Id e residenza dei dati di Microsoft Entra

Microsoft Entra ID è una soluzione IDaaS (Identity as a Service) che archivia e gestisce i dati di identità e accesso nel cloud. È possibile usare i dati per abilitare e gestire l'accesso ai servizi cloud, ottenere scenari di mobilità e proteggere l'organizzazione. Un'istanza del servizio Microsoft Entra, denominata tenant, è un set isolato di dati oggetto directory di cui il cliente effettua il provisioning e il proprietario.

Core Store

Core Store è costituito da tenant archiviati in unità di scala, ognuna delle quali contiene più tenant. Le operazioni di aggiornamento o recupero dei dati in Microsoft Entra Core Store sono correlate a un singolo tenant, in base al token di sicurezza dell'utente, che ottiene l'isolamento del tenant. Le unità di scala vengono assegnate a una posizione geografica. Ogni posizione geografica usa due o più aree di Azure per archiviare i dati. In ogni area di Azure i dati delle unità di scala vengono replicati nei data center fisici per garantire resilienza e prestazioni.

Altre informazioni: Unità di scala di Microsoft Entra Core Store

Microsoft Entra ID è disponibile nei cloud seguenti:

  • Pubblica
  • Cina
  • US Government

Nel cloud pubblico viene richiesto di selezionare una posizione al momento della creazione del tenant( ad esempio, iscriversi a Office 365 o Azure o creare più istanze di Microsoft Entra tramite il portale di Azure). Microsoft Entra ID esegue il mapping della selezione a una posizione geografica e a una singola unità di scala. La posizione del tenant non può essere modificata dopo che è stata impostata.

La posizione selezionata durante la creazione del tenant verrà mappata a una delle posizioni geografiche seguenti:

  • Australia
  • Asia/Pacifico
  • Europa, Medio Oriente e Africa (EMEA)
  • Giappone
  • America del Nord
  • Tutto il mondo

Microsoft Entra ID gestisce i dati di Core Store in base all'usabilità, alle prestazioni, alla residenza e/o ad altri requisiti in base alla posizione geografica. Microsoft Entra ID replica ogni tenant tramite l'unità di scala, tra data center, in base ai criteri seguenti:

  • Dati di Microsoft Entra Core Store, archiviati nei data center più vicini alla posizione di residenza del tenant, per ridurre la latenza e fornire tempi di accesso utente rapidi
  • Dati di Microsoft Entra Core Store archiviati in data center geograficamente isolati per garantire la disponibilità durante eventi imprevisti in un singolo data center, eventi irreversibili
  • Conformità alla residenza dei dati o ad altri requisiti per clienti e posizioni geografiche specifiche

Modelli di soluzioni cloud Microsoft Entra

Usare la tabella seguente per visualizzare i modelli di soluzioni cloud Microsoft Entra basati su infrastruttura, posizione dei dati e sovranità operativa.

Modello Ubicazioni Posizione dei dati Personale operativo Inserire un tenant in questo modello
Area geografica pubblica America del Nord, EMEA, Giappone, Asia/Pacifico Inattivi, nella posizione di destinazione. Eccezioni per servizio o funzionalità Gestito da Microsoft. Il personale del data center Microsoft deve superare un controllo in background. Creare il tenant nell'esperienza di iscrizione. Scegliere la località per la residenza dei dati.
Pubblico in tutto il mondo Tutto il mondo Tutte le aree Gestito da Microsoft. Il personale del data center Microsoft deve superare un controllo in background. Creazione del tenant disponibile tramite canale di supporto ufficiale e soggetta a discrezione di Microsoft.
Cloud sovrani o nazionali Governo degli Stati Uniti, Cina Inattivi, nella posizione di destinazione. Nessuna eccezione. Gestito da un responsabile dati (1). Il personale viene sottoposto a screening in base ai requisiti. Ogni istanza del cloud nazionale ha un'esperienza di iscrizione.

Riferimenti a tabelle:

(1) Responsabili dei dati: i data center nel cloud del governo degli Stati Uniti sono gestiti da Microsoft. In Cina, Microsoft Entra ID viene gestito tramite una partnership con 21Vianet.

Altre informazioni:

Residenza dei dati nei componenti di Microsoft Entra

Altre informazioni: Panoramica del prodotto Microsoft Entra

Nota

Per comprendere la posizione dei dati del servizio, ad esempio Exchange Online o Skype for Business, fare riferimento alla documentazione del servizio corrispondente.

