通过

为欧盟数据边界配置 Azure 非区域服务

Azure 非区域服务 (可以在 Azure 产品(按区域 )中找到完整列表) 这些服务不依赖于特定 Azure 区域,并且当前不允许客户指定部署区域。 这些服务经过架构和优化,始终作为 Azure 全球云的一部分提供。 作为满足欧盟客户数据驻留要求的欧盟数据边界承诺的一部分,许多支持它们的 Azure 平台服务和核心组件正在重新构建。 这项工作正在进行中,其中一些涉及广泛的服务和平台重构。 某些 Azure 非区域服务已完成这项工作:对于其他人,工作正在进行中,服务将在整个2025年按不同的时间表在欧盟数据边界提供。 本文档列出了已满足欧盟数据边界承诺的 Azure 非区域服务,并介绍了如何配置服务来存储和处理欧盟数据边界中的客户数据、化名个人数据和专业服务数据。 若要详细了解在欧盟数据边界之外具有剩余数据传输的 Azure 非区域服务,请参阅暂时排除在欧盟数据边界之外的服务和将客户数据子集、假名化个人数据或专业服务数据暂时移出欧盟数据边界的服务。

不处理客户数据、化名个人数据或专业服务数据的非区域服务

以下 Azure 非区域服务不存储或处理客户数据、化名个人数据或专业服务数据:

具有可按区域配置的云组件的客户设备

Azure 支持多种混合和 IoT 解决方案和设备,使你能够将 Azure 服务和功能扩展到所选的环境。 这些解决方案被视为非区域解决方案,但在购买设备后,可以配置回 Azure 的连接,以在特定地理位置存储和处理客户数据和化名个人数据。 选择欧盟位置时,客户数据和化名个人数据将存储在欧盟数据边界内并进行处理。

下面介绍了每个服务的配置详细信息。

Azure Data Box

订购 Data Box 时,可以同时指定源国家/地区和目标 Azure 区域。 Data Box 仅在与目标相同的国家/地区内支持数据引入或出口,并且不会跨越任何国际边界。 唯一的例外是欧盟订单,Data Boxes 可以运送到任何欧盟国家/地区或从任何欧盟国家/地区发货。 有关详细信息,请参阅 Azure Data Box & Azure Data Box Heavy 常见问题解答

Azure Local (以前称为 Azure Stack HCI)

(以前称为 Azure Stack HCI 群集) 注册Azure Local实例时,可以从一个受支持的基于欧盟的Azure Local区域中进行选择,该区域将连接到该区域进行注册、计费和管理。 有关详细信息,请参阅关于Azure Local版本 23H2 部署

Azure Sphere

Azure Sphere 安全服务是面向客户的全局安全服务,可实现日常证明安全验证,也是一个安全软件供应链,用于管理已启用 Azure Sphere 的客户设备的 OS 和客户提供的应用程序更新。 使用新的 区域数据边界 参数,客户现在可以指定可能包含客户数据的应用程序二进制文件由基于欧盟的 Microsoft 产品发布和安全服务 (PRSS) 签名服务签名,并存储在位于欧盟的 Azure Sphere Blob 存储中。 有关详细信息,请参阅 Azure Sphere CLI 映像命令

Azure Stack Edge

Azure Stack Edge 设备允许你选择设备将连接到的 Azure 地理位置。 Edge 数据将在此区域中存储和处理。 有关区域可用性和选择区域的详细信息,请参阅 为 Azure Stack Edge 选择区域

Azure Stack Hub

Azure Stack Hub 客户可以选择其地理首选项,以便在现有 Azure Stack Hub 部署上处理数据。 新的 Azure Stack Hub 部署可以在部署过程中设置地理区域。 Edge 数据将在此区域中存储和处理。 有关详细信息,请参阅 Azure Stack Hub 基础结构安全控制

Azure Monitor 组件

Azure Monitor 提供了一个全面的解决方案,用于从云和本地环境中收集、分析和处理系统生成的和诊断数据。 Azure Monitor 在欧盟数据边界中可用,允许在欧盟数据边界中存储和处理所有客户数据和化名个人数据,但以下部分已确定的特定方案除外,具体方案 将在临时传输客户数据子集、假名个人数据的服务中更详细地介绍, 或来自欧盟数据边界的专业服务数据

欧盟数据边界中可用的组件

指标

指标 是 Azure Monitor 的一项功能,可将受 监视资源 中的数字数据收集到时序数据库中。 指标是定期收集的数值,在特定时间描述系统的某些方面。 有关详细信息,请参阅 Azure Monitor 指标中的指标类型。 Azure Monitor 基于订阅跟踪指标,并使其可供该订阅的管理员使用。 指标不会存储或处理任何客户数据。

