分享方式:


Microsoft Entra ID 和資料落地

Microsoft Entra ID 是身分識別即服務 (IDaaS) 解決方案,可儲存和管理雲端中的身分識別與存取資料。 您可以使用資料來啟用和管理雲端服務的存取、達成行動案例,以及保護您的組織。 Microsoft Entra 服務的執行個體,稱為租用戶,是客戶佈建及擁有的一組隔離式 Active Directory 物件資料。

注意

Microsoft Entra 外部 ID 是客戶身分識別和存取管理 (CIAM) 解決方案,可儲存和管理針對客戶面向應用程式和客戶目錄資料所建立的個別租用戶中的資料。 此租用戶稱為外部租用戶。 當您建立外部租用戶時,您可以選擇選取資料記憶體的地理位置。 請務必注意,資料位置和區域可用性可能與 Microsoft Entra ID 不同,如本文所指。

核心存放區

核心存放區是由以級別單位儲存的租用戶所組成,每個租用戶都包含多個租用戶。 更新或擷取 Microsoft Entra 核心存放區中的資料作業與單一租用戶有關,是根據使用者的安全性權杖,其可達成租用戶隔離。 級別單位會指派給地理位置。 每個地理位置都會使用兩個以上的 Azure 區域來儲存資料。 在每個 Azure 區域中,會在實體資料中心複寫縮放單位資料,以取得復原和效能。

深入了解: Microsoft Entra 核心存放區級別單位

Microsoft Entra ID 在下列雲端中可用:

  • 公開
  • 中國*
  • 美國政府*

* 目前不適用於外部租用戶。

在公用雲端中,系統會提示您在建立租用戶時選取位置 (例如註冊 Office 365 或 Azure,或透過 Azure 入口網站建立更多Microsoft Entra 執行個體)。 Microsoft Entra ID 會將選取項目對應至地理位置和其中的單一級別單位。 在設定租用戶位置之後,就無法變更。

租用戶建立期間選取的位置將會對應至下列其中一個地理位置:

  • 澳洲*
  • 亞太地區
  • 歐洲、中東與非洲 (EMEA)
  • 日本*
  • 北美洲
  • 全球

* 目前不適用於外部租用戶。

Microsoft Entra ID 會根據地理位置的可用性、效能、落地或其他需求來處理核心存放區資料。 Microsoft Entra ID 會根據下列準則,透過其級別單位,跨資料中心複寫每個租用戶:

  • Microsoft Entra 核心存放區資料,儲存在最接近租用戶落地位置的資料中心,以減少延遲並提供快速的使用者登入時間
  • Microsoft Entra 核心存放區資料儲存在異地隔離的資料中心,以確保在未預期的單一資料中心、重大事件期間的可用性
  • 針對特定客戶和地理位置的資料落地合規性或其他需求

Microsoft Entra 雲端解決方案模型

使用下表來查看以基礎結構、資料位置和操作主權為基礎的 Microsoft Entra 雲端解決方案模型。

模型 位置 資料位置 作業人員 在此模型中放置租用戶
公用地理位置 澳洲*、北美洲、EMEA、日本*、亞太地區 位於目標位置待用。 依服務或功能的例外狀況 由 Microsoft 運作。 Microsoft 資料中心人員必須通過背景檢查。 在註冊體驗中建立租用戶。 選擇資料落地的位置。
全球公用 全球 所有位置 由 Microsoft 運作。 Microsoft 資料中心人員必須通過背景檢查。 可透過官方支援通道建立租用戶,並受限於 Microsoft 自由裁量權。
主權或國家雲端 美國政府*,中國* 位於目標位置待用。 無例外狀況。 由資料監管人 (1) 操作。 人員會根據需求進行篩選。 每個國家雲端執行個體都有註冊體驗。

* 目前不適用於外部租用戶。

資料表參考:

(1) 資料監管人:美國政府雲端中的資料中心由 Microsoft 運作。 在中國,Microsoft Entra ID 是透過與 21Vianet 合作關係運作的。

深入了解:

