从欧盟数据边界排除的服务
虽然 Azure、Dynamics 365、Power Platform 和 Microsoft 365 服务系列中的大多数 Microsoft 企业联机服务都在欧盟数据边界范围内,但受与其他欧盟数据边界文章或部分中详述的服务相关的客户数据和假名个人数据的持续流动,但这些系列中的某些服务不在范围内对于欧盟数据边界,通常无法通过实施区域化体系结构来提供服务的性质及其提供的客户价值。 本文档介绍此类别中服务的主要示例。 此列表并非详尽,可能会随着时间的推移而更新。 服务协议的产品条款部分是确定给定服务是否为欧盟数据边界服务的最终来源。
Azure 服务
Azure Front Door (AFD) 和 Azure 内容分发网络 (CDN)
Azure Front Door 和内容分发网络 从欧盟传输客户数据。 Azure Front Door 和内容分发网络是非区域服务,可用于使客户的静态和动态内容更接近其世界各地的最终用户。 为了帮助加速全局请求,Azure Front Door 和 Azure CDN 代表客户在全局边缘位置缓存数据。 这两种服务都使用称为 anycast 的网络技术,使用最快的路由在客户最终用户和接入点 (PoP) 位置之间定向流量。 由于此路由机制的性质,并且为了满足客户在全球范围内推送数据的要求,并非所有流量都将保留在欧盟数据边界内。 可以根据客户在 AFD 或 CDN 配置文件设置中的配置更改缓存内容持续时间。
Windows 10 IoT 核心版服务
Windows 10 IoT 核心版服务从欧盟传输客户数据。 Windows 10 IoT 核心版服务是一项全球软件更新分发服务,用于托管要分发给客户自己的客户的客户数据。 该服务使客户能够使用全局Windows 更新内容分发网络 (CDN) 更新其托管的 IoT 设备,并允许其自定义内容和 Microsoft 的 Windows IoT 软件更新作为Windows 更新提供。 为了提供此功能,客户数据存储在 Azure 存储中,并存储在支持Windows 更新的服务器中。 全球传输的客户数据包括客户在其板支持包 (BSP) 中上传的所有数据,其中可能包含针对设备更新的自定义驱动程序、应用程序和其他数据。
Microsoft 365 服务
Microsoft 365 应用程序
Microsoft 365 应用程序 (适用于 2022 年 12 月 31 日之前的生成) :为确保使用 Microsoft 365 应用程序的现有客户的性能和稳定性,欧盟数据边界承诺仅适用于 2022 年 12 月 31 日之后发布的版本。 使用旧版的客户应升级到最新版本。
安全服务
Microsoft 安全服务有助于保护客户免受最新的恶意软件攻击,无论是保护其终结点、云工作负载还是电子邮件和协作软件。 Microsoft 安全服务通过使用跨界信号生成的面向客户的安全功能示例包括:
- 防范复杂的现代安全威胁:Microsoft 使用高级分析功能(包括人工智能)来分析全球聚合的安全相关数据。 这有助于预防、检测、调查、响应和修正威胁。 如果没有这种跨全球数据的集中式分析功能,这些服务的效能将大幅下降,从而阻止 Microsoft 为客户提供必要的保护级别。
- 检测遭到入侵的企业用户:Microsoft 通过在短时间内跟踪来自多个地理区域的可疑帐户登录,帮助检测标识泄露。 这称为不可能的 旅行 攻击。 若要启用这种类型的保护,Microsoft 安全服务会集中处理全局Microsoft Entra身份验证日志。
- 检测数据外泄:Microsoft 可以通过聚合多个来自不同位置的恶意访问数据存储的信号来提醒客户潜在的数据泄露,恶意参与者使用这种技术在检测雷达下飞行, (称为 ) 低、慢攻击。
Microsoft Defender XDR
Microsoft Defender XDR是一个统一的入侵前和入侵后企业防御套件,可本机跨终结点、标识、电子邮件和应用程序协调检测、预防和响应,以提供针对复杂攻击的集成保护。 Microsoft Defender XDR服务需要对全球数据集进行人工智能、自动化和人类等全球系统操作,以搜寻全球客户威胁。 人类安全研究人员和分析师每年 365 天每天 24 小时运行该服务的智能方面,通过处理来自全球站点的数据来创建新的检测、签名和试探。 Microsoft Defender XDR服务将大多数欧盟客户数据存储在欧盟区域。 在传输和存储期间,对美国的有限传输进行加密。 只能通过具有实时 (JIT) 访问权限的安全管理员工作站 (SAW) 访问此客户数据。 有关详细信息,请访问 Microsoft 信任中心数据位置页,并导航到云服务数据驻留和传输策略中的Microsoft Defender XDR服务。
以下部分介绍了从欧盟数据边界中排除的Microsoft Defender XDR服务。
