ID do Microsoft Entra e residência de dados

O Microsoft Entra ID é uma solução de Identidade como Serviço (IDaaS) que armazena e gerencia dados de identidade e acesso na nuvem. Você pode usar os dados para habilitar e gerenciar o acesso a serviços de nuvem, alcançar cenários de mobilidade e proteger sua organização. Uma instância do serviço Microsoft Entra, chamada de locatário, é um conjunto isolado de dados de objeto de diretório que o cliente provisiona e possui.

Loja Principal

O Core Store é composto por locatários armazenados em unidades de escala, cada um dos quais contém vários locatários. As operações de atualização ou recuperação de dados no Microsoft Entra Core Store estão relacionadas a um único locatário, com base no token de segurança do usuário, que alcança o isolamento do locatário. As unidades de escala são atribuídas a uma geolocalização. Cada localização geográfica usa duas ou mais regiões do Azure para armazenar os dados. Em cada região do Azure, os dados de uma unidade de escala são replicados nos data centers físicos para resiliência e desempenho.

Saiba mais: Microsoft Entra Core Store Scale Units

O Microsoft Entra ID está disponível nas seguintes nuvens:

  • Pública
  • China
  • Governo dos EUA

Na nuvem pública, você será solicitado a selecionar um local no momento da criação do locatário (por exemplo, inscrevendo-se no Office 365 ou no Azure ou criando mais instâncias do Microsoft Entra por meio do portal do Azure). O Microsoft Entra ID mapeia a seleção para uma localização geográfica e uma unidade de escala única nela. A localização do inquilino não pode ser alterada depois de definida.

O local selecionado durante a criação do locatário será mapeado para uma das seguintes localizações geográficas:

  • Austrália
  • Ásia/Pacífico
  • Europa, Oriente Médio e África (EMEA)
  • Japão
  • América do Norte
  • Mundial

O Microsoft Entra ID lida com dados do Repositório Principal com base na usabilidade, desempenho, residência e/ou outros requisitos com base na localização geográfica. O Microsoft Entra ID replica cada locatário por meio de sua unidade de escala, em data centers, com base nos seguintes critérios:

  • Dados do Microsoft Entra Core Store, armazenados em data centers mais próximos do local de residência do locatário, para reduzir a latência e fornecer tempos de entrada rápidos do usuário
  • Dados do Microsoft Entra Core Store armazenados em data centers geograficamente isolados para garantir a disponibilidade durante eventos catastróficos imprevistos de um único datacenter
  • Conformidade com requisitos de residência de dados, ou outros requisitos, para clientes específicos e geo-localizações

Modelos de solução de nuvem Microsoft Entra

Use a tabela a seguir para ver os modelos de solução de nuvem do Microsoft Entra com base em infraestrutura, localização de dados e soberania operacional.

Modelo Localizações Localização de dados Pessoal de operações Coloque um inquilino neste modelo
Geo localização pública América do Norte, EMEA, Japão, Ásia/Pacífico Em repouso, no local de destino. Exceções por serviço ou funcionalidade Operado pela Microsoft. O pessoal do datacenter da Microsoft deve passar por uma verificação de antecedentes. Crie o locatário na experiência de inscrição. Escolha o local para residência de dados.
Público em todo o mundo Mundial Todas as localizações Operado pela Microsoft. O pessoal do datacenter da Microsoft deve passar por uma verificação de antecedentes. Criação de locatários disponível através do canal de suporte oficial e sujeito ao critério da Microsoft.
Nuvens soberanas ou nacionais Governo dos EUA, China Em repouso, no local de destino. Sem exceções. Operado por um depositário de dados (1). O pessoal é rastreado de acordo com os requisitos. Cada instância de nuvem nacional tem uma experiência de inscrição.

Referências de tabelas:

(1) Guardiões de dados: Os centros de dados na nuvem do governo dos EUA são operados pela Microsoft. Na China, o Microsoft Entra ID é operado através de uma parceria com a 21Vianet.

Saiba mais:

Residência de dados nos componentes do Microsoft Entra

Saiba mais: Visão geral do produto Microsoft Entra

Nota

Para entender o local dos dados do serviço, como o Exchange Online ou o Skype for Business, consulte a documentação do serviço correspondente.

