Microsoft Entra ID 및 데이터 상주
Microsoft Entra ID는 ID를 저장 및 관리하고 클라우드에서 데이터에 액세스하는 IDaaS(Identity as a Service) 솔루션입니다. 데이터를 사용하여 클라우드 서비스에 대한 액세스를 활성화 및 관리하고, 이동성 시나리오를 달성하고, 조직을 보호할 수 있습니다. 테넌트라고 하는 Microsoft Entra 서비스의 인스턴스는 고객이 프로비전하고 소유하는 격리된 디렉터리 개체 데이터 집합입니다.
참고 항목
Microsoft Entra 외부 ID 고객 관련 앱 및 고객 디렉터리 데이터를 위해 만든 별도의 테넌트에 데이터를 저장하고 관리하는 CIAM(고객 ID 및 액세스 관리) 솔루션입니다. 이 테넌트는 외부 테넌트라고합니다. 외부 테넌트를 만들 때 데이터 스토리지의 지리적 위치를 선택할 수 있는 옵션이 있습니다. 데이터 위치 및 지역 가용성은 이 문서에 표시된 대로 Microsoft Entra ID와 다를 수 있습니다.
코어 저장소
코어 저장소는 각각 여러 테넌트가 포함된 배율 단위로 저장된 테넌트로 구성됩니다. Microsoft Entra 코어 저장소의 데이터 업데이트 또는 검색 작업은 테넌트 격리를 달성하는 사용자의 보안 토큰에 따라 단일 테넌트와 관련이 있습니다. 배율 단위는 지리적 위치에 할당됩니다. 각 지리적 위치는 둘 이상의 Azure 지역을 사용하여 데이터를 저장합니다. 각 Azure 지역에서 크기 조정 단위 데이터는 복원력 및 성능을 위해 물리적 데이터 센터에 복제본(replica).
자세히 알아보기: Microsoft Entra 코어 저장소 배율 단위
Microsoft Entra ID는 다음 클라우드에서 사용할 수 있습니다.
- 공공 사업
- 중국*
- 미국 정부*
* 현재 외부 테넌트에 사용할 수 없습니다.
퍼블릭 클라우드에서는 테넌트 생성 시 위치를 선택하라는 메시지가 표시됩니다(예: Office 365 또는 Azure에 가입하거나 Azure Portal을 통해 더 많은 Microsoft Entra 인스턴스 생성). Microsoft Entra ID는 선택 항목을 지리적 위치 및 그 안의 단일 배율 단위에 매핑합니다. 테넌트 위치를 설정한 후에는 변경할 수 없습니다.
테넌트 생성 중에 선택한 위치는 다음 지리적 위치 중 하나에 매핑됩니다.
- 오스트레일리아*
- 아시아/태평양
- EMEA(유럽, 중동 및 아프리카)
- 일본*
- 북아메리카
- 전 세계
* 현재 외부 테넌트에 사용할 수 없습니다.
Microsoft Entra ID는 지리적 위치에 따라 유용성, 성능, 상주 또는 기타 요구 사항에 따라 Core Store 데이터를 처리합니다. Microsoft Entra ID는 다음 조건에 따라 데이터 센터에서 크기 조정 단위를 통해 각 테넌트를 복제본(replica).
- 대기 시간을 줄이고 빠른 사용자 로그인 시간을 제공하기 위해 테넌트 상주 위치에 가장 가까운 데이터 센터에 저장된 Microsoft Entra Core Store 데이터
- 예기치 않은 단일 데이터 센터, 치명적인 이벤트 중 가용성을 보장하기 위해 지리적으로 격리된 데이터 센터에 저장된 Microsoft Entra Core Store 데이터
- 특정 고객 및 지리적 위치에 대한 데이터 보존 또는 기타 요구 사항 준수
Microsoft Entra 클라우드 솔루션 모델
다음 표를 사용하여 인프라, 데이터 위치 및 운영 주권을 기반으로 하는 Microsoft Entra 클라우드 솔루션 모델을 확인합니다.
