Share via

Microsoft Entra 識別碼和資料落地

  • 發行項

Microsoft Entra ID 是身分識別即服務 (IDaaS) 解決方案,可儲存和管理雲端中的身分識別及存取資料。 您可以使用資料來啟用和管理雲端服務的存取、達成行動案例,以及保護您的組織。 稱為租 使用者的 Microsoft Entra 服務 實例是客戶布建和擁有的一組隔離目錄物件資料。

核心市集

核心存放區是由以縮放單位儲存的租使用者所組成,每個租使用者都包含多個租使用者。 根據使用者的安全性權杖,更新或擷取 Microsoft Entra Core Store 中的資料作業與單一租使用者相關,以達到租使用者隔離。 縮放單位會指派給地理位置。 每個地理位置都會使用兩個以上的 Azure 區域來儲存資料。 在每個 Azure 區域中,會在實體資料中心複寫縮放單位資料,以達到復原和效能。

深入瞭解: Microsoft Entra Core Store 縮放單位

下列雲端提供 Microsoft Entra 識別碼:

  • 公開
  • 中國
  • 美國政府

在公用雲端中,系統會提示您在租使用者建立時選取位置(例如註冊 Office 365 或 Azure,或透過Azure 入口網站建立更多 Microsoft Entra 實例)。 Microsoft Entra ID 會將選取範圍對應至地理位置和其中的單一縮放單位。 在設定租使用者位置之後,就無法變更。

租使用者建立期間選取的位置將會對應至下列其中一個地理位置:

  • 澳洲
  • 亞太地區
  • 歐洲、中東和非洲(EMEA)
  • 日本
  • 北美洲
  • 全球

Microsoft Entra ID 會根據地理位置的可用性、效能、落地和其他需求來處理核心市集資料。 Microsoft Entra ID 會根據下列準則,透過其縮放單位,跨資料中心複寫每個租使用者:

  • Microsoft Entra Core Store 資料,儲存在最接近租使用者落地位置的資料中心,以減少延遲並提供快速的使用者登入時間
  • 儲存在異地隔離資料中心的 Microsoft Entra Core Store 資料,以確保在未預見到的單一資料中心、重大事件期間的可用性
  • 針對特定客戶和地理位置符合資料落地或其他需求

Microsoft Entra 雲端解決方案模型

使用下表來查看以基礎結構、資料位置和操作主權為基礎的 Microsoft Entra 雲端解決方案模型。

Model 位置 資料位置 作業人員 在此模型中放置租使用者
公用地理位置 北美洲、EMEA、日本、亞太地區 待用時,位於目標位置。 依服務或功能的例外狀況 由 Microsoft 操作。 Microsoft 資料中心人員必須通過背景檢查。 在註冊體驗中建立租使用者。 選擇資料落地的位置。
全球公用 全球 所有位置 由 Microsoft 操作。 Microsoft 資料中心人員必須通過背景檢查。 租使用者建立可透過官方支援通道取得,並受限於 Microsoft 的判斷權。
主權或國家雲端 美國政府,中國 待用時,位於目標位置。 沒有例外狀況。 由資料監管人操作(1)。 人員會根據需求進行篩選。 每個國家雲端實例都有註冊體驗。

資料表參考

(1) 資料監管人 :美國政府雲端的資料中心由 Microsoft 營運。 在中國,Microsoft Entra ID 是透過與 21Vianet 的合作關係運作。

深入了解:

