为欧盟数据边界配置 Azure 非区域服务
Azure 非区域服务 (可以在 Azure 产品(按区域 )中找到完整列表) 这些服务不依赖于特定 Azure 区域,并且当前不允许客户指定部署区域。 这些服务经过架构和优化,始终作为 Azure 全球云的一部分提供。 作为满足欧盟客户数据驻留要求的欧盟数据边界承诺的一部分,许多支持它们的 Azure 平台服务和核心组件正在重新构建。 这项工作正在进行中,其中一些涉及广泛的服务和平台重构。 某些 Azure 非区域服务已完成这项工作:对于其他人,工作正在进行中,2024年整个欧盟数据边界将按不同的时间表提供这些服务。 本文档列出了已满足欧盟数据边界承诺的 Azure 非区域服务,并介绍如何配置服务以在欧盟数据边界中存储和处理客户数据和假名个人数据。 若要详细了解将剩余数据传输到欧盟数据边界之外的 Azure 非区域服务,请参阅暂时排除在欧盟数据边界之外的服务和将客户数据子集或化名个人数据暂时移出欧盟数据边界的服务。
不处理客户数据或化名个人数据的非区域服务
以下 Azure 非区域服务不存储或处理客户数据或化名个人数据:
具有可按区域配置的云组件的客户设备
Azure 支持多种混合和 IoT 解决方案和设备,使你能够将 Azure 服务和功能扩展到所选的环境。 这些解决方案被视为非区域解决方案,但在购买设备后,可以配置回 Azure 的连接,以在特定地理位置存储和处理客户数据和化名个人数据。 选择欧盟位置时,客户数据和化名个人数据将存储在欧盟数据边界内并进行处理。
下面介绍了每个服务的配置详细信息。
Azure Sphere
Azure Sphere 安全服务是面向客户的全局安全服务,可实现日常证明安全验证,也是一个安全软件供应链,用于管理已启用 Azure Sphere 的客户设备的 OS 和客户提供的应用程序更新。 使用新的 区域数据边界 参数,客户现在可以指定可能包含客户数据的应用程序二进制文件由基于欧盟的 Microsoft 产品发布和安全服务 (PRSS) 签名服务签名,并存储在位于欧盟的 Azure Sphere Blob 存储中。 有关详细信息,请参阅 Azure Sphere CLI 映像命令。
Azure Stack Edge
Azure Stack Edge 设备允许你选择设备将连接到的 Azure 地理位置。 Edge 数据将在此区域中存储和处理。 有关区域可用性和选择区域的详细信息,请参阅 为具有 GPU 的 Microsoft Azure Stack Edge Pro 选择区域。
Azure Stack HCI
注册 Azure Stack HCI 群集时,从群集将连接到的某个受支持的基于欧盟的 Azure Stack HCI 区域中进行选择,以便进行注册、计费和管理。 有关详细信息,请参阅 将 Azure Stack HCI 连接到 Azure。
Azure Stack Hub
Azure Stack Hub 客户可以选择其地理首选项,以便在现有 Azure Stack Hub 部署上处理数据。 新的 Azure Stack Hub 部署可以在部署过程中设置地理区域。 Edge 数据将在此区域中存储和处理。 有关详细信息,请参阅 Azure Stack Hub 安全控制。
Azure Data Box
订购 Data Box 时,可以同时指定源国家/地区和目标 Azure 区域。 Data Box 仅在与目标相同的国家/地区内支持数据引入或出口,并且不会跨越任何国际边界。 唯一的例外是欧盟订单,Data Boxes 可以运送到任何欧盟国家/地区或从任何欧盟国家/地区发货。 有关详细信息,请参阅 Azure Data Box 和 Azure Data Box Heavy 常见问题解答。
Azure Monitor 组件
Azure Monitor 提供了一个全面的解决方案,用于从云和本地环境中收集、分析和处理系统生成的和诊断数据。 Azure Monitor 在欧盟数据边界中可用,允许在欧盟数据边界中存储和处理所有客户数据和化名个人数据,但以下部分所标识的特定方案除外,并在服务中进行了更详细的介绍 ,这些方案将暂时将客户数据子集或假名化个人数据从欧盟数据边界转移出去。
欧盟数据边界中可用的组件
指标
指标 是 Azure Monitor 的一项功能,可将受 监视资源 中的数字数据收集到时序数据库中。 指标是定期收集的数值,在特定时间描述系统的某些方面。 有关详细信息,请参阅 Azure Monitor 指标中的指标类型。 Azure Monitor 基于订阅跟踪指标,并使其可供该订阅的管理员使用。 指标不会存储或处理任何客户数据。
