Microsoft Entra 標識碼和數據落地
Microsoft Entra ID 是身分識別即服務 (IDaaS) 解決方案,可儲存和管理雲端中的身分識別及存取數據。 您可以使用數據來啟用和管理雲端服務的存取、達成行動案例,以及保護您的組織。 稱為租使用者的 Microsoft Entra 服務實例是客戶布建和擁有的一組隔離目錄對象數據。
注意
Microsoft Entra 外部 ID 是客戶身分識別和存取管理 (CIAM) 解決方案,可儲存和管理針對客戶面向應用程式和客戶目錄數據所建立的個別租用戶中的數據。 此租用戶稱為外部租使用者。 當您建立外部租使用者時,您可以選擇選取資料記憶體的地理位置。 請務必注意,數據位置和區域可用性可能與 Microsoft Entra 標識符不同,如本文所述。
核心市集
核心存放區是由以縮放單位儲存的租使用者所組成,每個租使用者都包含多個租使用者。 根據使用者的安全性令牌,更新或擷取 Microsoft Entra Core Store 中的數據作業與單一租用戶相關,以達到租用戶隔離。 縮放單位會指派給地理位置。 每個地理位置都會使用兩個以上的 Azure 區域來儲存數據。 在每個 Azure 區域中,會在實體數據中心複寫縮放單位數據,以取得復原和效能。
深入瞭解: Microsoft Entra Core Store 縮放單位
下列雲端提供 Microsoft Entra 識別符:
- 公開
- 中國*
- 美國政府*
* 目前不適用於外部租使用者。
在公用雲端中,系統會提示您在租使用者建立時選取位置(例如註冊 Office 365 或 Azure,或透過 Azure 入口網站 建立更多 Microsoft Entra 實例)。 Microsoft Entra ID 會將選取範圍對應至地理位置和其中的單一縮放單位。 在設定租使用者位置之後,就無法變更。
租使用者建立期間選取的位置將會對應至下列其中一個地理位置:
- 澳大利亞*
- 亞太地區
- 歐洲、中東和非洲(EMEA)
- 日本*
- 北美洲
- 全球
* 目前不適用於外部租使用者。
Microsoft Entra ID 會根據地理位置的可用性、效能、落地或其他需求來處理核心存放區數據。 Microsoft Entra ID 會根據下列準則,透過其縮放單位,跨數據中心複寫每個租使用者:
- Microsoft Entra Core Store 數據,儲存在最接近租使用者落地位置的數據中心,以減少延遲並提供快速的使用者登入時間
- 儲存在異地隔離數據中心的 Microsoft Entra Core Store 數據,以確保在未預見到的單一數據中心、重大事件期間的可用性
- 針對特定客戶和地理位置符合數據落地或其他需求
Microsoft Entra 雲端解決方案模型
使用下表來查看以基礎結構、數據位置和操作主權為基礎的 Microsoft Entra 雲端解決方案模型。
| 模型 | 位置 | 資料位置 | 作業人員 | 在此模型中放置租使用者 |
|---|---|---|---|---|
| 公用地理位置 | 澳大利亞*,北美洲,EMEA,日本*,亞太地區 | 待用時,位於目標位置。 依服務或功能的例外狀況 | 由 Microsoft 操作。 Microsoft 數據中心人員必須通過背景檢查。 | 在註冊體驗中建立租使用者。 選擇數據落地的位置。 |
| 全球公用 | 全球 | 所有位置 | 由 Microsoft 操作。 Microsoft 數據中心人員必須通過背景檢查。 | 租使用者建立可透過官方支援通道取得,並受限於 Microsoft 的判斷權。 |
| 主權或國家雲端 | 美國政府*,中國* | 待用時,位於目標位置。 沒有例外狀況。 | 由數據監管人操作(1)。 人員會根據需求進行篩選。 | 每個國家雲端實例都有註冊體驗。 |
* 目前不適用於外部租使用者。
資料表參考:
(1) 數據監管人:美國政府雲端中的數據中心由 Microsoft 營運。 在中國,Microsoft Entra ID 是透過與 21Vianet 的合作關係運作。
深入了解:
跨 Microsoft Entra 元件的數據落地
深入瞭解: Microsoft Entra 產品概觀
注意
若要瞭解服務數據位置,例如 Exchange Online 或 商務用 Skype,請參閱對應的服務檔。
Microsoft Entra 元件和數據儲存位置
| Microsoft Entra 元件 | 描述 | 數據儲存位置 |
|---|---|---|