跨 Microsoft Entra 元件的資料落地

深入瞭解: Microsoft Entra 產品概觀

注意

若要瞭解服務資料位置,例如 Exchange Online 或商務用 Skype,請參閱對應的服務檔。

Microsoft Entra 元件和資料儲存位置

Microsoft Entra 元件 描述 資料儲存位置
Microsoft Entra 驗證服務 此服務是無狀態的。 驗證的資料位於 Microsoft Entra Core Store 中。 它沒有目錄資料。 Microsoft Entra Authentication Service 會在 Azure 儲存體中產生記錄資料,以及在服務實例執行所在的資料中心。 當使用者嘗試使用 Microsoft Entra 識別碼進行驗證時,系統會將其路由傳送至地理位置最接近資料中心的實例,而該實例是其 Microsoft Entra 邏輯區域的一部分。 在地理位置中
Microsoft Entra 身分識別與存取管理 (IAM) 服務 使用者和管理體驗:Microsoft Entra 管理體驗 是無狀態且沒有目錄資料。 它會產生儲存在 Azure 資料表儲存體中的記錄和使用方式資料。 使用者體驗就像Azure 入口網站。
身分識別管理商務邏輯和 Reporting Services :這些服務具有群組和使用者的本機快取資料儲存體。 服務會產生記錄和使用方式資料,這些資料會移至 Azure 資料表儲存體、Azure SQL,以及 Microsoft Elastic Search Reporting Services 中。		 在地理位置中
Microsoft Entra 多重要素驗證 如需 MFA 作業資料儲存和保留的詳細資訊,請參閱 Microsoft Entra 多重要素驗證 的資料落地和客戶資料。 Microsoft Entra 多重要素驗證會記錄使用者主體名稱 (UPN)、語音電話號碼和 SMS 挑戰。 針對行動應用程式模式的挑戰,服務會記錄 UPN 和唯一的裝置權杖。 北美洲區域中的資料中心會儲存 Microsoft Entra 多重要素驗證,以及其建立的記錄。 北美洲
Microsoft Entra Domain Services 請參閱依區域提供的產品上 發佈 Microsoft Entra Domain Services 的區域 。 此服務會在 Azure 資料表中全域保存系統中繼資料,且不包含任何個人資料。 在地理位置中
Microsoft Entra Connect Health Microsoft Entra 連線 Health 會在 Azure 資料表儲存體和 Blob 儲存體中產生警示和報告。 在地理位置中
群組的 Microsoft Entra 動態成員資格、Microsoft Entra 自助群組管理 Azure 資料表儲存體會保存動態成員資格規則定義。 在地理位置中
Microsoft Entra 應用程式 Proxy Microsoft Entra 應用程式 Proxy 會在 Azure SQL 中儲存租使用者、連接器機器和組態資料的中繼資料。 在地理位置中
Microsoft Entra 中的 Microsoft Entra 密碼回寫連線 在初始設定期間,Microsoft Entra 連線使用 Rivest–Shamir-Adleman (RSA) 密碼編譯系統產生非對稱金鑰組。 然後,它會將公開金鑰傳送至自助式密碼重設 (SSPR) 雲端服務,其會執行兩項作業:

1。 為 Microsoft Entra 連線內部部署服務建立兩個Azure 服務匯流排轉播,以安全地與 SSPR 服務
2 通訊。 產生進階加密標準 (AES) 金鑰、K1

Azure 服務匯流排轉送位置、對應的接聽程式金鑰,以及 AES 金鑰 (K1) 的複本會在回應中移至 Microsoft Entra 連線。 SSPR 與 Microsoft Entra 之間的未來通訊連線會透過新的 ServiceBus 通道進行,並使用 SSL 加密。
在作業期間提交的新密碼重設會使用用戶端在上線期間所產生的 RSA 公開金鑰進行加密。 Microsoft Entra 上的私密金鑰會連線機器解密,以防止管線子系統存取純文字密碼。
AES 金鑰會加密訊息承載(加密的密碼、更多資料和中繼資料),這可防止惡意的 ServiceBus 攻擊者竄改承載,即使具有內部 ServiceBus 通道的完整存取權。
針對密碼回寫,Microsoft Entra 連線需要金鑰和資料:

- AES 金鑰 (K1) 會加密重設承載,或透過 ServiceBus 管線
將要求從 SSPR 服務變更為 Microsoft Entra 連線 - 私密金鑰,來自解密密碼的非對稱金鑰組、重設或變更要求承載
- ServiceBus 接聽程式金鑰

