設定歐盟數據邊界的 Azure 非地區性服務
Azure 非地區性服務 (您可以在 Azure [依地區 ] 找到完整的清單,) 是與特定 Azure 地區無關的服務,且目前不讓客戶指定部署區域。 這些服務已進行架構和優化,一律作為 Azure 全域雲端的一部分提供。 為了滿足歐盟客戶的數據居住需求,歐盟數據邊界承諾的一部分,許多支援這些服務的 Azure 平臺及核心元件即將重新建立。 這項工作正在進行中,其中一些工作涉及廣泛的服務和平臺重新啟用。 部分 Azure 非地區服務已完成這項工作;對其他使用者而言,工作正在進行中,且在整個 2024 年,服務將以不同排程在歐盟數據邊界中使用。 這份檔列出已符合歐盟數據邊界承諾的 Azure 非地區服務,並說明如何設定服務以儲存和處理客戶數據,以及在歐盟數據邊界中假名化的個人資料。 若要深入瞭解在歐盟數據邊界以外使用其餘數據傳輸的 Azure 非地區服務,請參閱 暫時排除在歐盟數據邊界 和服務之外的服務 ,這些服務會暫時將客戶數據子集或假名的個人資料從歐盟數據邊界移出。
不處理客戶數據或假名個人資料的非地區性服務
下列 Azure 非地區服務不會儲存或處理客戶資料或假名的個人資料:
客戶裝置與雲端元件,可在地區設定
Azure 支援數種混合式和 IoT 解決方案和裝置,可讓您將 Azure 服務和功能延伸到您選擇的環境。 這些解決方案被視為非地區性解決方案,不過在購買裝置之後,您可以將連線設定回 Azure,以便在特定地理位置儲存和處理客戶數據和假名化的個人資料。 當您選取歐盟位置時,您的客戶數據和假名的個人資料會在歐盟數據邊界內儲存和處理。
下方說明每個服務的設定詳細數據。
Azure 球體
Azure 球體安全性服務是面對客戶的全域安全性服務,可啟用每日證明安全性驗證,以及安全的軟體供應鏈,可管理已啟用 Azure 球體之客戶裝置的操作系統和客戶提供的應用程式更新。 客戶現在可以使用新的 區域數據邊界 參數,指定可能包含客戶數據的應用程式二進位檔是由歐盟 Microsoft 產品發行和安全性服務 (PRSS) 簽署服務簽署,並儲存在位於歐盟的 Azure 球體 blob 儲存空間中。 如需詳細資訊,請參閱 Azure 球體 CLI 圖像命令。
Azure Stack Edge
Azure Stack Edge 裝置可讓您選取將裝置連線至的 Azure 地理位置。 您的 Edge 資料會在此地區進行儲存和處理。 如需地區可用性和選取區域的詳細數據,請參閱 選擇含 GPU 的 Microsoft Azure Stack Edge Pro 地區。
Azure Stack HCI
當您註冊 Azure Stack HCI 叢集時,您會從其中一個支持的歐盟 Azure Stack HCI 區域中選取,您的叢集會連線到該區域以進行註冊、計費和管理。 如需詳細資訊,請參閱 將 Azure Stack HCI 連線至 Azure。
Azure 堆疊集線器
Azure Stack Hub 客戶可以在現有的 Azure Stack Hub 部署上,選取他們對於數據處理的地理喜好設定。 新的 Azure Stack Hub 部署可以在部署過程中設定地理區域。 您的 Edge 資料會在此地區進行儲存和處理。 如需詳細資訊,請參閱 Azure Stack Hub 安全性控件。
Azure 數據方塊
當您訂購 數據方塊時,您會指定來源國家/地區和目的地 Azure 地區。 數據方塊僅支援與目的地所在的相同國家/地區內的數據挪入或出口,不會跨越任何國際框線。 唯一的例外是歐盟的訂單,其中數據箱可以出貨到任何歐盟國家/地區。 如需詳細資訊,請參閱 Azure 數據方塊、Azure 資料箱重度常見問題。
Azure 監視器元件
Azure 監視器 提供全方位的解決方案,可從您的雲端和內部部署環境中收集、分析系統產生和診斷數據,以及執行動作。 Azure 監視器可在歐盟數據邊界中使用,可讓您在 EU 數據邊界中儲存和處理所有客戶數據和假名化的個人資料,但下列各節中所識別的特定案例除外,以及在服務中將 客戶數據子集或假名個人資料暫時移轉出 EU 數據邊界時所述的詳細資訊。
可在歐盟數據邊界中使用的元件
指標
計量 是 Azure 監視器的一項功能,可從 受監視的資源 收集數值數據至時間序列資料庫。 計量是定期收集的數值,會在特定時間描述系統的某些層面。 如需詳細資訊,請參閱 Azure 監視器計量中的計量類型。 Azure 監視器會根據訂閱追蹤計量,並提供給該訂閱的系統管理員使用。 計量不會儲存或處理任何客戶數據。
備註
可讓您建立及儲存自定義計量的公開預覽功能可讓您將客戶數據新增至計量,而且這項數據會全域儲存及處理。 Microsoft Online Services 的預覽功能不在歐盟數據邊界或數據居住承諾的範圍。
