Идентификатор и место расположения данных Microsoft Entra
Идентификатор Microsoft Entra — это решение "Удостоверение как услуга" (IDaaS), которое хранит удостоверения и управляет ими в облаке. Данные можно использовать для обеспечения доступа к облачным службам и управления ими, обеспечения мобильности и защиты организации. Экземпляр службы Microsoft Entra, называемой клиентом, — это изолированный набор данных объекта каталога, которые клиент подготавливает и владеет.
Основное хранилище
Основной магазин состоит из клиентов, хранящихся в единицах масштабирования, каждый из которых содержит несколько клиентов. Операции обновления или извлечения данных в Microsoft Entra Core Store связаны с одним клиентом на основе маркера безопасности пользователя, который обеспечивает изоляцию клиента. Единицы масштабирования назначаются географическому расположению. Каждое географическое расположение использует два или более регионов Azure для хранения данных. В каждом регионе Azure данные единиц масштабирования реплика в физических центрах обработки данных для обеспечения устойчивости и производительности.
Дополнительные сведения: Единицы масштабирования Microsoft Entra Core Store
Идентификатор Microsoft Entra доступен в следующих облаках:
- Общедоступный
- Китай
- Для государственных организаций США
В общедоступном облаке вам будет предложено выбрать расположение во время создания клиента (например, регистрация в Office 365 или Azure или создание дополнительных экземпляров Microsoft Entra с помощью портал Azure). Идентификатор Microsoft Entra сопоставляет выбор с географическим расположением и одним масштабируемым блоком в нем. Расположение клиента не может быть изменено после его установки.
Расположение, выбранное во время создания клиента, сопоставляется с одним из следующих географических расположений:
- Австралия
- Азиатско-Тихоокеанский регион
- Европа, Ближний Восток и Африка (EMEA)
- Япония
- Северная Америка
- По всему миру
Идентификатор Microsoft Entra обрабатывает данные Core Store на основе удобства использования, производительности, расположения и/или других требований на основе географического расположения. Идентификатор Microsoft Entra id реплика tes каждый клиент через единицу масштабирования в центрах обработки данных на основе следующих критериев:
- Данные Microsoft Entra Core Store, хранящиеся в центрах обработки данных, ближайших к расположению расположения клиента, чтобы уменьшить задержку и обеспечить быстрый вход пользователей во время входа.
- Данные Microsoft Entra Core Store, хранящиеся в географически изолированных центрах обработки данных для обеспечения доступности во время непредвиденных одноцентровых событий, катастрофических событий
- Соответствие требованиям к месту расположения данных или другим требованиям для конкретных клиентов и географических расположений
Модели облачных решений Microsoft Entra
Используйте следующую таблицу для просмотра моделей облачных решений Microsoft Entra на основе инфраструктуры, расположения данных и операционного суверенитета.
Модель | Местонахождения | Расположение данных | Персонал операций | Размещение клиента в этой модели |
---|---|---|---|---|
Общедоступная география | Северная Америка, EMEA, Япония, Азиатско-Тихоокеанский регион | Неактивных данных в целевом расположении. Исключения по службе или компоненту | Управляется корпорацией Майкрософт. Персонал центра обработки данных Майкрософт должен пройти фоновый проверка. | Создайте клиент в интерфейсе регистрации. Выберите расположение для расположения данных. |
Общедоступная по всему миру | По всему миру | Все расположения | Управляется корпорацией Майкрософт. Персонал центра обработки данных Майкрософт должен пройти фоновый проверка. | Создание клиента, доступное через официальный канал поддержки и при условии, что корпорация Майкрософт имеет право. |
Суверенные или национальные облака | Правительство США, Китай | Неактивных данных в целевом расположении. Никаких исключений. | Управляется хранителем данных (1). Персонал экранируется в соответствии с требованиями. | Каждый национальный облачный экземпляр имеет интерфейс регистрации. |
Ссылки на таблицы:
(1) Хранимые данные: центры обработки данных в облаке для государственных организаций США управляются корпорацией Майкрософт. В Китае идентификатор Microsoft Entra работает через партнерство с 21Vianet.
Подробнее:
- Хранение и обработка данных клиентов для европейских клиентов в идентификаторе Microsoft Entra
- Power BI: идентификатор Microsoft Entra — где находятся ваши данные?
- Что такое архитектура Microsoft Entra?
- Найдите географию Azure, которая соответствует вашим потребностям
- Центр управления безопасностью (Майкрософт)
Размещение данных в компонентах Microsoft Entra
Дополнительные сведения: обзор продукта Microsoft Entra
Примечание.
Чтобы понять расположение данных службы, например Exchange Online или Skype для бизнеса, обратитесь к соответствующей документации по службе.
