配置数据边界

项目
2025-05-09

本文档详细介绍客户可如何配置 Azure 资源管理器以用于数据边界。除了默认的全球配置，目前唯一受支持的数据边界配置针对的是欧盟 (EU)。欧盟数据边界是一个从地理上定义的边界，Microsoft 承诺在该边界内存储和处理客户数据和化名个人数据，以及存储 Microsoft 企业联机服务（包括 Azure、Dynamics 365、Power Platform 和 Microsoft 365）的专业服务数据；但在有限的情况下，个人数据将继续传输到欧盟数据边界之外。有关详细信息，请参阅欧盟数据边界概述。

重要

若要将专业服务数据存储在 Azure 的欧盟数据边界中，客户必须将 Azure 资源管理器配置为欧盟数据边界。本文档详细介绍了客户可如何配置 Azure 资源管理器以用于欧盟数据边界。

只能在没有现有订阅或已部署资源的新租户中建立数据边界。一旦租户加入数据边界，就无法移除或修改数据边界配置。在具有数据边界的租户下创建的订阅和资源无法移出该租户。现有订阅和资源不能移动到具有数据边界的租户中。每个租户仅限使用一个数据边界，在配置数据边界后，Azure 资源管理器会将资源部署限制在该边界内的区域中。全球数据边界对资源可以部署到的区域没有限制。客户可以通过在租户级别部署 Microsoft.Resources/dataBoundaries 资源来选择将其租户纳入数据边界。

配置数据边界需要 DataBoundaryTenantAdministrator 内置角色。有关详细信息，请参阅需要的权限。

若要使租户加入 Azure 欧盟数据边界，请按照以下步骤操作：

在欧盟国家或地区创建新的租户，以配置 Microsoft Entra 欧盟数据边界。有关如何在欧盟国家或地区创建新租户的详细信息，请参阅在 Microsoft Entra ID 中创建新租户。
在创建新的订阅或资源之前，请使用欧盟配置部署 Microsoft.Resources/dataBoundaries 资源。
创建订阅并部署 Azure 资源。

所需的权限

若要配置数据边界，DataBoundaryTenantAdministrator 内置角色需要在租户范围内。请使用以下步骤分配角色：

提升访问权限以管理所有 Azure 订阅和管理组。有关详细信息，请参阅提升访问权限以管理所有 Azure 订阅和管理组。

使用用户访问管理员权限，使用 Azure CLI、Azure PowerShell 或 REST API 向自己授予租户范围 (DataBoundaryTenantAdministrator) 的角色 /。

Azure 门户
Azure CLI
PowerShell
REST API

Azure 门户不支持。请改用 Azure CLI 或 Azure PowerShell 或 REST API。

DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID="d1a38570-4b05-4d70-b8e4-1100bcf76d12"

az role assignment create --assignee "{assignee}" --role DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID --scope "/"

$dataBoundaryTenantAdministratorRoleDefinitionId = "d1a38570-4b05-4d70-b8e4-1100bcf76d12"

New-AzRoleAssignment -ObjectId <objectId> -RoleDefinitionId $dataBoundaryTenantAdministratorRoleDefinitionId -Scope "/"

PUT https://management.chinacloudapi.cn/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentName}?api-version=2020-04-01-preview

请求正文：

{
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/d1a38570-4b05-4d70-b8e4-1100bcf76d12",
    "principalId": "{assignee}"
  }
}

响应正文：

{
  "id": "/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentName}",
  "type": "Microsoft.Authorization/roleAssignments",
  "name": "{roleAssignmentName}",
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/d1a38570-4b05-4d70-b8e4-1100bcf76d12",
    "principalId": "{assignee}",
    "principalType": "User", // Could also be "Group", "ServicePrincipal", etc.
  }
}

有关详细信息，请参阅分配 Azure 角色。

创建数据边界

数据地理边界目前有两个选项：

数据边界地理位置	DESCRIPTION
全球	默认情况下，所有租户都具有全球数据边界。
欧盟	建立欧盟数据边界。

若要选择将租户纳入数据边界，请使用以下命令。

Azure 门户
Azure CLI
PowerShell
REST API

使用以下步骤创建数据边界：

打开 Azure 门户。
在搜索框中，键入 Azure 数据边界，然后选择 “Azure 数据边界”。
在 边界区域中，选择数据边界地理区域， Global 或者 EU，然后选择“ 保存”。

只能为空租户配置 Boundary region。

az data-boundary create --data-boundary <data-boundary-geo> --default default

--default 开关目前是必需的，但将来将逐步淘汰。

有关详细信息，请参阅 Azure CLI 参考。

Set-AzDataBoundary -DataBoundary <data-boundary-geo>

有关详细信息，请参阅 Azure PowerShell 参考。

PUT https://management.chinacloudapi.cn/providers/Microsoft.Resources/dataBoundaries/default?api-version=2024-08-01

请求正文：

{ 
  "properties": { 
    "dataBoundary": "<data-boundary-geo>" 
  } 
}


```json
{ 
  "name": "{tenantId}", 
  "id": " /providers/Microsoft.Resources/dataBoundaries/{tenantId}",   
  "properties": { 
    "dataBoundary": "{dataBoundaryGeo}", 
    "provisioningState": "Created" 
  } 
}

有关详细信息，请参阅 Azure REST API 参考。

读取数据边界

在指定的范围内获取数据边界。这些范围包括：

范围	价值
租户	（空）
订阅	订阅/{subscriptionId}
资源组	subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}

Azure 门户
Azure CLI
PowerShell
REST API

打开 Azure 门户。
在搜索框中，键入 Azure 数据边界，然后选择 “Azure 数据边界”。以下屏幕截图显示了 Global 数据边界。

az data-boundary show --scope <scope-path> --default default

获取租户的数据边界：

az data-boundary show-tenant --default default