Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Entra ID to rozwiązanie tożsamości jako usługi (IDaaS), które przechowuje tożsamość i dostęp do danych w chmurze oraz zarządza nimi. Możesz użyć tych danych, aby włączyć dostęp do usług w chmurze i zarządzać nim, osiągnąć scenariusze mobilności i zabezpieczyć organizację. Instancja usługi Microsoft Entra ID, nazywana dzierżawą, jest izolowanym zestawem danych obiektów katalogu, które klient aprowizuje i do których ma wyłączne prawa własności.
Uwaga
Microsoft Entra External ID to rozwiązanie do zarządzania tożsamościami klientów i dostępem (CIAM) z opcją i elastycznością przechowywania danych i zarządzania nimi w oddzielnej dzierżawie utworzonej dla aplikacji przeznaczonych dla klientów i danych katalogu klienta. Ta dzierżawa jest nazywana dzierżawą zewnętrzną. Podczas tworzenia dzierżawy zewnętrznej możesz wybrać lokalizację geograficzną (wyświetlaną jako "Kraj/region" w portalu administracyjnym) dla magazynu danych. Należy pamiętać, że lokalizacje danych i dostępność regionów mogą różnić się od tych z identyfikatora Entra firmy Microsoft, jak wskazano w tym artykule.
Magazyn podstawowy
Magazyn Core Store składa się z dzierżaw przechowywanych w jednostkach skalowania, z których każdy zawiera wiele dzierżaw. Operacje aktualizacji lub pobierania danych w sklepie Microsoft Entra Core Store odnoszą się do jednej dzierżawy na podstawie tokenu zabezpieczającego użytkownika, co umożliwia izolację dzierżawy. Jednostki skalowania są przypisywane do lokalizacji geograficznej. Każda lokalizacja geograficzna używa co najmniej dwóch regionów świadczenia usługi Azure do przechowywania danych. W każdym regionie świadczenia usługi Azure dane jednostki skalowania są replikowane w fizycznych centrach danych pod kątem odporności i wydajności, zgodnie z opisem w architektury Microsoft Entra.
Aby uzyskać więcej informacji na temat Core Store, zobacz Microsoft Entra Core Store Scale Units. Aby uzyskać więcej informacji na temat regionów świadczenia usługi Azure, zobacz lokalizacje geograficzne platformy Azure.
Identyfikator Entra firmy Microsoft jest dostępny w następujących chmurach:
- Publiczne
- Chiny (2)
- Rząd USA (2)
(2) Obecnie niedostępne dla najemców zewnętrznych.
W chmurze publicznej zostanie wyświetlony monit o wybranie lokalizacji (wyświetlanej jako "Kraj/region" w portalu administracyjnym) w momencie tworzenia dzierżawy (na przykład zarejestrowanie się w usłudze Office 365 lub na platformie Azure lub utworzenie większej liczby wystąpień usługi Microsoft Entra za pośrednictwem witryny Azure Portal). Microsoft Entra ID mapuje wybór na lokalizację geograficzną i pojedynczą jednostkę skalowania. Nie można zmienić lokalizacji dzierżawy po jej ustawieniu.
Lokalizacja wybrana podczas tworzenia dzierżawy będzie mapować na jedną z następujących lokalizacji geograficznych:
- Australia (1)
- Azja/Pacyfik
- Europa, Bliski Wschód i Afryka (EMEA)
- Japonia (1)
- Ameryka Północna
- Cały świat
(1) Dostępne dla dzierżaw zewnętrznych z dodatkiem Go-Local.
