Configuration des services azure non régionaux pour la limite de données de l’UE
Les services Azure non régionaux (vous trouverez une liste complète dans Produits Azure par région) sont des services qui n’ont aucune dépendance sur une région Azure spécifique et ne permettent actuellement pas aux clients de spécifier une région de déploiement. Ces services ont été conçus et optimisés pour être toujours disponibles dans le cadre du cloud global d’Azure. Dans le cadre de l’engagement de la limite de données de l’UE à répondre aux exigences de résidence des données des clients de l’UE, la plupart de ces services et composants principaux de la plateforme Azure qui les prennent en charge sont réarchitectés. Ce travail, dont certains impliquent une réarchitecture étendue des services et des plateformes, est en cours. Certains services non régionaux Azure ont terminé ce travail ; pour d’autres, le travail est en cours et les services seront disponibles dans la limite de données de l’UE selon des calendriers différents tout au long de 2024. Cette documentation répertorie les services Azure non régionaux qui ont déjà respecté l’engagement de la limite de données de l’UE et explique comment configurer les services pour stocker et traiter les données client et les données personnelles pseudonymes dans la limite de données de l’UE. Pour en savoir plus sur les services non régionaux Azure avec des transferts de données résiduels en dehors de la limite de données de l’UE, consultez Services temporairement exclus de la limite de données de l’UE et services qui transfèreront temporairement un sous-ensemble de données client ou de données personnelles pseudonymes hors de la limite de données de l’UE.
Services non régionaux qui ne gèrent pas les données client ou les données personnelles pseudonymes
Les services Azure non régionaux suivants ne stockent ni ne traitent les données client ni les données personnelles pseudonymes :
Appareils clients avec des composants cloud qui peuvent être configurés régionalement
Azure prend en charge plusieurs solutions et appareils hybrides et IoT qui vous permettent d’étendre les services et fonctionnalités Azure à l’environnement de votre choix. Ces solutions sont considérées comme non régionales. Toutefois, après avoir acheté un appareil, vous pouvez configurer à nouveau les connexions à Azure pour stocker et traiter les données client et les données personnelles pseudonymes dans des emplacements géographiques spécifiques. Lorsque vous sélectionnez un emplacement dans l’UE, vos données client et vos données personnelles pseudonymes sont stockées et traitées dans la limite des données de l’UE.
Les détails de configuration de chaque service sont décrits ci-dessous.
Azure Sphere
Le service de sécurité Azure Sphere est un service de sécurité global destiné aux clients qui permet une vérification de sécurité d’attestation quotidienne et une chaîne d’approvisionnement logicielle sécurisée qui gère les mises à jour du système d’exploitation et des applications fournies par le client pour les appareils clients avec Azure Sphere. À l’aide du nouveau paramètre de limite de données régionales , les clients peuvent désormais spécifier que les fichiers binaires d’application potentiellement contenant des données client sont signés par le service de signature PRSS (Microsoft Product Release and Security Services) basé dans l’UE et stockés dans le stockage d’objets blob Azure Sphere situé dans l’UE. Pour plus d’informations, consultez Commande d’image de l’interface CLI Azure Sphere.
Azure Stack Edge
Les appareils Azure Stack Edge vous permettent de sélectionner un emplacement géographique Azure auquel votre appareil sera connecté. Vos données Edge sont stockées et traitées dans cette région. Pour plus d’informations sur la disponibilité d’une région et la sélection d’une région, consultez Choix d’une région pour Microsoft Azure Stack Edge Pro avec GPU.
Azure Stack HCI
Lorsque vous inscrivez votre cluster Azure Stack HCI , vous sélectionnez l’une des régions Azure Stack HCI prises en charge dans l’UE auxquelles votre cluster sera connecté pour l’inscription, la facturation et la gestion. Pour plus d’informations, consultez Connecter Azure Stack HCI à Azure.
Azure Stack Hub
Les clients Azure Stack Hub peuvent sélectionner leur préférence géographique pour le traitement des données sur les déploiements Azure Stack Hub existants. Les nouveaux déploiements Azure Stack Hub peuvent définir la région géographique pendant le processus de déploiement. Vos données Edge sont stockées et traitées dans cette région. Pour plus d’informations, consultez Contrôles de sécurité Azure Stack Hub.
Azure Data Box
Lorsque vous commandez une Data Box, vous spécifiez à la fois un pays source et une région Azure de destination. Data Box prend en charge l’ingestion ou la sortie des données uniquement dans le même pays/région que la destination et ne franchit aucune frontière internationale. La seule exception concerne les commandes dans l’UE, où les Data Box peuvent être expédiés depuis et vers n’importe quel pays/région de l’UE. Pour plus d’informations, consultez Azure Data Box, FAQ sur Azure Data Box Heavy.
