Azure AD 和数据驻留 |
您所在的位置:网站首页 › 证书和私钥的关系 › Azure AD 和数据驻留 |
|
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。 Azure Active Directory 和数据驻留 项目 06/03/2023Azure AD 是标识即服务 (IDaaS) 解决方案,用于在云中存储和管理标识和访问数据。 可以使用数据启用和管理对云服务的访问、实现移动方案以及保护组织。 Azure AD 服务的实例(称为租户)是客户预配和所有的一组独立的目录对象数据。 Core StoreCore Store 由缩放单元中存储的租户组成,每个缩放单元包含多个租户。 Azure AD Core Store 中的更新或检索数据操作基于用户的安全令牌(可实现租户隔离)与单个租户相关。 缩放单元将分配到某个地理位置。 每个地理位置使用两个或更多个 Azure 区域来存储数据。 在每个 Azure 区域中,会在物理数据中心复制缩放单元数据,以确保复原能力和性能。 了解详细信息:Azure Active Directory Core Store 缩放单元 Azure AD 在以下云中可用 公用 中国 美国政府在公有云中,系统会提示你在创建租户时(例如,在注册 Office 365 或 Azure,或通过 Azure 门户创建更多 Azure AD 实例时)选择一个位置。 Azure AD 将所选位置映射到某个地理位置以及该位置中的单个缩放单元。 租户位置设置后无法更改。 在创建租户期间选择的位置将映射到以下地理位置之一: 澳大利亚 亚太区 欧洲、中东和非洲 (EMEA) 日本 北美 全球Azure AD 根据可用性、性能、驻留和/或其他基于地理位置的要求处理 Core Store 数据。 Azure AD 根据以下条件,通过其缩放单元跨数据中心复制每个租户: 存储在离租户驻留位置最近的数据中心的 Azure AD Core Store 数据,以降低延迟并使用户快速登录 存储在地理位置隔离的数据中心的 Azure AD Core Store 数据,以确保发生不可预见的单数据中心、灾难性事件时的数据可用性 符合特定客户和地理位置的数据驻留或其他要求 Azure AD 云解决方案模型使用下表查看基于基础结构、数据位置和操作主权的 Azure AD 云解决方案模型。 建模 位置 数据位置 操作人员 在此模型中放置租户 区域公有云 北美、EMEA、日本、亚太区 静态,位于目标位置。 因服务或功能而异的例外情况 由 Microsoft 操作。 Microsoft 数据中心人员必须通过背景检查。 在注册体验中创建租户。 选择数据驻留位置。 全球公有云 全球 所有位置 由 Microsoft 操作。 Microsoft 数据中心人员必须通过背景检查。 可以通过官方支持渠道创建租户,由 Microsoft 自行裁量。 主权云或国家云 美国政府、中国 静态,位于目标位置。 无例外情况。 由数据监管员 (1) 操作。 根据要求对人员进行筛选。 每个国家云实例都具有注册体验。表引用: (1) 数据监管:美国政府云中的数据中心由 Microsoft 运营。 在中国,Azure AD 是通过与世纪互联建立合作关系而运营的。 了解详细信息: Azure AD 中针对欧洲客户的客户数据存储和处理 Power BI:Azure Active Directory - 数据位于何处? 什么是 Azure Active Directory 体系结构? 查找符合你的需求的 Azure 地域 Microsoft 信任中心 跨 Azure AD 组件的数据驻留了解详细信息:Azure Active Directory,产品概述 备注 若要了解服务数据位置(例如 Exchange Online 或 Skype for Business),请参阅相应的服务文档。 Azure AD 组件和数据存储位置 Azure AD 组件 说明 数据存储位置 Azure AD 身份验证服务 此服务是无状态的。 用于身份验证的数据位于 Azure AD Core Store 中。 它没有目录数据。 Azure AD 身份验证服务在 Azure 存储和运行服务实例的数据中心生成日志数据。 