Microsoft Entra ID zarządza danymi magazynu Core Store na podstawie użyteczności, wydajności, miejsca przechowywania lub innych wymagań w oparciu o lokalizację geograficzną. Identyfikator Entra firmy Microsoft replikuje każdą dzierżawę za pośrednictwem jednostki skalowania w centrach danych na podstawie następujących kryteriów:
- Dane usługi Microsoft Entra Core Store przechowywane w centrach danych najbliżej lokalizacji rezydencji dzierżawy, aby zmniejszyć opóźnienia i zapewnić szybkie logowanie użytkowników
- Microsoft Entra Core Store dane przechowywane w geograficznie izolowanych centrach danych w celu zapewnienia dostępności podczas nieprzewidzianych zdarzeń pojedynczych centrów danych, katastrofalne
- Zgodność z miejscem przechowywania danych lub innymi wymaganiami dla określonych klientów i lokalizacji geograficznych
Modele rozwiązań firmy Microsoft Entra w chmurze
W poniższej tabeli przedstawiono modele rozwiązań firmy Microsoft Entra w chmurze oparte na infrastrukturze, lokalizacji danych i niezależności operacyjnej.
| Model | Lokalizacje | Lokalizacja danych | Personel operacyjny | Umieszczanie dzierżawy w tym modelu |
|---|---|---|---|---|
| Lokalizacja geograficzna publiczna | Australia (1), Ameryka Północna, EMEA, Japonia (1), Azja/Pacyfik | W spoczynku w lokalizacji docelowej. Wyjątki dotyczące składnika usługi lub funkcji, wymienione w następnej sekcji | Obsługiwane przez firmę Microsoft. Personel centrum danych firmy Microsoft musi przejść kontrolę w tle. | Utwórz dzierżawę w środowisku rejestracji. Wybierz lokalizację miejsca przechowywania danych. |
| Publiczne na całym świecie | Cały świat | Wszystkie lokalizacje | Obsługiwane przez firmę Microsoft. Personel centrum danych firmy Microsoft musi przejść kontrolę w tle. | Tworzenie dzierżawy jest dostępne za pośrednictwem oficjalnego kanału pomocy technicznej i zależy od uznania firmy Microsoft. |
| Suwerenne lub krajowe chmury | Rząd USA (2), Chiny (2) | W spoczynku w lokalizacji docelowej. Bez wyjątków. | Obsługiwane przez opiekuna danych (3). Personel jest sprawdzany zgodnie z wymaganiami. | Każde wystąpienie chmury krajowej ma środowisko rejestracji. |
Odwołania do tabel:
- Te miejsca są dostępne dla najemców zewnętrznych z dodatkiem Go-Local.
- (2) Te lokalizacje nie są obecnie dostępne dla dzierżaw zewnętrznych.
- (3) Opiekunowie danych: centra danych w chmurze dla instytucji rządowych USA są obsługiwane przez firmę Microsoft. W Chinach firma Microsoft Entra ID jest obsługiwana we współpracy z firmą 21Vianet.
Więcej informacji:
- Przechowywanie i przetwarzanie danych klienta dla klientów europejskich w usłudze Microsoft Entra ID
- magazyn danych klienta dla klientów australijskich i nowozelandzkich w usłudze Microsoft Entra ID i magazyn danych tożsamości dla klientów australijskich i nowozelandzkich w usłudze Microsoft Entra ID
- magazyn danych klienta dla klientów z Japonii w usłudze Microsoft Entra ID
- Centrum zaufania firmy Microsoft — gdzie znajdują się twoje dane
Miejsce przechowywania danych w składnikach firmy Microsoft Entra
Dowiedz się więcej: Omówienie produktu Microsoft Entra
Uwaga
Aby zrozumieć lokalizację danych usługi dla innych usług poza Microsoft Entra ID, takich jak Exchange Online czy Skype dla firm, zapoznaj się z odpowiednią dokumentacją usługi i Centrum Zaufania .