Componentes do Microsoft Entra e local de armazenamento de dados

Componente Microsoft Entra Descrição Local de armazenamento de dados
Serviço de autenticação Microsoft Entra Este serviço é apátrida. Os dados para autenticação estão no Microsoft Entra Core Store. Não tem dados de diretório. O Serviço de autenticação do Microsoft Entra gera dados de log no armazenamento do Azure e no data center onde a instância de serviço é executada. Quando os usuários tentam se autenticar usando a ID do Microsoft Entra, eles são roteados para uma instância no data center geograficamente mais próximo que faz parte de sua região lógica do Microsoft Entra. Em geolocalização
Serviços de gerenciamento de identidade e acesso (IAM) do Microsoft Entra Experiências de usuário e gerenciamento: a experiência de gerenciamento do Microsoft Entra é sem monitoração de estado e não tem dados de diretório. Ele gera dados de log e uso armazenados no armazenamento de Tabelas do Azure. A experiência do usuário é como o portal do Azure.
Lógica de negócios de gerenciamento de identidades e serviços de relatórios: esses serviços têm armazenamento de dados em cache local para grupos e usuários. Os serviços geram dados de log e uso que vão para o armazenamento de Tabelas do Azure, SQL do Azure e nos serviços de relatório do Microsoft Elastic Search.
Em geolocalização
Autenticação multifator Microsoft Entra Para obter detalhes sobre armazenamento e retenção de dados de operações MFA, consulte Residência de dados e dados do cliente para autenticação multifator do Microsoft Entra. A autenticação multifator do Microsoft Entra registra o UPN (Nome Principal do Usuário), números de telefone de chamadas de voz e desafios de SMS. Para desafios aos modos de aplicativo móvel, o serviço registra o UPN e um token de dispositivo exclusivo. Os data centers na região da América do Norte armazenam a autenticação multifator do Microsoft Entra e os logs que ela cria. América do Norte
Microsoft Entra Domain Services Veja as regiões onde os Serviços de Domínio Microsoft Entra são publicados em Produtos disponíveis por região. O serviço contém metadados do sistema globalmente nas Tabelas do Azure e não contém dados pessoais. Em geolocalização
Estado de Funcionamento do Microsoft Entra Connect O Microsoft Entra Connect Health gera alertas e relatórios no armazenamento de Tabelas do Azure e no armazenamento de blobs. Em geolocalização
Associação dinâmica do Microsoft Entra para grupos, gerenciamento de grupos de autoatendimento do Microsoft Entra O armazenamento de Tabelas do Azure contém definições de regras de associação dinâmicas. Em geolocalização
Proxy de aplicativo Microsoft Entra O proxy de aplicativo Microsoft Entra armazena metadados sobre o locatário, máquinas conectoras e dados de configuração no Azure SQL. Em geolocalização
Write-back de senha do Microsoft Entra no Microsoft Entra Connect Durante a configuração inicial, o Microsoft Entra Connect gera um par de chaves assimétricas, usando o sistema criptográfico Rivest–Shamir–Adleman (RSA). Em seguida, ele envia a chave pública para o serviço de nuvem de redefinição de senha de autoatendimento (SSPR), que executa duas operações:

1. Cria duas retransmissões do Barramento de Serviço do Azure para que o serviço local Microsoft Entra Connect se comunique com segurança com o serviço
SSPR 2. Gera uma chave AES (Advanced Encryption Standard), K1 Os locais de retransmissão do Barramento de Serviço do Azure, as chaves de ouvinte correspondentes e uma cópia da chave AES (K1

) vão para o Microsoft Entra Connect na resposta. Comunicações futuras entre SSPR e Microsoft Entra Connect ocorrem através do novo canal ServiceBus e são criptografadas usando SSL.
Novas redefinições de senha, enviadas durante a operação, são criptografadas com a chave pública RSA gerada pelo cliente durante a integração. A chave privada na máquina Microsoft Entra Connect os descriptografa, o que impede que os subsistemas de pipeline acessem a senha de texto sem formatação.
A chave AES criptografa a carga útil da mensagem (senhas criptografadas, mais dados e metadados), o que impede que invasores mal-intencionados do ServiceBus adulterem a carga, mesmo com acesso total ao canal interno do ServiceBus.
Para write-back de senha, o Microsoft Entra Connect precisa de chaves e dados:

- A chave AES (K1) que criptografa a carga útil de redefinição, ou alterar solicitações do serviço SSPR para o Microsoft Entra Connect, através do pipeline
ServiceBus - A chave privada, do par de chaves assimétricas que descriptografa as senhas, em redefinir ou alterar cargas
úteis de solicitação - As chaves