当用户尝试使用 Azure AD 进行身份验证时,会将用户路由到其 Azure AD 逻辑区域中地理位置最近的数据中心的实例。 地理位置 Azure AD 标识和访问管理 (IAM) 服务 用户和管理体验:Azure AD 管理体验是无状态的,并且没有目录数据。 它生成存储在 Azure 表存储中的日志和使用情况数据。 用户体验类似于 Azure 门户。 标识管理业务逻辑和报告服务:这些服务具有组和用户的本地缓存数据存储。 这些服务生成会传输到 Azure 表存储、Azure SQL 和 Microsoft 弹性搜索报告服务的日志和使用情况数据。 地理位置 Azure AD 多重身份验证 (MFA) 有关 MFA 操作数据存储和保留的详细信息,请参阅 Azure AD 多重身份验证的数据驻留和客户数据。 Azure AD MFA 会记录用户主体名称 (UPN)、语音呼叫电话号码和短信质询。 对于移动应用模式质询,服务会记录 UPN 和唯一设备令牌。 北美区域的数据中心存储了 Azure AD MFA 及其创建的日志。 北美 Azure AD 域服务 请参阅可用产品(按区域),了解发布 Azure AD 域服务的区域。 该服务在 Azure 表中全局保留系统元数据,并且不含任何个人数据。 地理位置 Azure AD Connect Health Azure AD Connect Health 在 Azure 表存储和 Blob 存储中生成警报和报告。 地理位置 Azure AD 动态组成员资格、Azure AD 自助服务组管理 Azure 表存储保留动态成员资格规则定义。 地理位置 Azure AD 应用程序代理 Azure AD 应用程序代理存储 Azure SQL 中有关租户、连接器计算机和配置数据的元数据。 地理位置 Azure AD Connect 中的 Azure AD 密码写回 在初始配置期间,Azure AD Connect 使用 Rivest-Shamir-Adleman (RSA) 加密系统生成非对称密钥对。 然后,它将公钥发送到自助式密码重置 (SSPR) 云服务,该服务执行两项操作:1. 创建两个 Azure 服务总线中继,以便 Azure AD Connect 本地服务与 SSPR 服务安全通信 2. 生成高级加密标准 (AES) 密钥 K1 Azure 服务总线中继位置、相应的侦听器密钥以及 AES 密钥 (K1) 副本会通过响应传输到 Azure AD Connect。 SSPR 和 Azure AD Connect 之间的未来通信会通过新的 ServiceBus 通道进行,并使用 SSL 进行加密。 借助客户端在加入期间生成的 RSA 公钥对操作期间提交的新密码重置进行加密。 Azure AD Connect 计算机上的私钥会解密它们,阻止管道子系统访问明文密码。 AES 密钥会加密消息有效负载(加密的密码、更多数据和元数据),从而防止恶意 ServiceBus 攻击者篡改有效负载,即使他们对内部 ServiceBus 通道具有完全访问权限也无法篡改。 对于密码写回,Azure AD Connect 需要密钥和数据: - 用于加密重置有效负载的 AES 密钥 (K1),或通过 ServiceBus 管道从 SSPR 服务传输到 Azure AD Connect 的更改请求 - 重置或更改请求有效负载中用于解密密码的非对称密钥对中的私钥 ServiceBus 侦听器密钥 AES 密钥 (K1) 和非对称密钥对至少每 180 天轮换一次,该持续时间可在某些加入或登出配置事件期间进行更改。 例如,在提供服务和维护期间升级组件时,客户可能会禁用并重新启用密码写回。 存储在 Azure AD Connect 数据库中的写回密钥和数据由数据保护应用程序编程接口 (DPAPI) (CALG_AES_256) 进行加密。 结果是,主 ADSync 加密密钥会存储在 Windows 凭据保管库的 ADSync 本地服务帐户上下文中。 Windows 凭据保管库会在服务帐户的密码发生更改时自动重新加密机密。 重置服务帐户密码会使 Windows 凭据保管库中该服务帐户的机密失效。 手动更改新服务帐户可能会使存储的机密失效。 默认情况下,ADSync 服务在虚拟服务帐户的上下文中运行。 在安装期间,可以将此帐户自定义为最低特权的域服务帐户、托管服务帐户 (MSA) 或组托管服务帐户 (gMSA)。 