Microsoft Entra ID 和数据驻留
Microsoft Entra ID 是标识即服务 (IDaaS) 解决方案,用于在云中存储和管理标识和访问数据。 可以使用数据启用和管理对云服务的访问、实现移动方案以及保护组织。 Microsoft Entra 服务的实例(称为租户)是客户预配和所有的一组独立的目录对象数据。
注意
Microsoft Entra 外部 ID 是一种客户身份验证和访问控制管理 (CIAM) 解决方案,用于在为面向客户的应用和客户目录数据创建的单独租户中存储和管理数据。 此租户称为外部租户。 创建外部租户时,可以选择数据存储的地理位置。 请务必注意,数据位置和区域可用性可能与 Microsoft Entra ID 的数据位置和区域可用性不同,如本文所述。
Core Store
Core Store 由缩放单元中存储的租户组成,每个缩放单元包含多个租户。 Microsoft Entra Core Store 中的更新或检索数据操作基于用户的安全令牌(可实现租户隔离)与单个租户相关。 缩放单元将分配到某个地理位置。 每个地理位置使用两个或更多个 Azure 区域来存储数据。 在每个 Azure 区域中,会在物理数据中心复制缩放单元数据,以确保复原能力和性能。
Microsoft Entra ID 在以下云中可用:
- 公开
- 中国*
- 美国政府*
* 当前不适用于外部租户。
在公有云中,系统会提示你在创建租户时(例如,在注册 Office 365 或 Azure,或通过 Azure 门户创建更多 Microsoft Entra 实例时)选择一个位置。 Microsoft Entra ID 将所选位置映射到某个地理位置以及该位置中的单个缩放单元。 租户位置设置后无法更改。
在创建租户期间选择的位置将映射到以下地理位置之一:
- 澳大利亚*
- 亚太区
- 欧洲、中东和非洲 (EMEA)
- 日本*
- 北美
- 全球
* 当前不适用于外部租户。
Microsoft Entra ID 根据可用性、性能、驻留或其他基于地理位置的要求处理 Core Store 数据。 Microsoft Entra ID 根据以下条件,通过其缩放单元跨数据中心复制每个租户:
- 存储在离租户驻留位置最近的数据中心的 Microsoft Entra Core Store 数据,以降低延迟并使用户快速登录
- 存储在地理位置隔离的数据中心的 Microsoft Entra Core Store 数据,以确保发生不可预见的单数据中心、灾难性事件时的数据可用性
- 符合特定客户和地理位置的数据驻留或其他要求
Microsoft Entra 云解决方案模型
使用下表查看基于基础结构、数据位置和操作主权的 Microsoft Entra 云解决方案模型。
| 型号 | 位置 | 数据位置 | 操作人员 | 在此模型中放置租户 |
|---|---|---|---|---|
| 区域公有云 | 澳大利亚*、北美、EMEA、日本*、亚太 | 静态,位于目标位置。 因服务或功能而异的例外情况 | 由 Microsoft 操作。 Microsoft 数据中心人员必须通过背景检查。 | 在注册体验中创建租户。 选择数据驻留位置。 |
| 全球公有云 | 全球 | 所有位置 | 由 Microsoft 操作。 Microsoft 数据中心人员必须通过背景检查。 | 可以通过官方支持渠道创建租户,由 Microsoft 自行裁量。 |
| 主权云或国家云 | 美国政府*、中国* | 静态,位于目标位置。 无例外情况。 | 由数据监管员 (1) 操作。 根据要求对人员进行筛选。 | 每个国家云实例都具有注册体验。 |
* 当前不适用于外部租户。
表引用:
(1) 数据监管:美国政府云中的数据中心由 Microsoft 运营。 在中国,Microsoft Entra ID 是通过与世纪互联建立合作关系运营的。
了解详细信息:
跨 Microsoft Entra 组件的数据驻留
了解详情:Microsoft Entra 产品概述
注意
若要了解服务数据位置(例如 Exchange Online 或 Skype for Business),请参阅相应的服务文档。
Microsoft Entra 组件和数据存储位置
| Microsoft Entra 组件 | 说明 | 数据存储位置 |
|---|---|---|
| Microsoft Entra 身份验证服务 | 此服务是无状态的。 用于身份验证的数据位于 Microsoft Entra Core Store 中。 它没有目录数据。 Microsoft Entra 身份验证服务在 Azure 存储和运行服务实例的数据中心生成日志数据。 当用户尝试使用 Microsoft Entra ID 进行身份验证时,他们将被路由到其 Microsoft Entra 逻辑区域中地理位置最近的数据中心的实例。 | 地理位置 |
| Microsoft Entra 标识和访问管理 (IAM) 服务 | 用户和管理体验:Microsoft Entra 管理体验是无状态的,并且没有目录数据。 它生成存储在 Azure 表存储中的日志和使用情况数据。 用户体验类似于 Azure 门户。 标识管理业务逻辑和报告服务:这些服务具有组和用户的本地缓存数据存储。 这些服务生成会传输到 Azure 表存储、Azure SQL 和 Microsoft 弹性搜索报告服务的日志和使用情况数据。 |
地理位置 |