Składniki i lokalizacja przechowywania danych firmy Microsoft
| Składnik Microsoft Entra | opis | Lokalizacja przechowywania danych |
|---|---|---|
| Usługa uwierzytelniania entra firmy Microsoft | Ta usługa jest bezstanowa. Dane uwierzytelniania są w sklepie Microsoft Entra Core Store. Nie ma danych katalogu. Usługa uwierzytelniania Entra firmy Microsoft generuje dane dziennika w usłudze Azure Storage i w centrum danych, w którym działa wystąpienie usługi. Gdy użytkownicy próbują uwierzytelnić się przy użyciu identyfikatora Entra firmy Microsoft, są kierowani do wystąpienia w geograficznie najbliższym centrum danych, które jest częścią jego regionu logicznego firmy Microsoft Entra. | W lokalizacji geograficznej |
| Usługi zarządzania tożsamościami i dostępem firmy Microsoft (IAM) firmy Microsoft |
Środowiska użytkownika i zarządzania: środowisko zarządzania entra firmy Microsoft jest bezstanowe i nie ma danych katalogu. Generuje on dane dziennika i użycia przechowywane w usłudze Azure Tables Storage. Środowisko użytkownika jest podobne do witryny Azure Portal. Usługi biznesowe i usługi raportowania zarządzania tożsamościami: te usługi mają lokalnie buforowany magazyn danych dla grup i użytkowników. Usługi generują dane dziennika i użycia, które przechodzą do usługi Azure Tables Storage, Azure SQL i Microsoft Elastic Search reporting Services. |
W lokalizacji geograficznej |
| Uwierzytelnianie wieloskładnikowe firmy Microsoft | Aby uzyskać szczegółowe informacje na temat przechowywania i przechowywania danych operacji uwierzytelniania wieloskładnikowego, zobacz Data residency and customer data for Microsoft Entra multifactor authentication (Przechowywanie danych i dane klientów na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft). Firma Microsoft Entra multifactor authentication rejestruje główne nazwy użytkownika (UPN), numery telefonów połączeń głosowych i wyzwania sms. W przypadku wyzwań związanych z trybami aplikacji mobilnych usługa rejestruje nazwę UPN i unikatowy token urządzenia. | Ameryka Północna i/lub lokalizacja geograficzna |
| Usługi domenowe Microsoft Entra | Zobacz regiony, w których usługi Microsoft Entra Domain Services są publikowane w produktach dostępnych według regionów. Usługa przechowuje metadane systemu globalnie w tabelach platformy Azure i nie zawiera żadnych danych osobowych. | W lokalizacji geograficznej |
| Microsoft Entra Connect Health | Program Microsoft Entra Connect Health generuje alerty i raporty w usłudze Azure Tables Storage i magazynie obiektów blob. | W lokalizacji geograficznej |
| Microsoft Entra dynamiczne grupy członkostwa, Microsoft Entra samoobsługowe zarządzanie grupami | Usługa Azure Tables Storage przechowuje definicje reguł dla dynamicznych grup członkostwa. | W lokalizacji geograficznej |
| Serwer proxy aplikacji Firmy Microsoft Entra | Serwer proxy aplikacji Firmy Microsoft Entra przechowuje metadane dotyczące dzierżawy, maszyn łączników i danych konfiguracji w usłudze Azure SQL. | W lokalizacji geograficznej |
| Zapisywanie zwrotne haseł firmy Microsoft Entra w programie Microsoft Entra Connect | Podczas początkowej konfiguracji program Microsoft Entra Connect generuje asymetryczny klucz, używając systemu kryptograficznego Rivest–Shamir-Adleman (RSA). Następnie wysyła klucz publiczny do usługi w chmurze samoobsługowego resetowania hasła (SSPR), która wykonuje dwie operacje: 1. Tworzy dwa przekaźniki usługi Azure Service Bus dla lokalnej usługi Microsoft Entra Connect w celu bezpiecznego komunikowania się z usługą samoobsługowego resetowania hasła 2. Generuje klucz Advanced Encryption Standard (AES), K1 Lokalizacje przekaźnika usługi Azure Service Bus, odpowiadające im klucze odbiornika i kopię klucza AES (K1) przechodzi do usługi Microsoft Entra Connect w odpowiedzi. W przyszłości