中国IDC圈12月14日报道，11月中旬，微软宣布了一项计划，称将会为德国的客户提供额外的一个保护层。本周，微软一篇新的博客文章公布了更多关于该计划的更多细节。

微软方面此前曾表示，2016年下半年将在德国运营两座新的数据中心，位于马哥德堡和法兰克福。这两座数据中心将为用户提供Azure、Office 365和Dynamics CRM Online，使得用户可以选择让他们的数据访问由第三方控制，而非被微软控制。微软方面称，对保存在这两座新数据中心内的数据进行访问是处于T-Systems管控下的，该公司是德国电信的子公司，可以被视为数据信托。

微软德国全球生态系统高级项目经理Ralf Wigand在12月8日发表的一篇博客文章中公布了比11月时透露的更多信息。

所有在德国这两座新数据中心内保存的数据访问全新将由一种基于角色的访问模式（RBAC）控制，Wigand这样解释说。这些角色是基于职能的，例如“读者”、“所有者”，等等，以及/或者基于域的，例如服务器、邮箱、资源组，等。用户将可以针对一个特定的资源组分配给用户分配管理员角色，权限将只影响该群组内的资源，而非整个订购群或者其他资源。

Wigand继续说：

“在这种新模式下，微软根本没有权限访问客户数据。只有针对像客户呼叫支持这样的特殊目的时，Data Trustee才会给微软工程师授予临时访问权限，而且只是针对特定区域。在这个时间之后（使用类似你可能知道的JIT技术），所有访问都会自动撤销。如此反复：只有Data Trustee授权给微软工程师访问权限。微软无法自己获得访问权限。当然这个过程可能会记录日志到一个微软也不能访问的区域。此外，Data Trustee在会话期间都在，并监管工程师的工作。”

对于任何微软可能会与客户数据接触的情况，都需要有一个与服务运营相关的理由，在托管方授权之前要有一个明确定义区域的访问和明确定义的时间段，他说。所以尽管微软可以在特殊情况下访问客户数据，但是要由German Data Trustee来决定是否授予访问权限。如果没有German Data Trustee或者客户的批准，微软是不能访问保存在这两座数据中心内的数据的。

数据将只保存在德国的数据中心（德国中部和德国东北部）。这两座数据中心之间的通信是由从一家德国提供商那里租用的专用网络线路承载的，以确保不会有数据意外流出德国。Wigand表示，没有额外的复制或者备份到德国之外的地区。

“只有一个很小的索引表格在所有地区间复制，以确保德国地区不是单独的解决方案，但仍然是微软Azure全球云平台的一部分，”Wigand这样表示。

此外，所有由微软云在德国发行的SSL证书将有一家外部的证书颁发机构来处理，他补充说。

“听起来不错？是的，听起来确实很好，因为我们的团队过去半年一直在开发这套解决方案，我可以告诉你它不仅听起来很棒，而且它确实很棒，”Wigand这样表示。

微软已经通过自己的Azure Government Cloud（代号“Fairfax”）、Office 365 Government Cloud、CRM Government Cloud向美国政府客户提供锁定版的Azure、Office 365和CRM Online。但是即将推出的德国数据访问担保将更进一步，试图安抚隐私倡导者对美国数据访问策略的担忧。

这个新计划是否足以说服客户微软的云计算是值得信赖的——或者至少是比竞争对手是更值得信赖的？我相信明年新的地区开始启动和运行起来我们就会得到更多的信息……