Компоненты Microsoft Entra и расположение хранилища данных
Компонент Microsoft Entra | Description | Расположение хранилища данных |
---|---|---|
Служба проверки подлинности Microsoft Entra | Эта служба без отслеживания состояния. Данные для проверки подлинности хранятся в Microsoft Entra Core Store. У него нет данных каталога. Служба проверки подлинности Microsoft Entra создает данные журнала в хранилище Azure и в центре обработки данных, где выполняется экземпляр службы. Когда пользователи пытаются выполнить проверку подлинности с помощью идентификатора Microsoft Entra, они перенаправляются в экземпляр в географическо ближайшем центре обработки данных, который является частью своего логического региона Microsoft Entra. | В географическом расположении |
Службы управления удостоверениями и доступом (IAM) Microsoft Entra | Взаимодействие с пользователем и управлением. Интерфейс управления Microsoft Entra без отслеживания состояния и не содержит данных каталога. Он создает данные журнала и использования, хранящиеся в хранилище таблиц Azure. Взаимодействие с пользователем похоже на портал Azure. Бизнес-логика управления удостоверениями и службы отчетов: эти службы имеют локально кэшированное хранилище данных для групп и пользователей. Службы создают данные журнала и использования, которые входят в хранилище таблиц Azure, SQL Azure и в службах отчетов Microsoft Elastic Search. |
В географическом расположении |
Многофакторная проверка подлинности Microsoft Entra | Дополнительные сведения о хранении и хранении данных mFA см. в разделе "Место расположения данных" и данных клиента для многофакторной проверки подлинности Microsoft Entra. Microsoft Entra multifactor authentication регистрирует имя участника-пользователя (UPN), номера телефонов голосового звонка и вызовы SMS. Для проблем с режимами мобильного приложения служба регистрирует имя участника-участника и уникальный маркер устройства. Центры обработки данных в регионе Северная Америка хранят многофакторную проверку подлинности Microsoft Entra и создаются журналы. | Северная Америка |
Доменные службы Microsoft Entra | См. регионы, в которых доменные службы Microsoft Entra публикуются в продуктах по регионам. Служба хранит системные метаданные глобально в таблицах Azure и не содержит персональных данных. | В географическом расположении |
Microsoft Entra Connect Health | Microsoft Entra Подключение Health создает оповещения и отчеты в хранилище таблиц Azure и хранилище BLOB-объектов. | В географическом расположении |
Динамическое членство в Microsoft Entra для групп, самостоятельное управление группами Microsoft Entra | Хранилище таблиц Azure содержит определения правил динамического членства. | В географическом расположении |
Прокси приложения Microsoft Entra | Прокси приложения Microsoft Entra хранит метаданные о клиенте, компьютерах соединителях и данных конфигурации в SQL Azure. | В географическом расположении |
Обратная запись паролей Microsoft Entra в Microsoft Entra Подключение | Во время начальной настройки Microsoft Entra Подключение создает асимметричную keypair, используя криптосистему Rivest-Shamir-Adleman (RSA). Затем он отправляет открытый ключ в облачную службу самостоятельного сброса пароля (SSPR), которая выполняет две операции: 1. Создает два ретранслятора Служебная шина Azure для локальной службы Microsoft Entra Подключение для безопасного взаимодействия со службой SSPR 2. Создает ключ расширенного шифрования (AES), K1 Расположения ретранслятора Служебная шина Azure, соответствующие ключи прослушивателя, а копия ключа AES (K1) переходит в microsoft Entra Подключение в ответе. Будущие обмен данными между SSPR и Microsoft Entra Подключение происходят через новый канал ServiceBus и шифруются с помощью SSL. Новые сбросы паролей, отправленные во время операции, шифруются с открытым ключом RSA, созданным клиентом во время подключения. Закрытый ключ на компьютере Microsoft Entra Подключение расшифровывает их, что предотвращает доступ к паролям обычного текста подсистем конвейера. Ключ AES шифрует полезные данные сообщения (зашифрованные пароли, дополнительные данные и метаданные), что предотвращает изменение полезных данных злоумышленниками ServiceBus, даже с полным доступом к внутреннему каналу ServiceBus. Для обратной записи паролей Microsoft Entra Подключение требуются ключи и данные: — ключ AES (K1), который шифрует полезные данные сброса или изменяет запросы из службы SSPR на Microsoft Entra Подключение через конвейер ServiceBus — закрытый ключ, из пары асимметричных ключей, расшифровывающих пароли, при сбросе или изменении полезных данных запросов — ключи прослушивателя ServiceBus Ключ AES (K1) и асимметричный ключ поворота по крайней мере каждые 180 дней, длительность можно изменить во время определенных событий конфигурации подключения или отключения. Например, клиент отключает и повторно включает обратную запись паролей, которая может произойти во время обновления компонентов во время обслуживания и обслуживания. Ключи обратной записи и данные, хранящиеся в базе данных Microsoft Entra Подключение, шифруются интерфейсами программирования приложений защиты данных (DPAPI) (CALG_AES_256). Результатом является главный ключ шифрования ADSync, хранящийся в Хранилище учетных данных Windows в контексте локальной учетной записи службы ADSync. Хранилище учетных данных Windows предоставляет автоматическое повторное шифрование секрета в качестве пароля для изменения учетной записи службы. Чтобы сбросить пароль учетной записи службы, секреты в Хранилище учетных данных Windows для учетной записи службы недействительны. Изменение новой учетной записи службы вручную может привести к недействительным хранимым секретам. По умолчанию служба ADSync выполняется в контексте учетной записи виртуальной службы. Учетная запись может быть настроена во время установки в учетную запись службы с минимальными привилегиями, управляемую учетную запись службы (MSA) или управляемую группу учетной записи службы (gMSA). Хотя виртуальные и управляемые учетные записи служб имеют автоматическую смену паролей, клиенты управляют сменой паролей для пользовательской подготовленной учетной записи домена. Как отмечалось, сброс пароля приводит к потере сохраненных секретов. |