Componenti di Microsoft Entra e posizione di archiviazione dei dati

Componente Microsoft Entra Descrizione Posizione di archiviazione dei dati
Servizio di autenticazione Microsoft Entra Questo servizio è senza stato. I dati per l'autenticazione si trovano in Microsoft Entra Core Store. Non contiene dati di directory. Il servizio di autenticazione Microsoft Entra genera i dati di log nell'archiviazione di Azure e nel data center in cui viene eseguita l'istanza del servizio. Quando gli utenti tentano di eseguire l'autenticazione usando Microsoft Entra ID, vengono indirizzati a un'istanza nel data center geograficamente più vicino che fa parte dell'area logica Microsoft Entra. Nella posizione geografica
Servizi microsoft Entra identity and Access Management (IAM) Esperienze utente e gestione: l'esperienza di gestione di Microsoft Entra è senza stato e non dispone di dati della directory. Genera dati di log e utilizzo archiviati nell'archiviazione tabelle di Azure. L'esperienza utente è simile alla portale di Azure.
Logica di business di gestione delle identità e Reporting Services: questi servizi hanno memorizzato nella cache locale l'archiviazione dei dati per gruppi e utenti. I servizi generano dati di log e utilizzo che passano ad Archiviazione tabelle di Azure, Azure SQL e in Microsoft Elastic Search Reporting Services.
Nella posizione geografica
Autenticazione a più fattori Microsoft Entra Per informazioni dettagliate sull'archiviazione e la conservazione dei dati delle operazioni MFA, vedere Residenza dei dati e dati dei clienti per l'autenticazione a più fattori Di Microsoft Entra. L'autenticazione a più fattori Microsoft Entra registra i problemi relativi al nome dell'entità utente (UPN), ai numeri di telefono delle chiamate vocali e agli SMS. Per le sfide relative alle modalità dell'app per dispositivi mobili, il servizio registra l'UPN e un token univoco del dispositivo. I data center nell'area America del Nord archiviano l'autenticazione a più fattori Microsoft Entra e i log creati. America del Nord
Servizi di dominio Microsoft Entra Vedere le aree in cui Microsoft Entra Domain Services è pubblicato in Prodotti disponibili in base all'area. Il servizio contiene i metadati di sistema a livello globale nelle tabelle di Azure e non contiene dati personali. Nella posizione geografica
Microsoft Entra Connect Health Microsoft Entra Connessione Health genera avvisi e report nell'archiviazione BLOB e nell'archiviazione BLOB di Tabelle di Azure. Nella posizione geografica
Appartenenza dinamica a Microsoft Entra per i gruppi, gestione dei gruppi self-service di Microsoft Entra Archiviazione tabelle di Azure contiene definizioni di regole di appartenenza dinamica. Nella posizione geografica
Proxy dell'applicazione Microsoft Entra Microsoft Entra application proxy archivia i metadati relativi al tenant, ai computer del connettore e ai dati di configurazione in Azure SQL. Nella posizione geografica
Writeback delle password di Microsoft Entra in Microsoft Entra Connessione Durante la configurazione iniziale, Microsoft Entra Connessione genera una coppia di chiavi asimmetriche usando il sistema di crittografia Rivest–Shamir-Adleman (RSA). Invia quindi la chiave pubblica al servizio cloud di reimpostazione della password self-service (SSPR), che esegue due operazioni:

1. Crea due bus di servizio di Azure inoltri per il servizio locale Microsoft Entra Connessione per comunicare in modo sicuro con il servizio
SSPR 2. Genera una chiave AES (Advanced Encryption Standard), K1

Il bus di servizio di Azure percorsi di inoltro, le chiavi del listener corrispondenti e una copia della chiave AES (K1) passa a Microsoft Entra Connessione nella risposta. Le comunicazioni future tra SSPR e Microsoft Entra Connessione si verificano tramite il nuovo canale ServiceBus e vengono crittografate tramite SSL.
Le nuove reimpostazioni della password inviate durante l'operazione vengono crittografate con la chiave pubblica RSA generata dal client durante l'onboarding. La chiave privata nel computer Microsoft Entra Connessione li decrittografa, impedendo così ai sottosistemi della pipeline di accedere alla password di testo non crittografato.
La chiave AES crittografa il payload del messaggio (password crittografate, più dati e metadati), che impedisce agli utenti malintenzionati del bus di servizio di manomettere il payload, anche con accesso completo al canale ServiceBus interno.
Per il writeback delle password, Microsoft Entra Connessione bisogno di chiavi e dati:

- La chiave AES (K1) che crittografa il payload di reimpostazione o modifica le richieste dal servizio SSPR a Microsoft Entra Connessione, tramite la pipeline
ServiceBus - La chiave privata, dalla coppia di chiavi asimmetriche che decrittografa le password, in payload di reimpostazione o modifica delle richieste
- Chiavi