de ouvinte do ServiceBus A chave AES (K1) e o par de chaves assimétrico giram no mínimo a cada 180 dias, uma duração que pode ser alterada durante determinados eventos de configuração de integração ou desembarque. Um exemplo é que um cliente desabilita e reativa o write-back de senha, o que pode ocorrer durante a atualização do componente durante o serviço e a manutenção.
As chaves de write-back e os dados armazenados no banco de dados do Microsoft Entra Connect são criptografados por interfaces de programação de aplicativos de proteção de dados (DPAPI) (CALG_AES_256). O resultado é a chave de criptografia ADSync mestre armazenada no Cofre de Credenciais do Windows no contexto da conta de serviço local ADSync. O Cofre de Credenciais do Windows fornece recriptografia automática de segredo à medida que a senha da conta de serviço é alterada. Para redefinir a senha da conta de serviço, invalida segredos no Cofre de Credenciais do Windows para a conta de serviço. Alterações manuais em uma nova conta de serviço podem invalidar os segredos armazenados.
Por padrão, o serviço ADSync é executado no contexto de uma conta de serviço virtual. A conta pode ser personalizada durante a instalação para uma conta de serviço de domínio com privilégios mínimos, uma conta de serviço gerenciado (MSA) ou uma conta de serviço gerenciado de grupo (gMSA). Enquanto as contas de serviço virtuais e gerenciadas têm rotação automática de senhas, os clientes gerenciam a rotação de senhas para uma conta de domínio provisionada personalizada. Como observado, redefinir a senha causa perda de segredos armazenados.
Em geolocalização
Serviço de Registo de Dispositivos Microsoft Entra O Serviço de Registro de Dispositivos do Microsoft Entra tem gerenciamento do ciclo de vida do computador e do dispositivo no diretório, o que permite cenários como Acesso Condicional do estado do dispositivo e gerenciamento de dispositivos móveis. Em geolocalização
Provisionamento do Microsoft Entra O provisionamento do Microsoft Entra cria, remove e atualiza usuários em sistemas, como aplicativos SaaS (software como serviço). Ele gerencia a criação de usuários no Microsoft Entra ID e no AD local a partir de fontes de RH na nuvem, como o Workday. O serviço armazena sua configuração em um Azure Cosmos DB, que armazena os dados de associação de grupo para o diretório de usuário que ele mantém. O Cosmos DB replica o banco de dados para vários datacenters na mesma região do locatário, o que isola os dados, de acordo com o modelo de solução em nuvem Microsoft Entra. A replicação cria alta disponibilidade e vários pontos de extremidade de leitura e gravação. O Cosmos DB tem criptografia nas informações do banco de dados e as chaves de criptografia são armazenadas no armazenamento de segredos da Microsoft. Em geolocalização
Colaboração entre empresas (B2B) do Microsoft Entra A colaboração B2B do Microsoft Entra não tem dados de diretório. Usuários e outros objetos de diretório em um relacionamento B2B, com outro locatário, resultam em dados de usuário copiados em outros locatários, o que pode ter implicações de residência de dados. Em geolocalização
Proteção de ID do Microsoft Entra O Microsoft Entra ID Protection usa dados de login do usuário em tempo real, com vários sinais de fontes da empresa e do setor, para alimentar seus sistemas de aprendizado de máquina que detetam logins anômalos. Os dados pessoais são eliminados dos dados de início de sessão em tempo real antes de serem passados para o sistema de aprendizagem automática. Os restantes dados de início de sessão identificam nomes de utilizador e inícios de sessão potencialmente arriscados. Após a análise, os dados vão para os sistemas de relatórios da Microsoft. Logins e nomes de usuário arriscados aparecem nos relatórios para administradores. Em geolocalização
Identidades gerenciadas do Microsoft Entra para recursos do Azure As identidades gerenciadas do Microsoft Entra para recursos do Azure com sistemas de identidades gerenciadas podem se autenticar nos serviços do Azure, sem armazenar credenciais. Em vez de usar nome de usuário e senha, as identidades gerenciadas são autenticadas nos serviços do Azure com certificados. O serviço grava certificados que emite no Azure Cosmos DB na região Leste dos EUA, que fazem failover para outra região, conforme necessário. A redundância geográfica do Azure Cosmos DB ocorre pela replicação global de dados. A replicação de banco de dados coloca uma cópia somente leitura em cada região executada pelas identidades gerenciadas do Microsoft Entra. Para saber mais, consulte Serviços do Azure que podem usar identidades gerenciadas para acessar outros serviços. A Microsoft isola cada instância do Cosmos DB em um modelo de solução de nuvem Microsoft Entra.
O provedor de recursos, como o host da máquina virtual (VM), armazena o certificado para autenticação e fluxos de identidade com outros serviços do Azure. O serviço armazena sua chave mestra para acessar o Azure Cosmos DB em um serviço de gerenciamento de segredos de datacenter. O Azure Key Vault armazena as chaves mestras de criptografia.
Em geolocalização
Azure Active Directory B2C O Azure AD B2C é um serviço de gerenciamento de identidades para personalizar e gerenciar como os clientes se inscrevem, entram e gerenciam seus perfis ao usar aplicativos. O B2C usa o Core Store para manter as informações de identidade do usuário. O banco de dados do Repositório Principal segue regras conhecidas de armazenamento, replicação, exclusão e residência de dados. O B2C usa um sistema Azure Cosmos DB para armazenar políticas de serviço e segredos. O Cosmos DB tem serviços de criptografia e replicação em informações de banco de dados. Sua chave de criptografia é armazenada no armazenamento de segredos para a Microsoft. A Microsoft isola instâncias do Cosmos DB em um modelo de solução de nuvem Microsoft Entra. Localização geográfica selecionável pelo cliente

Para obter mais informações sobre residência de dados em ofertas do Microsoft Cloud, consulte os seguintes artigos:

Próximos passos