Поделиться через


Идентификатор и место расположения данных Microsoft Entra

Идентификатор Microsoft Entra — это решение "Удостоверение как услуга" (IDaaS), которое хранит удостоверения и управляет ими в облаке. Данные можно использовать для обеспечения доступа к облачным службам и управления ими, обеспечения мобильности и защиты организации. Экземпляр службы Microsoft Entra, называемой клиентом, — это изолированный набор данных объекта каталога, которые клиент подготавливает и владеет.

Примечание.

Внешняя идентификация Microsoft Entra — это решение для управления удостоверениями клиентов и доступом (CIAM), которое хранит данные в отдельном клиенте, созданном для ваших приложений и данных каталога клиентов. Этот клиент называется внешним клиентом. При создании внешнего клиента у вас есть возможность выбрать географическое расположение для хранилища данных. Важно отметить, что расположения данных и доступность регионов могут отличаться от идентификатора Microsoft Entra, как указано в этой статье.

Основное хранилище

Основной магазин состоит из клиентов, хранящихся в единицах масштабирования, каждый из которых содержит несколько клиентов. Операции обновления или извлечения данных в Microsoft Entra Core Store связаны с одним клиентом на основе маркера безопасности пользователя, который обеспечивает изоляцию клиента. Единицы масштабирования назначаются географическому расположению. Каждое географическое расположение использует два или более регионов Azure для хранения данных. В каждом регионе Azure данные единиц масштабирования реплицируются в физических центрах обработки данных для обеспечения устойчивости и производительности.

Дополнительные сведения: Единицы масштабирования Microsoft Entra Core Store

Идентификатор Microsoft Entra доступен в следующих облаках:

  • Общедоступный
  • Китай*
  • Правительство США*

* В настоящее время недоступно для внешних клиентов.

В общедоступном облаке вам будет предложено выбрать расположение во время создания клиента (например, регистрация в Office 365 или Azure или создание дополнительных экземпляров Microsoft Entra с помощью портал Azure). Идентификатор Microsoft Entra сопоставляет выбор с географическим расположением и одним масштабируемым блоком в нем. Расположение клиента не может быть изменено после его установки.

Расположение, выбранное во время создания клиента, сопоставляется с одним из следующих географических расположений:

  • Австралия*
  • Азиатско-Тихоокеанский регион
  • Европа, Ближний Восток и Африка (EMEA)
  • Япония*
  • Северная Америка
  • По всему миру

* В настоящее время недоступно для внешних клиентов.

Идентификатор Microsoft Entra обрабатывает данные Core Store на основе удобства использования, производительности, расположения или других требований на основе географического расположения. Идентификатор Microsoft Entra реплицирует каждый клиент через единицу масштабирования в центрах обработки данных на основе следующих критериев:

  • Данные Microsoft Entra Core Store, хранящиеся в центрах обработки данных, ближайших к расположению расположения клиента, чтобы уменьшить задержку и обеспечить быстрый вход пользователей во время входа
  • Данные Microsoft Entra Core Store, хранящиеся в географически изолированных центрах обработки данных для обеспечения доступности во время непредвиденных одноцентровых событий, катастрофических событий
  • Соответствие требованиям к месту расположения данных или другим требованиям для конкретных клиентов и географических расположений

Модели облачных решений Microsoft Entra

Используйте следующую таблицу для просмотра моделей облачных решений Microsoft Entra на основе инфраструктуры, расположения данных и операционного суверенитета.

Модель Ячейки Расположение данных Персонал операций Размещение клиента в этой модели
Общедоступная география Австралия*, Северная Америка, EMEA, Япония*, Азиатско-Тихоокеанский регион Неактивных данных в целевом расположении. Исключения по службе или компоненту Управляется корпорацией Майкрософт. Персонал центра обработки данных Майкрософт должен пройти проверку фона. Создайте клиент в интерфейсе регистрации. Выберите расположение для расположения данных.
Общедоступная по всему миру По всему миру Все местоположения Управляется корпорацией Майкрософт. Персонал центра обработки данных Майкрософт должен пройти проверку фона. Создание клиента, доступное через официальный канал поддержки и при условии, что корпорация Майкрософт имеет право.
Суверенные или национальные облака Правительство США*, Китай* Неактивных данных в целевом расположении. Никаких исключений. Управляется хранителем данных (1). Персонал экранируется в соответствии с требованиями. Каждый национальный облачный экземпляр имеет интерфейс регистрации.

* В настоящее время недоступно для внешних клиентов.

Ссылки на таблицы:

(1) Хранимые данные: центры обработки данных в облаке для государственных организаций США управляются корпорацией Майкрософт. В Китае идентификатор Microsoft Entra работает через партнерство с 21Vianet.

Подробнее:

Размещение данных в компонентах Microsoft Entra

Дополнительные сведения: обзор продукта Microsoft Entra

Примечание.