AES 金鑰 (K1) 和非對稱金鑰椅至少每隔 180 天輪替一次,您可以在特定上線或下線設定事件期間變更持續時間。 例如,客戶會停用並重新啟用密碼回寫,這可能會在服務和維護期間于元件升級期間發生。
儲存在 Microsoft Entra 連線 資料庫中的回寫金鑰和資料會由資料保護應用程式開發介面 (DPAPI) (CALG_AES_256) 加密。 結果是儲存在 AdSync 內部部署服務帳戶內容中 Windows Credential Vault 的主要 ADSync 加密金鑰。 當服務帳戶的密碼變更時,Windows 認證保存庫會提供自動密碼重新加密。 若要重設服務帳戶密碼,會使服務帳戶的 Windows 認證保存庫中的秘密失效。 對新服務帳戶的手動變更可能會使儲存的秘密失效。
根據預設,ADSync 服務會在虛擬服務帳戶的內容中執行。 帳戶可能會在安裝期間自訂為最低許可權的網域服務帳戶、受控服務帳戶 (MSA) 或群組受控服務帳戶 (gMSA)。 雖然虛擬和受控服務帳戶具有自動密碼輪替,但客戶會管理自訂布建網域帳戶的密碼輪替。 如前所述,重設密碼會導致儲存的秘密遺失。		 在地理位置中
Microsoft Entra 裝置註冊服務 Microsoft Entra 裝置註冊服務在目錄中具有電腦和裝置生命週期管理,可啟用裝置狀態條件式存取和行動裝置管理等案例。 在地理位置中
Microsoft Entra 布建 Microsoft Entra 布建會在系統中建立、移除及更新使用者,例如軟體即服務 (SaaS) 應用程式。 它會從雲端 HR 來源管理 Microsoft Entra ID 和內部部署 AD 中的使用者建立,例如 Workday。 服務會將其設定儲存在 Azure Cosmos DB 中,以儲存其保留之使用者目錄的群組成員資格資料。 Cosmos DB 會根據 Microsoft Entra 雲端解決方案模型,將資料庫複寫至與租使用者相同區域中的多個資料中心,以隔離資料。 複寫會建立高可用性和多個讀取和寫入端點。 Cosmos DB 具有資料庫資訊的加密,加密金鑰會儲存在 Microsoft 的秘密儲存體中。 在地理位置中
Microsoft Entra 企業對企業 (B2B) 共同作業 Microsoft Entra B2B 共同作業沒有目錄資料。 B2B 關聯性中的使用者和其他目錄物件與另一個租使用者,會導致在其他租使用者中複製使用者資料,這可能會對資料落地造成影響。 在地理位置中
Microsoft Entra ID Protection Microsoft Entra ID Protection 使用即時使用者登入資料,以及來自公司與產業來源的多個訊號,來饋送其偵測異常登入的機器學習系統。 在將資料傳遞至機器學習系統之前,會先從即時登入資料清除個人資料。 其餘的登入資料會識別潛在的有風險的使用者名稱和登入。 分析之後,資料會移至 Microsoft 報告系統。 有風險的登入和使用者名稱會出現在報告中,管理員istrators。 在地理位置中
適用于 Azure 資源的 Microsoft Entra 受控識別 具有受控識別系統的 Azure 資源的 Microsoft Entra 受控識別可以向 Azure 服務進行驗證,而不需要儲存認證。 受控識別會使用憑證向 Azure 服務進行驗證,而不是使用使用者名稱和密碼。 此服務會在美國東部區域的 Azure Cosmos DB 中寫入憑證,並視需要容錯移轉至另一個區域。 Azure Cosmos DB 異地備援是由全域資料複寫所發生。 資料庫複寫會將唯讀複本放在 Microsoft Entra 受控識別執行的每個區域中。 若要深入瞭解,請參閱 可使用受控識別來存取其他服務的 Azure 服務 。 Microsoft 會在 Microsoft Entra 雲端解決方案模型中隔離每個 Cosmos DB 實例。
資源提供者,例如虛擬機器 (VM) 主機,會與其他 Azure 服務一起儲存用於驗證的憑證和身分識別流程。 服務會儲存其主要金鑰,以存取資料中心秘密管理服務中的 Azure Cosmos DB。 Azure 金鑰保存庫會儲存主要加密金鑰。		 在地理位置中
Azure Active Directory B2C Azure AD B2C 是身分識別管理服務,可自訂和管理客戶在使用應用程式時註冊、登入和管理其設定檔的方式。 B2C 使用核心存放區來保留使用者身分識別資訊。 核心存放區資料庫遵循已知的儲存體、複寫、刪除和資料落地規則。 B2C 會使用 Azure Cosmos DB 系統來儲存服務原則和秘密。 Cosmos DB 具有資料庫資訊的加密和複寫服務。 其加密金鑰會儲存在 Microsoft 的秘密儲存體中。 Microsoft 會在 Microsoft Entra 雲端解決方案模型中隔離 Cosmos DB 實例。 客戶可選取的地理位置

如需 Microsoft Cloud 供應專案中資料落地的詳細資訊,請參閱下列文章:

下一步