del listener ServiceBus La chiave AES (K1) e la coppia di chiavi asimmetriche ruotano almeno ogni 180 giorni, una durata che è possibile modificare durante determinati eventi di configurazione di onboarding o offboarding. Un esempio è che un cliente disabilita e riabilita il writeback delle password, che può verificarsi durante l'aggiornamento dei componenti durante il servizio e la manutenzione.
Le chiavi di writeback e i dati archiviati nel database di Microsoft Entra Connessione vengono crittografati da DPAPI (Data Protection Application Programming Interface) (CALG_AES_256). Il risultato è la chiave di crittografia MASTER ADSync archiviata nell'insieme di credenziali delle credenziali di Windows nel contesto dell'account del servizio locale ADSync. L'insieme di credenziali delle credenziali di Windows fornisce la ricrittografazione automatica del segreto quando cambia la password per l'account del servizio. Per reimpostare la password dell'account del servizio invalida i segreti nell'insieme di credenziali delle credenziali di Windows per l'account del servizio. Le modifiche manuali a un nuovo account del servizio potrebbero invalidare i segreti archiviati.
Per impostazione predefinita, il servizio ADSync viene eseguito nel contesto di un account del servizio virtuale. L'account può essere personalizzato durante l'installazione in un account del servizio di dominio con privilegi minimi, un account del servizio gestito (MSA) o un account del servizio gestito del gruppo. Mentre gli account del servizio virtuale e gestito hanno una rotazione automatica delle password, i clienti gestiscono la rotazione delle password per un account di dominio con provisioning personalizzato. Come indicato, per reimpostare la password causa la perdita di segreti archiviati.
Nella posizione geografica
Servizio Registrazione dispositivi Microsoft Entra Il servizio Registrazione dispositivi Microsoft Entra dispone della gestione del ciclo di vita del computer e del dispositivo nella directory, che abilita scenari come l'accesso condizionale dello stato del dispositivo e la gestione dei dispositivi mobili. Nella posizione geografica
Provisioning di Microsoft Entra Il provisioning di Microsoft Entra crea, rimuove e aggiorna gli utenti nei sistemi, ad esempio applicazioni SaaS (Software as Service). Gestisce la creazione degli utenti in Microsoft Entra ID e AD locale da origini HR cloud, ad esempio Workday. Il servizio archivia la configurazione in un'istanza di Azure Cosmos DB, che archivia i dati di appartenenza al gruppo per la directory utente che mantiene. Cosmos DB replica il database in più data center nella stessa area del tenant, che isola i dati, in base al modello di soluzione cloud Microsoft Entra. La replica crea disponibilità elevata e più endpoint di lettura e scrittura. Cosmos DB dispone della crittografia per le informazioni sul database e le chiavi di crittografia vengono archiviate nell'archiviazione dei segreti per Microsoft. Nella posizione geografica
Collaborazione business-to-business di Microsoft Entra (B2B) Microsoft Entra B2B Collaboration non dispone di dati di directory. Gli utenti e altri oggetti directory in una relazione B2B, con un altro tenant, generano dati utente copiati in altri tenant, che potrebbero avere implicazioni sulla residenza dei dati. Nella posizione geografica
Microsoft Entra ID Protection Microsoft Entra ID Protection usa dati di accesso utente in tempo reale, con più segnali provenienti da origini aziendali e del settore, per alimentare i sistemi di Machine Learning che rilevano accessi anomali. I dati personali vengono eliminati dai dati di log in tempo reale prima che vengano passati al sistema di Machine Learning. I dati di accesso rimanenti identificano nomi utente e account di accesso potenzialmente rischiosi. Dopo l'analisi, i dati passano ai sistemi di creazione report Microsoft. Gli account di accesso a rischio e i nomi utente vengono visualizzati nella creazione di report per Amministrazione istrator. Nella posizione geografica
Identità gestite di Microsoft Entra per le risorse di Azure Le identità gestite di Microsoft Entra per le risorse di Azure con sistemi di identità gestite possono eseguire l'autenticazione ai servizi di Azure, senza archiviare le credenziali. Anziché usare nome utente e password, le identità gestite eseguono l'autenticazione ai servizi di Azure con certificati. Il servizio scrive i certificati che rilascia in Azure Cosmos DB nell'area Stati Uniti orientali, che eseguono il failover in un'altra area, in base alle esigenze. La ridondanza geografica di Azure Cosmos DB viene eseguita dalla replica globale dei dati. La replica del database inserisce una copia di sola lettura in ogni area in cui vengono eseguite le identità gestite di Microsoft Entra. Per altre informazioni, vedere Servizi di Azure che possono usare le identità gestite per accedere ad altri servizi. Microsoft isola ogni istanza di Cosmos DB in un modello di soluzione cloud Microsoft Entra.
Il provider di risorse, ad esempio l'host della macchina virtuale , archivia il certificato per l'autenticazione e i flussi di identità, con altri servizi di Azure. Il servizio archivia la chiave master per accedere ad Azure Cosmos DB in un servizio di gestione dei segreti del data center. Azure Key Vault archivia le chiavi di crittografia master.
Nella posizione geografica
Azure Active Directory B2C Azure AD B2C è un servizio di gestione delle identità per personalizzare e gestire il modo in cui i clienti eseguono l'iscrizione, l'accesso e la gestione dei profili quando usano le applicazioni. B2C usa Core Store per mantenere le informazioni sull'identità utente. Il database core store segue regole note di archiviazione, replica, eliminazione e residenza dei dati. B2C usa un sistema Azure Cosmos DB per archiviare i criteri e i segreti dei servizi. Cosmos DB dispone di servizi di crittografia e replica sulle informazioni sul database. La chiave di crittografia viene archiviata nell'archiviazione dei segreti per Microsoft. Microsoft isola le istanze di Cosmos DB in un modello di soluzione cloud Microsoft Entra. Posizione geografica selezionabile dal cliente

Per altre informazioni sulla residenza dei dati nelle offerte di Microsoft Cloud, vedere gli articoli seguenti:

Passaggi successivi