Чтобы понять расположение данных службы, например Exchange Online или Skype для бизнеса, обратитесь к соответствующей документации по службе.

Компоненты Microsoft Entra и расположение хранилища данных

Компонент Microsoft Entra Description Расположение хранилища данных
Служба проверки подлинности Microsoft Entra Эта служба без отслеживания состояния. Данные для проверки подлинности хранятся в Microsoft Entra Core Store. У него нет данных каталога. Служба проверки подлинности Microsoft Entra создает данные журнала в служба хранилища Azure и в центре обработки данных, где выполняется экземпляр службы. Когда пользователи пытаются выполнить проверку подлинности с помощью идентификатора Microsoft Entra, они направляются в экземпляр в географическо ближайшем центре обработки данных, который входит в логический регион Microsoft Entra. В географическом расположении
Службы управления удостоверениями и доступом (IAM) Microsoft Entra Взаимодействие с пользователем и управлением. Интерфейс управления Microsoft Entra без отслеживания состояния и не содержит данных каталога. Он создает данные журнала и использования, хранящиеся в хранилище таблиц Azure. Взаимодействие с пользователем похоже на портал Azure.
Бизнес-логика управления удостоверениями и службы отчетов: эти службы имеют локально кэшированное хранилище данных для групп и пользователей. Службы создают данные журнала и использования, которые входят в хранилище таблиц Azure, SQL Azure и в службах отчетов Microsoft Elastic Search.
В географическом расположении
Многофакторная проверка подлинности Microsoft Entra Дополнительные сведения о хранилище и хранении данных с многофакторной проверкой подлинности см. в разделе "Размещение данных" и данных клиента для многофакторной проверки подлинности Microsoft Entra. Microsoft Entra multifactor authentication регистрирует имя участника-пользователя (UPN), номера телефонов голосового звонка и вызовы SMS. Для проблем с режимами мобильного приложения служба регистрирует имя участника-участника и уникальный маркер устройства. Центры обработки данных в регионе Северная Америка хранят многофакторную проверку подлинности Microsoft Entra и создаются журналы. Северная Америка
Доменные службы Microsoft Entra См. регионы, в которых доменные службы Microsoft Entra публикуются в продуктах по регионам. Служба хранит системные метаданные глобально в таблицах Azure и не содержит персональных данных. В географическом расположении
Microsoft Entra Connect Health Microsoft Entra Connect Health создает оповещения и отчеты в хранилище таблиц Azure и хранилище BLOB-объектов. В географическом расположении
Microsoft Entra dynamic membership groups, Microsoft Entra self-service group management Хранилище таблиц Azure содержит определения правил для динамических групп членства. В географическом расположении
Прокси приложения Microsoft Entra Прокси приложения Microsoft Entra хранит метаданные о клиенте, компьютерах соединителях и данных конфигурации в SQL Azure. В географическом расположении
Обратная запись паролей Microsoft Entra в Microsoft Entra Connect Во время начальной настройки Microsoft Entra Connect создает асимметричный ключ с помощью криптосистемы Rivest-Shamir-Adleman (RSA). Затем он отправляет открытый ключ в облачную службу самостоятельного сброса пароля (SSPR), которая выполняет две операции:

1. Создает два Служебная шина Azure ретранслятора для локальной службы Microsoft Entra Connect для безопасного взаимодействия со службой
SSPR 2. Создает ключ расширенного шифрования (AES), K1

Расположение ретранслятора Служебная шина Azure, соответствующие ключи прослушивателя, а копия ключа AES (K1) переходит в Microsoft Entra Connect в ответе. Будущие связи между SSPR и Microsoft Entra Connect происходят через новый канал ServiceBus и шифруются с помощью SSL.
Новые сбросы паролей, отправленные во время операции, шифруются с открытым ключом RSA, созданным клиентом во время подключения. Закрытый ключ на компьютере Microsoft Entra Connect расшифровывает их, что предотвращает доступ к паролем обычного текста подсистем конвейера.
Ключ AES шифрует полезные данные сообщения (зашифрованные пароли, дополнительные данные и метаданные), что предотвращает изменение полезных данных злоумышленниками ServiceBus, даже с полным доступом к внутреннему каналу ServiceBus.
Для обратной записи паролей Microsoft Entra Connect требуются ключи и данные:

— ключ AES (K1), который шифрует полезные данные сброса или изменяет запросы из службы SSPR на Microsoft Entra Connect через конвейер
ServiceBus — закрытый ключ, из пары асимметричных ключей, расшифровывающих пароли, при сбросе или изменении полезных данных запросов — ключи


