Azure 中的数据驻留

概述

数据安全性和 GDPR 符合性

作为客户，你可以保留客户数据的所有权，即你提供的存储和托管在 Azure 服务中的内容、个人数据和其他数据。还可以控制要在哪些其他地理区域部署解决方案或复制数据。

如果服务的功能需要全球数据复制，请参阅下面提供的详细信息。

数据安全

Microsoft 使用多层安全和加密协议来保护数据。 简要了解 Microsoft 如何使用加密来保护数据。

默认情况下，Microsoft 托管密钥会保护你的数据，并始终使用符合 FIPS 140-2 的加密协议来加密保留在任何物理媒体上的客户数据。客户还可以使用客户管理的密钥 (CMK) 双加密和/或硬件安全模块 (HSM) 来加强数据保护。

使用 IEEE 802.1AE MAC 安全标准保护在数据中心之间移动的所有数据流量，以防止物理"中间人"攻击。为了保持复原能力，Microsoft 使用了有时跨越地区边界的可变网络路径，但区域之间的客户数据复制始终通过加密的网络连接进行传输。

另外，为了最大限度地减少隐私风险，Microsoft 会生成匿名标识符，让 Microsoft 能够提供全球的云服务（包括运营和改进服务、计费和欺诈防护）。在所有情况下，匿名标识符均无法用于直接标识个人，并且如上所述，对标识个人身份的客户数据的访问始终受到保护。

选择地理位置

大多数 Azure 服务支持指定存储和处理客户数据的区域。Microsoft 可以复制到其他区域以获得数据复原能力，但 Microsoft 不会存储或处理所选地区之外的客户数据。你和你的用户可从全球任何位置移动、复制或访问你的客户数据。

下载列表

*在某些情况下，某些服务的数据可能存储在指定的区域之外。有关详细信息，请参阅此页上的详细信息。

数据驻留

有关详细信息，请下载“选择地理位置”下的图表。

合规性

详细了解全球适用和区域合规性产品/服务。

产品可用性

要了解产品可用性，请访问可用产品（按区域）。

详细信息

有关客户数据位置的详细信息

适用于区域服务的数据存储

大多数 Azure 服务的部署是区域性的，并支持客户指定将在其中部署服务的区域。此类 Azure 服务的示例包括虚拟机、存储器和 SQL 数据库等。有关区域性服务的完整列表，请查看产品可用性（按区域）。

Microsoft 不会在未经你授权的情况下在客户指定的地理位置以外存储或处理客户数据。

Microsoft 可能会在给定地理位置内的区域之间复制客户数据，以实现数据冗余或其他操作目的。例如，异地冗余存储将在同一地理位置内的两个区域之间复制 Blob、文件、队列和表数据，以在主要数据中心发生灾难时增强数据的持续性。

在该地理位置以外的 Microsoft 人员（包括次级处理者）可以远程操作该地理位置中的数据处理系统，但不会在未经你授权的情况下访问客户数据。

以下服务可能会在指定地理位置以外存储或处理某些数据：

Azure 云服务，它会将 Web 角色和辅助角色软件部署包备份到美国，而无论部署区域如何。
Azure 数据资源管理器 (ADX) 会在有限时间内将部分使用情况数据和服务跟踪存储在位于欧盟的中心群集上。
语言理解，可能会基于客户使用的创作区域将活动学习数据存储在美国、欧洲或澳大利亚。 了解详细信息
Azure 机器学习，可以存储客户提供的资产名称（如工作区名称、资源组名称、试验名称、文件名称和图像名称）的自由文本和试验执行参数（在美国也称为试验元数据）以进行调试。
Azure Databricks 可将以下标识信息存储在美国，以向客户提供帐户和访问管理功能：用户名、名字、姓氏和电子邮件地址。此数据存储在美国，以支持全局 Azure Databricks 平台。
Azure 串行控制台，它将所有静态客户数据存储在客户选择的地理位置，但在通过 Azure 门户使用时，可能会在该地理位置之外处理控制台命令和响应，以实现在门户内提供控制台体验的唯一目的。
Azure OpenAI 服务，它将所有客户静态数据存储在客户选择的地理位置（此处所述的有限微调方案除外），但 (i) 对于标记为“全局”的任何模型部署类型，可以在任何 Azure OpenAI 区域全局处理该部署的输出和发送到该部署的提示和完成，以便进行推理或微调，以及 (ii) 对于标记为“DataZone”的任何模型部署类型，可以在指定的数据区域内处理该部署的输出和发送到该部署的提示和完成，以便如 Microsoft 所定义的，进行推理或微调。为微调模型选择“全局”或“DataZone”部署类型时，训练数据、验证数据和/或自定义模型权重可能会暂时存储在所选地理位置之外。了解详细信息
当客户将选择的服务配置到 Azure 扩展区域时，Microsoft 将在 Azure 扩展区域中存储和处理他们的客户数据。如果客户选择与指定地理位置位于不同国家/地区的 Azure 扩展区域，则客户数据将存储在扩展区域位置并进行处理。
预览版、Beta 版或其他预发布服务，它们通常将客户数据存储在美国，但也可能存储在全球各地。