| 모델 | 위치 | 데이터 위치 | 운영 담당자 | 이 모델에 테넌트 배치 |
|---|---|---|---|---|
| 공개 지리적 위치 | 오스트레일리아*, 북아메리카, EMEA, 일본*, 아시아/태평양 | 미사용, 대상 위치에 있음. 서비스 또는 기능별 예외 | Microsoft에서 운영함. Microsoft 데이터 센터 담당자는 백그라운드 검사를 통과해야 합니다. | 등록 환경에서 테넌트를 만듭니다. 데이터 상주 위치를 선택합니다. |
| 전 세계 공개 | 전 세계 | 모든 위치 | Microsoft에서 운영함. Microsoft 데이터 센터 담당자는 백그라운드 검사를 통과해야 합니다. | 테넌트 생성은 공식 지원 채널을 통해 가능하며 Microsoft 재량에 따릅니다. |
| 소버린 클라우드 또는 국가별 클라우드 | 미국 정부*, 중국* | 미사용, 대상 위치에 있음. 예외는 없습니다. | 데이터 보유자가 운영함(1). 직원은 요구 사항에 따라 선별됩니다. | 각 국가별 클라우드 인스턴스에는 등록 경험이 있습니다. |
* 현재 외부 테넌트에 사용할 수 없습니다.
표 참조:
(1) 데이터 보유자: 미국 정부 클라우드의 데이터 센터는 Microsoft에서 운영합니다. 중국에서는 21Vianet과의 파트너십을 통해 Microsoft Entra ID를 운영하고 있습니다.
자세히 보기:
- Microsoft Entra ID에서 유럽 고객을 위한 고객 데이터 저장 및 처리
- Microsoft Entra 아키텍처란?
- 요구 사항을 충족하는 Azure 지역 찾기
- Microsoft 보안 센터
Microsoft Entra 구성 요소 간 데이터 보존
자세한 정보: Microsoft Entra 제품 개요
참고 항목
Exchange Online 또는 비즈니스용 Skype와 같은 서비스 데이터 위치를 이해하려면 해당 서비스 설명서를 참조하세요.
Microsoft Entra 구성 요소 및 데이터 스토리지 위치
| Microsoft Entra 구성 요소 | 설명 | 데이터 스토리지 위치 |
|---|---|---|
| Microsoft Entra 인증 서비스 | 이 서비스는 상태 비정상입니다. 인증에 대한 데이터는 Microsoft Entra 코어 저장소에 있습니다. 디렉터리 데이터가 없습니다. Microsoft Entra 인증 서비스는 Azure Storage 및 서비스 인스턴스가 실행되는 데이터 센터에서 로그 데이터를 생성합니다. 사용자가 Microsoft Entra ID를 사용하여 인증을 시도하면 Microsoft Entra 논리 지역의 일부인 지리적으로 가장 가까운 데이터 센터의 인스턴스로 라우팅됩니다. | 지리적 위치에서 |
| Microsoft Entra IAM(ID 및 액세스 관리) 서비스 | 사용자 및 관리 환경: Microsoft Entra 관리 환경은 상태 비저장이며 디렉터리 데이터가 없습니다. Azure Tables 스토리지에 저장된 로그 및 사용량 데이터를 생성합니다. 사용자 경험은 Azure Portal과 같습니다. ID 관리 비즈니스 로직 및 보고 서비스: 이 서비스에는 그룹 및 사용자를 위한 로컬 캐시 데이터 스토리지가 있습니다. 이 서비스는 Azure Tables 스토리지, Azure SQL 및 Microsoft Elastic Search 보고 서비스로 이동하는 로그 및 사용량 데이터를 생성합니다. |
지리적 위치에서 |
| Microsoft Entra 다단계 인증 FAQ | 다단계 인증 작업 데이터 스토리지 및 보존에 대한 자세한 내용은 Microsoft Entra 다단계 인증에 대한 데이터 상주 및 고객 데이터를 참조하세요. Microsoft Entra MFA는 UPN(사용자 계정 이름), 음성 통화 전화 번호 및 SMS 챌린지를 기록합니다. 모바일 앱 모드에 대한 문제를 해결하기 위해 서비스는 UPN 및 고유한 디바이스 토큰을 기록합니다. 북아메리카 지역의 데이터 센터는 Microsoft Entra 다단계 인증과 생성되는 로그를 저장합니다. | 북아메리카 |
| Microsoft Entra Domain Services | 지역별 사용 가능한 제품에서 Microsoft Entra Domain Services가 게시된 지역을 참조하세요. 이 서비스는 Azure Tables에서 전역적으로 시스템 메타데이터를 보유하며 개인 데이터는 포함하지 않습니다. | 지리적 위치에서 |