活動記錄檔
每個 Azure 資源提供者都會收集稽核記錄,也稱為 活動記錄,提供訂閱層級事件的深入解析。 這些記錄包括客戶數據,以及某些資源類型的假名個人資料。 原生於歐盟的數據會儲存在歐盟,否則此數據會全域儲存。
診斷記錄檔
診斷記錄 會提供 Azure 資源及其所依存 Azure 平臺的詳細診斷資訊。 除非客戶將這些記錄傳送到客戶選擇的目的地,否則不會收集這些記錄。 如需詳細資訊,請參閱 Azure 監視器中的診斷設定。
通知與動作群組
警示 和 動作群組 都是建置在Log Analytics工作區或應用程式深入解析資源上,這兩者都是Geo對齊。 客戶傳送到歐盟動作群組端點的數據會儲存在歐盟,並在觸發通知以傳送電子郵件、簡訊或電話時使用歐盟 SMS 系統。
當完全在歐盟內執行時,此工作流程會在歐盟儲存和處理所有客戶數據和假名的個人資料。 例如,如果工程師在歐盟以外地區建立資源,例如在美國東部,而此工作流程的監控也設定於美國東部,則警示工作流程會在美國執行,即使通知已傳送給歐盟的合作夥伴也一樣。
記錄分析
Log Analytics 是 Azure 地區服務,在您建立服務時選取的 Geo 中儲存和處理所有客戶數據和假名的個人資料。
歐盟數據邊界中無法使用的元件
應用程式變更分析
Azure Resource Graph 上的應用程式變更分析組建,可提供跨多個基礎結構和應用程式部署圖層之變更的深入解析。 變更分析數據目前是全域儲存和處理,但未來會移至地區模型。 如需詳細資訊,請參閱 將客戶數據子集或假名個人資料暫時移出歐盟數據邊界的服務。
應用程式深入解析
應用程式深入解析 是 Azure 地區服務,在您建立服務時,會儲存並處理 Geo 中選取的所有客戶數據。 我們正著手在 EU 數據邊界中儲存及處理假名的個人資料,如服務中所述 ,將客戶數據子集或假名的個人資料暫時移出歐盟數據邊界。
在歐盟數據邊界中提供的其他非地區服務
所有這些服務都可設定為用於歐盟數據邊界。 下列各節說明如何設定列出的非地區服務,以儲存和處理歐盟數據邊界中的客戶數據和虛擬化的個人資料。
下列各節將說明每個服務的設定詳細數據。
Azure Bot Service
Azure Bot Service 提供文檔庫、工具和服務集合,可讓您建置、測試、部署及管理智慧型 Bot。 Bot Service 可讓您在歐盟數據邊界內建立 Bot,而 Bot 的所有數據平面相關數據都會在歐盟內儲存及處理。 除了服務中所記錄的特定剩餘傳輸外,客戶數據和假名的個人資料也會在歐盟數據邊界中儲存及處理,而這些傳輸 會暫時將客戶數據子集或假名個人資料從歐盟數據邊界移出。 如需如何將地區設定新增至 Bot 的詳細資訊,請參閱區域化支援 - Bot Service。
Azure 通訊服務
建立 Azure 通訊服務 資源時,您會指定地理位置 (而不是 Azure 區域) 。 所有聊天訊息和資源數據都會儲存在該地理位置,也就是通訊服務內部所選取的區域。 選取歐洲地理位置或屬於歐盟數據邊界一部分的國家/地區地理位置,可確保您的客戶數據和假名的個人資料會在歐盟數據邊界中儲存和處理,除了服務中所記錄的特定剩餘傳輸,這些傳輸 會暫時將客戶數據子集或假名個人資料從歐盟數據邊界移出。 如需詳細資訊,請參閱地區可用性和 Azure 通訊服務 的數據居住地。
在 Azure Stack HCI 上 Azure Kubernetes Service
Azure Kubernetes Service 在 Azure Stack HCI 上傳送數據至設定叢集時選取的區域。 任何包含的客戶數據會在此地區進行儲存和處理。
Azure 移轉
當您建立 Azure 移 轉專案時,您會指定地理位置 (而不是 Azure 區域) 。 從內部部署環境收集的所有元數據都會安全地儲存並在您建立專案的位置進行處理。 在歐盟選取地理位置可確保您的數據在歐盟數據邊界中進行儲存和處理。 如需與每個地理位置相關聯的特定元數據位置,請參閱 Azure 移轉支援的地理位置。 如需詳細資訊,請參閱 Azure 移轉設備常見問題 - 資料的儲存方式。
Azure 虛擬桌面
當您建立新的 Azure 虛擬桌面 主機集區時,您會指定建立該主機集區元數據的 Azure 區域。 這會決定主機集區相關信息的儲存位置,包括主機集區或應用程式名稱。 如果您選取任一歐盟地區,則此數據只會在歐盟內儲存和處理。 Microsoft 不會控制或限制您或您的使用者存取其 Azure 虛擬桌面 虛擬機器 的位置。 如需詳細資訊,請參閱 Azure 虛擬桌面的數據位置。 客戶系統管理員也可以設定透過設定 裝置重新導向,將檔案傳輸到本機裝置。