虽然虚拟服务帐户和托管服务帐户可自动轮换密码,但客户可以管理自定义预配域帐户的密码轮换。 如前所述,重置密码会导致存储机密的丢失。 地理位置 Azure AD 设备注册服务 Azure AD 设备注册服务在目录中提供计算机和设备生命周期管理,支持设备状态条件访问和移动设备管理等方案。 地理位置 Azure AD 预配 Azure AD 预配可创建、删除和更新系统(如服务型软件 (SaaS) 应用程序)中的用户。 它通过云 HR 源(如 Workday)管理 Azure AD 和本地 AD 中的用户创建。 此服务将其配置存储在 Azure Cosmos DB 中,后者存储服务保留的用户目录的组成员资格数据。 Cosmos DB 根据 Azure AD 云解决方案模型将数据库复制到租户所在的同一区域中的多个数据中心,从而隔离数据。 复制实现了高可用性,并创建了多个读取和写入终结点。 Cosmos DB 对数据库信息进行加密,加密密钥存储在 Microsoft 的机密存储中。 地理位置 Azure AD 企业对企业 (B2B) 协作 Azure AD B2B 协作没有目录数据。 用户和其他目录对象与另一租户位于一个 B2B 关系中会导致在其他租户中复制用户数据,这可能会对数据驻留产生影响。 地理位置 Azure AD 标识保护 Azure AD 标识保护将实时用户登录数据以及来自公司和行业源的多个信号馈送到其机器学习系统,以检测异常登录行为。 在将个人数据传递到机器学习系统之前,会从实时登录数据中清理这些数据。 剩余的登录数据可确定存在潜在风险的用户名和登录名。 分析后,数据将传输到 Microsoft 报告系统中。 存在风险的登录名和用户名会显示在管理员的报告中。 地理位置 Azure 资源的 Azure AD 托管标识 具有托管标识系统的 Azure 资源的 Azure AD 托管标识可以在不存储凭证的情况下对 Azure 服务进行身份验证。 托管标识使用证书对 Azure 服务进行身份验证,而不是使用用户名和密码。 该服务将其颁发的证书写入美国东部区域的 Azure Cosmos DB 中,并根据需要故障转移到另一区域。 Azure Cosmos DB 通过全局数据复制实现异地冗余。 数据库复制在 Azure AD 托管标识运行的每个区域中放置一个只读副本。 若要了解详细信息,请参阅可以使用托管标识访问其他服务的 Azure 服务。 Microsoft 可将每个 Cosmos DB 实例隔离在一个 Azure AD 云解决方案模型中。 资源提供程序(例如虚拟机 (VM) 主机)将用于身份验证的证书和标识流与其他 Azure 服务一起存储。 该服务将其用于访问 Azure Cosmos DB 的主密钥存储在数据中心机密管理服务中。 Azure Key Vault 存储主加密密钥。 地理位置 Azure Active Directory B2C Azure AD B2C 是一项标识管理服务,用于自定义和管理客户在使用应用程序时的注册、登录和管理配置文件的方式。 B2C 使用 Core Store 来保留用户标识信息。 Core Store 数据库遵循已知的存储、复制、删除和数据驻留规则。 B2C 使用 Azure Cosmos DB 系统来存储服务策略和机密。 Cosmos DB 对数据库信息提供加密和复制服务。 其加密密钥存储在 Microsoft 机密存储中。 Microsoft 可将 Cosmos DB 实例隔离在一个 Azure AD 云解决方案模型中。 客户可选择的地理位置 相关资源有关 Microsoft Cloud 产品/服务中的数据驻留的详细信息,请参阅以下文章: Azure Active Directory - 数据位于何处? Azure 中的数据驻留 | Microsoft Azure Microsoft 365 数据位置 - Microsoft 365 企业版 Microsoft 隐私 - 数据位于何处? 下载 PDF:云中的隐私注意事项 后续步骤Azure Active Directory 和数据驻留(你在此处) 数据操作注意事项 数据保护注意事项 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |