Настройка границы данных

Статья
2025-04-17

В этой документации содержатся сведения о том, как клиенты могут настроить Azure Resource Manager для использования в границе данных. Единственная конфигурация границы данных, поддерживаемая в настоящее время, помимо глобальной конфигурации по умолчанию, предназначена для Европейского союза (ЕС). Граница данных ЕС — это географически определенная граница, в пределах которой корпорация Microsoft обязуется хранить и обрабатывать данные клиентов и псевдонимизированные персональные данные, а также хранить данные профессиональных служб для корпоративных онлайн-сервисов Microsoft, включая Azure, Dynamics 365, Power Platform и Microsoft 365, в случае ограниченных обстоятельств, когда персональные данные продолжают передаваться за пределы границы данных ЕС. Дополнительные сведения см. в разделе "Обзор границы данных ЕС".

Внимание

Чтобы сохранить данные профессиональных служб в границе данных ЕС для Azure, клиенты должны настроить Azure Resource Manager на границе данных ЕС. В этой документации содержатся сведения о том, как клиенты могут настроить Azure Resource Manager для использования в границе данных ЕС.

Границу данных можно установить только в новых арендаторах, у которых нет существующих подписок или развернутых ресурсов. После того как клиент выберет границу данных, конфигурация границы данных не может быть удалена или изменена. Подписки и ресурсы, созданные в клиенте с границей данных, не могут быть перемещены из этого клиента. Существующие подписки и ресурсы нельзя переместить в клиент с границой данных. Каждый клиент ограничен одной границей данных, и после настройки границы данных Azure Resource Manager ограничивает развертывание ресурсов регионами в пределах этой границы. Глобальная граница данных не имеет ограничений на регионы, в которые может развернуться ресурс. Клиенты могут включить своих арендаторов в границу данных, развернув Microsoft.Resources/dataBoundaries ресурс на уровне арендатора.

Встроенная DataBoundaryTenantAdministrator роль необходима для настройки границы данных. Дополнительные сведения см. в разделе "Необходимые разрешения".

Чтобы добавить вашего клиента в Европейскую границу данных Azure, выполните приведенные действия.

Создайте новый клиент в стране или регионе ЕС, чтобы настроить границу данных ЕС Microsoft Entra. Дополнительные сведения о создании нового клиента в стране или регионе ЕС см. в разделе "Создание нового клиента в идентификаторе Microsoft Entra".
Перед созданием новых подписок или ресурсов разверните ресурс Microsoft.Resources/dataBoundaries с конфигурацией ЕС.
Создайте подписку и разверните ресурсы Azure.

Требуемые разрешения

Чтобы настроить границу данных, встроенная роль DataBoundaryTenantAdministrator требуется на уровне арендатора. Чтобы назначить роль, выполните следующие действия.

Расширьте доступ для управления всеми подписками Azure и группами управления. Дополнительные сведения см. в статье Повышение прав доступа для управления всеми подписками Azure и группами управления.

Используя Azure CLI, Azure PowerShell или REST API, предоставьте себе DataBoundaryTenantAdministrator роль на уровне арендатора (/) с привилегией администратора доступа пользователей.

Не поддерживается порталом Azure. Вместо этого используйте Azure CLI или Azure PowerShell или REST API.

DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID="d1a38570-4b05-4d70-b8e4-1100bcf76d12"

az role assignment create --assignee "{assignee}" --role DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID --scope "/"

$dataBoundaryTenantAdministratorRoleDefinitionId = "d1a38570-4b05-4d70-b8e4-1100bcf76d12"

New-AzRoleAssignment -ObjectId <objectId> -RoleDefinitionId $dataBoundaryTenantAdministratorRoleDefinitionId -Scope "/"

PUT https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentName}?api-version=2020-04-01-preview

Текст запроса:

{
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/d1a38570-4b05-4d70-b8e4-1100bcf76d12",
    "principalId": "{assignee}"
  }
}

Текст ответа

{
  "id": "/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentName}",
  "type": "Microsoft.Authorization/roleAssignments",
  "name": "{roleAssignmentName}",
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/d1a38570-4b05-4d70-b8e4-1100bcf76d12",
    "principalId": "{assignee}",
    "principalType": "User", // Could also be "Group", "ServicePrincipal", etc.
  }
}

Дополнительные сведения см. в статье Назначение ролей Azure.

Создание границы данных

Геограничная граница данных в настоящее время имеет два варианта:

Географическая граница данных	Description
Глобальный	По умолчанию все клиенты имеют глобальную границу данных.
ЕС	Установите границу данных ЕС.

