Aracılığıyla paylaş

Microsoft Entra Kimliği ve veri yerleşimi

  • Makale

Microsoft Entra Id, bulutta kimlik ve erişim verilerini depolayan ve yöneten bir Hizmet Olarak Kimlik (IDaaS) çözümüdür. Verileri kullanarak bulut hizmetlerine erişimi etkinleştirebilir ve yönetebilir, mobilite senaryolarına ulaşabilir ve kuruluşunuzun güvenliğini sağlayabilirsiniz. Kiracı olarak adlandırılan Microsoft Entra hizmetinin bir örneği, müşterinin sağladığı ve sahip olduğu yalıtılmış bir dizin nesnesi veri kümesidir.

Not

Microsoft Entra Dış Kimlik, verileri müşteriye yönelik uygulamalarınız ve müşteri dizin verileriniz için oluşturulan ayrı bir kiracıda depolayan ve yöneten bir müşteri kimliği ve erişim yönetimi (CIAM) çözümüdür. Bu kiracı dış kiracı olarak adlandırılır. Dış kiracı oluşturduğunuzda, veri depolama için coğrafi konumu seçme seçeneğiniz vardır. Veri konumlarının ve bölge kullanılabilirliğinin, bu makalede belirtildiği gibi Microsoft Entra Id'ninkinden farklı olabileceğini unutmayın.

Çekirdek Mağaza

Çekirdek Depo, her biri birden çok kiracı içeren ölçek birimlerinde depolanan kiracılardan oluşur. Microsoft Entra Core Store'daki güncelleştirme veya alma verileri işlemleri, kullanıcının güvenlik belirtecini temel alarak kiracı yalıtımını sağlayan tek bir kiracıyla ilgilidir. Ölçek birimleri bir coğrafi konuma atanır. Her coğrafi konum, verileri depolamak için iki veya daha fazla Azure bölgesi kullanır. Her Azure bölgesinde, dayanıklılık ve performans için fiziksel veri merkezlerinde bir ölçek birimi verileri çoğaltılır.

Daha fazla bilgi edinin: Microsoft Entra Core Store Ölçek Birimleri

Microsoft Entra Id aşağıdaki bulutlarda kullanılabilir:

  • Genel
  • Çin*
  • ABD hükümeti*

* Şu anda dış kiracılar için kullanılamıyor.

Genel bulutta, kiracı oluşturma sırasında bir konum seçmeniz istenir (örneğin, Office 365 veya Azure'a kaydolma veya Azure portalı aracılığıyla daha fazla Microsoft Entra örneği oluşturma). Microsoft Entra Id, seçimi bir coğrafi konum ve içindeki tek bir ölçek birimiyle eşler. Kiracı konumu ayarlandıktan sonra değiştirilemez.

Kiracı oluşturma sırasında seçilen konum aşağıdaki coğrafi konumlardan biriyle eşlenir:

  • Avustralya*
  • Asya/Pasifik
  • Avrupa, Orta Doğu ve Afrika (EMEA)
  • Japonya*
  • Kuzey Amerika
  • Dünya

* Şu anda dış kiracılar için kullanılamıyor.

Microsoft Entra Id, Kullanılabilirlik, performans, yerleşim veya coğrafi konuma göre diğer gereksinimlere göre Çekirdek Depolama verilerini işler. Microsoft Entra Id, aşağıdaki ölçütlere göre her kiracıyı ölçek birimi aracılığıyla veri merkezleri arasında çoğaltır:

  • Gecikme süresini azaltmak ve hızlı kullanıcı oturum açma süreleri sağlamak için kiracı konumundaki en yakın veri merkezlerinde depolanan Microsoft Entra Core Store verileri
  • Coğrafi olarak yalıtılmış veri merkezlerinde depolanan Microsoft Entra Core Store verileri, öngörülemeyen tek veri merkezi ve yıkıcı olaylar sırasında kullanılabilirliği sağlamak için
  • Belirli müşteriler ve coğrafi konumlar için veri yerleşimi veya diğer gereksinimlerle uyumluluk

Microsoft Entra bulut çözümü modelleri

Altyapı, veri konumu ve operasyonel egemenliğe dayalı Microsoft Entra bulut çözümü modellerini görmek için aşağıdaki tabloyu kullanın.