| Microsoft Entra 驗證服務 | 此服務是無狀態的。 驗證的數據位於 Microsoft Entra Core Store 中。 它沒有目錄數據。 Microsoft Entra 驗證服務會在 Azure 儲存體 中產生記錄數據,以及在服務實例執行所在的數據中心內。 當用戶嘗試使用 Microsoft Entra 識別碼進行驗證時,系統會將其路由傳送至地理位置最接近數據中心的實例,而該實例是其 Microsoft Entra 邏輯區域的一部分。 | 在地理位置中 |
| Microsoft Entra 身分識別與存取管理 (IAM) 服務 | 使用者和管理體驗:Microsoft Entra 管理體驗是無狀態且沒有目錄數據。 它會產生儲存在 Azure 資料表記憶體中的記錄和使用方式數據。 用戶體驗就像是 Azure 入口網站。 身分識別管理商業規則和 Reporting Services:這些服務具有群組和使用者的本機快取數據記憶體。 服務會產生記錄和使用方式數據,這些數據會移至 Azure 數據表記憶體、Azure SQL,以及 Microsoft Elastic Search Reporting Services 中。 |
在地理位置中 |
| Microsoft Entra 多重要素驗證 | 如需多重要素驗證作業數據儲存和保留的詳細資訊,請參閱 Microsoft Entra 多重要素驗證的數據落地和客戶數據。 Microsoft Entra 多重要素驗證會記錄用戶主體名稱 (UPN)、語音電話號碼和 SMS 挑戰。 針對行動應用程式模式的挑戰,服務會記錄UPN和唯一的裝置令牌。 北美洲 區域中的數據中心會儲存 Microsoft Entra 多重要素驗證,以及其建立的記錄。 | 北美洲 |
| Microsoft Entra Domain Services | 請參閱依區域提供的產品上 發佈 Microsoft Entra Domain Services 的區域。 此服務會在 Azure 數據表中全域保存系統元數據,且不包含任何個人資料。 | 在地理位置中 |
| Microsoft Entra Connect Health | Microsoft Entra 連線 Health 會在 Azure 數據表記憶體和 Blob 記憶體中產生警示和報告。 | 在地理位置中 |
| 群組的 Microsoft Entra 動態成員資格、Microsoft Entra 自助群組管理 | Azure 資料表記憶體會保存動態成員資格規則定義。 | 在地理位置中 |
| Microsoft Entra 應用程式 Proxy | Microsoft Entra 應用程式 Proxy 會在 Azure SQL 中儲存租使用者、連接器機器和組態數據的元數據。 | 在地理位置中 |
| Microsoft Entra 中的 Microsoft Entra 密碼回寫 連線 | 在初始設定期間,Microsoft Entra 連線 使用 Rivest–Shamir-Adleman (RSA) 密碼編譯系統產生非對稱密鑰組。 然後,它會將公鑰傳送至自助式密碼重設 (SSPR) 雲端服務,其會執行兩項作業: 1。 為 Microsoft Entra 連線 內部部署服務建立兩個 Azure 服務匯流排 轉接,以安全地與 SSPR 服務 2 通訊。 產生進階加密標準 (AES) 金鑰、K1 Azure 服務匯流排 轉送位置、對應的接聽程式密鑰,以及 AES 金鑰 (K1) 的複本會在回應中移至 Microsoft Entra 連線。 SSPR 與 Microsoft Entra 之間的未來通訊 連線 會透過新的 ServiceBus 通道進行,並使用 SSL 進行加密。 在作業期間提交的新密碼重設會使用用戶端在上線期間所產生的 RSA 公鑰進行加密。 Microsoft Entra 連線 電腦上的私鑰會解密它們,以防止管線子系統存取純文本密碼。 AES 金鑰會加密訊息承載(加密的密碼、更多數據和元數據),這可防止惡意的 ServiceBus 攻擊者竄改承載,即使具有內部 ServiceBus 通道的完整存取權。 針對密碼回寫,Microsoft Entra 連線 需要密鑰和數據: - 加密重設承載的 AES 金鑰 (K1),或透過 ServiceBus 管線 將要求從 SSPR 服務變更為 Microsoft Entra 連線 - 私鑰,來自解密密碼的非對稱密鑰組、重設或變更要求承載 - ServiceBus 接聽程式密鑰 AES 金鑰 (K1) 和非對稱金鑰椅至少每隔 180 天輪替一次,您可以在特定上線或下線設定事件期間變更持續時間。 例如,客戶會停用並重新啟用密碼回寫,這可能會在服務和維護期間於元件升級期間發生。 