Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Решение Microsoft Entra ID является сервисом "Удостоверение как услуга" (IDaaS), который хранит и управляет данными удостоверений и доступа в облаке. Данные можно использовать для обеспечения доступа к облачным службам и управления ими, обеспечения мобильности и защиты организации. Экземпляр службы Microsoft Entra ID, называемый арендатором, представляет собой изолированный набор данных объектов каталога, который арендатор предоставляет и которым владеет.
Примечание.
Внешний идентификатор Microsoft Entra — это решение для управления удостоверениями и доступом клиентов (CIAM), предлагающее возможность и гибкость для хранения и управления данными в отдельном арендаторе, созданном специально для ваших клиентских приложений и данных каталога клиентов. Этот клиент называется внешним клиентом. При создании внешнего клиента для хранения данных можно выбрать географическое расположение (показано как страна или регион) на портале администрирования. Важно отметить, что расположения данных и доступность регионов могут отличаться от идентификатора Microsoft Entra, как указано в этой статье.
Основное хранилище
Основной магазин состоит из клиентов, хранящихся в единицах масштабирования, каждый из которых содержит несколько клиентов. Операции обновления или извлечения данных в Microsoft Entra Core Store связаны с одним клиентом на основе маркера безопасности пользователя, который обеспечивает изоляцию клиента. Единицы масштабирования назначаются географическому расположению. Каждое географическое расположение использует два или более регионов Azure для хранения данных. В каждом регионе Azure данные единиц масштабирования реплицируются в физических центрах обработки данных для обеспечения устойчивости и производительности, как описано в архитектуре Microsoft Entra.
Дополнительные сведения о Core Store см. в единицах масштабирования Microsoft Entra Core Store. Дополнительные сведения о регионах Azure см. в географических регионах Azure.
Идентификатор Microsoft Entra доступен в следующих облаках:
- Общедоступный
- Китай (2)
- Правительство США (2)
(2) В настоящее время недоступно для внешних клиентов.
В общедоступном облаке вам будет предложено выбрать расположение (показано как страна или регион) на портале администрирования во время создания клиента (например, регистрация в Office 365 или Azure или создание дополнительных экземпляров Microsoft Entra на портале Azure). Идентификатор Microsoft Entra сопоставляет выборку с географическим расположением и единицей масштаба в нем. Расположение клиента не может быть изменено после его установки.
Расположение, выбранное во время создания клиента, сопоставляется с одним из следующих географических расположений:
- Австралия (1)
- Азиатско-Тихоокеанский регион
- Европа, Ближний Восток и Африка (EMEA)
- Япония (1)
- Северная Америка
- По всему миру
(1) Доступно для внешних арендаторов с надстройкой Go-Local.
Идентификатор Microsoft Entra обрабатывает данные Core Store с учётом удобства использования, производительности, места хранения данных или других требований в зависимости от географического местоположения. Идентификатор Microsoft Entra реплицирует каждого арендатора через единицу масштабирования в центре обработки данных на основе определённых критериев.
- Данные Microsoft Entra Core Store, хранящиеся в центрах обработки данных, ближайших к месту нахождения клиента, чтобы уменьшить задержку и обеспечить быструю авторизацию пользователей.
- Данные Microsoft Entra Core Store сохраняются в географически изолированных центрах обработки данных для обеспечения доступности во время непредвиденных катастрофических событий, затрагивающих отдельные центры.
- Соответствие требованиям к месту расположения данных или другим требованиям для конкретных клиентов и географических расположений
Модели облачных решений Microsoft Entra
Используйте следующую таблицу для просмотра моделей облачных решений Microsoft Entra на основе инфраструктуры, расположения данных и операционного суверенитета.
| Модель | Местоположения | Расположение данных | Персонал операций | Размещение арендатора в этой модели |
|---|---|---|---|---|
| Общедоступная география | Австралия (1), Северная Америка, EMEA, Япония (1), Азиатско-Тихоокеанский регион | Находится в состоянии покоя в целевом расположении. Исключения по службе или функции компонентов, перечисленные в следующем разделе | Управляется корпорацией Майкрософт. Персонал центра обработки данных Майкрософт должен пройти проверку биографической информации. | Создайте арендатора в процессе регистрации. Выберите место для хранения данных. |
| Общедоступная по всему миру | По всему миру | Все местоположения | Управляется корпорацией Майкрософт. Персонал центра обработки данных Майкрософт должен пройти проверку биографии. | Создание клиента доступно через официальный канал поддержки и находится на усмотрении корпорации Майкрософт. |
| Суверенные или национальные облака | Правительство США (2), Китай (2) | На месте, в целевом расположении. Никаких исключений. | Управляется хранителем данных (3). Персонал проверяется в соответствии с требованиями. | Каждая национальная облачная инстанция имеет свой опыт регистрации. |
Ссылки на таблицы
- Эти локации доступны для внешних тенантов с надстройкой Go-Local.