| Microsoft Entra 域服务 | 请参阅可用产品(按区域),了解发布 Microsoft Entra 域服务的区域。 该服务在 Azure 表中全局保留系统元数据,并且不含任何个人数据。 | 地理位置 |
| Microsoft Entra 组的动态成员身份,Microsoft Entra 自助组管理 | Azure 表存储保留动态成员资格规则定义。 | 地理位置 |
| Microsoft Entra 应用程序代理 | Microsoft Entra 应用程序代理存储 Azure SQL 中有关租户、连接器计算机和配置数据的元数据。 | 地理位置 |
| 在 Microsoft Entra Connect 中的 Microsoft Entra 密码写回 | 在初始配置期间,Microsoft Entra Connect 使用 Rivest-Shamir-Adleman (RSA) 加密系统生成非对称密钥对。 然后,它将公钥发送到自助式密码重置 (SSPR) 云服务,该服务执行两项操作: 1. 创建两个 Azure 服务总线中继,以便 Microsoft Entra Connect 本地服务与 SSPR 服务安全通信 2. 生成高级加密标准 (AES) 密钥 K1 Azure 服务总线中继位置、相应的侦听器密钥以及 AES 密钥 (K1) 副本会通过响应传输到 Microsoft Entra Connect。 SSPR 和 Microsoft Entra Connect 之间的未来通信会通过新的 ServiceBus 通道进行,并使用 SSL 进行加密。 借助客户端在加入期间生成的 RSA 公钥对操作期间提交的新密码重置进行加密。 Microsoft Entra Connect 计算机上的私钥会解密它们,阻止管道子系统访问明文密码。 AES 密钥会加密消息有效负载(加密的密码、更多数据和元数据),从而防止恶意 ServiceBus 攻击者篡改有效负载,即使他们对内部 ServiceBus 通道具有完全访问权限也无法篡改。 对于密码写回,Microsoft Entra Connect 需要密钥和数据: - 用于加密重置有效负载的 AES 密钥 (K1),或通过 ServiceBus 管道从 SSPR 服务传输到 Microsoft Entra Connect 的更改请求 - 重置或更改请求有效负载中用于解密密码的非对称密钥对中的私钥 ServiceBus 侦听器密钥 AES 密钥 (K1) 和非对称密钥对至少每 180 天轮换一次,该持续时间可在某些加入或登出配置事件期间进行更改。 例如,在提供服务和维护期间升级组件时,客户可能会禁用并重新启用密码写回。 存储在 Microsoft Entra Connect 数据库中的写回密钥和数据由数据保护应用程序编程接口 (DPAPI) (CALG_AES_256) 进行加密。 结果是,主 ADSync 加密密钥会存储在 Windows 凭据保管库的 ADSync 本地服务帐户上下文中。 Windows 凭据保管库会在服务帐户的密码发生更改时自动重新加密机密。 重置服务帐户密码会使 Windows 凭据保管库中该服务帐户的机密失效。 手动更改新服务帐户可能会使存储的机密失效。 默认情况下,ADSync 服务在虚拟服务帐户的上下文中运行。 在安装期间,可以将此帐户自定义为最低特权的域服务帐户、托管服务帐户(Microsoft 帐户)或组托管服务帐户 (gMSA)。 虽然虚拟服务帐户和托管服务帐户可自动轮换密码,但客户可以管理自定义预配域帐户的密码轮换。 如前所述,重置密码会导致存储机密的丢失。 |
地理位置 |
| Microsoft Entra 设备注册服务 | Microsoft Entra 设备注册服务在目录中提供计算机和设备生命周期管理,支持设备状态条件访问和移动设备管理等方案。 | 地理位置 |
| Microsoft Entra 企业对企业 (B2B) 协作 | Microsoft Entra B2B 协作没有目录数据。 用户和其他目录对象与另一租户位于一个 B2B 关系中会导致在其他租户中复制用户数据,这可能会对数据驻留产生影响。 | 地理位置 |
| Azure 资源的托管标识 | 具有托管标识系统的 Azure 资源的托管标识可以在不存储凭据的情况下对 Azure 服务进行身份验证。 托管标识使用证书对 Azure 服务进行身份验证,而不是使用用户名和密码。 该服务将其颁发的证书写入中国北部区域的 Azure Cosmos DB 中,并根据需要故障转移到另一区域。 Azure Cosmos DB 通过全局数据复制实现异地冗余。 数据库复制在 Microsoft Entra 托管标识运行的每个区域中放置一个只读副本。 若要了解详细信息,请参阅可以使用托管标识访问其他服务的 Azure 服务。 Microsoft 将每个 Azure Cosmos DB 实例隔离在一个 Microsoft Entra 云解决方案模型中。 资源提供程序(例如虚拟机 (VM) 主机)将用于身份验证的证书和标识流与其他 Azure 服务一起存储。 该服务将其用于访问 Azure Cosmos DB 的主密钥存储在数据中心机密管理服务中。 Azure Key Vault 存储主加密密钥。 |
地理位置 |
相关资源
有关 Microsoft Cloud 产品/服务中的数据驻留的详细信息,请参阅以下文章:
后续步骤
- Microsoft Entra ID 和数据驻留(你所在的位置)
- 数据操作注意事项
- 数据保护注意事项