Microsoft Entra-ID och datahemvist
Microsoft Entra ID är en IdaaS-lösning (Identity as a Service) som lagrar och hanterar identitets- och åtkomstdata i molnet. Du kan använda data för att aktivera och hantera åtkomst till molntjänster, uppnå mobilitetsscenarier och skydda din organisation. En instans av Microsoft Entra-tjänsten, som kallas klientorganisation, är en isolerad uppsättning katalogobjektdata som kunden etablerar och äger.
Core Store
Core Store består av klienter som lagras i skalningsenheter, som var och en innehåller flera klienter. Uppdaterings- eller hämtningsdataåtgärder i Microsoft Entra Core Store relaterar till en enda klientorganisation, baserat på användarens säkerhetstoken, vilket uppnår klientisolering. Skalningsenheter tilldelas till en geo-plats. Varje geo-plats använder två eller flera Azure-regioner för att lagra data. I varje Azure-region replikeras en skalningsenhetsdata i de fysiska datacenteren för återhämtning och prestanda.
Läs mer: Skalningsenheter för Microsoft Entra Core Store
Microsoft Entra-ID är tillgängligt i följande moln:
- Publikt
- Kina
- Amerikanska myndigheter
I det offentliga molnet uppmanas du att välja en plats när klientorganisationen skapas (till exempel registrera dig för Office 365 eller Azure eller skapa fler Microsoft Entra-instanser via Azure-portalen). Microsoft Entra-ID mappar markeringen till en geo-plats och en enda skalningsenhet i den. Det går inte att ändra klientplatsen när den har angetts.
Den plats som valdes när klientorganisationen skapades mappas till någon av följande geo-platser:
- Australien
- Asien/Stillahavsområdet
- Europa, Mellanöstern och Afrika (EMEA)
- Japan
- Nordamerika
- Världsomfattande
Microsoft Entra ID hanterar Core Store-data baserat på användbarhet, prestanda, hemvist och/eller andra krav baserat på geo-plats. Microsoft Entra-ID replikerar varje klient via sin skalningsenhet, mellan datacenter, baserat på följande kriterier:
- Microsoft Entra Core Store-data, lagrade i datacenter närmast platsen för klientorganisation, för att minska svarstiden och ge snabba inloggningstider för användare
- Microsoft Entra Core Store-data som lagras i geografiskt isolerade datacenter för att säkerställa tillgänglighet under oförutsedda händelser med ett enda datacenter, katastrofala händelser
- Efterlevnad av datahemvist eller andra krav för specifika kunder och geo-platser
Microsoft Entra-molnlösningsmodeller
Använd följande tabell för att se Microsoft Entra-molnlösningsmodeller baserat på infrastruktur, dataplats och driftssuveränitet.
| Modell | Platser | Dataplats | Driftpersonal | Placera en klientorganisation i den här modellen |
|---|---|---|---|---|
| Offentlig geo belägen | Nordamerika, EMEA, Japan, Asien/Stillahavsområdet | I vila på målplatsen. Undantag efter tjänst eller funktion | Drivs av Microsoft. Microsofts datacenterpersonal måste klara en bakgrundskontroll. | Skapa klientorganisationen i registreringsmiljön. Välj plats för datahemvist. |
| Offentlig över hela världen | Världsomfattande | Alla platser | Drivs av Microsoft. Microsofts datacenterpersonal måste klara en bakgrundskontroll. | Skapande av klientorganisation är tillgängligt via officiell supportkanal och efter Microsofts gottfinnande. |
| Nationella eller nationella moln | USA:s regering, Kina | I vila på målplatsen. Inga undantag. | Drivs av en dataförvarare (1). Personalen screenas enligt kraven. | Varje nationell molninstans har en registreringsupplevelse. |
Tabellreferenser:
(1) Dataförvarare: Datacenter i det amerikanska myndighetsmolnet drivs av Microsoft. I Kina drivs Microsoft Entra-ID genom ett samarbete med 21Vianet.
Läs mer:
- Kunddatalagring och bearbetning för europeiska kunder i Microsoft Entra-ID
- Power BI: Microsoft Entra-ID – var finns dina data?
- Vad är Microsoft Entra-arkitekturen?
- Hitta den Azure-geografi som uppfyller dina behov
- Microsoft Trust Center
Datahemvist mellan Microsoft Entra-komponenter
Läs mer: Produktöversikt för Microsoft Entra
Kommentar
Information om tjänstens dataplats, till exempel Exchange Online eller Skype för företag, finns i motsvarande tjänstdokumentation.
Microsoft Entra-komponenter och datalagringsplats
| Microsoft Entra-komponent | Description | Datalagringsplats |
|---|---|---|
| Microsoft Entra-autentiseringstjänst | Den här tjänsten är tillståndslös. Data för autentisering finns i Microsoft Entra Core Store. Den har inga katalogdata. Microsoft Entra-autentiseringstjänsten genererar loggdata i Azure Storage och i det datacenter där tjänstinstansen körs. När användare försöker autentisera med Microsoft Entra-ID dirigeras de till en instans i det geografiskt närmaste datacenter som ingår i dess logiska Microsoft Entra-region. | I geo-plats |
| IAM-tjänster (Microsoft Entra identity and Access Management) | Användar- och hanteringsupplevelser: Microsoft Entra-hanteringsupplevelsen är tillståndslös och har inga katalogdata. Den genererar logg- och användningsdata som lagras i Azure Tables Storage. Användarupplevelsen liknar Azure-portalen. Affärslogik och rapporteringstjänster för identitetshantering: Dessa tjänster har lokalt cachelagrad datalagring för grupper och användare. Tjänsterna genererar logg- och användningsdata som går till Azure Tables Storage, Azure SQL och Microsoft Elastic Search Reporting Services. |
I geo-plats |
| Microsoft Entra multifaktorautentisering | Mer information om lagring och kvarhållning av MFA-åtgärder finns i Datahemvist och kunddata för Microsoft Entra multifaktorautentisering. Microsoft Entra multifaktorautentisering loggar användarhuvudnamn (UPN), röstsamtalstelefonnummer och SMS-utmaningar. För utmaningar med mobilappslägen loggar tjänsten UPN och en unik enhetstoken. Datacenter i Nordamerika region lagrar Microsoft Entra multifaktorautentisering och loggarna som skapas. | Nordamerika |
| Microsoft Entra Domain Services | Se regioner där Microsoft Entra Domain Services publiceras på Produkter som är tillgängliga per region. Tjänsten innehåller systemmetadata globalt i Azure Tables och innehåller inga personliga data. | I geo-plats |
| Microsoft Entra Connect Health | Microsoft Entra Anslut Health genererar aviseringar och rapporter i Azure Tables Storage och Blob Storage. | I geo-plats |
| Dynamiskt Microsoft Entra-medlemskap för grupper, Microsoft Entra-grupphantering med självbetjäning | Azure Tables Storage innehåller definitioner av regler för dynamiskt medlemskap. | I geo-plats |
| Microsoft Entra-programproxy | Microsoft Entra-programproxy lagrar metadata om klientorganisationen, anslutningsdatorer och konfigurationsdata i Azure SQL. | I geo-plats |
| Tillbakaskrivning av Microsoft Entra-lösenord i Microsoft Entra Anslut | Under den inledande konfigurationen genererar Microsoft Entra Anslut en asymmetrisk keypair med hjälp av kryptosystemet Rivest–Shamir–Adleman (RSA). Den skickar sedan den offentliga nyckeln till molntjänsten självbetjäning av lösenordsåterställning (SSPR), som utför två åtgärder: 1. Skapar två Azure Service Bus-reläer för Microsoft Entra Anslut lokala tjänsten för att kommunicera säkert med SSPR-tjänsten 2. Genererar en AES-nyckel (Advanced Encryption Standard), K1 Azure Service Bus Relay-platserna, motsvarande lyssnarnycklar och en kopia av AES-nyckeln (K1) går till Microsoft Entra Anslut i svaret. Framtida kommunikation mellan SSPR och Microsoft Entra Anslut ske via den nya ServiceBus-kanalen och krypteras med SSL. Nya lösenordsåterställningar som skickas under åtgärden krypteras med den offentliga RSA-nyckel som genereras av klienten under registreringen. Den privata nyckeln på Microsoft Entra-Anslut dator dekrypterar dem, vilket hindrar pipelineundersystem från att komma åt lösenordet i klartext. AES-nyckeln krypterar meddelandets nyttolast (krypterade lösenord, mer data och metadata), vilket förhindrar skadliga ServiceBus-angripare från att manipulera nyttolasten, även med fullständig åtkomst till den interna ServiceBus-kanalen. För tillbakaskrivning av lösenord behöver Microsoft Entra Anslut nycklar och data: – AES-nyckeln (K1) som krypterar återställningsnyttolasten eller ändrar begäranden från SSPR-tjänsten till Microsoft Entra Anslut, via ServiceBus-pipelinen – Den privata nyckeln, från det asymmetriska nyckelparet som dekrypterar lösenorden, återställer eller ändrar nyttolaster för begäranden – ServiceBus-lyssnarnycklarna AES-nyckeln (K1) och den asymmetriska keypair roterar minst var 180:e dag, en varaktighet som du kan ändra under vissa konfigurationshändelser för registrering eller avregistrering. Ett exempel är att en kund inaktiverar och återaktiver tillbakaskrivning av lösenord, vilket kan inträffa under komponentuppgradering under tjänst och underhåll. Tillbakaskrivningsnycklarna och data som lagras i Microsoft Entra-Anslut-databasen krypteras av DPAPI (Data Protection Application Programming Interfaces) (CALG_AES_256). Resultatet är den huvudkrypteringsnyckel för ADSync som lagras i Windows Credential Vault i kontexten för det lokala ADSync-tjänstkontot. Windows Credential Vault tillhandahåller automatisk omkryptering av hemligheter när lösenordet för tjänstkontot ändras. Om du vill återställa lösenordet för tjänstkontot ogiltigförklaras hemligheter i Windows Credential Vault för tjänstkontot. Manuella ändringar av ett nytt tjänstkonto kan göra lagrade hemligheter ogiltiga. Som standard körs ADSync-tjänsten i kontexten för ett virtuellt tjänstkonto. Kontot kan anpassas under installationen till ett domäntjänstkonto med minst privilegier, ett hanterat tjänstkonto (MSA) eller ett grupphanterat tjänstkonto (gMSA). Virtuella och hanterade tjänstkonton har automatisk lösenordsrotation, men kunderna hanterar lösenordsrotation för ett anpassat etablerat domänkonto. För att återställa lösenordet går lagrade hemligheter förlorade. |