跨 Microsoft Entra 元件的資料落地

深入了解: Microsoft Entra 產品概觀

注意

若要瞭解服務資料位置,例如 Exchange Online 或商務用 Skype,請參閱對應的服務文件。

Microsoft Entra 元件和資料儲存位置

Microsoft Entra 元件 描述 資料儲存位置
Microsoft Entra 驗證服務 此服務無狀態。 驗證的資料位於 Microsoft Entra 核心存放區中。 它沒有目錄資料。 Microsoft Entra 驗證服務會在 Azure 記憶體和服務執行個體執行所在的資料中心產生記錄資料。 當使用者嘗試使用 Microsoft Entra ID 進行驗證時,系統會將其路由至地理位置最接近資料中心的執行個體,而該中心屬於其 Microsoft Entra 邏輯區域。 於地理位置
Microsoft Entra 身分識別與存取管理 (IAM) 服務 使用者和管理體驗:Microsoft Entra 管理體驗為無狀態且沒有目錄資料。 它會產生儲存在 Azure 資料表記憶體中的記錄和使用方式資料。 使用者體驗就像 Azure 入口網站一樣。
身分識別管理商業原則和 Reporting Services: 這些服務具有群組和使用者的本機快取資料記憶體。 服務會產生記錄和使用方式資料,這些資料會移至 Azure 資料表儲存體、Azure SQL,以及 Microsoft 彈性搜尋 Reporting Services 中。
於地理位置
Microsoft Entra 多重要素驗證 如需多重要素驗證作業資料儲存和保留的詳細資訊,請參閱 Microsoft Entra 多重要素驗證的資料落地和客戶資料。 Microsoft Entra 多重要素驗證會記錄使用者主體名稱 (UPN)、語音通話電話號碼和 SMS 挑戰。 針對行動應用程式模式的挑戰,服務會記錄 UPN 和唯一的裝置權杖。 北美洲區域中的資料中心會儲存 Microsoft Entra 多重要素驗證,以及其建立的記錄。 北美洲
Microsoft Entra 網域服務 請參閱區域 所提供 產品上發佈 Microsoft Entra Domain Services 的區域。 此服務會在 Azure 資料表中全域保存系統中繼資料,且不包含任何個人資訊。 於地理位置
Microsoft Entra Connect Health Microsoft Entra Connect Health 會在 Azure 資料表儲存體和 Blob 儲存體中產生警示和報告。 於地理位置
Microsoft Entra 組動態成員資格群組、Microsoft Entra 自助群組管理 Azure 資料表儲存體會保存組動態成員資格群組規則定義。 於地理位置
Microsoft Entra 應用程式 Proxy Microsoft Entra 應用程式 Proxy 會在 Azure SQL 中儲存租用戶、連接器機器和設定資料的中繼資料。 於地理位置
在 Microsoft Entra Connect 中的 Microsoft Entra 密碼回寫 在初始設定期間,Microsoft Entra Connect 會使用 Rivest–Shamir–Adleman (RSA) 密碼編譯系統產生非對稱金鑰組。 然後,它會將公開金鑰傳送至自助式密碼重設 (SSPR) 雲端服務,其會執行兩項作業:

1。 為 Microsoft Entra Connect 內部部署服務建立兩個 Azure 服務匯流排,以安全地與 SSPR 服務
通訊 2。 產生進階加密標準 (AES) 金鑰、K1

Azure 服務匯流排轉送位置、對應的接聽程式金鑰,以及 AES 金鑰 (K1) 的複本會在回應中前往 Microsoft Entra Connect。 SSPR 與 Microsoft Entra Connect 之間的未來通訊會透過新的 ServiceBus 通道進行,並使用 SSL 加密。
在作業期間提交的新密碼重設會以客戶端在上線期間產生的 RSA 公開金鑰加密。 Microsoft Entra Connect 機器上的私密金鑰會將它們解密,以防止管道子系統存取純文字密碼。
AES 金鑰會加密訊息承載 (加密的密碼、更多資料和中繼資料),這可防止惡意的 ServiceBus 攻擊者竄改承載,即使具有內部 ServiceBus 通道的完整存取權。
針對密碼回寫,Microsoft Entra Connect 需要金鑰和資料:

- 加密重設承載的 AES 金鑰 (K1),或透過 ServiceBus 管線
將 SSPR 服務的要求變更為 Microsoft Entra Connect - 私密金鑰,來自在重設或變更要求承載中將密碼解密的非對稱金鑰組,
- ServiceBus 接聽程式金鑰