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint是一个企业终结点安全平台,旨在帮助企业网络预防、检测、调查和响应高级威胁。 Microsoft Defender包含下一代保护,其中包括漏洞管理、攻击面减少、终结点检测和响应以及自动调查和修正。 Microsoft Defender for Endpoint由人类安全研究人员和分析师不断更新,以创建新的检测,要求人类研究人员在全球范围内处理数据。
Microsoft Defender for Identity
Microsoft Defender for Identity是一种云服务,可帮助保护企业混合环境免受多种类型的高级定向网络攻击和内部威胁。 Defender for Identity 与 Microsoft Defender XDR 完全集成,并利用来自本地 Active Directory和云标识的信号来更好地识别、检测和调查针对组织的高级威胁。 Defender for Identity 提供有关标识配置和安全最佳做法的宝贵见解,因为人类安全研究人员会不断更新它以创建新的检测。 Microsoft Defender XDR服务将大多数欧盟客户数据存储在欧盟。 在传输和存储期间,将客户数据和化名个人数据的有限传输加密到美国。 只能通过具有实时 (JIT) 访问权限的安全管理员工作站 (SAW) 访问数据。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps为 SaaS) 应用程序 (软件即服务提供全面保护,通过高级威胁防护帮助监视和保护云应用数据。 SaaS 应用在混合工作环境中无处不在,保护 SaaS 应用及其存储的重要数据对组织来说是一项重大挑战。 应用使用率的上升,加上员工访问公司外围外部的公司资源,引入了新的攻击途径。 为了有效应对这些攻击,安全团队依靠 Defender for Cloud Apps 来保护其云应用中的数据,而传统云访问安全代理的范围 (CASB) 。 Defender for Cloud Apps 全面展示了 SaaS 应用使用给环境的风险,并通过识别能够登录的所有用户和第三方应用来控制正在使用的内容和时间。 全球分布式人类安全研究人员和分析师不断更新Microsoft Defender for Cloud Apps,以创建新的检测。
Microsoft Defender for Office 365
Microsoft Defender for Office 365无缝集成到Office 365订阅中,可防范电子邮件、链接 (URLS) 、附件和协作工具中的威胁。 Microsoft Defender for Office 365为管理员和安全运营团队提供广泛的功能,从而保护组织免受恶意威胁。 这些功能在安装时通过提供快速预设设置选项、定义威胁防护策略的功能、包括实时查看和监视的可靠报告、威胁调查和响应工具以及自动调查和响应功能,开始使用户、管理员和安全操作受益。 由于恶意威胁很少仅限于单个区域,Microsoft Defender for Office 365要求全球分布式人类安全研究人员对数据进行整体和全局分析,其中大多数数据传输和存储在美国中。 Microsoft Defender for Office 365收集的数据用于安全分析,例如发件人/收件人电子邮件地址、包含发件人 IP 地址的电子邮件头、电子邮件内容中包含的 URL 以及已清理/模糊处理的主题行都已加密,因此安全研究人员和工程师无法以人工可读的方式访问内容。
Microsoft Cloud Security
Microsoft 云安全服务套件为在 Azure、混合和其他云平台(包括物联网 (IoT) 设备)中运行的客户的工作负载提供安全态势管理和威胁防护。 这些是全局服务,为客户的云资源提供实时警报和安全建议。 云安全服务将欧盟客户的大多数客户数据存储在欧盟区域,但传输有限,存储在美国中。 云安全服务使用受限的基于角色的访问控制 (RBAC) 、安全管理员工作站 (SAW) 以及实时 (JIT) 访问权限来控制数据。 数据传输在网络上进行加密,并且对数据存储进行检测,以便进行持续监视和检测。
以下部分介绍了从欧盟数据边界中排除的 Microsoft 云安全服务。
Microsoft Defender for Cloud
Microsoft Defender for Cloud 是一个云原生应用程序保护平台,具有一组旨在保护基于云的应用程序免受各种网络威胁和漏洞的安全措施和做法。 Defender for Cloud 结合了多种功能,包括 DevOps 安全管理、云安全态势管理和云工作负载保护。 为了检测安全威胁和保护客户资源,Microsoft Defender云需要使用有限的匿名个人数据和客户数据传输到美国来分析全局客户活动。 此化名个人数据和客户数据将加密存储在美国中,除非客户在欧盟预配其租户。 如果客户在欧盟预配其租户,则从客户在欧盟中的资源派生的所有假名个人数据和客户数据将静态存储在欧盟中。 Defender for Cloud 可将与安全相关的客户数据的副本存储在相应位置、从客户资源收集或与客户资源(例如虚拟机或Microsoft Entra租户)相关联。