Azure VM 影像建立器
Azure VM Builder:對於在歐盟地區建立的虛擬機 (VM) 圖像範本,數據儲存和處理會發生在歐盟。 如需詳細資訊,請參閱 建立 Azure 圖像建立器 Bicep 檔案或 ARM JSON 範本。
Cloud Shell
Cloud Shell 是可管理 Azure 資源的互動式、經過驗證且易於瀏覽器存取的終端機。 Cloud Shell 可讓您選取歐盟數據邊界中的 Cloud Shell 區域,在歐盟數據邊界內建立新的儲存空間。 客戶數據不會在 Cloud Shell 中儲存或處理,假名的個人資料會儲存和處理在歐盟數據邊界中,但服務中所記錄的特定剩餘傳輸將暫時移轉一部分的客戶數據或假名的個人資料,從歐盟數據邊界移出。 如需詳細資訊,請參閱在 Azure Cloud Shell 中保留檔案。
Microsoft Entra ID 和 Azure Active Directory B2C
Microsoft Entra ID 和 Azure Active Directory B2C:Microsoft Entra 租使用者包含可管理使用者的目錄,併為貴組織使用的應用程式和資源提供身分識別與存取管理 (IAM) 功能。 建立 Microsoft Entra 租使用者時,您指定的地理位置 (而不是 Azure 地區) 為您的位置。 當您選取屬於歐盟數據邊界一部分的位置時,您的客戶數據和假名的個人資料會在歐盟數據邊界中儲存及處理,但下列位置中所記錄的特定剩餘傳輸除外:
如需詳細資訊,請參閱快速入門:在 Microsoft Entra ID 中建立新租使用者。 您可以流覽至 [內容] 頁面,確保相關聯的國家或地區值是歐盟資料邊界的一部分,藉此透過 Microsoft Entra 系統管理中心 驗證 Microsoft Entra 目錄數據位置。
Microsoft Fabric
對於 Microsoft Fabric,裝載客戶服務租使用者 (Geo) 的地理區域是由第一個註冊的用戶決定。 如需詳細資訊,請參閱 Power BI 實作規劃:租用戶設定。 客戶可以在歐盟數據中心位置布建租使用者和所有 Microsoft Fabric 容量,將其服務設定為歐盟數據邊界範圍內。 客戶數據和假名的個人資料是在歐盟數據邊界中儲存和處理,除了服務中記錄的特定剩餘傳輸之外,這些傳輸會 持續將客戶數據子集或假名化的個人資料從歐盟數據邊界移出。
Fabric 也可讓選項選取建立新的 Microsoft Fabric 容量時儲存客戶數據的 Azure 地區。 列出的預設選項是您的租用戶首頁地區。 如果您選取該區域,所有相關聯的數據,包括客戶數據,都會儲存在該地理位置。 如果您選取不同的地區,部分客戶數據仍會儲存在家用 Geo 中。 藉由選取歐盟地區,客戶數據將會儲存在歐盟數據邊界。
- 若要尋找租使用者的住家地區,請參閱 尋找布料首頁區域。
- 如需有關使用 Multi-Geo 選項變更位置的詳細資訊,以及關於新 Geo 與您家中 Geo 中儲存的資訊,請參閱設定 Fabric Premium 的 Multi-Geo 支援。
Power BI Embedded
Power BI Embedded 分析可讓您在 Web 應用程式或網站中內嵌 Power BI 專案,例如報表、儀錶板和磚。 當您建立新的 Power BI Embedded 資源時,您可以選取您希望工作區數據和內容儲存在 Azure 地區。 列出的預設選項是您的租用戶首頁地區;如果您選取該區域,您的所有資料和內容都會儲存在該地理位置。 如果您選取不同的地區,部分數據和內容仍會儲存在 Home Geo 中。
- 若要尋找租使用者的住家地區,請參閱 Power BI 服務 的數據儲存在哪裡?。
- 如需使用 Multi-Geo 選項變更位置的詳細資訊,以及關於新 Geo 與您家中 Geo 中儲存的資訊,請參閱 Power BI Embedded 分析的多地理位置支援和設定多地理位置支援以取得 Power BI Premium:考慮與限制。
在線翻譯
對於需要在歐盟內儲存及處理數據的客戶, Translator 提供歐洲端點 (api-eur.cognitive.microsofttranslator.com) 。 使用 Translator European 端點時,要求只會由歐盟數據邊界內的數據中心處理。 如果歐盟數據邊界內沒有數據中心可用,就不會處理要求,並傳回錯誤。 所有傳送到歐洲端點的要求只會在歐盟進行處理,即使要求來自歐盟以外地區。 如需詳細資訊,請參閱 Translator V3.0 參考 - Azure 認知服務。