Чтобы включить клиента в границу данных, используйте следующие команды.

Чтобы создать границу данных, выполните следующие действия.

Откройте портал Azure.
В поле поиска введите границы данных Azure и выберите границы данных Azure.
В области границ выберите границу данных, либо Global, либо EU, а затем нажмите кнопку "Сохранить".

Boundary region можно настроить только для пустых арендаторов.

az data-boundary create --data-boundary <data-boundary-geo> --default default

В настоящее время переключатель --default является обязательным, но его использование будет постепенно прекращено в будущем.

Дополнительные сведения см. в справочнике по Azure CLI.

Set-AzDataBoundary -DataBoundary <data-boundary-geo>

Для получения дополнительной информации см. справочник Azure PowerShell.

PUT https://management.azure.com/providers/Microsoft.Resources/dataBoundaries/default?api-version=2024-08-01

Текст запроса:

{ 
  "properties": { 
    "dataBoundary": "<data-boundary-geo>" 
  } 
}


```json
{ 
  "name": "{tenantId}", 
  "id": " /providers/Microsoft.Resources/dataBoundaries/{tenantId}",   
  "properties": { 
    "dataBoundary": "{dataBoundaryGeo}", 
    "provisioningState": "Created" 
  } 
}

Дополнительные сведения см. в справочнике по REST API Azure.

Чтение границ данных

Чтобы получить границу данных по указанным областям. К ним относятся следующие области:

Область	Значение
Арендатор	(пусто)
Подписка	subscriptions/{subscriptionId}
Группа ресурсов	subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}

Откройте портал Azure.
В поле поиска введите границы данных Azure и выберите границы данных Azure. На следующем снимке экрана показана Global граница данных.

az data-boundary show --scope <scope-path> --default default

Получение границы данных клиента:

az data-boundary show-tenant --default default

В --default настоящее время этот параметр является обязательным, но в будущем его использование будет прекращено.

Для получения дополнительной информации смотрите в справочнике по Azure CLI.

Get-AzDataBoundaryScope -Scope <scope-path>

Получение границы данных клиента:

Get-AzDataBoundaryTenant

Дополнительные сведения см. в справочнике по Azure PowerShell.

GET https://management.azure.com/{scope}/providers/Microsoft.Resources/dataBoundaries/default?api-version=2024-08-01

Текст ответа

{ 
  "name": "{tenantId}", 
  "id": " /providers/Microsoft.Resources/dataBoundaries/{tenantId}",   
  "properties": { 
    "dataBoundary": "{dataBoundaryGeo}", 
    "provisioningState": "Succeeded" 
  } 
}

Дополнительные сведения см. в справочнике по REST API Azure.

Устранение неполадок

В следующей таблице перечислены сообщения об ошибках, связанных с ограничениями данных:

Код ошибки	Сообщение об ошибке	Объяснение
Арендатор с данными не может изменить границу данных	Арендатор<tenant-name> уже содержит подписки. Обновление границ данных для непустых тенантов не поддерживается.	Клиенты могут применить границу данных Azure только к новому арендатору, у которого нет групп управления, подписок или ресурсов.
Ошибка авторизации	<Клиент > с идентификатором объекта <object-id> не имеет авторизации для выполнения действия `Microsoft.Resources/dataBoundaries/write` в области <scope-name> или область недействительна. Если доступ был предоставлен недавно, обновите учетные данные.	Убедитесь, что у вас есть роль администратора границ данных в области клиента. См. Требуемые разрешения.
Неверное местоположение ресурса НедопустимоеМестоположениеГруппыРесурсов	Недопустимое местоположение группы ресурсов <region-name>. Идентификатор клиента для данной подписки связан с <географической границей> данных. Расположение группы ресурсов ограничено границой данных. Список регионов в границе данных: <region-list>.	После применения границы данных к клиенту пользователи могут создавать ресурсы только в регионах в пределах границы данных. Например, пользователи не могут создавать ресурсы в WestUS , если граница данных ЕС применяется к клиенту. Чтобы устранить эту ошибку, выберите регион из списка, возвращенного в сообщении об ошибке.
НевернаяГраницаДанныхПеремещенияПодписки	Ошибка передачи. Передача этой подписки запрещена из-за ограничений границ данных для клиента.	Невозможно переместить подписку, если у источника или целевого арендатора есть неглобальная граница данных. Перемещение подписки блокируется, даже если исходные и целевые клиенты имеют ту же границу данных.

Следующие шаги

Дополнительные сведения см. в разделе "Обзор границы данных ЕС".