerenciadas dos recursos do Azure | As identidades gerenciadas para recursos do Azure com os sistemas de identidades gerenciadas podem se autenticar nos serviços do Azure, sem armazenar as credenciais. Em vez de usar o nome de usuário e a senha, as identidades gerenciadas se autenticam nos serviços do Azure com certificados. O serviço grava os certificados emitidos no Azure Cosmos DB na região Leste dos EUA, que fazem failover para outra região, conforme necessário. A redundância geográfica do Azure Cosmos DB ocorre pela replicação de dados global. A replicação de banco de dados coloca uma cópia somente leitura em cada região que as identidades gerenciadas do Microsoft Entra são executadas. Para saber mais, confira Serviços do Azure que podem usar as identidades gerenciadas para acessar outros serviços. A Microsoft isola cada instância do Azure Cosmos DB em um modelo de solução de nuvem do Microsoft Entra. O provedor de recursos, como o host da VM (máquina virtual), armazena o certificado para autenticação e os fluxos de identidade com outros serviços do Azure. O serviço armazena a chave mestra para acessar o Azure Cosmos DB em um serviço de gerenciamento de segredos do datacenter. O Azure Key Vault armazena as chaves de criptografia mestras. |
Em localização geográfica |
Recursos relacionados
Para obter mais informações sobre a residência de dados nas ofertas do Microsoft Cloud, confira os seguintes artigos:
- Residência de dados no Azure | Microsoft Azure
- Locais de dados do Microsoft 365 – Microsoft 365 Enterprise
- Privacidade da Microsoft – Onde seus dados estão localizados?
- Baixe o PDF: Considerações sobre privacidade na nuvem