Composants Azure Monitor
Azure Monitor fournit une solution complète pour collecter, analyser et agir sur les données de diagnostic et générées par le système à partir de vos environnements cloud et locaux. Azure Monitor est disponible dans la limite de données de l’UE, ce qui vous permet de stocker et de traiter toutes les données client et les données personnelles pseudonymes dans la limite de données de l’UE, à l’exception des scénarios spécifiques identifiés dans les sections suivantes et décrits plus en détail dans Services qui transfèreront temporairement un sous-ensemble de données client ou des données personnelles pseudonymes hors de la limite de données de l’UE.
Composants disponibles dans la limite de données de l’UE
Mesures
Les métriques sont une fonctionnalité d’Azure Monitor qui collecte des données numériques à partir de ressources supervisées dans une base de données de série chronologique. Les métriques sont des valeurs numériques collectées à intervalles réguliers et qui décrivent certains aspects d’un système à un moment donné. Pour plus d’informations, consultez Types de métriques dans Métriques Azure Monitor. Azure Monitor effectue le suivi des métriques sur une base d’abonnement et les met à la disposition des administrateurs de cet abonnement. Les métriques ne stockent ni ne traitent les données client.
Remarque
La fonctionnalité de préversion publique qui vous permet de créer et de stocker des métriques personnalisées vous permet d’ajouter des données client à des métriques, et ces données sont stockées et traitées globalement. Les fonctionnalités en préversion de Microsoft Online Services ne sont pas comprises dans l’étendue des engagements de limites de données ou de résidence des données de l’UE.
Journal d’activité
Chaque fournisseur de ressources Azure collecte des journaux d’audit, également appelés journaux d’activité, qui fournissent des insights sur les événements au niveau de l’abonnement. Ces journaux incluent des données client et des données personnelles pseudonymes pour certains types de ressources. Les données provenant de l’UE sont stockées dans l’UE ; sinon, ces données sont stockées globalement.
Journaux de diagnostic
Les journaux de diagnostic fournissent des informations de diagnostic détaillées sur les ressources Azure et la plateforme Azure dont elles dépendent. Ces journaux ne sont pas collectés tant que le client ne les achemine pas vers la destination choisie par le client. Pour plus d’informations, consultez Paramètres de diagnostic dans Azure Monitor.
Alertes et groupes d’actions
Les alertes et les groupes d’actions sont basés sur un espace de travail Log Analytics ou une ressource Application Insights, qui sont tous deux géo-alignés. Les données envoyées par un client à un point de terminaison de groupes d’actions dans l’UE sont stockées dans l’UE et utilisent un système de SMS basé dans l’UE lorsqu’une alerte est déclenchée pour envoyer un e-mail, un SMS ou un appel téléphonique.
Ce flux de travail stocke et traite toutes les données client et les données personnelles pseudonymes dans l’UE lorsqu’ils sont entièrement exécutés au sein de l’UE. Si un ingénieur crée une ressource en dehors de l’UE, pour instance dans la région USA Est, et que la surveillance de ce flux de travail est également configurée dans la région USA Est, le flux de travail Alerte s’exécute aux États-Unis, même si des notifications sont envoyées aux partenaires de l’UE.
Log Analytics
Log Analytics est un service régional Azure qui stocke et traite toutes les données client et les données personnelles pseudonymes dans la zone géographique sélectionnée lorsque vous créez le service.
Composants qui ne sont pas disponibles dans la limite de données de l’UE
Analyse des modifications d’application
L’analyse des changements d’application s’appuie sur Azure Resource Graph pour fournir des insights sur les modifications apportées à plusieurs couches de déploiement d’infrastructure et d’application. Les données d’analyse des modifications sont actuellement stockées et traitées globalement, mais à l’avenir, elles seront déplacées vers un modèle régional. Pour plus d’informations, consultez Services qui transfèreront temporairement un sous-ensemble de données client ou de données personnelles pseudonymes hors de la limite des données de l’UE.
Applications Insights
Application Insights est un service régional Azure qui stocke et traite toutes les données client dans la zone géographique sélectionnée lorsque vous créez le service. Des travaux sont en cours pour stocker et traiter des données personnelles pseudonymes dans la limite de données de l’UE, comme décrit dans Services qui transfèreront temporairement un sous-ensemble de données client ou de données personnelles pseudonymes hors de la limite de données de l’UE.
Services non régionaux supplémentaires disponibles dans la limite de données de l’UE
Tous ces services peuvent être configurés pour être utilisés dans la limite de données de l’UE. Les sections suivantes décrivent comment configurer les services non régionaux répertoriés pour stocker et traiter les données client et les données personnelles pseudonymes dans la limite de données de l’UE.
