ID do Microsoft Entra e residência de dados
O Microsoft Entra ID é uma solução de Identidade como Serviço (IDaaS) que armazena e gerencia dados de identidade e acesso na nuvem. Você pode usar os dados para habilitar e gerenciar o acesso a serviços de nuvem, alcançar cenários de mobilidade e proteger sua organização. Uma instância do serviço Microsoft Entra, chamada de locatário, é um conjunto isolado de dados de objeto de diretório que o cliente provisiona e possui.
Nota
O Microsoft Entra External ID é uma solução de gerenciamento de acesso e identidade do cliente (CIAM) que armazena e gerencia dados em um locatário separado criado para seus aplicativos voltados para o cliente e dados de diretório de clientes. Esse locatário é chamado de locatário externo. Ao criar um locatário externo, você tem a opção de selecionar a localização geográfica para armazenamento de dados. É importante observar que os locais de dados e a disponibilidade da região podem diferir daqueles do Microsoft Entra ID, conforme indicado neste artigo.
Loja Principal
O Core Store é composto por locatários armazenados em unidades de escala, cada um dos quais contém vários locatários. As operações de atualização ou recuperação de dados no Microsoft Entra Core Store estão relacionadas a um único locatário, com base no token de segurança do usuário, que alcança o isolamento do locatário. As unidades de escala são atribuídas a uma geolocalização. Cada localização geográfica usa duas ou mais regiões do Azure para armazenar os dados. Em cada região do Azure, os dados de uma unidade de escala são replicados nos datacenters físicos para resiliência e desempenho.
Saiba mais: Microsoft Entra Core Store Scale Units
O Microsoft Entra ID está disponível nas seguintes nuvens:
- Público
- China*
- Governo dos EUA*
* Atualmente não disponível para locatários externos.
Na nuvem pública, você será solicitado a selecionar um local no momento da criação do locatário (por exemplo, inscrevendo-se no Office 365 ou no Azure ou criando mais instâncias do Microsoft Entra por meio do portal do Azure). O Microsoft Entra ID mapeia a seleção para uma localização geográfica e uma unidade de escala única nela. A localização do inquilino não pode ser alterada depois de definida.
O local selecionado durante a criação do locatário será mapeado para uma das seguintes localizações geográficas:
- Austrália*
- Ásia/Pacífico
- Europa, Oriente Médio e África (EMEA)
- Japão*
- América do Norte
- Mundial
* Atualmente não disponível para locatários externos.
O Microsoft Entra ID lida com dados do Repositório Principal com base na usabilidade, desempenho, residência ou outros requisitos com base na localização geográfica. O Microsoft Entra ID replica cada locatário por meio de sua unidade de escala, entre datacenters, com base nos seguintes critérios:
- Dados do Microsoft Entra Core Store, armazenados em datacenters mais próximos do local de residência do locatário, para reduzir a latência e fornecer tempos de entrada rápidos do usuário
- Dados do Microsoft Entra Core Store armazenados em datacenters geograficamente isolados para garantir a disponibilidade durante eventos catastróficos imprevistos de um único datacenter
- Conformidade com requisitos de residência de dados, ou outros requisitos, para clientes específicos e geo-localizações
Modelos de solução de nuvem Microsoft Entra
Use a tabela a seguir para ver os modelos de solução de nuvem do Microsoft Entra com base em infraestrutura, localização de dados e soberania operacional.
| Modelo | Localizações | Localização de dados | Pessoal de operações | Coloque um inquilino neste modelo |
|---|---|---|---|---|
| Geo localização pública | Austrália*, América do Norte, EMEA, Japão*, Ásia/Pacífico | Em repouso, no local de destino. Exceções por serviço ou funcionalidade | Operado pela Microsoft. O pessoal do datacenter da Microsoft deve passar por uma verificação de antecedentes. | Crie o locatário na experiência de inscrição. Escolha o local para residência de dados. |
| Público em todo o mundo | Mundial | Todas as localizações | Operado pela Microsoft. O pessoal do datacenter da Microsoft deve passar por uma verificação de antecedentes. | Criação de locatários disponível através do canal de suporte oficial e sujeito ao critério da Microsoft. |
| Nuvens soberanas ou nacionais | Governo dos EUA*, China* | Em repouso, no local de destino. Sem exceções. | Operado por um depositário de dados (1). O pessoal é rastreado de acordo com os requisitos. | Cada instância de nuvem nacional tem uma experiência de inscrição. |
* Atualmente não disponível para locatários externos.
Referências de tabelas:
(1) Custódia de dados: os datacenters na nuvem do governo dos EUA são operados pela Microsoft. Na China, o Microsoft Entra ID é operado através de uma parceria com a 21Vianet.
Saiba mais:
- Armazenamento e processamento de dados de clientes europeus no Microsoft Entra ID
- O que é a arquitetura do Microsoft Entra?
- Encontre a geografia do Azure que atende às suas necessidades
- Centro de Fidedignidade da Microsoft
Residência de dados nos componentes do Microsoft Entra
Saiba mais: Visão geral do produto Microsoft Entra
Nota
Para entender o local dos dados do serviço, como o Exchange Online ou o Skype for Business, consulte a documentação do serviço correspondente.