| Microsoft Entra Connect Health | Microsoft Entra Connect Health는 Azure Tables 스토리지 및 Blob 스토리지에서 경고 및 보고서를 생성합니다. | 지리적 위치에서 |
| 그룹, Microsoft Entra 셀프 서비스 그룹 관리에 대한 Microsoft Entra 동적 멤버 자격 | Azure Tables 스토리지는 동적 멤버 자격 규칙 정의를 보유합니다. | 지리적 위치에서 |
| Microsoft Entra 애플리케이션 프록시 | Microsoft Entra 애플리케이션 프록시는 테넌트, 커넥터 시스템 및 구성 데이터에 대한 메타데이터를 Azure SQL에 저장합니다. | 지리적 위치에서 |
| Microsoft Entra Connect에서 Microsoft Entra 비밀번호 쓰기 저장 | 초기 구성 중에 Microsoft Entra Connect는 RSA(Rivest–Shamir–Adleman) 암호화 시스템을 사용하여 비대칭 키 쌍을 생성합니다. 그런 다음, 공개 키를 SSPR(셀프 서비스 암호 재설정) 클라우드 서비스에 전송하며, 다음과 같은 두 가지 작업을 수행합니다. 1. Microsoft Entra Connect 온-프레미스 서비스가 SSPR 서비스와 안전하게 통신할 수 있도록 두 개의 Azure Service Bus 릴레이를 생성합니다. 2. AES(Advanced Encryption Standard) 키인 K1을 생성합니다. Azure Service Bus 릴레이 위치, 해당 수신기 키 및 AES 키(K1)의 복사본이 응답에서 Microsoft Entra Connect로 이동합니다. SSPR과 Microsoft Entra Connect 간의 향후 통신은 새 ServiceBus 채널을 통해 발생하며 SSL을 사용하여 암호화됩니다. 작업 중에 제출된 새 암호 재설정은 온보딩 중에 클라이언트가 생성한 RSA 공개 키로 암호화됩니다. Microsoft Entra Connect 컴퓨터의 프라이빗 키는 암호를 해독하여 파이프라인 하위 시스템이 일반 텍스트 암호에 액세스하지 못하도록 합니다. AES 키는 메시지 페이로드(암호화된 암호, 더 많은 데이터 및 메타데이터)를 암호화하여 악의적인 ServiceBus 공격자가 내부 ServiceBus 채널에 대한 모든 액세스 권한으로도 페이로드를 변조하지 못하도록 방지합니다. 비밀번호 쓰기 저장을 위해 Microsoft Entra Connect에는 다음 키와 데이터가 필요합니다. - ServiceBus 파이프라인을 통해 SSPR 서비스에서 Microsoft Entra Connect로의 요청 변경 또는 재설정 페이로드를 암호화하는 AES 키(K1) - 재설정 또는 변경 요청 페이로드에서 암호를 해독하는 비대칭 키 쌍의 프라이빗 키 - ServiceBus 수신기 키 AES 키(K1)와 비대칭 키 쌍은 최소 180일마다 순환 변경되며, 이 기간은 특정 온보딩 또는 오프보딩 구성 이벤트 중에 변경할 수 있습니다. 예를 들어 고객이 서비스 및 기본 테넌트 중에 구성 요소를 업그레이드하는 동안 발생할 수 있는 비밀번호 쓰기 저장을 사용하지 않도록 설정하고 다시 설정합니다. Microsoft Entra Connect 데이터베이스에 저장된 쓰기 저장 키 및 데이터는 데이터 보호 DPAPI(애플리케이션 프로그래밍 인터페이스)(CALG_AES_256)에 의해 암호화됩니다. 결과는 ADSync 온-프레미스 서비스 계정의 컨텍스트에서 Windows Credential Vault에 저장된 마스터 ADSync 암호화 키입니다. Windows 자격 증명 모음은 서비스 계정의 암호가 변경될 때 자동 비밀 다시 암호화를 제공합니다. 서비스 계정 암호를 다시 설정하면 서비스 계정에 대한 Windows Credential Vault의 비밀이 무효화됩니다. 새 서비스 계정을 수동으로 변경하면 저장된 비밀이 무효화될 수 있습니다. 기본적으로 ADSync 서비스는 가상 서비스 계정의 컨텍스트에서 실행됩니다. 설치하는 동안 최소 권한의 do기본 서비스 계정, 관리 서비스 계정(Microsoft 계정) 또는 gMSA(그룹 관리 서비스 계정)로 계정을 사용자 지정할 수 있습니다. 가상 및 관리되는 서비스 계정에는 자동 암호 회전이 있지만 고객은 사용자 지정 프로비전된 도메인 계정에 대한 암호 회전을 관리합니다. 설명한 대로 암호를 다시 설정하면 저장된 비밀이 손실됩니다. |