В географическом расположении |
Служба регистрации устройств Microsoft Entra | Служба регистрации устройств Microsoft Entra имеет управление жизненным циклом компьютеров и устройств в каталоге, что обеспечивает такие сценарии, как условный доступ на устройстве и управление мобильными устройствами. | В географическом расположении |
Подготовка Microsoft Entra | Подготовка Microsoft Entra создает, удаляет и обновляет пользователей в системах, таких как программное обеспечение, например приложения SaaS. Он управляет созданием пользователей в идентификаторе Microsoft Entra и локальной службе AD из облачных источников кадров, таких как Workday. Служба сохраняет свою конфигурацию в Azure Cosmos DB, в которой хранятся данные о членстве в группах для каталога пользователя. Cosmos DB реплика отправляет базу данных в несколько центров обработки данных в том же регионе, что и клиент, который изолирует данные в соответствии с моделью облачного решения Microsoft Entra. Репликация создает высокий уровень доступности и несколько конечных точек чтения и записи. Cosmos DB имеет шифрование данных базы данных, а ключи шифрования хранятся в хранилище секретов для Майкрософт. | В географическом расположении |
Совместная работа Microsoft Entra business-to-business (B2B) | Служба совместной работы Microsoft Entra B2B не содержит данных каталога. Пользователи и другие объекты каталога в связи B2B с другим клиентом приводят к копированию пользовательских данных в других клиентах, которые могут иметь последствия для размещения данных. | В географическом расположении |
Защита идентификации Microsoft Entra | Защита идентификации Microsoft Entra использует данные входа пользователей в режиме реального времени с несколькими сигналами от компаний и отраслевых источников, чтобы передать свои системы машинного обучения, которые обнаруживают аномальные имена входа. Личные данные очищаются от данных журнала в режиме реального времени, прежде чем они передаются в систему машинного обучения. Остальные данные входа идентифицируют потенциально рискованные имена пользователей и имена входа. После анализа данные походят в системы отчетов Майкрософт. Рискованные имена входа и имена пользователей отображаются в отчетах для Администратор istrator. | В географическом расположении |
Управляемые удостоверения Microsoft Entra для ресурсов Azure | Управляемые удостоверения Microsoft Entra для ресурсов Azure с управляемыми системами удостоверений могут проходить проверку подлинности в службах Azure без хранения учетных данных. Вместо использования имени пользователя и пароля управляемые удостоверения проходят проверку подлинности в службах Azure с помощью сертификатов. Служба записывает сертификаты в Azure Cosmos DB в регионе "Восточная часть США", который выполняет отработку отказа в другой регион по мере необходимости. Геоизбыточность Azure Cosmos DB происходит по глобальным реплика данных. Функция реплика базы данных помещает копию только для чтения в каждом регионе, где выполняются управляемые удостоверения Microsoft Entra. Дополнительные сведения см . в службах Azure, которые могут использовать управляемые удостоверения для доступа к другим службам. Корпорация Майкрософт изолирует каждый экземпляр Cosmos DB в модели облачного решения Microsoft Entra. Поставщик ресурсов, например узел виртуальной машины, сохраняет сертификат для проверки подлинности и потоков удостоверений, а также другие службы Azure. Служба хранит главный ключ для доступа к Azure Cosmos DB в службе управления секретами центра обработки данных. Azure Key Vault хранит основные ключи шифрования. |
В географическом расположении |
Azure Active Directory B2C | Azure AD B2C — это служба управления удостоверениями для настройки и управления способом регистрации, входа клиентов и управления их профилями при использовании приложений. B2C использует Core Store для хранения сведений об удостоверениях пользователя. База данных Core Store следует известным правилам хранения, реплика и удаления и расположения данных. B2C использует систему Azure Cosmos DB для хранения политик и секретов служб. Cosmos DB содержит службы шифрования и реплика tion для сведений о базе данных. Его ключ шифрования хранится в хранилище секретов для Майкрософт. Корпорация Майкрософт изолирует экземпляры Cosmos DB в облачной модели решения Microsoft Entra. | Географическое расположение, выбранное клиентом |
Связанные ресурсы
Дополнительные сведения о размещении данных в предложениях Microsoft Cloud см. в следующих статьях:
- Идентификатор Microsoft Entra — где находятся ваши данные?
- Расположение данных в Azure | Microsoft Azure
- Расположения данных Microsoft 365 — Microsoft 365 корпоративный
- Конфиденциальность Майкрософт — где находятся ваши данные?
- Скачивание PDF: рекомендации по конфиденциальности в облаке
Следующие шаги
- Идентификатор и место расположения данных Microsoft Entra (вы здесь)
- Рекомендации по работе с данными
- Рекомендации по защите данных