Componentes do Microsoft Entra e local de armazenamento de dados
| Componente Microsoft Entra | Description | Local de armazenamento de dados |
|---|---|---|
| Serviço de autenticação Microsoft Entra | Este serviço é apátrida. Os dados para autenticação estão no Microsoft Entra Core Store. Não tem dados de diretório. O Serviço de Autenticação do Microsoft Entra gera dados de log no Armazenamento do Azure e no datacenter onde a instância de serviço é executada. Quando os usuários tentam se autenticar usando a ID do Microsoft Entra, eles são roteados para uma instância no datacenter geograficamente mais próximo que faz parte de sua região lógica do Microsoft Entra. | Em geolocalização |
| Serviços de gerenciamento de identidade e acesso (IAM) do Microsoft Entra | Experiências de usuário e gerenciamento: a experiência de gerenciamento do Microsoft Entra é sem monitoração de estado e não tem dados de diretório. Ele gera dados de log e uso armazenados no armazenamento de Tabelas do Azure. A experiência do usuário é como o portal do Azure. Lógica de negócios de gerenciamento de identidades e serviços de relatórios: esses serviços têm armazenamento de dados em cache local para grupos e usuários. Os serviços geram dados de log e uso que vão para o armazenamento de Tabelas do Azure, SQL do Azure e nos serviços de relatório do Microsoft Elastic Search. |
Em geolocalização |
| Autenticação multifator Microsoft Entra | Para obter detalhes sobre o armazenamento e retenção de dados de operações de autenticação multifator, consulte Residência de dados e dados do cliente para autenticação multifator do Microsoft Entra. A autenticação multifator do Microsoft Entra registra o UPN (Nome Principal do Usuário), números de telefone de chamadas de voz e desafios de SMS. Para desafios aos modos de aplicativo móvel, o serviço registra o UPN e um token de dispositivo exclusivo. Os datacenters na região da América do Norte armazenam a autenticação multifator do Microsoft Entra e os logs que ela cria. | América do Norte |
| Microsoft Entra Domain Services | Veja as regiões onde os Serviços de Domínio Microsoft Entra são publicados em Produtos disponíveis por região. O serviço contém metadados do sistema globalmente nas Tabelas do Azure e não contém dados pessoais. | Em geolocalização |
| Microsoft Entra Connect Health | O Microsoft Entra Connect Health gera alertas e relatórios no armazenamento de Tabelas do Azure e no armazenamento de blobs. | Em geolocalização |
| Associação dinâmica do Microsoft Entra para grupos, gerenciamento de grupos de autoatendimento do Microsoft Entra | O armazenamento de Tabelas do Azure contém definições de regras de associação dinâmicas. | Em geolocalização |
| Proxy de aplicativo Microsoft Entra | O proxy de aplicativo Microsoft Entra armazena metadados sobre o locatário, máquinas conectoras e dados de configuração no Azure SQL. | Em geolocalização |
| Write-back de senha do Microsoft Entra no Microsoft Entra Connect | Durante a configuração inicial, o Microsoft Entra Connect gera um par de chaves assimétricas, usando o sistema criptográfico Rivest–Shamir–Adleman (RSA). Em seguida, ele envia a chave pública para o serviço de nuvem de redefinição de senha de autoatendimento (SSPR), que executa duas operações: 1. Cria duas retransmissões do Barramento de Serviço do Azure para que o serviço local Microsoft Entra Connect se comunique com segurança com o serviço SSPR 2. Gera uma chave AES (Advanced Encryption Standard), K1 Os locais de retransmissão do Barramento de Serviço do Azure, as chaves de ouvinte correspondentes e uma cópia da chave AES (K1) vão para o Microsoft Entra Connect na resposta. Comunicações futuras entre SSPR e Microsoft Entra Connect ocorrem através do novo canal ServiceBus e são criptografadas usando SSL. Novas redefinições de senha, enviadas durante a operação, são criptografadas com a chave pública RSA gerada pelo cliente durante a integração. A chave privada na máquina Microsoft Entra Connect os descriptografa, o que impede que os subsistemas de pipeline acessem a senha de texto sem formatação. A chave AES criptografa a carga útil da mensagem (senhas criptografadas, mais dados e metadados), o que impede que invasores mal-intencionados do ServiceBus adulterem a carga, mesmo com acesso total ao canal interno do ServiceBus. Para write-back de senha, o Microsoft Entra Connect precisa de chaves e dados: - A chave AES (K1) que criptografa a carga útil de redefinição, ou alterar solicitações do serviço SSPR para o Microsoft Entra Connect, através do pipeline ServiceBus - A chave privada, do par de chaves assimétricas que descriptografa as senhas, em redefinir ou alterar cargas úteis de solicitação - As chaves de ouvinte do ServiceBus A chave AES (K1) e o par de chaves assimétrico giram no mínimo a cada 180 dias, uma duração que pode ser alterada durante determinados eventos de configuração de integração ou desembarque. Um exemplo é que um cliente desabilita e reativa o write-back de senha, o que pode ocorrer durante a atualização do componente durante o serviço e a manutenção. As chaves de write-back e os dados armazenados no banco de dados do Microsoft