Model Yerleşimler Veri yerleşimi operasyon personeli Bu modele bir kiracı yerleştirin
Genel coğrafi konum Avustralya*, Kuzey Amerika, EMEA, Japonya*, Asya/Pasifik Bekleyen, hedef konumda. Hizmete veya özelliğe göre özel durumlar Microsoft tarafından işletilmektedir. Microsoft veri merkezi personelinin bir arka plan denetimi geçirmesi gerekir. Kaydolma deneyiminde kiracıyı oluşturun. Veri yerleşimi için konumu seçin.
Dünya çapında genel Dünya Tüm konumlar Microsoft tarafından işletilmektedir. Microsoft veri merkezi personelinin bir arka plan denetimi geçirmesi gerekir. Kiracı oluşturma resmi destek kanalı aracılığıyla kullanılabilir ve Microsoft'un takdirine bağlıdır.
Bağımsız veya ulusal bulutlar ABD hükümeti*, Çin* Bekleyen, hedef konumda. Özel durum yok. Bir veri koruyucu (1) tarafından işletilmektedir. Personel, gereksinimlere göre taranmaktadır. Her ulusal bulut örneğinin bir kaydolma deneyimi vardır.

* Şu anda dış kiracılar için kullanılamıyor.

Tablo başvuruları:

(1) Veri koruyucuları: ABD kamu bulutundaki veri merkezleri Microsoft tarafından işletilir. Çin'de Microsoft Entra ID, 21Vianet ile bir ortaklık aracılığıyla çalıştırılır.

Daha fazla bilgi edinin:

Microsoft Entra bileşenlerinde veri yerleşimi

Daha fazla bilgi edinin: Microsoft Entra ürününe genel bakış

Not

Exchange Online veya Skype Kurumsal gibi hizmet verilerinin konumunu anlamak için ilgili hizmet belgelerine bakın.

Microsoft Entra bileşenleri ve veri depolama konumu

Microsoft Entra bileşeni Açıklama Veri depolama konumu
Microsoft Entra kimlik doğrulama hizmeti Bu hizmet durum bilgisi yok. Kimlik doğrulaması verileri Microsoft Entra Core Store'dadır. Dizin verileri yok. Microsoft Entra kimlik doğrulama hizmeti, Azure Depolama ve hizmet örneğinin çalıştığı veri merkezinde günlük verileri oluşturur. Kullanıcılar Microsoft Entra Kimliğini kullanarak kimlik doğrulaması yapmaya çalıştığında, microsoft Entra mantıksal bölgesinin parçası olan coğrafi olarak en yakın veri merkezinde bulunan bir örneğe yönlendirilir. Coğrafi konumda
Microsoft Entra kimlik ve Erişim Yönetimi (IAM) Hizmetleri Kullanıcı ve yönetim deneyimleri: Microsoft Entra yönetim deneyimi durum bilgisi yoktur ve dizin verileri yoktur. Azure Tabloları depolama alanında depolanan günlük ve kullanım verilerini oluşturur. Kullanıcı deneyimi, Azure portalı gibidir.
Kimlik yönetimi iş mantığı ve raporlama hizmetleri: Bu hizmetler, gruplar ve kullanıcılar için yerel olarak önbelleğe alınmış veri depolama alanına sahiptir. Hizmetler Azure Tablolar depolama, Azure SQL ve Microsoft Elastik Arama raporlama hizmetlerinde giden günlük ve kullanım verileri oluşturur.		 Coğrafi konumda
Microsoft Entra çok faktörlü kimlik doğrulaması Çok faktörlü kimlik doğrulama işlemleri veri depolama ve saklama hakkında ayrıntılı bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması için veri yerleşimi ve müşteri verileri. Microsoft Entra çok faktörlü kimlik doğrulaması, Kullanıcı Asıl Adı (UPN), sesli arama telefon numaraları ve SMS sınamalarını günlüğe kaydeder. Mobil uygulama modlarına yönelik zorluklar için hizmet, UPN'yi ve benzersiz bir cihaz belirtecini günlüğe kaydeder. Kuzey Amerika bölgesindeki veri merkezleri, Microsoft Entra çok faktörlü kimlik doğrulamasını ve oluşturduğu günlükleri depolar. Kuzey Amerika
Microsoft Entra Domain Services Microsoft Entra Domain Services'ın bölgelere göre kullanılabilir ürünlerde yayımlandığı bölgelere bakın. Hizmet, Azure Tablolarında sistem meta verilerini genel olarak barındırıyor ve kişisel veri içermiyor. Coğrafi konumda
Microsoft Entra Connect Health Microsoft Entra Bağlan Health, Azure Tabloları depolama ve blob depolama alanında uyarılar ve raporlar oluşturur. Coğrafi konumda
Gruplar için Microsoft Entra dinamik üyeliği, Microsoft Entra self servis grup yönetimi Azure Tablolar depolama alanı dinamik üyelik kuralı tanımlarını barındırıyor. Coğrafi konumda
Microsoft Entra uygulama ara sunucusu Microsoft Entra uygulama ara sunucusu Azure SQL'de kiracı, bağlayıcı makineleri ve yapılandırma verileri hakkındaki meta verileri depolar. Coğrafi konumda
Microsoft Entra Bağlan'da Microsoft Entra parola geri yazma İlk yapılandırma sırasında Microsoft Entra Bağlan Rivest–Shamir–Adleman (RSA) şifreleme sistemini kullanarak asimetrik bir anahtar bölmesi oluşturur. Ardından ortak anahtarı, iki işlem gerçekleştiren self servis parola sıfırlama (SSPR) bulut hizmetine gönderir:

1. Microsoft Entra Bağlan şirket içi hizmetinin SSPR hizmeti
2 ile güvenli bir şekilde iletişim kurması için iki Azure Service Bus geçişi oluşturur. Gelişmiş Şifreleme Standardı (AES) anahtarı, K1

Azure Service Bus geçiş konumları, ilgili dinleyici anahtarları ve AES anahtarının (K1) bir kopyası yanıtta Microsoft Entra Bağlan'e gider. SSPR ile Microsoft Entra Bağlan arasındaki gelecekteki iletişimler yeni ServiceBus kanalı üzerinden gerçekleşir ve SSL kullanılarak şifrelenir.
İşlem sırasında gönderilen yeni parola sıfırlamaları, ekleme sırasında istemci tarafından oluşturulan RSA ortak anahtarıyla şifrelenir. Microsoft Entra Bağlan makinesindeki özel anahtar, işlem hattı alt sistemlerinin düz metin parolasına erişmesini engelleyen şifrelerini çözer.
AES anahtarı, iç ServiceBus kanalına tam erişimle bile kötü amaçlı ServiceBus saldırganlarının yükü kurcalamasını önleyen ileti yükünü (şifrelenmiş parolalar, daha fazla veri ve meta veri) şifreler.
Parola geri yazma için, Microsoft Entra Bağlan anahtarlara ve verilere ihtiyaç duyar:

- Sıfırlama yükünü şifreleyen AES anahtarı (K1) veya SSPR hizmetinden Microsoft Entra Bağlan'a, ServiceBus işlem hattı
aracılığıyla istekleri değiştirme - Parolaların şifresini çözen asimetrik anahtar çiftinden özel anahtar, istek yüklerini
sıfırlama veya değiştirme - ServiceBus dinleyici anahtarları