Les détails de configuration de chaque service sont décrits dans les sections suivantes.
Azure Bot Service
Azure Bot Service fournit une collection de bibliothèques, d’outils et de services qui vous permettent de créer, tester, déployer et gérer des bots intelligents. La Bot Service vous permet de créer un bot dans la limite de données de l’UE et toutes les données associées au plan de données de votre bot sont stockées et traitées dans l’UE. Les données client et les données personnelles pseudonymes sont stockées et traitées dans la limite de données de l’UE, à l’exception des transferts résiduels spécifiques documentés dans les services qui transfèreront temporairement un sous-ensemble de données client ou des données personnelles pseudonymes hors de la limite de données de l’UE. Pour plus d’informations sur l’ajout de paramètres régionaux à un bot, consultez Prise en charge de la régionalisation - Bot Service.
Azure Communication Services
Lors de la création d’une ressource Azure Communication Services, vous spécifiez une zone géographique (et non une région Azure). Tous les messages de conversation et les données de ressources sont stockés dans cette zone géographique, dans une région sélectionnée en interne par Communication Services. La sélection de la zone géographique Europe ou de l’une des zones géographiques de pays qui font partie de la limite de données de l’UE garantit que vos données client et vos données personnelles pseudonymes sont stockées et traitées dans la limite de données de l’UE, à l’exception des transferts résiduels spécifiques documentés dans services qui transfèreront temporairement un sous-ensemble de données client ou des données personnelles pseudonymes hors de la limite de données de l’UE. Pour plus d’informations, consultez Disponibilité des régions et résidence des données pour Azure Communication Services.
Azure Kubernetes Service sur Azure Stack HCI
Azure Kubernetes Service sur Azure Stack HCI envoie des données à la région sélectionnée lors de la configuration du cluster. Toutes les données client incluses sont stockées et traitées dans cette région.
Azure Migrate
Lorsque vous créez un projet Azure Migrate , vous spécifiez une zone géographique (et non une région Azure). Toutes les métadonnées collectées à partir de l’environnement local sont stockées et traitées en toute sécurité à l’emplacement où vous avez créé le projet. La sélection d’une zone géographique dans l’UE garantit que vos données sont stockées et traitées dans la limite de données de l’UE. Pour connaître les emplacements de métadonnées spécifiques associés à chaque zone géographique, consultez Zones géographiques prises en charge par Azure Migrate. Pour plus d’informations, consultez Azure Migrate Appliance FAQ - Comment les données sont-elles stockées.
Azure Virtual Desktop
Lorsque vous créez un pool d’hôtes Azure Virtual Desktop , vous spécifiez la région Azure où les métadonnées de ce pool d’hôtes sont créées. Cela détermine où sont stockées les informations associées au pool d’hôtes, notamment un nom d’application ou de pool d’hôtes. Si vous sélectionnez l’une des régions de l’UE, ces données sont stockées et traitées uniquement dans l’UE. Microsoft ne contrôle pas ou ne limite pas les emplacements à partir desquels vous ou vos utilisateurs pouvez accéder à leur Machines Virtuelles Azure Virtual Desktop. Pour plus d’informations, consultez Emplacements des données pour Azure Virtual Desktop. Les administrateurs client peuvent également configurer le transfert de fichiers vers des appareils locaux via Configurer la redirection des appareils.
Générateur d’images de machine virtuelle Azure
Azure VM Builder : pour les modèles d’image de machine virtuelle créés dans une région de l’UE, le stockage et le traitement des données se produisent dans l’UE. Pour plus d’informations, consultez Créer un fichier Bicep Azure Image Builder ou un modèle JSON ARM.
Cloud Shell
Cloud Shell est un terminal interactif, authentifié et accessible par le navigateur pour la gestion des ressources Azure. Cloud Shell vous permet de créer un stockage dans la limite de données de l’UE en sélectionnant une région Cloud Shell dans la limite de données de l’UE. Les données client ne sont pas stockées ou traitées dans Cloud Shell et les données personnelles pseudonymes sont stockées et traitées dans la limite de données de l’UE, à l’exception des transferts résiduels spécifiques documentés dans les services qui transfèreront temporairement un sous-ensemble de données client ou des données personnelles pseudonymes hors de la limite de données de l’UE. Pour plus d’informations, consultez Conserver des fichiers dans Azure Cloud Shell.
