從歐盟數據邊界排除的服務
雖然 Azure、Dynamics 365、Power Platform 和 Microsoft 365 服務系列中的大多數 Microsoft 企業 線上服務 都在歐盟數據邊界範圍內,但受限於客戶數據持續流向,以及與此檔中其他歐盟數據邊界文章或章節中所詳述之服務之作業及使用相關的假名個人資料,這些系列中的部分服務不在範圍中針對歐盟數據邊界,一般而言,如果服務的性質及其提供的客戶價值無法透過實作區域化架構來傳遞。 在這份檔中,我們描述此類別服務的主要範例。 此清單不詳盡,可能會隨著時間更新。 服務合約的 [產品條款] 部分是判斷指定服務是否為 EU 數據邊界服務的明確來源。
Azure 服務
Azure 前門 (AFD) 和 Azure 內容傳遞網路 (CDN)
Azure 前門和內容傳遞網路 會從歐盟傳輸客戶數據。 Azure 前門和內容傳遞網路是非地區性服務,可用來讓客戶的靜態和動態內容更接近全球的使用者。 為了協助加速全球要求,Azure 前門和 Azure CDN 代表客戶在全球邊緣位置快取數據。 這兩種服務都使用稱為 anycast 的網路技術,以使用最快的可能路由,在用戶端用戶之間直接流量,以及 PoP (目前狀態) 位置。 由於此路由機制的性質,為了滿足客戶在全世界推播數據的需求,並非所有流量都會保持在歐盟數據邊界內。 您可以根據客戶在 AFD 或 CDN 設定檔設定中的設定來變更快取內容持續時間。
Windows 10 IoT 核心版 服務
Windows 10 IoT 核心版 服務會從歐盟傳輸客戶數據。 Windows 10 IoT 核心版 服務是一種全域軟體更新發佈服務,主控要發佈給客戶自己的客戶的客戶數據。 此服務可讓客戶使用全球 Windows Update 內容傳遞網路 (CDN) 來更新受管理的 IoT 裝置,並允許以 Windows Update 的形式傳遞自定義內容和 Microsoft 的 Windows IoT 軟體更新。 為了提供這項功能,客戶數據會同時儲存在 Azure 記憶體以及全世界支援 Windows Update 的伺服器中。 全球傳輸的客戶數據報括客戶在其「白板支援套件」 (BSP) 中上傳的所有數據,其中可能包含自定義驅動程式、應用程式,以及針對裝置更新所設定的其他數據。
Microsoft 365 服務
Microsoft 365 應用程式
Microsoft 365 應用程式 (於 2022 年 12 月 31 日) 預發佈組建:為確保使用 Microsoft 365 應用程式之現有客戶的效能與穩定性,歐盟數據邊界承諾僅適用於 2022 年 12 月 31 日之後發行的版本。 使用舊版組建的客戶應升級至最新版本。
安全性服務
Microsoft 安全性服務可協助保護客戶免於最新的惡意代碼攻擊,無論是保護其端點、雲端工作負載,或是其電子郵件和共同作業軟體。 Microsoft 安全性服務透過使用跨邊界訊號所產生的面向客戶安全性功能範例包括:
- 防範複雜的現代化安全性威脅:Microsoft 使用包括人工智慧在內的進階分析功能來分析全球匯總的安全性相關數據。 這有助於預防、偵測、調查、回應和補救威脅。 如果沒有全域數據的集中分析功能,這些服務的部署會大幅降低,使 Microsoft 無法提供必要的保護層級給客戶。
- 偵測遭盜用的企業使用者:Microsoft 在一段時間內追蹤來自多個地理區域的可疑帳戶登入,以協助偵測身分識別入侵。 這稱為不可能的 旅行 攻擊。 若要啟用這種保護類型,Microsoft 安全性服務會集中處理全域 Microsoft Entra 驗證記錄檔。
- 偵測數據外流:Microsoft 可匯總多個來自不同位置的惡意存取數據儲存訊號,藉此協助提醒客戶潛在的企業數據外泄,這是惡意行為者在偵測雷達下飛出的技術, (稱為低和慢攻擊) 。
Microsoft Defender 全面偵測回應
Microsoft Defender 全面偵測回應 是整合的入侵前和之後企業防禦套件,以原生方式協調端點、身分識別、電子郵件和應用程式的偵測、預防和回應,以提供抵禦複雜攻擊的整合式防護。 Microsoft Defender 全面偵測回應 服務需要在全域數據集上操作人工智慧、自動化和人類等全域系統,以尋找全球客戶威脅。 人類安全性研究者和分析師每天 24 小時、一年 365 天,透過使用來自全球各地之網站合併的數據來建立新的偵測、簽章和語言,藉此操作服務的智能層面。 Microsoft Defender 全面偵測回應 服務會將大部分的 EU 客戶數據儲存在歐盟地區。 傳輸和儲存空間期間會加密傳輸至 美國的有限傳輸。 此客戶數據的存取權僅透過安全 管理員 工作站 (SAW) 具有即時 (JIT) 訪問許可權。 如需詳細資訊,請流覽 Microsoft 信任中心數據位置頁面,並流覽至雲端服務數據存留和傳輸原則內的 Microsoft Defender 全面偵測回應 服務。
下列各節將說明排除在歐盟數據邊界之外的 Microsoft Defender 全面偵測回應 服務。
適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 是企業端點安全平臺,專門協助企業網路防範、偵測、調查及回應進階威脅。 Microsoft Defender 包含下一代保護,包括弱點管理、攻擊面縮減、端點偵測和回應,以及自動化調查與補救。 適用於端點的 Microsoft Defender 由人類安全性研究人員和分析師持續更新,以建立新的偵測功能,因此需要人類研究人員在全球範圍內處理數據。
適用於身分識別的 Microsoft Defender
適用於身分識別的 Microsoft Defender 是一種雲端服務,可協助保護企業混合式環境,避免多種類型的進階目標網路攻擊和測試人員威脅。 身分識別的Defender已與 Microsoft Defender 全面偵測回應完全整合,並運用來自 內部部署的 Active Directory和雲端身分識別的訊號,以更有效地識別、偵測和調查指向組織的進階威脅。 身分識別的 Defender 提供身分識別設定和安全性最佳做法的寶貴深入解析,因為人類安全性研究人員會持續更新此功能以建立新的偵測。 Microsoft Defender 全面偵測回應 服務會將大部分的 EU 客戶數據儲存在歐盟。 在傳輸和儲存期間,會加密將客戶數據和假名化的個人資料傳輸到 美國。 數據存取權僅透過安全 管理員 工作站 (SAW) 具有即時 (JIT) 存取許可權。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps 為 SaaS) 應用程式 (提供軟體即服務的完整保護,協助透過進階威脅防護監控和保護雲端應用程式數據。 SaaS 應用程式在混合式工作環境中並不普遍,保護 SaaS 應用程式及其儲存的重要數據對組織而言是一項重大挑戰。 應用程式使用量增加,加上員工在公司周邊之外存取公司資源,已引進新的攻擊向量。 為了有效對抗這些攻擊,安全性小組仰賴 Defender for Cloud Apps 在雲端應用程式中保護其數據,超出傳統範圍的雲端存取安全性代理人 (CASB) 。 雲端應用程式的Defender會完整顯示 SaaS 應用程式使用情形對環境所帶來的風險,並透過識別所有使用者和第三方應用程式可以登入的方式,提供所使用內容及時間的控制。 Microsoft Defender for Cloud Apps 由全域分佈的人類安全性研究人員和分析師持續更新,以建立新的偵測。
適用於 Office 365 的 Microsoft Defender
適用於 Office 365 的 Microsoft Defender 與 Office 365 訂閱完美整合,可防範電子郵件、連結 (URLS) 、附件和共同作業工具中的威脅。 適用於 Office 365 的 Microsoft Defender 提供系統管理員和安全性作業小組各種功能,以保護組織防範惡意威脅。 這些功能會在安裝時提供快速的預設設定選項、定義威脅防護原則的能力、包含即時檢視和監視的強固報告、威脅調查與回應工具,以及自動化調查和回應功能,來開始使用戶、系統管理員和安全性作業受益。 由於惡意威脅極少受限於單一地區,適用於 Office 365 的 Microsoft Defender 需要全域分佈的人類安全研究者,以全域和全域分析數據,並將大部分的數據傳輸和儲存在 美國 中。 適用於 Office 365 的 Microsoft Defender 收集的數據以進行安全性分析,例如寄件者/收件者電子郵件地址、電子郵件標題,包括發件人的IP位址、電子郵件內容中包含的URL,以及清除/模糊的主旨行都會加密,因此安全性研究者和工程師無法以人為閱讀的方式存取內容。
Microsoft 雲端安全性
Microsoft 雲端安全性服務套件為在 Azure、混合式和其他雲端平臺中執行的客戶工作負載提供安全狀態管理和威脅防護,包括物聯網 (IoT) 裝置。 這些是全域服務,為客戶的雲端資源提供即時警示和安全性建議。 雲端安全性服務會將大部分的歐盟客戶數據儲存在歐盟地區,並包含儲存在 美國 中的有限傳輸。 雲端安全性服務會 (RBAC) 、安全 管理員 工作站 (SAW) ,以及即時 (JIT) 存取權,來嚴格控制數據。 數據傳輸會在電線上加密,而數據儲存空間則是用於持續監視和偵測的工具。
下列各節將說明排除在歐盟數據邊界之外的 Microsoft 雲端安全性服務。
雲端 Microsoft Defender
雲端 Microsoft Defender 是雲端原生應用程式保護平臺,具有一套專門用來保護雲端應用程式免於各種網路威脅和弱點的安全性措施和做法。 Cloud Defender 結合了數種功能,包括 DevOps 安全性管理、雲端安全狀態管理,以及雲端工作負載的保護。 若要偵測安全性威脅並保護客戶資源,Microsoft Defender 雲端需要使用有限的假名化個人資料來分析全球的客戶活動,以及將客戶數據傳輸到 美國。 除非客戶布建其在歐盟的租用戶,否則此假名的個人資料和客戶數據會加密儲存在 美國 中。 如果客戶布建其在歐盟的租使用者,則所有從客戶在歐盟資源衍生而來之虛擬化個人資料和客戶數據,都會儲存在歐盟的其餘位置。 Cloud 的 Defender 可能會將安全性相關客戶數據的複本儲存在個別位置、收集自定義或與客戶資源相關聯,例如虛擬機或 Microsoft Entra 租使用者。