- (2) Эти расположения сейчас недоступны для внешних клиентов.
- (3) Хранимые данные: центры обработки данных в облаке для государственных организаций США управляются корпорацией Майкрософт. В Китае идентификатор Microsoft Entra работает через партнерство с 21Vianet.
Подробнее:
- Хранение и обработка данных клиентов для европейских клиентов в идентификаторе Microsoft Entra
- хранилище данных клиентов в Австралии и Новой Зеландии в Microsoft Entra ID и хранилище данных удостоверений для клиентов в Австралии и Новой Зеландии в Microsoft Entra ID
- Хранение данных клиентов для японских пользователей в Microsoft Entra ID
- Центр доверия Microsoft — где находятся ваши данные
Резидентность данных в компонентах Microsoft Entra
Дополнительные сведения: обзор продукта Microsoft Entra
Примечание.
Сведения о расположении данных службы для других служб, отличных от идентификатора Microsoft Entra, например Exchange Online или Skype для бизнеса, см. в соответствующей документации по службе и Центре управления безопасностью.
Компоненты Microsoft Entra и расположение хранилища данных
| Компонент Microsoft Entra | Описание | Расположение хранилища данных |
|---|---|---|
| Служба проверки подлинности Microsoft Entra | Эта служба без сохранения состояния. Данные для проверки подлинности хранятся в Microsoft Entra Core Store. У него нет данных каталога. Служба проверки подлинности Microsoft Entra создает данные журнала в службе хранилища Azure и в центре обработки данных, где размещается экземпляр службы. Когда пользователи пытаются пройти аутентификацию с помощью Microsoft Entra ID, они направляются в экземпляр, находящийся в географически ближайшем центре обработки данных, который является частью логического региона Microsoft Entra. | В географическом расположении |
| Службы Microsoft Entra по управлению удостоверениями и доступом (IAM) |
Опыт работы пользователей и администрирования: Интерфейс управления Microsoft Entra не отслеживает состояние и не содержит данных каталога. Он создает данные журнала и использования, хранящиеся в хранилище таблиц Azure. Взаимодействие с пользователем похоже на портал Azure. Бизнес-логика управления удостоверениями и службы отчетов: эти службы имеют локально кэшированное хранилище данных для групп и пользователей. Службы создают данные журнала и использования, которые входят в хранилище таблиц Azure, SQL Azure и в службах отчетов Microsoft Elastic Search. |
В географическом расположении |
| Многофакторная проверка подлинности Microsoft Entra | Дополнительные сведения о хранилище данных и удержании данных операций многофакторной аутентификации см. в разделе Размещение данных и хранение клиентских данных для многофакторной аутентификации Microsoft Entra. Microsoft Entra многофакторная аутентификация регистрирует основное имя пользователя (UPN), телефонные номера для голосовых вызовов и SMS-вызовы. Для решения проблем с режимами мобильного приложения служба регистрирует UPN и уникальный маркер устройства. | Северная Америка и (или) в географическом расположении |
| Доменные службы Microsoft Entra | См. регионы, в которых публикуются доменные службы Microsoft Entra, в разделе Доступные продукты по регионам. Служба хранит системные метаданные глобально в таблицах Azure и не содержит персональных данных. | В географическом расположении |
| Microsoft Entra Connect Health (Система здоровья Microsoft Entra Connect) | Microsoft Entra Connect Health создает оповещения и отчеты в хранилище таблиц Azure и хранилище BLOB-объектов. | В географическом расположении |
| Группы с динамическим членством Microsoft Entra, Управление группами самообслуживания Microsoft Entra | Хранилище таблиц Azure содержит определения правил для динамических групп членства. | В географическом расположении |
| Прокси приложения Microsoft Entra | Прокси приложения Microsoft Entra хранит метаданные о клиенте, компьютерах соединителях и данных конфигурации в SQL Azure. | В географическом расположении |