AES 金鑰 (K1) 和非對稱金鑰組至少每隔 180 天輪替一次,您可以在特定上線或下線設定事件期間變更持續時間。 例如,客戶會停用並重新啟用密碼回寫,這可能會在服務和維護期間於元件升級時發生。
儲存在 Microsoft Entra Connect 資料庫中的回寫金鑰和資料會由資料保護應用程式開發介面 (DPAPI) (CALG_AES_256)加密。 結果是儲存在 AdSync 內部部署服務帳戶內容中 Windows 認證保存庫的主要 ADSync 加密金鑰。 當服務帳戶的密碼變更時,Windows 認證保存庫會提供自動密碼重新加密。 若要重設服務帳戶密碼,會使服務帳戶的 Windows 認證保存庫中的秘密失效。 對新服務帳戶的手動變更可能會使儲存的秘密失效。
ADSync 服務預設會在虛擬服務帳戶的內容中執行。 帳戶可能會在安裝期間自訂為最低權限的網域服務帳戶、受管理的服務帳戶 (Microsoft帳戶),或群組受管理的服務帳戶 (gMSA)。 雖然虛擬和受管理的服務帳戶具有自動密碼變換,但客戶會管理自訂佈建網域帳戶的密碼變換。 如前所述,重設密碼會導致儲存的秘密遺失。
於地理位置
Microsoft Entra 裝置註冊服務 在 Microsoft Entra 裝置註冊服務目錄中有電腦和裝置生命週期管理,可啟用裝置狀態條件式存取和行動裝置管理等案例。 於地理位置
Microsoft Entra 佈建 Microsoft Entra 佈建會在系統中建立、移除和更新使用者,例如軟體即服務 (software as a service (SaaS)) 應用程式。 它會從雲端 HR 來源管理 Microsoft Entra ID 中的使用者建立和內部部署Microsoft Windows Server AD,例如 Workday。 服務會將其設定儲存在 Azure Cosmos DB 執行個體中,其會儲存其保留之使用者目錄的群組成員資格資料。 Azure Cosmos DB 會將資料庫複寫至與租用戶相同區域中的多個資料中心,這會根據 Microsoft Entra 雲端解決方案模型來隔離資料。 複寫會建立高可用性和多個讀取和寫入端點。 Azure Cosmos DB 具有資料庫資訊的加密,加密金鑰會儲存在供 Microsoft 使用的秘密儲存體中。 於地理位置
Microsoft Entra 企業對企業 (B2B) 共同作業 Microsoft Entra B2B 共同作業沒有目錄資料。 B2B 關聯性中的使用者和其他目錄物件與另一個租用戶,會導致在其他租用戶中複製使用者資料,這可能會對資料落地造成影響。 於地理位置
Microsoft Entra ID Protection Microsoft Entra ID Protection 使用即時使用者登入資料,以及來自公司與產業來源的多個訊號,來饋送其偵測異常登入的機器學習系統。 在將資料傳遞至機器學習系統之前,會先從即時登入資料清除個人資訊。 其餘的登入資料會識別潛在有風險的使用者名稱和登入。 分析之後,資料會去到 Microsoft 報告系統。 有風險的登入和使用者名稱會出現在系統管理員的報告中。 於地理位置
適用於 Azure 資源的受控識別 具有受控識別系統的 Azure 資源受控識別可以向 Azure 服務進行驗證,而不須儲存認證。 受控識別會使用憑證向 Azure 服務進行驗證,而不是使用使用者名稱和密碼。 此服務會在美國東部區域的 Azure Cosmos DB 中寫入憑證,並視需要故障轉移至另一個區域。 Azure Cosmos DB 異地備援是因全域資料複寫而發生。 資料庫複寫會在 Microsoft Entra 受控識別執行的每個區域中放置唯讀複本。 若要深入了解,請參閱 可使用受控識別存取其他服務的 Azure 服務。 Microsoft 在 Microsoft Entra 雲端解決方案模型中隔離每個 Azure Cosmos DB 執行個體。
資源提供者,例如虛擬機 (VM) 主機,會與其他 Azure 服務一起儲存用於驗證的憑證和身分識別流程。 服務會儲存其主要金鑰,以在資料中心秘密管理服務中存取 Azure Cosmos DB。 Azure Key Vault 會儲存主要加密密鑰。
於地理位置

如需 Microsoft 雲端供應項目中資料落地的詳細資訊,請參閱下列文章:

下一步