Microsoft Sentinel
Microsoft Sentinel 是可縮放的雲端原生解決方案,提供安全性資訊、事件管理 (SIEM) 協調、自動化和回應 (一個體會) 。 Microsoft Sentinel 在企業中提供智慧型安全性分析和威脅智慧。 透過 Microsoft Sentinel,您可以取得單一解決方案,用於攻擊性偵測、威脅可見度、主動搜尋和威脅回應。 Microsoft Sentinel 為整個企業提供鳥瞰圖,可減輕越來越複雜的攻擊壓力、大量的警示,以及冗長的解析度時間範圍。 Microsoft Sentinel 可以在對應的 Azure 監視器工作區位於歐盟時,在 EU 數據邊界中儲存和處理大部分的客戶數據。 如需詳細資訊,請參閱 Microsoft Sentinel 中的地理位置可用性和數據居住地。 否則,客戶數據和虛擬的個人資料,例如物件標識符,可以傳輸到歐盟數據邊界以外。
Microsoft Defender IoT 版
Microsoft Defender for IoT 是專為識別 IoT (IoT) 與操作技術 (OT) 裝置、弱點和威脅所打造的整合安全性解決方案。 使用 IoT 版 Defender 保護整個 IoT/OT 環境,包括可能沒有內建安全性代理程式的現有裝置。 IoT 的 Defender 提供無代理、網路層監控,並同時與工業設備和安全性作業中心 (SOC) 工具整合。 IoT 的 Defender 使用無代理監視功能來在整個網路上提供可見度和安全性,並識別特殊通訊協定、裝置或機器對機器 (M2M) 行為。 Microsoft Defender IoT 會分析全球客戶的活動,為客戶提供在所有位置查看其 IoT 安全性解決方案所需的觀點。 此外,IoT 的 Defender 檢視和分析安全性偵測數據,以辨識安全性間距,並提供可採取動作的建議。 Microsoft Defender IoT 可能會使用其他 Microsoft Online Services 來處理安全性相關的客戶數據,而此數據是根據該服務的設定來儲存。
Microsoft Defender 儲存空間]
Microsoft Defender 儲存空間是 Azure 原生的安全情報層,可偵測到儲存空間帳戶的潛在威脅。 這有助於防止對您的數據和工作負載造成三個主要影響:惡意檔案上傳、機密數據外泄,以及數據損毀。 Microsoft Defender的儲存空間可分析數據平面,以及控制來自 Azure Blob 儲存體、Azure 檔案儲存體 和 Azure Data Lake Storage服務的數據平面系統產生的記錄檔,以提供全方位的安全性。 它使用由 Microsoft 安全情報、Microsoft Defender防病毒軟體和敏感數據探索所提供的進階威脅偵測功能,以協助您探索並降低潛在威脅。
動態365詐騙保護
Dynamics 365 Fraud Protection 是複雜的技術堆疊,可跨多行企業使用連接的大數據,並套用最先進的人工智慧 (AI) ,以協助即時提供更準確的決策。 Dynamic 365 Fraud Protection 提供增強的帳戶詐騙偵測功能、與詐騙保護網路的連線、裝置指紋辨識、可調整的帳戶規則引擎、Bot 保護和自定義設定選項。 詐騙保護網路 (FPN) 假名將交易數據用於專屬機器學習模型以進行處理和分析。 這有助於提供正確的分數,並深入瞭解全球詐騙偵測。 此外,裝置指紋辨識是根據客戶布建的地理位置,在客戶環境中收集假名的個人資料。
Microsoft Copilot for Security
Microsoft Copilot for Security 是一種由 AI 提供且由 AI 提供的安全性解決方案,可協助提升品質提升效率和功能,以提升電腦速度和縮放比例的安全性成果。 Copilot for Security 提供自然語言的輔助副工具體驗,可協助支援端對端案例的安全專業人員,例如事件應變、威脅搜尋、智慧收集和姿勢管理。 解決方案運用 Azure OpenAI 架構的完整功能,使用特定安全性外掛程式來產生使用者提示的回應,包括組織特定的資訊、授權來源和全球威脅情報。
Copilot for Security 在租使用者 Geo 中儲存客戶數據和假名的個人資料,例如使用者提示和 Microsoft Entra 物件識別符。 如果客戶布建其在歐盟的租使用者,但並未選擇加入 數據共用,則所有客戶數據和假名的個人資料都會儲存在歐盟數據邊界中。 在指定的安全性 GPU 地理位置中,可以處理提示。 如需安全性 GPU 地理位置選項的詳細資訊,請參閱如果使用者選擇加入數據共用,請參閱開始使用 Copilot for Security 或 GPU Geo 外部。 如需數據共享的詳細資訊,請參閱 Microsoft Security Copilot 中的隱私權與數據安全性。