单个区域中的客户数据

客户可以配置以下 Azure 服务、层级或计划，以仅在新加坡、香港特别行政区或巴西南部的单个区域中存储客户数据：

其他资源

非区域性服务的数据存储

某些 Azure 服务不支持客户指定服务的部署区域。除非另行指定，否则这些服务可以在 Azure 公共区域的任何 Microsoft 数据中心内存储或处理客户数据。

Azure 内容分发网络，可提供全球缓存服务并将客户数据存储在全球边缘位置。 Azure CDN POP 位置（按区域）。
Microsoft Entra ID（以前称为 Azure Active Directory）作为非区域服务并根据客户要求（包括可用性和可伸缩性）运行，可以在全球范围内存储 Microsoft Entra 目录数据。 了解详细信息。
Microsoft Defender for Cloud，可以将从客户资源（如虚拟机或 Azure AD 租户）收集或与之关联的客户安全相关数据的副本存储在：
(a) 该资源所在的同一地理位置（除 Microsoft 尚未部署 Microsoft Defender for Cloud 的地理位置以外，在这种情况下，此类数据的副本将存储在美国）；以及
(b) 如果 Microsoft Defender for Cloud 使用其他 Microsoft 联机服务来处理此类数据，它可能会根据该联机服务的地理位置规则来存储此类数据。
（c）如果客户在欧盟或美国预配其租户，Microsoft 将仅在该地理位置存储客户静态数据。
(d) (a) 和 (c) 中的地理位置承诺不适用于以下功能：安全解决方案 (WAF)。
Microsoft Defender for IoT 可以使用其他 Microsoft 联机服务处理与安全相关的客户数据，此数据可以根据该其他联机服务的地理位置规则进行存储。
创建新的 Microsoft Fabric 容量时，Microsoft Fabric 允许选择存储客户数据的 Azure 区域。列出的默认选项是用户的租户主区域；如果用户选择该区域，则将在该地理位置存储所有关联的数据（包括客户数据）。如果用户选择其他区域，则一些客户数据仍将保留在主地理位置。 了解详细信息。
提供全球路由功能但无法自行处理或存储客户数据的服务。这包括 Azure 流量管理器和 Azure DNS，前者在不同的区域之间提供负载均衡，后者则提供路由到不同区域的域名服务。

有关非区域性服务的完整列表，请查看产品可用性（按区域）并选择“非区域性”。

其他资源

后续步骤

选择适合你的 Azure 帐户

即付即用或免费试用 Azure 最多 30 天。

开始使用 Azure

Azure 解决方案

Azure 云解决方案

通过经认证的 Azure 云服务组合，结合示例体系结构和文档来解决业务问题。

探索 Azure 解决方案

业务解决方案中心

查找合适的 Microsoft Cloud 解决方案

探索 Microsoft 业务解决方案中心，查找可帮助组织实现目标的产品和解决方案。

探索 Microsoft 解决方案

[1]
默认情况下，目前仅在亚太地区的东南亚区域（新加坡）和巴西地区的巴西南部（圣保罗州）区域提供单一区域数据驻留。对于其他所有区域，客户数据存储在地理位置中。
[2]
默认情况下，目前仅在亚太地区的东南亚区域（新加坡）提供单一区域数据驻留。对于其他所有区域，客户数据存储在地理位置中。
[3]
Azure Databricks 可将以下标识信息存储在美国，以向客户提供帐户和访问管理功能：用户名、名字、姓氏和电子邮件地址。此数据存储在美国，以支持全局 Azure Databricks 平台。目前，亚太地区的东南亚区域（新加坡）和巴西地区的巴西南部（圣保罗州）区域提供在单个区域存储所有其他客户数据的功能。对于所有其他区域，客户数据存储在地理位置中（上述例外情况除外）。
[4]
ZRS 经典、GRS/RA-GRS、GZRS/RA-GZRS 可将数据存储在多个区域。

数据安全性和 GDPR 符合性

数据安全

GDPR、次级处理者、数据传输和政府访问

选择地理位置

数据驻留

合规性

产品可用性

有关客户数据位置的详细信息

适用于区域服务的数据存储

单个区域中的客户数据

非区域性服务的数据存储

其他资源

选择适合你的 Azure 帐户

Azure 云解决方案

查找合适的 Microsoft Cloud 解决方案