Entra Connect são criptografados por interfaces de programação de aplicativos (DPAPI) de proteção de dados (CALG_AES_256). O resultado é a chave de criptografia ADSync mestre armazenada no Cofre de Credenciais do Windows no contexto da conta de serviço local ADSync. O Cofre de Credenciais do Windows fornece recriptografia secreta automática à medida que a senha da conta de serviço é alterada. Para redefinir a senha da conta de serviço, invalida segredos no Cofre de Credenciais do Windows para a conta de serviço. Alterações manuais em uma nova conta de serviço podem invalidar os segredos armazenados. Por padrão, o serviço ADSync é executado no contexto de uma conta de serviço virtual. A conta pode ser personalizada durante a instalação para uma conta de serviço de domínio com privilégios mínimos, uma conta de serviço gerenciado (conta da Microsoft) ou uma conta de serviço gerenciado de grupo (gMSA). Enquanto as contas de serviço virtuais e gerenciadas têm rotação automática de senhas, os clientes gerenciam a rotação de senhas para uma conta de domínio provisionada personalizada. Como observado, redefinir a senha causa perda de segredos armazenados. |
Em geolocalização |
| Serviço de Registo de Dispositivos Microsoft Entra | O Serviço de Registro de Dispositivos do Microsoft Entra tem gerenciamento do ciclo de vida do computador e do dispositivo no diretório, o que permite cenários como Acesso Condicional do estado do dispositivo e gerenciamento de dispositivos móveis. | Em geolocalização |
| Provisionamento do Microsoft Entra | O provisionamento do Microsoft Entra cria, remove e atualiza usuários em sistemas, como aplicativos de software como serviço (software como serviço (SaaS)). Ele gerencia a criação de usuários no Microsoft Entra ID e no Microsoft Windows Server Ative Directory local a partir de fontes de RH na nuvem, como o Workday. O serviço armazena sua configuração em uma instância do Azure Cosmos DB, que armazena os dados de associação do grupo para o diretório de usuário que ele mantém. O Azure Cosmos DB replica o banco de dados para vários datacenters na mesma região do locatário, o que isola os dados, de acordo com o modelo de solução de nuvem Microsoft Entra. A replicação cria alta disponibilidade e vários pontos de extremidade de leitura e gravação. O Azure Cosmos DB tem criptografia nas informações do banco de dados e as chaves de criptografia são armazenadas no armazenamento de segredos da Microsoft. | Em geolocalização |
| Colaboração entre empresas (B2B) do Microsoft Entra | A colaboração B2B do Microsoft Entra não tem dados de diretório. Usuários e outros objetos de diretório em um relacionamento B2B, com outro locatário, resultam em dados de usuário copiados em outros locatários, o que pode ter implicações de residência de dados. | Em geolocalização |
| Proteção do Microsoft Entra ID | O Microsoft Entra ID Protection usa dados de login do usuário em tempo real, com vários sinais de fontes da empresa e do setor, para alimentar seus sistemas de aprendizado de máquina que detetam logins anômalos. Os dados pessoais são eliminados dos dados de início de sessão em tempo real antes de serem passados para o sistema de aprendizagem automática. Os restantes dados de início de sessão identificam nomes de utilizador e inícios de sessão potencialmente arriscados. Após a análise, os dados vão para os sistemas de relatórios da Microsoft. Logins e nomes de usuário arriscados aparecem nos relatórios para administradores. | Em geolocalização |
| Identidades geridas para os recursos do Azure | As identidades gerenciadas para recursos do Azure com sistemas de identidades gerenciadas podem se autenticar nos serviços do Azure, sem armazenar credenciais. Em vez de usar nome de usuário e senha, as identidades gerenciadas são autenticadas nos serviços do Azure com certificados. O serviço grava certificados que emite no Azure Cosmos DB na região Leste dos EUA, que fazem failover para outra região, conforme necessário. A redundância geográfica do Azure Cosmos DB ocorre pela replicação global de dados. A replicação de banco de dados coloca uma cópia somente leitura em cada região executada pelas identidades gerenciadas do Microsoft Entra. Para saber mais, consulte Serviços do Azure que podem usar identidades gerenciadas para acessar outros serviços. A Microsoft isola cada instância do Azure Cosmos DB em um modelo de solução de nuvem do Microsoft Entra. O provedor de recursos, como o host da máquina virtual (VM), armazena o certificado para autenticação e fluxos de identidade com outros serviços do Azure. O serviço armazena sua chave mestra para acessar o Azure Cosmos DB em um serviço de gerenciamento de segredos de datacenter. O Azure Key Vault armazena as chaves mestras de criptografia. |
Em geolocalização |
Recursos relacionados
Para obter mais informações sobre residência de dados em ofertas do Microsoft Cloud, consulte os seguintes artigos:
- Residência de dados no Azure | Microsoft Azure
- Locais de dados do Microsoft 365 - Microsoft 365 Enterprise
- Privacidade da Microsoft - Onde estão localizados os seus dados?
- Transferir PDF: Considerações sobre privacidade na nuvem