儲存在 Microsoft Entra 連線 資料庫中的回寫密鑰和資料會由資料保護應用程式開發介面 (DPAPI) (CALG_AES_256) 加密。 結果是儲存在 AdSync 內部部署服務帳戶內容中 Windows Credential Vault 的主要 ADSync 加密密鑰。 當服務帳戶的密碼變更時,Windows Credential Vault 會提供自動密碼重新加密。 若要重設服務帳戶密碼,會使服務帳戶的 Windows 認證保存庫中的秘密失效。 對新服務帳戶的手動變更可能會使儲存的秘密失效。 根據預設,ADSync 服務會在虛擬服務帳戶的內容中執行。 帳戶可能會在安裝期間自定義為最低許可權的網域服務帳戶、受控服務帳戶(Microsoft 帳戶),或群組受控服務帳戶 (gMSA)。 雖然虛擬和受控服務帳戶具有自動密碼輪替,但客戶會管理自定義布建網域帳戶的密碼輪替。 如前所述,重設密碼會導致儲存的秘密遺失。 |
在地理位置中 |
| Microsoft Entra 裝置註冊服務 | Microsoft Entra 裝置註冊服務在目錄中具有計算機和裝置生命週期管理,可啟用裝置狀態條件式存取和行動裝置管理等案例。 | 在地理位置中 |
| Microsoft Entra 布建 | Microsoft Entra 布建會在系統中建立、移除及更新使用者,例如軟體即服務(SaaS)應用程式。 它會從雲端 HR 來源管理 Microsoft Entra ID 和內部部署 Microsoft Windows Server Active Directory 中的使用者建立,例如 Workday。 服務會將其設定儲存在 Azure Cosmos DB 實例中,其會儲存其保留之使用者目錄的群組成員資格數據。 Azure Cosmos DB 會根據 Microsoft Entra 雲端解決方案模型,將資料庫複寫至與租用戶位於相同區域中的多個數據中心,以隔離數據。 復寫會建立高可用性和多個讀取和寫入端點。 Azure Cosmos DB 具有資料庫資訊的加密,加密金鑰會儲存在 Microsoft 的秘密記憶體中。 | 在地理位置中 |
| Microsoft Entra 企業對企業 (B2B) 共同作業 | Microsoft Entra B2B 共同作業沒有目錄數據。 B2B 關聯性中的使用者和其他目錄物件與另一個租使用者,會導致在其他租用戶中複製用戶數據,這可能會對數據落地造成影響。 | 在地理位置中 |
| Microsoft Entra ID Protection | Microsoft Entra ID Protection 使用即時使用者登入數據,以及來自公司與產業來源的多個訊號,來饋送其偵測異常登入的機器學習系統。 在將數據傳遞至機器學習系統之前,會先從即時登入數據清除個人資料。 其餘的登入數據會識別潛在的有風險的用戶名稱和登入。 分析之後,數據會移至 Microsoft 報告系統。 有風險的登入和用戶名稱會出現在報告中,管理員 istrators。 | 在地理位置中 |
| 適用於 Azure 資源的受控識別 | 具有受控識別系統的 Azure 資源的受控識別可以向 Azure 服務進行驗證,而不需要儲存認證。 受控識別會使用憑證向 Azure 服務進行驗證,而不是使用使用者名稱和密碼。 此服務會在美國東部區域的 Azure Cosmos DB 中寫入憑證,並視需要故障轉移至另一個區域。 Azure Cosmos DB 異地備援是由全域數據復寫所發生。 資料庫複寫會將只讀複本放在 Microsoft Entra 受控識別執行的每個區域中。 若要深入瞭解,請參閱 可使用受控識別來存取其他服務的 Azure 服務。 Microsoft 會在 Microsoft Entra 雲端解決方案模型中隔離每個 Azure Cosmos DB 實例。 資源提供者,例如虛擬機 (VM) 主機,會與其他 Azure 服務一起儲存用於驗證的憑證和身分識別流程。 服務會儲存其主要密鑰,以存取資料中心秘密管理服務中的 Azure Cosmos DB。 Azure 金鑰保存庫 會儲存主要加密金鑰。 |
在地理位置中 |
相關資源
如需 Microsoft Cloud 供應項目中數據落地的詳細資訊,請參閱下列文章:
- Azure 中的數據落地 |Microsoft Azure
- Microsoft 365 數據位置 - Microsoft 365 企業版
- Microsoft 隱私權 - 您的數據位於何處?
- 下載 PDF: 雲端中的隱私權考慮
下一步
- Microsoft Entra 識別符和數據落地 (您在這裡)
- 數據作業考慮
- 數據保護考慮