komunikacja między samoobsługowym resetowaniem hasła i programem Microsoft Entra Connect odbywa się za pośrednictwem nowego kanału usługi ServiceBus i jest szyfrowana przy użyciu protokołu SSL. Nowe resetowanie haseł przesyłane podczas operacji są szyfrowane przy użyciu klucza publicznego RSA wygenerowanego przez klienta podczas dołączania. Klucz prywatny na maszynie Microsoft Entra Connect odszyfrowuje je, co uniemożliwia podsystemom potoków uzyskiwanie dostępu do hasła w postaci zwykłego tekstu. Klucz AES szyfruje ładunek komunikatu (zaszyfrowane hasła, więcej danych i metadanych), co uniemożliwia złośliwym osobom atakującym usługi ServiceBus manipulowanie ładunkiem, nawet przy pełnym dostępie do wewnętrznego kanału usługi ServiceBus. W przypadku zapisywania zwrotnego haseł firma Microsoft Entra Connect potrzebuje kluczy i danych: — klucz AES (K1), który szyfruje ładunek resetowania lub zmienia żądania z usługi SSPR do usługi Microsoft Entra Connect, za pośrednictwem potoku ServiceBus — klucz prywatny z pary kluczy asymetrycznych, która odszyfrowuje hasła, w ładunkach resetowania lub zmiany żądań — klucze odbiornika ServiceBus Klucz AES (K1) i asymetryczny klucz obracają się co najmniej co 180 dni, a czas trwania można zmienić podczas niektórych zdarzeń konfiguracji dołączania lub odłączania. Przykładem jest wyłączenie i ponowne włączanie zapisywania zwrotnego haseł, które mogą wystąpić podczas uaktualniania składnika podczas usługi i konserwacji. Klucze zapisywania zwrotnego i dane przechowywane w bazie danych Microsoft Entra Connect są szyfrowane za pomocą interfejsów programowania aplikacji ochrony danych (DPAPI) (CALG_AES_256). Wynikiem jest główny klucz szyfrowania ADSync przechowywany w magazynie poświadczeń systemu Windows w kontekście lokalnego konta usługi ADSync. Magazyn poświadczeń systemu Windows dostarcza automatyczne ponowne zaszyfrowanie wpisów tajnych w miarę zmiany hasła dla konta usługi. Aby zresetować hasło konta usługi, unieważnia wpisy tajne w magazynie poświadczeń systemu Windows dla konta usługi. Ręczne zmiany na nowym koncie usługi mogą spowodować unieważnienie przechowywanych wpisów tajnych. Domyślnie usługa ADSync jest uruchamiana w kontekście konta usługi wirtualnej. Konto można dostosować podczas instalacji do konta usługi domeny z najniższymi uprawnieniami, zarządzanego konta usługi (konta Microsoft) lub konta usługi zarządzanej przez grupę (gMSA). Konta usług wirtualnych i zarządzanych mają automatyczną rotację haseł, ale klienci zarządzają rotacją haseł dla niestandardowego aprowizowanego konta domeny. Jak wspomniano, resetowanie hasła powoduje utratę przechowywanych wpisów tajnych. |
W lokalizacji geograficznej |
| Usługa rejestracji urządzeń Microsoft Entra | Usługa rejestracji urządzeń firmy Microsoft ma zarządzanie cyklem życia komputera i urządzenia w katalogu, które umożliwia scenariusze, takie jak dostęp warunkowy stanu urządzenia i zarządzanie urządzeniami przenośnymi. | W lokalizacji geograficznej |
| Aprowizacja firmy Microsoft | Firma Microsoft Entra provisioning tworzy, usuwa i aktualizuje użytkowników w systemach, takich jak aplikacje oprogramowania jako usługi (oprogramowanie jako usługa) (SaaS). Zarządza tworzeniem użytkowników w usłudze Microsoft Entra ID i lokalną usługą Microsoft Windows Server Active Directory ze źródeł hr w chmurze, takich jak Workday. Usługa przechowuje konfigurację w wystąpieniu usługi Azure Cosmos DB, w którym przechowywane są dane członkostwa w grupie dla przechowywanego katalogu użytkowników. Usługa Azure Cosmos DB replikuje bazę danych do wielu centrów danych w tym samym regionie co dzierżawa, co izoluje dane zgodnie z modelem rozwiązania Firmy Microsoft Entra w chmurze. Replikacja tworzy wysoką dostępność oraz wiele punktów końcowych odczytu i zapisu. Usługa Azure Cosmos DB ma szyfrowanie informacji o bazie danych, a klucze szyfrowania są przechowywane w magazynie wpisów tajnych dla firmy Microsoft. | W lokalizacji geograficznej |