지리적 위치에서 |
| Microsoft Entra 디바이스 등록 서비스 | Microsoft Entra 디바이스 등록 서비스에는 디바이스 상태 조건부 액세스 및 모바일 장치 관리와 같은 시나리오를 지원하는 디렉터리에 컴퓨터 및 디바이스 수명 주기 관리가 있습니다. | 지리적 위치에서 |
| Microsoft Entra 프로비전 | Microsoft Entra 프로비저닝은 SaaS(Software as a Service) 애플리케이션과 같은 시스템에서 사용자를 만들고, 제거하고, 업데이트합니다. Workday와 같은 클라우드 HR 원본에서 Microsoft Entra ID 및 온-프레미스 Microsoft Windows Server Active Directory에서 사용자 만들기를 관리합니다. 이 서비스는 유지되는 사용자 디렉터리에 대한 그룹 멤버 자격 데이터를 저장하는 Azure Cosmos DB 인스턴스에 해당 구성을 저장합니다. Azure Cosmos DB는 Microsoft Entra 클라우드 솔루션 모델에 따라 데이터를 격리하는 테넌트와 동일한 지역의 여러 데이터 센터에 데이터베이스를 복제본(replica). 복제는 고가용성과 여러 개의 읽기 및 쓰기 엔드포인트를 만듭니다. Azure Cosmos DB는 데이터베이스 정보에 대한 암호화를 가지며 암호화 키는 Microsoft의 비밀 스토리지에 저장됩니다. | 지리적 위치에서 |
| Microsoft Entra B2B(기업 간) 협업 | Microsoft Entra B2B 협업에는 디렉터리 데이터가 없습니다. 다른 테넌트와 B2B 관계에 있는 사용자 및 기타 디렉터리 개체로 인해 사용자 데이터가 다른 테넌트에 복사되어 데이터 상주에 영향을 미칠 수 있습니다. | 지리적 위치에서 |
| Microsoft Entra ID 보호 | Microsoft Entra ID 보호는 회사 및 업계 원본의 여러 신호와 함께 실시간 사용자 로그인 데이터를 사용하여 비정상적인 로그인을 감지하는 기계 학습 시스템을 공급합니다. 개인 데이터는 기계 학습 시스템으로 전달되기 전에 실시간 로그인 데이터에서 삭제됩니다. 나머지 로그인 데이터는 잠재적으로 위험한 사용자 이름과 로그인을 식별합니다. 분석 후 데이터는 Microsoft 보고 시스템으로 이동합니다. 위험한 로그인 및 사용자 이름은 관리자 보고에 나타납니다. | 지리적 위치에서 |
| Azure 리소스에 대한 관리 ID | 관리 ID 시스템이 있는 Azure 리소스에 대한 관리 ID는 자격 증명을 저장하지 않고 Azure 서비스에 인증할 수 있습니다. 사용자 이름과 암호를 사용하는 대신 관리 ID는 인증서를 사용하여 Azure 서비스에 인증합니다. 이 서비스는 필요에 따라 다른 지역으로 장애 조치(failover)되는 미국 동부 지역의 Azure Cosmos DB에서 발급하는 인증서를 작성합니다. Azure Cosmos DB 지역 중복성은 글로벌 데이터 복제에 의해 발생합니다. 데이터베이스 복제는 Microsoft Entra 관리 ID가 실행되는 각 지역에 읽기 전용 복사본을 배치합니다. 자세한 내용은 관리 ID를 사용하여 다른 서비스에 액세스할 수 있는 Azure 서비스를 참조하세요. Microsoft는 Microsoft Entra 클라우드 솔루션 모델에서 각 Azure Cosmos DB 인스턴스를 격리합니다. VM(가상 머신) 호스트와 같은 리소스 공급자는 다른 Azure 서비스와 함께 인증 및 ID 흐름에 대한 인증서를 저장합니다. 이 서비스는 데이터 센터 비밀 관리 서비스에서 Azure Cosmos DB에 액세스하기 위해 마스터 키를 저장합니다. Azure Key Vault는 마스터 암호화 키를 저장합니다. |
지리적 위치에서 |
관련 참고 자료
Microsoft Cloud 제품의 데이터 보존에 대한 자세한 내용은 다음 문서를 참조하세요.
- Azure의 데이터 보존 | Microsoft Azure
- Microsoft 365 데이터 위치 - Microsoft 365 Enterprise
- Microsoft 개인 정보 - 데이터 위치
- PDF 다운로드: 클라우드의 개인 정보 고려 사항