| Обратная запись паролей Microsoft Entra в Microsoft Entra Connect | Во время начальной настройки Microsoft Entra Connect создает асимметричный ключ с помощью криптосистемы Rivest-Shamir-Adleman (RSA). Затем он отправляет открытый ключ в облачную службу самостоятельного сброса пароля (SSPR), которая выполняет две операции: 1. Создает два ретранслятора службы шины Azure для локальной службы Microsoft Entra Connect, чтобы безопасно взаимодействовать со службой восстановления пароля 2. Создает ключ стандарта расширенного шифрования (AES), K1 Расположения ретрансляторов служебной шины Azure, соответствующие ключи прослушивателя и копия ключа AES (K1) передаются в Microsoft Entra Connect в ответе. Будущие связи между SSPR и Microsoft Entra Connect происходят через новый канал ServiceBus и шифруются с помощью SSL. Новые сбросы паролей, сделанные в процессе работы, шифруются с помощью открытого ключа RSA, сгенерированного клиентом при подключении. Закрытый ключ на компьютере Microsoft Entra Connect расшифровывает их, что предотвращает доступ подсистем конвейера к паролю в открытом виде. Ключ AES шифрует полезную нагрузку сообщения (зашифрованные пароли, дополнительные данные и метаданные), что предотвращает её изменение злоумышленниками, даже при полном доступе к внутреннему каналу ServiceBus. Для обратной записи паролей Microsoft Entra Connect требуются ключи и данные: — ключ AES (K1), который шифрует полезные данные сброса или изменяет запросы из службы SSPR на Microsoft Entra Connect через конвейер ServiceBus — закрытый ключ из пары асимметричных ключей, который расшифровывает пароли в полезных данных запросов на сброс или изменение — ключи прослушивателя ServiceBus. Ключ AES (K1) и пара асимметричных ключей вращаются не реже, чем каждые 180 дней; длительность можно изменить во время определенных событий конфигурации подключения или отключения. Например, пользователь отключает и повторно включает функцию записи пароля, что может произойти во время обновления компонентов в процессе обслуживания и технического ухода. Ключи обратной записи и данные, хранящиеся в базе данных Microsoft Entra Connect, шифруются интерфейсами программирования приложений защиты данных (DPAPI) (CALG_AES_256). Результатом является главный ключ шифрования ADSync, хранящийся в Хранилище учетных данных Windows в контексте локальной учетной записи службы ADSync. Хранилище учетных данных Windows предоставляет автоматическое перешифрование секретов при изменении пароля служебной учётной записи. Чтобы сбросить пароль учетной записи службы, секреты в Хранилище учетных данных Windows для учетной записи службы недействительны. Внесение изменений вручную в новую учетную запись службы может сделать хранимые секреты недействительными. По умолчанию служба ADSync выполняется в контексте учетной записи виртуальной службы. Учетная запись может быть настроена во время установки как доменная учетная запись службы с минимальными привилегиями, управляемая учетная запись службы (управляемая учетная запись Microsoft), или управляемая групповая учетная запись службы (gMSA). Хотя виртуальные и управляемые учетные записи служб имеют автоматическую смену паролей, клиенты управляют сменой паролей для пользовательской подготовленной учетной записи домена. Как отмечалось, сброс пароля приводит к потере сохраненных секретов. |
В географическом расположении |
| Служба регистрации устройств Microsoft Entra | Служба регистрации устройств Microsoft Entra обеспечивает управление жизненным циклом компьютеров и устройств в каталоге, что позволяет реализовать такие сценарии, как условный доступ на основе состояния устройства, и управление мобильными устройствами. | В географическом расположении |
| Подготовка Microsoft Entra | Система подготовки Microsoft Entra создает, удаляет и обновляет пользователей в системах, таких как приложения SaaS (программное обеспечение как сервис). Он управляет созданием пользователей в идентификаторе Microsoft Entra и локальной среде Microsoft Windows Server Active Directory из облачных источников кадров, таких как Workday. Служба сохраняет свою конфигурацию в экземпляре Azure Cosmos DB, в котором хранятся данные о членстве в группах для каталога пользователя. Azure Cosmos DB реплицирует базу данных в несколько дата-центров в том же регионе, где находится клиент, что обеспечивает изоляцию данных в соответствии с моделью облачного решения Microsoft Entra. Репликация создает высокий уровень доступности и несколько конечных точек чтения и записи. Azure Cosmos DB имеет шифрование данных базы данных, а ключи шифрования хранятся в хранилище секретов для Майкрософт. | В географическом расположении |
