Multi-Faktor-Authentifizierung von Microsoft Entra: Datenresidenz und Kundendaten
Microsoft Entra ID speichert Kundendaten an einem geografischen Ort, der auf der Adresse basiert, die eine Organisation beim Abonnieren eines Microsoft-Onlinediensts wie Microsoft 365 oder Azure angibt. Informationen darüber, wo Ihre Kundendaten gespeichert werden, finden Sie im Microsoft Trust Center im Abschnitt Wo wir Ihre Daten speichern.
Von der cloudbasierten Multi-Faktor-Authentifizierung mit Microsoft Entra und von MFA Server werden personen- und organisationsbezogene Daten verarbeitet und gespeichert. In diesem Artikel wird beschrieben, welche Daten wo gespeichert werden.
Der Dienst „Multi-Faktor-Authentifizierung von Microsoft Entra“ nutzt Rechenzentren in den USA, Europa und der Region „Asien-Pazifik“. Sofern nicht anderes angegeben, erfolgen die folgenden Aktivitäten in den regionalen Rechenzentren:
- SMS und Telefonanrufe zur Multi-Faktor-Authentifizierung stammen aus Rechenzentren in der Region des Kunden und werden von globalen Netzbetreibern weitergeleitet. Telefonanrufe mit benutzerspezifischen Begrüßungen stammen immer aus Rechenzentren in den USA.
- Universelle Benutzerauthentifizierungsanforderungen aus anderen Regionen werden aktuell abhängig vom Standort des Benutzers verarbeitet.
- Von der App „Microsoft Authenticator“ gesendete Pushbenachrichtigungen werden derzeit in den regionalen Rechenzentren basierend auf dem Standort des Benutzers verarbeitet. Anbieterspezifische Gerätedienste wie z. B. Apple Push Notification Service oder Google Firebase Cloud Messaging befinden sich möglicherweise außerhalb des Standorts des Benutzers.
Von der Multi-Faktor-Authentifizierung von Microsoft Entra gespeicherte personenbezogene Daten
Bei personenbezogenen Daten handelt es sich um Informationen auf Benutzerebene, die einer bestimmten Person zugeordnet sind. Die folgenden Datenspeicher enthalten persönliche Informationen:
- Blockierte Benutzer
- Umgangene Benutzer
- Änderungsanforderungen für Microsoft Authenticator-Gerätetoken
- Aktivitätsberichte für die Multi-Faktor-Authentifizierung – Speichern der Aktivität bei der Multi-Faktor-Authentifizierung aus den lokalen Komponenten der Multi-Faktor-Authentifizierung: NPS-Erweiterung, AD FS-Adapter und MFA-Server.
- Microsoft Authenticator-Aktivierungen
Diese Informationen werden 90 Tage lang aufbewahrt.
Die Multi-Faktor-Authentifizierung von Microsoft Entra protokolliert keine personenbezogenen Daten, wie Benutzernamen, Telefonnummern oder IP-Adressen. Allerdings werden anhand von UserObjectId Authentifizierungsversuche von Benutzern erkannt. Protokolldaten werden für 30 Tage gespeichert.
Von der Multi-Faktor-Authentifizierung von Microsoft Entra gespeicherte Daten
Für öffentliche Azure-Clouds, mit Ausnahme der Azure AD B2C-Authentifizierung, der NPS-Erweiterung und des AD FS-Adapters (Active Directory Federation Services, Active Directory-Verbunddienste) für Windows Server 2016 oder 2019, werden die folgenden personenbezogenen Daten gespeichert:
| Ereignistyp | Datenspeichertyp |
|---|---|
| OATH-Token | Multi-Factor Authentication-Protokolle |
| Unidirektionale SMS | Multi-Factor Authentication-Protokolle |
| Anruf | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle Blockierte Benutzer (bei Betrugsmeldung) |
| Microsoft Authenticator-Benachrichtigung | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle Blockierte Benutzer (bei Betrugsmeldung) Änderungsanforderungen bei Änderung des Microsoft Authenticator-Gerätetokens |
Für Microsoft Azure Government, Microsoft Azure (betrieben von 21Vianet), die Azure AD B2C-Authentifizierung, NPS-Erweiterung und AD FS-Adapter für Windows Server 2016 oder 2019 werden die folgenden personenbezogenen Daten gespeichert:
| Ereignistyp | Datenspeichertyp |
|---|---|
| OATH-Token | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle |
| Unidirektionale SMS | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle |
| Anruf | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle Blockierte Benutzer (bei Betrugsmeldung) |
| Microsoft Authenticator-Benachrichtigung | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle Blockierte Benutzer (bei Betrugsmeldung) Änderungsanforderungen bei Änderung des Microsoft Authenticator-Gerätetokens |
Daten, die von MFA Server gespeichert werden
Wenn Sie MFA Server nutzen, werden die folgenden personenbezogenen Daten gespeichert.