Microsoft Entra ID et Azure Active Directory B2C
Microsoft Entra ID et Azure Active Directory B2C : un locataire Microsoft Entra contient un annuaire pour la gestion des utilisateurs et fournit des fonctionnalités de gestion des identités et des accès (IAM) aux applications et ressources utilisées par votre organization. Lorsque vous créez un locataire Microsoft Entra, vous spécifiez une zone géographique (et non une région Azure) comme emplacement. Lorsque vous sélectionnez un emplacement qui fait partie de la limite de données de l’UE, vos données client et vos données personnelles pseudonymes sont stockées et traitées dans la limite de données de l’UE, à l’exception des transferts résiduels spécifiques documentés aux emplacements suivants :
- Services qui transfèrent en continu un sous-ensemble de données client ou de données personnelles pseudonymes hors de la limite de données de l’UE
- Services qui transfèreront temporairement un sous-ensemble de données client ou de données personnelles pseudonymes hors de la limite des données de l’UE
- Fonctionnalités de service facultatives qui transfèrent des données client ou des données personnelles pseudonymes hors de la limite de données de l’UE
Pour plus d’informations, consultez Démarrage rapide : Créer un locataire dans Microsoft Entra ID. Vous pouvez vérifier l’emplacement de vos données d’annuaire Microsoft Entra via centre d'administration Microsoft Entra en accédant à la page Propriétés et en vous assurant que la valeur du pays ou de la région associée fait partie de la limite de données de l’UE.
Microsoft Fabric
Pour Microsoft Fabric, la zone géographique dans laquelle la location de services d’un client est hébergée est déterminée par le premier utilisateur qui s’inscrit. Pour plus d’informations, consultez Planification de l’implémentation de Power BI : Configuration du locataire. Les clients peuvent configurer leur service pour qu’il soit inclus dans l’étendue de la limite de données de l’UE en approvisionnant leur locataire et toutes les capacités Microsoft Fabric dans un centre de données de l’UE. Les données client et les données personnelles pseudonymes sont stockées et traitées dans la limite des données de l’UE, à l’exception des transferts résiduels spécifiques documentés dans services qui transfèrent en continu un sous-ensemble de données client ou des données personnelles pseudonymes hors de la limite de données de l’UE.
Fabric permet également de sélectionner une région Azure où les données client sont stockées lors de la création d’une capacité Microsoft Fabric. L’option par défaut répertoriée est la région d’origine de votre locataire. Si vous sélectionnez cette région, toutes les données associées, y compris les données client, sont stockées dans cette zone géographique. Si vous sélectionnez une autre région, certaines données client sont toujours stockées dans la zone géographique d’accueil. En sélectionnant une région dans l’UE, les données client sont stockées dans la limite de données de l’UE.
- Pour trouver la région d’origine de votre locataire, consultez Rechercher votre région d’accueil Fabric.
- Pour plus d’informations sur le changement d’emplacement à l’aide de l’option Multi-Geo et sur les informations stockées dans la nouvelle zone géographique par rapport à votre zone géographique, consultez Configurer la prise en charge de multigéographique pour Fabric Premium.
Power BI Embedded
Power BI Embedded analytics vous permet d’incorporer des éléments Power BI tels que des rapports, des tableaux de bord et des vignettes dans une application web ou dans un site web. Lorsque vous créez une ressource Power BI Embedded, vous pouvez sélectionner la région Azure dans laquelle vous souhaitez stocker les données et le contenu de votre espace de travail pour la capacité. L’option par défaut répertoriée est la région d’origine de votre locataire ; si vous sélectionnez cette région, toutes vos données et votre contenu sont stockés dans cette zone géographique. Si vous sélectionnez une autre région, certaines données et le contenu sont toujours stockés dans la zone géographique d’accueil.
- Pour trouver la région d’origine de votre locataire, consultez Où sont stockées les données du service Power BI ?.
- Pour plus d’informations sur la modification de l’emplacement à l’aide de l’option Multigéographique et sur les informations stockées dans la nouvelle zone géographique par rapport à votre zone géographique, consultez Prise en charge de la géogéographique multiple pour l’analytique Power BI Embedded et Configuration de la prise en charge multigéographique pour Power BI Premium : considérations et limitations.
Translator
Pour les clients qui ont besoin que les données soient stockées et traitées dans l’UE, Translator fournit un point de terminaison européen (api-eur.cognitive.microsofttranslator.com). Lorsque vous utilisez le point de terminaison Translator European, les demandes sont traitées par des centres de données situés dans la limite de données de l’UE uniquement. Si aucun centre de données dans la limite de données de l’UE n’est disponible, la demande n’est pas traitée et une erreur est retournée. Toutes les demandes envoyées au point de terminaison européen sont traitées uniquement dans l’UE, même si la demande provient de l’extérieur de l’UE. Pour plus d’informations, consultez Informations de référence sur Translator V3.0 - Azure Cognitive Services.