I geo-plats |
| Registreringstjänst för Microsoft Entra-enheter | Microsoft Entra Device Registration Service har hantering av dator- och enhetslivscykel i katalogen, vilket möjliggör scenarier som villkorlig åtkomst för enhetstillstånd och hantering av mobila enheter. | I geo-plats |
| Microsoft Entra-etablering | Microsoft Entra-etablering skapar, tar bort och uppdaterar användare i system, till exempel saaS-program (programvara som tjänst). Den hanterar användarskapande i Microsoft Entra-ID och lokal AD från HR-molnkällor, till exempel Workday. Tjänsten lagrar sin konfiguration i en Azure Cosmos DB, som lagrar gruppmedlemskapsdata för den användarkatalog som den behåller. Cosmos DB replikerar databasen till flera datacenter i samma region som klientorganisationen, vilket isolerar data enligt Microsoft Entra-molnlösningsmodellen. Replikering skapar hög tillgänglighet och flera läs- och skrivslutpunkter. Cosmos DB har kryptering på databasinformationen och krypteringsnycklarna lagras i lagringen av hemligheter för Microsoft. | I geo-plats |
| Microsoft Entra-samarbete mellan företag (B2B) | Microsoft Entra B2B-samarbete har inga katalogdata. Användare och andra katalogobjekt i en B2B-relation, med en annan klientorganisation, resulterar i att användardata kopieras i andra klienter, vilket kan få konsekvenser för datahemvist. | I geo-plats |
| Microsoft Entra ID Protection | Microsoft Entra ID Protection använder realtidsanvändarinloggningsdata, med flera signaler från företags- och branschkällor, för att mata sina maskininlärningssystem som identifierar avvikande inloggningar. Personliga data rensas från inloggningsdata i realtid innan de skickas till maskininlärningssystemet. Återstående inloggningsdata identifierar potentiellt riskfyllda användarnamn och inloggningar. Efter analysen går data till Microsofts rapporteringssystem. Riskfyllda inloggningar och användarnamn visas i rapporteringen för administratörer. | I geo-plats |
| Microsoft Entra-hanterade identiteter för Azure-resurser | Microsoft Entra-hanterade identiteter för Azure-resurser med hanterade identitetssystem kan autentisera till Azure-tjänster utan att lagra autentiseringsuppgifter. I stället för att använda användarnamn och lösenord autentiserar hanterade identiteter till Azure-tjänster med certifikat. Tjänsten skriver certifikat som den har problem med i Azure Cosmos DB i regionen USA, östra, som redundansväxlar till en annan region efter behov. Geo-redundans i Azure Cosmos DB sker genom global datareplikering. Databasreplikering placerar en skrivskyddad kopia i varje region som Microsoft Entra-hanterade identiteter kör. Mer information finns i Azure-tjänster som kan använda hanterade identiteter för att få åtkomst till andra tjänster. Microsoft isolerar varje Cosmos DB-instans i en Microsoft Entra-molnlösningsmodell. Resursprovidern, till exempel den virtuella datorns värd, lagrar certifikatet för autentisering och identitetsflöden med andra Azure-tjänster. Tjänsten lagrar sin huvudnyckel för åtkomst till Azure Cosmos DB i en hanteringstjänst för datacenterhemligheter. Azure Key Vault lagrar huvudkrypteringsnycklarna. |
I geo-plats |
| Azure Active Directory B2C | Azure AD B2C är en identitetshanteringstjänst för att anpassa och hantera hur kunder registrerar sig, loggar in och hanterar sina profiler när de använder program. B2C använder Core Store för att behålla information om användaridentitet. Core Store-databasen följer kända regler för lagring, replikering, borttagning och datahemvist. B2C använder ett Azure Cosmos DB-system för att lagra tjänstprinciper och hemligheter. Cosmos DB har krypterings- och replikeringstjänster för databasinformation. Dess krypteringsnyckel lagras i lagringen av hemligheter för Microsoft. Microsoft isolerar Cosmos DB-instanser i en Microsoft Entra-molnlösningsmodell. | Geografisk plats som kan väljas av kunden |
Relaterade resurser
Mer information om datahemvist i Microsoft Cloud-erbjudanden finns i följande artiklar:
- Microsoft Entra-ID – var finns dina data?
- Data Residency i Azure | Microsoft Azure
- Microsoft 365-dataplatser – Microsoft 365 Enterprise
- Microsoft Privacy – Var finns dina data?
- Ladda ned PDF: Sekretessöverväganden i molnet