注意
允许创建和存储自定义指标的公共预览功能使你能够将客户数据添加到指标,并且此数据将全局存储和处理。 Microsoft Online Services 的预览功能不在欧盟数据边界或数据驻留承诺范围内。
活动日志
每个 Azure 资源提供程序收集审核日志(也称为 活动日志),这些日志提供订阅级事件的见解。 这些日志包括某些资源类型的客户数据和化名个人数据。 源自欧盟的数据存储在欧盟,否则,这些数据将存储在全局。
诊断日志
诊断日志 提供 Azure 资源及其所依赖的 Azure 平台的详细诊断信息。 在客户将日志路由到客户选择的目标之前,不会收集这些日志。 有关详细信息,请参阅 Azure Monitor 中的诊断设置。
警报和操作组
警报 和 操作组 构建在 Log Analytics 工作区或 Application Insights 资源上,这两种资源都是地理对齐的。 客户发送到欧盟中的操作组终结点的数据存储在欧盟中,并在触发警报以发送电子邮件、短信或电话呼叫时使用基于欧盟的短信系统。
如果完全在欧盟内部运行,此工作流将存储和处理欧盟内的所有客户数据和化名个人数据。 如果工程师在欧盟以外(例如美国东部)创建资源,并且此工作流的监视也在美国东部设置,则即使通知发送给欧盟的合作伙伴,警报工作流也会在美国运行。
Log Analytics
Log Analytics 是一项 Azure 区域服务,可在创建服务时在所选的地理位置中存储和处理所有客户数据和化名个人数据。
欧盟数据边界中不可用的组件
应用程序更改分析
应用程序更改分析基于 Azure Resource Graph来提供跨多个基础结构和应用程序部署层的更改见解。 变更分析数据目前在全球范围内存储和处理,但将来会迁移到区域模型。 有关详细信息,请参阅 将暂时将部分客户数据或化名个人数据移出欧盟数据边界的服务。
Application Insights
Application Insights 是一项 Azure 区域服务,用于存储和处理创建服务时所选的地理位置中的所有客户数据。 正在按照服务中所述,在欧盟数据边界中存储和处理假名个人数据的工作正在进行中 ,这些服务将暂时将一部分客户数据或假名化个人数据移出欧盟数据边界。
欧盟数据边界中提供的其他非区域服务
所有这些服务都可以配置为在欧盟数据边界中使用。 以下部分介绍如何配置列出的非区域服务,以在欧盟数据边界中存储和处理客户数据和化名个人数据。
以下部分介绍了每个服务的配置详细信息。
Azure 机器人服务
Azure 机器人服务提供了一系列库、工具和服务,可用于生成、测试、部署和管理智能机器人。 使用机器人服务可以在欧盟数据边界内创建机器人,并且机器人的所有数据平面相关数据将在欧盟内存储和处理。 客户数据和化名个人数据在欧盟数据边界中存储和处理,除了服务中记录的特定剩余传输,这些传输 将暂时将客户数据子集或假名化个人数据转移到欧盟数据边界之外。 有关如何将区域设置添加到机器人的详细信息,请参阅区域化支持 - 机器人服务。
Azure 通信服务
创建Azure 通信服务资源时,需要指定地域 (而不是 Azure 区域) 。 所有聊天消息和资源数据都存储在该地理位置中,位于通信服务内部选择的区域。 选择欧洲地理区域或属于欧盟数据边界的国家/地区之一可确保客户数据和假名个人数据在欧盟数据边界中存储和处理,但服务中记录的特定剩余传输 将暂时将客户数据子集或化名个人数据移出欧盟数据边界。 有关详细信息,请参阅Azure 通信服务的区域可用性和数据驻留。
Azure Stack HCI 上的Azure Kubernetes 服务
Azure Stack HCI 上的Azure Kubernetes 服务将数据发送到配置群集时选择的区域。 任何包含的客户数据都在此区域中存储和处理。
Azure Migrate
创建 Azure Migrate 项目时,指定地域 (而不是 Azure 区域) 。 从本地环境收集的所有元数据都安全地存储和处理在创建项目的位置。 在欧盟中选择地理位置可确保在欧盟数据边界中存储和处理数据。 有关与每个地理位置关联的特定元数据位置,请参阅 Azure Migrate 支持的地理位置。 有关详细信息,请参阅 Azure Migrate 设备常见问题解答 - 数据的存储方式。
Azure 虚拟桌面
创建新的 Azure 虚拟桌面 主机池时,可以指定创建该主机池元数据的 Azure 区域。 这将确定与主机池关联的信息的存储位置,其中包括主机池或应用程序名称。 如果选择任一欧盟区域,则仅在欧盟内部存储和处理此数据。 Microsoft 不会控制或限制你或你的用户可以访问其 Azure 虚拟桌面虚拟机的位置。 有关详细信息,请参阅 Azure 虚拟桌面的数据位置。 客户管理员还可以通过配置设备 重定向来配置文件到本地设备的传输。