прослушивателя ServiceBus Ключ AES (K1) и асимметричный ключ поворота по крайней мере каждые 180 дней, длительность можно изменить во время определенных событий конфигурации подключения или отключения. Например, клиент отключает и повторно записывает пароль, что может произойти во время обновления компонентов во время обслуживания и обслуживания.
Ключи обратной записи и данные, хранящиеся в базе данных Microsoft Entra Connect, шифруются интерфейсами программирования приложений защиты данных (DPAPI) (CALG_AES_256). Результатом является главный ключ шифрования ADSync, хранящийся в Хранилище учетных данных Windows в контексте локальной учетной записи службы ADSync. Хранилище учетных данных Windows предоставляет автоматическое повторное шифрование секретов в качестве пароля для изменения учетной записи службы. Чтобы сбросить пароль учетной записи службы, секреты в Хранилище учетных данных Windows для учетной записи службы недействительны. Изменение новой учетной записи службы вручную может привести к недействительным хранимым секретам.
По умолчанию служба ADSync выполняется в контексте учетной записи виртуальной службы. Учетная запись может быть настроена во время установки в учетную запись службы с минимальными привилегиями, управляемую учетную запись службы (учетную запись Майкрософт) или управляемую группу учетной записи службы (gMSA). Хотя виртуальные и управляемые учетные записи служб имеют автоматическую смену паролей, клиенты управляют сменой паролей для пользовательской подготовленной учетной записи домена. Как отмечалось, сброс пароля приводит к потере сохраненных секретов.
В географическом расположении
Служба регистрации устройств Microsoft Entra Служба регистрации устройств Microsoft Entra имеет управление жизненным циклом компьютеров и устройств в каталоге, что обеспечивает такие сценарии, как условный доступ на устройстве и управление мобильными устройствами. В географическом расположении
Подготовка Microsoft Entra Подготовка Microsoft Entra создает, удаляет и обновляет пользователей в системах, таких как программное обеспечение, как услуга (программное обеспечение как услуга). Он управляет созданием пользователей в идентификаторе Microsoft Entra и локальной среде Microsoft Windows Server Active Directory из облачных источников кадров, таких как Workday. Служба сохраняет свою конфигурацию в экземпляре Azure Cosmos DB, в котором хранятся данные о членстве в группах для каталога пользователя. Azure Cosmos DB реплицирует базу данных в несколько центров обработки данных в том же регионе, что изолирует данные в соответствии с моделью облачного решения Microsoft Entra. Репликация создает высокий уровень доступности и несколько конечных точек чтения и записи. Azure Cosmos DB имеет шифрование данных базы данных, а ключи шифрования хранятся в хранилище секретов для Майкрософт. В географическом расположении
Совместная работа Microsoft Entra business-to-business (B2B) Служба совместной работы Microsoft Entra B2B не содержит данных каталога. Пользователи и другие объекты каталога в связи B2B с другим клиентом приводят к копированию пользовательских данных в других клиентах, которые могут иметь последствия для размещения данных. В географическом расположении
Защита идентификации Microsoft Entra Защита идентификации Microsoft Entra использует данные входа пользователей в режиме реального времени с несколькими сигналами от компаний и отраслевых источников, чтобы передать свои системы машинного обучения, которые обнаруживают аномальные имена входа. Личные данные очищаются от данных журнала в режиме реального времени, прежде чем они передаются в систему машинного обучения. Остальные данные входа идентифицируют потенциально рискованные имена пользователей и имена входа. После анализа данные походят в системы отчетов Майкрософт. Рискованные имена входа и имена пользователей отображаются в отчетах для администраторов. В географическом расположении
Управляемые удостоверения для ресурсов Azure Управляемые удостоверения для ресурсов Azure с управляемыми системами удостоверений могут проходить проверку подлинности в службах Azure без хранения учетных данных. Вместо использования имени пользователя и пароля управляемые удостоверения проходят проверку подлинности в службах Azure с помощью сертификатов. Служба записывает сертификаты в Azure Cosmos DB в регионе "Восточная часть США", который выполняет отработку отказа в другой регион по мере необходимости. Геоизбыточность Azure Cosmos DB происходит путем глобальной репликации данных. Репликация базы данных помещает копию только для чтения в каждом регионе, где выполняются управляемые удостоверения Microsoft Entra. Дополнительные сведения см . в службах Azure, которые могут использовать управляемые удостоверения для доступа к другим службам. Корпорация Майкрософт изолирует каждый экземпляр Azure Cosmos DB в модели облачного решения Microsoft Entra.
Поставщик ресурсов, например узел виртуальной машины, сохраняет сертификат для проверки подлинности и потоков удостоверений, а также другие службы Azure. Служба хранит главный ключ для доступа к Azure Cosmos DB в службе управления секретами центра обработки данных. Azure Key Vault хранит основные ключи шифрования.
В географическом расположении

Дополнительные сведения о размещении данных в предложениях Microsoft Cloud см. в следующих статьях:

Следующие шаги