Microsoft Sentinel
Microsoft Sentinel 是一种可缩放的云原生解决方案,可提供安全信息、事件管理 (SIEM) 业务流程、自动化和响应 (SOAR) 。 Microsoft Sentinel 在整个企业中提供智能安全分析和威胁情报。 借助 Microsoft Sentinel,你可以获得用于攻击检测、威胁可见性、主动搜寻和威胁响应的单一解决方案。 Microsoft Sentinel 在整个企业中提供鸟瞰图,缓解日益复杂的攻击、不断增加的警报量和较长的解决时间范围的压力。 当 Microsoft Sentinel 的相应 Azure Monitor 工作区位于欧盟时,可以在欧盟数据边界中存储和处理大多数客户数据。 有关详细信息,请参阅 Microsoft Sentinel 中的地理可用性和数据驻留。 否则,客户数据和化名个人数据(如对象 ID)可能会传输到欧盟数据边界之外。
适用于 IoT 的Microsoft Defender
Microsoft Defender for IoT 是一种统一的安全解决方案,专门用于识别物联网 (IoT) 和操作技术, (OT) 设备、漏洞和威胁。 使用 Defender for IoT 保护整个 IoT/OT 环境,包括可能没有内置安全代理的现有设备。 Defender for IoT 提供无代理网络层监视,并与工业设备和安全操作中心 (SOC) 工具集成。 Defender for IoT 使用无代理监视在整个网络中提供可见性和安全性,并识别专用协议、设备或计算机到计算机 (M2M) 行为。 Microsoft Defender for IoT 可分析全球客户的活动,为客户提供跨所有位置查看其 IoT 安全解决方案所需的视角。 此外,Defender for IoT 会查看和分析安全检测数据,以识别安全漏洞并提供可操作的建议。 Microsoft Defender for IoT 可以使用其他 Microsoft Online Services 来处理与安全相关的客户数据,并且此数据基于该服务的配置设置进行存储。
存储Microsoft Defender
Microsoft Defender存储是一个 Azure 本机安全智能层,用于检测存储帐户的潜在威胁。 它有助于防止对数据和工作负载的三个主要影响:恶意文件上传、敏感数据外泄和数据损坏。 Microsoft Defender for Storage 通过分析来自Azure Blob 存储、Azure 文件存储和Azure Data Lake Storage服务的数据平面和控制平面系统生成的日志,提供全面的安全性。 它使用由Microsoft 安全智能、Microsoft Defender防病毒和敏感数据发现提供支持的高级威胁检测功能来帮助你发现和缓解潜在威胁。
Dynamic 365 Fraud Protection
Dynamics 365 Fraud Protection是一个复杂的技术堆栈,它跨多个业务线使用互联大数据,并应用尖端人工智能 (AI) ,以帮助实时提供更准确的决策。 Dynamic 365 Fraud Protection 提供对帐户欺诈的增强检测、与欺诈保护网络的连接、设备指纹识别、自适应帐户规则引擎、机器人保护和自定义配置选项。 欺诈保护网络 (FPN) 化名化事务数据,以便在专有的机器学习模型中进行处理和分析。 这有助于提供对全球欺诈检测的准确分数和见解。 此外,设备指纹识别还用于根据客户预配的地理位置在客户环境中收集假名化个人数据。
Microsoft 安全 Copilot
Microsoft 安全 Copilot是一种基于 AI 的生成式安全解决方案,可帮助提高防御者的效率和功能,以计算机速度和规模改进安全成果。 安全 Copilot提供自然语言辅助驾驶体验,可帮助在事件响应、威胁搜寻、情报收集和态势管理等端到端方案中为安全专业人员提供支持。 该解决方案利用 Azure OpenAI 体系结构的全部功能,通过使用特定于安全性的插件(包括特定于组织的信息、权威源和全球威胁情报)生成对用户提示的响应。
安全 Copilot在租户 Geo 中存储客户数据和假名化个人数据,例如用户提示和Microsoft Entra对象 ID。 如果客户在欧盟预配其租户,但未选择加入 数据共享,则所有客户数据和化名个人数据将静态存储在欧盟数据边界中。 在指定的安全 GPU 地理位置中可以处理提示。 有关安全 GPU 地理位置选择的详细信息,请参阅用户已选择加入数据共享时,安全 Copilot或 GPU Geo 外部入门。 有关数据共享的详细信息,请参阅 Microsoft Security Copilot 中的隐私和数据安全。