活动日志

每个 Azure 资源提供程序收集审核日志(也称为 活动日志),这些日志提供订阅级事件的见解。 这些日志包括某些资源类型的客户数据和化名个人数据。 源自欧盟的数据存储在欧盟,否则,这些数据将存储在全局。

诊断日志

诊断日志 提供 Azure 资源及其所依赖的 Azure 平台的详细诊断信息。 在客户将日志路由到客户选择的目标之前,不会收集这些日志。 有关详细信息,请参阅 Azure Monitor 中的诊断设置

警报和作组

警报作组 构建在 Log Analytics 工作区或 Application Insights 资源上,这两种资源都是地理对齐的。 客户发送到欧盟中的作组终结点的数据存储在欧盟中,并在触发警报以发送电子邮件、短信或电话呼叫时使用基于欧盟的短信系统。

如果完全在欧盟内部运行,此工作流将存储和处理欧盟内的所有客户数据和化名个人数据。 如果工程师在欧盟以外(例如美国东部)创建资源,并且此工作流的监视也在美国东部设置,则即使通知发送给欧盟的合作伙伴,警报工作流也会在美国运行。

Log Analytics

Log Analytics 是一项 Azure 区域服务,可在创建服务时在所选的地理位置中存储和处理所有客户数据和化名个人数据。

欧盟数据边界中不可用的组件

应用程序更改分析

应用程序更改分析基于 Azure Resource Graph来提供跨多个基础结构和应用程序部署层的更改见解。 变更分析数据目前在全球范围内存储和处理,但将来会迁移到区域模型。 有关详细信息,请参阅 将暂时转移部分客户数据、化名个人数据或专业服务数据移出欧盟数据边界的服务

欧盟数据边界中提供的其他非区域服务

所有这些服务都可以配置为在欧盟数据边界中使用。 以下部分介绍如何配置列出的非区域服务,以存储和处理欧盟数据边界中的客户数据、化名个人数据和专业服务数据。

以下部分介绍了每个服务的配置详细信息。

Azure AI 机器人服务

Azure AI 机器人服务提供了一系列库、工具和服务,可用于生成、测试、部署和管理智能机器人。 使用 Azure AI 机器人服务可以在欧盟数据边界内创建机器人,并且机器人的所有数据平面相关数据都在欧盟内部存储和处理。 客户数据和化名个人数据在欧盟数据边界中存储和处理。 有关如何将区域设置添加到机器人的详细信息,请参阅 Azure AI 机器人服务中的区域化

Azure 通信服务

创建Azure 通信服务资源时,需要指定地域 (而不是 Azure 区域) 。 所有聊天消息和资源数据都存储在该地理位置中,位于通信服务内部选择的区域。 选择欧洲地理位置或属于欧盟数据边界的国家/地区之一可确保客户数据和假名个人数据在欧盟数据边界中存储和处理,除了 传输客户数据子集、假名个人数据的服务中记录的特定剩余传输之外, 或来自欧盟数据边界的专业服务数据持续存在。 有关详细信息,请参阅Azure 通信服务的区域可用性和数据驻留

Azure Local 上的Azure Kubernetes 服务

Azure Kubernetes 服务Azure Local将数据发送到配置群集时选择的区域。 任何包含的客户数据都在此区域中存储和处理。

Azure Migrate

创建 Azure Migrate 项目时,指定地域 (而不是 Azure 区域) 。 从本地环境收集的所有元数据都安全地存储和处理在创建项目的位置。 在欧盟中选择地理位置可确保在欧盟数据边界中存储和处理数据。 有关与每个地理位置关联的特定元数据位置,请参阅 Azure Migrate 支持的地理位置。 有关详细信息,请参阅 Azure Migrate 设备常见问题:如何存储数据

Azure 资源管理器

Azure 资源管理器是 Azure 的部署和管理服务。 为了提供最大的可用性和性能,Azure 资源管理器在 Azure 云中全局分发它存储和处理的所有数据。 为了支持欧盟数据边界和Microsoft的区域数据驻留承诺,重新构建了 Azure 资源管理器,允许客户在欧盟存储和处理客户数据和假名个人数据,但以下部分已确定并更详细地介绍的特定方案除外将客户数据子集、化名个人数据或专业服务数据暂时移出欧盟数据边界的服务