AES anahtarı (K1) ve asimetrik anahtar bölmesi, belirli ekleme veya çıkarma yapılandırma olayları sırasında değiştirebileceğiniz bir süre olan en az 180 günde bir döndürür. Müşteri, hizmet ve bakım sırasında bileşen yükseltmesi sırasında oluşabilecek parola geri yazma özelliğini devre dışı bırakır ve yeniden etkinleştirir.
Microsoft Entra Bağlan veritabanında depolanan geri yazma anahtarları ve veriler, veri koruma uygulaması programlama arabirimleri (DPAPI) (CALG_AES_256) tarafından şifrelenir. Sonuç, şirket içi AD Eşitleme hizmet hesabı bağlamında Windows Kimlik Bilgileri Kasası'nda depolanan ana AD Eşitleme şifreleme anahtarıdır. Hizmet hesabının parolası değiştikçe Windows Credential Vault otomatik gizli dizi yeniden şifrelemesi sağlar. Hizmet hesabı parolasını sıfırlamak için, hizmet hesabı için Windows Kimlik Bilgileri Kasası'ndaki gizli diziler geçersiz kılınıyor. Yeni bir hizmet hesabında el ile yapılan değişiklikler depolanan gizli dizileri geçersiz kabilir.
Varsayılan olarak, AD Eşitleme hizmeti bir sanal hizmet hesabı bağlamında çalışır. Hesap, yükleme sırasında en az ayrıcalıklı bir etki alanı hizmet hesabına, yönetilen hizmet hesabına (Microsoft hesabı) veya grup tarafından yönetilen hizmet hesabına (gMSA) özelleştirilebilir. Sanal ve yönetilen hizmet hesaplarının otomatik parola döndürmesi olsa da, müşteriler özel sağlanan etki alanı hesabı için parola döndürmeyi yönetir. Belirtildiği gibi, parolayı sıfırlamak depolanan gizli dizilerin kaybolmasına neden olur.		 Coğrafi konumda
Microsoft Entra Cihaz Kayıt Hizmeti Microsoft Entra Cihaz Kayıt Hizmeti, dizinde cihaz durumu Koşullu Erişim ve mobil cihaz yönetimi gibi senaryoları etkinleştiren bilgisayar ve cihaz yaşam döngüsü yönetimine sahiptir. Coğrafi konumda
Microsoft Entra sağlama Microsoft Entra sağlama, hizmet olarak yazılım (hizmet olarak yazılım (SaaS)) uygulamaları gibi sistemlerde kullanıcıları oluşturur, kaldırır ve güncelleştirir. Microsoft Entra Id ve şirket içi Microsoft Windows Server Active Directory'de kullanıcı oluşturmayı Workday gibi bulut İk kaynaklarından yönetir. Hizmet, yapılandırmasını, sakladığı kullanıcı dizini için grup üyeliği verilerini depolayan bir Azure Cosmos DB örneğinde depolar. Azure Cosmos DB, microsoft Entra bulut çözümü modeline göre verileri yalıtan kiracıyla aynı bölgedeki birden çok veri merkezine veritabanını çoğaltır. Çoğaltma, yüksek kullanılabilirlik ve birden çok okuma ve yazma uç noktası oluşturur. Azure Cosmos DB,veritabanı bilgilerinde şifrelemeye sahiptir ve şifreleme anahtarları Microsoft'un gizli dizi depolama alanında depolanır. Coğrafi konumda
Microsoft Entra işletmeler arası (B2B) işbirliği Microsoft Entra B2B işbirliğinde dizin verileri yoktur. B2B ilişkisindeki kullanıcılar ve diğer dizin nesneleri, başka bir kiracıyla birlikte diğer kiracılarda kopyalanan kullanıcı verilerinin veri yerleşimi etkileri olabilir. Coğrafi konumda
Microsoft Entra Kimlik Koruması Microsoft Entra Kimlik Koruması, anormal oturum açma bilgilerini algılayan makine öğrenmesi sistemlerini beslemek için şirket ve sektör kaynaklarından gelen birden çok sinyalle gerçek zamanlı kullanıcı oturum açma verilerini kullanır. Kişisel veriler, makine öğrenmesi sistemine geçirilmeden önce gerçek zamanlı oturum açma verilerinden temizlenmiş olur. Kalan oturum açma verileri riskli olabilecek kullanıcı adlarını ve oturum açma bilgilerini tanımlar. Analizden sonra veriler Microsoft raporlama sistemlerine gider. Riskli oturum açma bilgileri ve kullanıcı adları, Yönetici istrator'lar için raporlamada görünür. Coğrafi konumda
Azure kaynakları için yönetilen kimlikler Yönetilen kimlik sistemlerine sahip Azure kaynakları için yönetilen kimlikler, kimlik bilgilerini depolamadan Azure hizmetlerinde kimlik doğrulaması yapabilir. Kullanıcı adı ve parola kullanmak yerine, yönetilen kimlikler sertifikalarla Azure hizmetlerinde kimlik doğrulaması yapar. Hizmet, doğu ABD bölgesindeki Azure Cosmos DB'de verilen ve başka bir bölgeye yük devreden sertifikaları gerektiği gibi yazar. Azure Cosmos DB coğrafi olarak yedeklilik, genel veri çoğaltması tarafından gerçekleşir. Veritabanı çoğaltması, Microsoft Entra tarafından yönetilen kimliklerin çalıştığı her bölgeye salt okunur bir kopya yerleştirir. Daha fazla bilgi edinmek için bkz . Diğer hizmetlere erişmek için yönetilen kimlikleri kullanabilen Azure hizmetleri. Microsoft, her Azure Cosmos DB örneğini bir Microsoft Entra bulut çözümü modelinde yalıtıyor.
Sanal makine (VM) konağı gibi kaynak sağlayıcısı, diğer Azure hizmetleriyle birlikte kimlik doğrulaması ve kimlik akışları için sertifikayı depolar. Hizmet, Azure Cosmos DB'ye erişmek için ana anahtarını bir veri merkezi gizli dizi yönetimi hizmetinde depolar. Azure Key Vault ana şifreleme anahtarlarını depolar.		 Coğrafi konumda

Microsoft Cloud tekliflerindeki veri yerleşimi hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Sonraki adımlar