Azure VM 映像生成器
Azure VM Builder:对于在欧盟区域创建的虚拟机 (VM) 映像模板,在欧盟中存储和处理数据。 有关详细信息,请参阅 创建 Azure 映像生成器 Bicep 文件或 ARM JSON 模板。
Cloud Shell
Cloud Shell是用于管理 Azure 资源的交互式、经过身份验证的、浏览器可访问的终端。 Cloud Shell允许通过在“欧盟数据边界”中选择Cloud Shell区域,在欧盟数据边界内创建新存储。 客户数据不会在Cloud Shell中存储或处理,除服务中记录的特定剩余传输外,化名个人数据在欧盟数据边界中存储和处理,这些传输将暂时将一部分客户数据或假名化个人数据移出欧盟数据边界。 有关详细信息,请参阅在 Azure Cloud Shell中保存文件。
Microsoft Entra ID和 Azure Active Directory B2C
Microsoft Entra ID和 Azure Active Directory B2C:Microsoft Entra租户包含用于管理用户的目录,并为组织使用的应用程序和资源提供标识和访问管理 (IAM) 功能。 创建Microsoft Entra租户时,需要指定地理位置 (而不是 Azure 区域) 作为位置。 选择属于欧盟数据边界的一部分的位置时,客户数据和假名化个人数据将存储在欧盟数据边界中并进行处理,但以下位置中记录的特定剩余传输则不在此列:
有关详细信息,请参阅快速入门:在 Microsoft Entra ID 中创建新租户。 可以通过Microsoft Entra 管理中心验证Microsoft Entra目录数据位置,方法是导航到“属性”页并确保关联的国家或地区值是“欧盟数据边界”的一部分。
Microsoft Fabric
对于 Microsoft Fabric,托管客户服务租户的地理区域 (Geo) 由注册的第一个用户决定。 有关详细信息,请参阅 Power BI 实现规划:租户设置。 客户可以通过在欧盟数据中心位置预配其租户和所有 Microsoft Fabric 容量,将其服务配置为在欧盟数据边界范围内。 客户数据和化名个人数据在欧盟数据边界中存储和处理,但服务中记录的特定剩余传输将 客户数据子集或假名化个人数据持续传输出欧盟数据边界。
Fabric 还支持在创建新的 Microsoft Fabric 容量时选择存储客户数据的 Azure 区域的选项。 列出的默认选项是租户主区域。 如果选择该区域,则所有关联的数据(包括客户数据)都存储在该地理位置中。 如果选择其他区域,则某些客户数据仍存储在主地理位置中。 通过选择欧盟中的区域,客户数据将存储在欧盟数据边界中。
- 若要查找租户的主区域,请参阅 查找 Fabric 主区域。
- 有关使用“多地理位置”选项更改位置的详细信息,以及新“地理位置”与“主地理位置”中存储的信息,请参阅 配置 Fabric Premium 的多地理位置支持。
Power BI Embedded
Power BI Embedded分析可让你在 Web 应用程序或网站中嵌入 Power BI 项,例如报表、仪表板和磁贴。 创建新的Power BI Embedded资源时,可以选择要存储容量的工作区数据和内容的 Azure 区域。 列出的默认选项是租户主区域;如果选择该区域,则所有数据和内容将存储在该地理位置中。 如果选择其他区域,某些数据和内容仍存储在主地理位置中。
- 若要查找租户的主区域,请参阅Power BI 服务数据存储在哪里?。
- 有关使用“多地理位置”选项更改位置的详细信息,以及新“地理位置”与“主地理位置”中存储的信息的详细信息,请参阅对Power BI Embedded分析的多地理位置支持和为Power BI Premium配置多地理位置支持:注意事项和限制。
在线翻译
对于要求在欧盟内部存储和处理数据的客户, Translator 提供了欧洲终结点 (api-eur.cognitive.microsofttranslator.com) 。 使用欧洲翻译器终结点时,请求仅由欧盟数据边界内的数据中心处理。 如果欧盟数据边界内没有可用的数据中心,则不会处理请求,并返回错误。 发送到欧洲终结点的所有请求仅在欧盟进行处理,即使请求源自欧盟以外。 有关详细信息,请参阅 翻译器 V3.0 参考 - Azure 认知服务。