Wichtig
Im September 2022 hat Microsoft angekündigt, dass die Unterstützung von Microsoft Azure Multi-Factor Authentication-Server eingestellt wird. Ab dem 30. September 2024 werden Bereitstellungen von Azure Multi-Factor Authentication-Server keine Anforderungen für die Multi-Faktor-Authentifizierung mehr bedienen. Dies könnte dazu führen, dass bei Authentifizierungen in Ihrer Organisation Fehler auftreten. Um unterbrechungsfreie Authentifizierungsdienste sicherzustellen und in einem unterstützten Zustand zu verbleiben, sollten Organisationen mithilfe des neuesten Migrationshilfsprogramms, das im aktuellsten Azure MFA-Server-Update enthalten ist, die Authentifizierungsdaten ihrer Benutzer zum cloudbasierten Azure MFA-Dienst migrieren. Weitere Informationen finden Sie unter Azure MFA-Server-Migration.
| Ereignistyp | Datenspeichertyp |
|---|---|
| OATH-Token | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle |
| Unidirektionale SMS | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle |
| Anruf | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle Blockierte Benutzer (bei Betrugsmeldung) |
| Microsoft Authenticator-Benachrichtigung | Multi-Factor Authentication-Protokolle Multi-Factor Authentication-Protokolle Blockierte Benutzer (bei Betrugsmeldung) Änderungsanforderungen bei Änderung des Microsoft Authenticator-Gerätetokens |
Von der Multi-Faktor-Authentifizierung von Microsoft Entra gespeicherte organisationsbezogene Daten
Organisationsdaten sind Informationen auf Mandantenebene, die die Konfiguration oder Einrichtung der Umgebung verfügbar machen können. In den Mandanteneinstellungen können auf den Seiten zur Multi-Faktor-Authentifizierung Organisationsdaten wie Informationen zu Sperrschwellenwerten oder zur Anruferkennung für eingehende telefonische Authentifizierungsanforderungen gespeichert sein:
- Kontosperrung
- Betrugswarnung
- Benachrichtigungen
- Einstellungen für Telefonanruf
Für den MFA-Server können die folgenden Seiten Organisationsdaten enthalten:
- Servereinstellungen
- Einmalumgehung
- Cacheregeln
- Status des Multi-Factor Authentication-Servers
Aktivitätsberichte für die mehrstufige Authentifizierung für die öffentliche Cloud
Aktivitätsberichte für die mehrstufige Authentifizierung speichern Aktivitäten aus den lokalen Komponenten der mehrstufigen Authentifizierung: NPS-Erweiterung, AD FS-Adapter und MFA-Server. Die Multi-Factor Authentication-Dienstprotokolle werden zum Betrieb des Diensts verwendet. Die folgenden Abschnitte zeigen, wo Aktivitätsberichte und Dienstprotokolle für bestimmte Authentifizierungsmethoden für die jeweiligen Komponenten in verschiedenen Kundenregionen gespeichert werden. Standard-Sprachanrufe können per Failover auf eine andere Region umgeleitet werden.
Hinweis
Die Multi-Factor Authentication-Aktivitätsberichte enthalten personenbezogene Daten, etwa den Benutzerprinzipalnamen (User Principal Name, UPN) und die vollständige Telefonnummer.
MFA-Server und cloudbasierte MFA
| Komponente | Authentifizierungsmethode | Kundenregion | Speicherort des Aktivitätsberichts | Speicherort des Dienstprotokolls |
|---|---|---|---|---|
| MFA-Server | Alle Methoden | Any | USA | MFA-Back-End in den USA |
| Cloud-MFA | Alle Methoden | Beliebig | Microsoft Entra-Anmeldeprotokolle in der Region | Cloud in Region |
Aktivitätsberichte für die mehrstufige Authentifizierung für Sovereign Clouds
Die folgende Tabelle enthält den Speicherort für Dienstprotokolle für Sovereign Clouds:
| Sovereign Cloud | Anmeldeprotokolle | Multi-Factor Authentication-Aktivitätsbericht | Multi-Factor Authentication-Dienstprotokolle |
|---|---|---|---|
| Microsoft Azure von 21Vianet | China | USA | USA |
| Microsoft Government Cloud | USA | USA | USA |
Nächste Schritte
Weitere Informationen zu Benutzerinformationen, die bei der cloudbasierten Multi-Faktor-Authentifizierung von Microsoft Entra und von MFA-Server gesammelt werden, finden Sie unter Multi-Faktor-Authentifizierung von Microsoft Entra: Benutzerdatensammlung.