| Współpraca między firmami firmy Microsoft (B2B) | Współpraca firmy Microsoft Entra B2B nie ma danych katalogu. Użytkownicy i inne obiekty katalogów w relacji B2B z inną dzierżawą powodują skopiowanie danych użytkownika w innych dzierżawach, co może mieć wpływ na miejsce przechowywania danych. | W lokalizacji geograficznej |
| Microsoft Entra ID — ochrona | Ochrona tożsamości Microsoft Entra używa danych logowania użytkowników w czasie rzeczywistym z wieloma sygnałami ze źródeł firmowych i branżowych, aby nakarmić swoje systemy uczenia maszynowego, które wykrywają nietypowe logowania. Dane osobowe są czyszczone z danych logowania w czasie rzeczywistym przed przekazaniem ich do systemu uczenia maszynowego. Pozostałe dane logowania identyfikują potencjalnie ryzykowne nazwy użytkowników i identyfikatory logowania. Po analizie dane przechodzą do systemów raportowania firmy Microsoft. Ryzykowne logowania i nazwy użytkowników są wyświetlane w raportach dla administratorów. | W lokalizacji geograficznej |
| Tożsamości zarządzane dla zasobów platformy Azure | Tożsamości zarządzane dla zasobów platformy Azure z systemami tożsamości zarządzanych mogą uwierzytelniać się w usługach platformy Azure bez przechowywania poświadczeń. Zamiast używać nazwy użytkownika i hasła, tożsamości zarządzane uwierzytelniają się w usługach platformy Azure przy użyciu certyfikatów. Usługa zapisuje certyfikaty, które wystawia w usłudze Azure Cosmos DB w regionie Wschodnie stany USA, które w razie potrzeby przejdą w tryb failover do innego regionu. Nadmiarowość geograficzna usługi Azure Cosmos DB odbywa się przez globalną replikację danych. Replikacja bazy danych umieszcza kopię tylko do odczytu w każdym regionie, w którym są uruchamiane tożsamości zarządzane przez firmę Microsoft Entra. Aby dowiedzieć się więcej, zobacz Usługi platformy Azure, które mogą używać tożsamości zarządzanych do uzyskiwania dostępu do innych usług. Firma Microsoft izoluje każde wystąpienie usługi Azure Cosmos DB w modelu rozwiązania firmy Microsoft Entra w chmurze.
Dostawca zasobów, taki jak host maszyny wirtualnej, przechowuje certyfikat na potrzeby uwierzytelniania i przepływów tożsamości z innymi usługami platformy Azure. Usługa przechowuje swój klucz główny w celu uzyskania dostępu do usługi Azure Cosmos DB w usłudze zarządzania wpisami tajnymi centrum danych. Usługa Azure Key Vault przechowuje główne klucze szyfrowania. |
W lokalizacji geograficznej |
dodatek Go-Local
Dodatek Go-Local to funkcja w Microsoft Entra External ID, która umożliwia niektórym klientom konfigurowanie pewnych usług w celu przechowywania danych w spoczynku w wybranej lokalizacji geograficznej, takiej jak kraj lub region. Ta funkcja jest sposobem spełnienia zasad firmowych i wymagań dotyczących zgodności. Podczas tworzenia dzierżawy zewnętrznej wybierasz kraj lub region przechowywania danych.
Dodatek Go-Local jest płatnym dodatkiem, ale jest opcjonalny. Jeśli zdecydujesz się z niego korzystać, zostanie naliczona dodatkowa opłata oprócz Twojego planu Microsoft Entra External ID Basic. Aby uzyskać więcej informacji, zobacz Cennik identyfikatora zewnętrznego firmy Microsoft.
Następujące kraje/regiony mają obecnie opcję rezydencji danych lokalnych:
- Australia
- Japonia
Powiązane zasoby
Aby uzyskać więcej informacji na temat rezydencji danych w ofertach usługi Microsoft Cloud, zobacz następujące artykuły:
- Rezydencja danych na platformie Azure | Microsoft Azure
- Lokalizacje danych platformy Microsoft 365 — Microsoft 365 Enterprise
- Prywatność firmy Microsoft — gdzie znajdują się Twoje dane?
- Pobierz plik PDF: Zagadnienia dotyczące prywatności w chmurze