| Совместное взаимодействие Microsoft Entra в формате "бизнес-бизнес" (B2B) | Служба совместной работы Microsoft Entra B2B не содержит данных каталога. Пользователи и другие объекты каталога в отношениях B2B с другим арендатором приводят к копированию пользовательских данных в других арендаторах, что может иметь последствия для регулирования хранения данных. | В географическом расположении |
| Защита идентификации Microsoft Entra | Защита Microsoft Entra ID использует данные входа пользователей в режиме реального времени, с множеством сигналов от компаний и отраслевых источников, для питания своих систем машинного обучения, которые обнаруживают аномальные входы в систему. Личные данные удаляются из журналов в реальном времени, прежде чем они передаются в систему машинного обучения. Остальные данные входа идентифицируют потенциально рискованные имена пользователей и имена входа. После анализа данные походят в системы отчетов Майкрософт. Рискованные имена входа и имена пользователей отображаются в отчетах для администраторов. | В географическом расположении |
| Управляемые удостоверения для ресурсов Azure | Управляемые удостоверения для ресурсов Azure и системы управляемых удостоверений могут аутентифицироваться в службах Azure без хранения учетных данных. Вместо использования имени пользователя и пароля управляемые удостоверения проходят проверку подлинности в службах Azure с помощью сертификатов. Служба записывает сертификаты, которые она выпускает, в Azure Cosmos DB в регионе "Восток США", поддерживающий переключение на другой регион по мере необходимости. Геоизбыточность Azure Cosmos DB происходит путем глобальной репликации данных. В процессе репликации базы данных размещается копия для чтения в каждом регионе, где выполняются службы с управляемыми удостоверениями Microsoft Entra. Для получения дополнительных сведений смотрите службы Azure, которые могут использовать управляемые удостоверения для доступа к другим службам. Корпорация Майкрософт изолирует каждый экземпляр Azure Cosmos DB в модели облачного решения Microsoft Entra.
Поставщик ресурсов, например узел виртуальной машины (ВМ), сохраняет сертификат для аутентификации и потоков идентификаций, взаимодействующих с другими службами Azure. Служба хранит главный ключ для доступа к Azure Cosmos DB в службе управления секретами центра обработки данных. Azure Key Vault хранит основные ключи шифрования. |
В географическом расположении |
| Моментальные снимки резервного копирования и восстановления Microsoft Entra | Корпорация Майкрософт автоматически создает моментальные снимки определенных данных каталога с регулярными интервалами, которые хранятся в управляемом корпорацией Майкрософт хранилище Azure и реплицируются в несколько центров обработки данных в том же регионе, что и клиент. Репликация создает высокий уровень доступности и несколько конечных точек чтения и записи. Моментальные снимки шифруются с помощью алгоритма шифрования AES-256 с помощью ключей, управляемых Корпорацией Майкрософт. Разрешения и роли Microsoft Entra недоступны для удаления или изменения моментальных снимков, созданных с помощью резервного копирования и восстановления Microsoft Entra. | В географическом расположении |
надстройка Go-Local
Надстройка Go-Local — это функция внешнего идентификатора Microsoft Entra, которая позволяет определенным клиентам настроить некоторые службы для хранения неактивных данных в выбранном географическом расположении, например в стране или регионе. Эта возможность — это способ выполнения корпоративных политик и требований к соответствию. При создании внешнего клиента вы выбираете страну или регион для хранения данных.
Расширение Go-Local является платным дополнением, но его установка необязательна. Если вы решите использовать его, вам будет начислена дополнительная плата в дополнение к Microsoft Entra External ID Basic. Дополнительные сведения см. в разделе о ценах на внешний идентификатор Microsoft Entra.
В настоящее время в следующих странах и регионах доступен вариант локального хранения данных:
- Австралия
- Япония
Связанные ресурсы
Дополнительные сведения о размещении данных в предложениях компании Microsoft в облаке см. в следующих статьях:
- Расположение данных в Azure | Microsoft Azure
- Расположения данных Microsoft 365 — Microsoft 365 корпоративный
- Конфиденциальность Майкрософт — где находятся ваши данные?
- Скачивание PDF: рекомендации по конфиденциальности в облаке