若要在欧盟数据边界中存储 Azure 的专业服务数据,客户必须将 Azure 资源管理器配置为欧盟数据边界。 客户可以通过为新预配的租户配置租户级数据边界配置欧盟数据边界的 Azure 资源管理器。 只能在没有现有订阅或部署资源的新租户中配置欧盟数据边界。 选择加入欧盟数据边界的租户后,无法删除或修改欧盟数据边界配置。 在具有欧盟数据边界配置的租户下创建的订阅和资源不能移出该租户。 现有订阅和资源不能移动到具有欧盟数据边界配置的租户中。 每个租户仅限于一个欧盟数据边界配置,Azure 资源管理器会将资源部署限制为欧盟数据边界内的区域。 有关分步配置详细信息,请参阅 配置数据边界

Azure 虚拟桌面

创建新的 Azure 虚拟桌面 主机池时,可以指定创建该主机池元数据的 Azure 区域。 这将确定与主机池关联的信息的存储位置,其中包括主机池或应用程序名称。 如果选择任一欧盟区域,则仅在欧盟内部存储和处理此数据。 Microsoft不会控制或限制你或用户可从中访问其 Azure 虚拟桌面虚拟机的位置。 有关详细信息,请参阅 Azure 虚拟桌面的数据位置。 客户管理员还可以通过 外围设备和资源重定向配置文件到本地设备的传输。

Azure VM 映像生成器

Azure VM Builder:对于在欧盟区域创建的虚拟机 (VM) 映像模板,在欧盟中存储和处理数据。 有关详细信息,请参阅 创建 Azure 映像生成器 Bicep 文件或 ARM JSON 模板

Cloud Shell

Cloud Shell是用于管理 Azure 资源的交互式、经过身份验证的、浏览器可访问的终端。 Cloud Shell允许通过在“欧盟数据边界”中选择Cloud Shell区域,在欧盟数据边界内创建新存储。 客户数据不在Cloud Shell中存储或处理,除服务中记录的特定剩余传输外,化名个人数据在欧盟数据边界中存储和处理,这些传输将暂时将部分客户数据、假名化个人数据或专业服务数据移出欧盟数据边界。 有关详细信息,请参阅在 Azure Cloud Shell中保存文件

Microsoft Entra ID和 Azure Active Directory B2C

Microsoft Entra IDAzure Active Directory B2C:Microsoft Entra租户包含用于管理用户的目录,并为组织使用的应用程序和资源提供标识和访问管理 (IAM) 功能。 创建Microsoft Entra租户时,需要指定地理位置 (而不是 Azure 区域) 作为位置。 选择属于欧盟数据边界的一部分的位置时,客户数据和假名化个人数据将存储在欧盟数据边界中并进行处理,但以下位置中记录的特定剩余传输则不在此列:

有关详细信息,请参阅快速入门:在 Microsoft Entra ID 中创建新租户。 可以通过Microsoft Entra 管理中心验证Microsoft Entra目录数据位置,方法是导航到“属性”页并确保关联的国家或地区值是“欧盟数据边界”的一部分。

Microsoft Fabric

对于 Microsoft Fabric,托管客户服务租户的地理区域 (Geo) 由注册的第一个用户确定。 有关详细信息,请参阅 Power BI 实现规划:租户设置。 客户可以通过在欧盟数据中心位置预配其租户和所有 Microsoft Fabric 容量,将其服务配置为在欧盟数据边界范围内。 客户数据和化名个人数据在欧盟数据边界中存储和处理,除了服务中记录的特定剩余传输,这些传输将 客户数据子集、假名化个人数据或专业服务数据持续传输到欧盟数据边界之外。

Fabric 还允许在创建新的 Microsoft Fabric 容量时选择存储客户数据的 Azure 区域。 列出的默认选项是租户主区域。 如果选择该区域,则所有关联的数据(包括客户数据)都存储在该地理位置中。 如果选择其他区域,则某些客户数据仍存储在主地理位置中。 通过选择欧盟中的区域,客户数据将存储在欧盟数据边界中。

Power BI Embedded

Power BI Embedded分析可让你在 Web 应用程序或网站中嵌入 Power BI 项,例如报表、仪表板和磁贴。 创建新的Power BI Embedded资源时,可以选择要存储容量的工作区数据和内容的 Azure 区域。 列出的默认选项是租户主区域;如果选择该区域,则所有数据和内容将存储在该地理位置中。 如果选择其他区域,某些数据和内容仍存储在主地理位置中。

在线翻译

对于要求在欧盟内存储和处理数据的客户, Azure AI Translator 提供了欧洲终结点 (api-eur.cognitive.microsofttranslator.com) 。 使用欧洲翻译器终结点时,请求仅由欧盟数据边界内的数据中心处理。 如果欧盟数据边界内没有可用的数据中心,则不会处理请求,并返回错误。 发送到欧洲终结点的所有请求仅在欧盟进行处理,即使请求源自欧盟以外。 有关详细信息,请参阅 翻译器 v3.0 参考