Sdílet prostřednictvím

Shromažďování uživatelských dat Microsoft Entra pro vícefaktorové ověřování a samoobslužné resetování hesla

  • Článek

Tento dokument vysvětluje, jak najít informace o uživatelích shromažďovaných serverem Azure Multi-Factor Authentication (MFA Server), vícefaktorovým ověřováním Microsoft Entra (cloudové) a samoobslužným resetováním hesla (SSPR) v případě, že ho chcete odebrat.

Poznámka:

Informace o zobrazování nebo odstraňování osobních údajů najdete v pokynech společnosti Microsoft k žádostem subjektů údajů windows na web GDPR . Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoft a části GDPR Service Trust Portal.

Shromažďované informace vícefaktorového ověřování

MFA Server, rozšíření NPS a Windows Server 2016 Microsoft Entra multifactor authentication AD FS Adapter shromažďují a ukládají následující informace po dobu 90 dnů.

Pokusy o ověření (používané k vytváření sestav a řešení potíží):

  • Časové razítko
  • Username
  • Jméno
  • Příjmení
  • E-mailová adresa
  • Skupina uživatelů
  • Metoda ověřování (telefonní hovor, textová zpráva, mobilní aplikace, token OATH)
  • Režim telefonního hovoru (standardní, PIN)
  • Směr textové zprávy (jednosměrný, obousměrný)
  • Režim textových zpráv (OTP, OTP + PIN)
  • Režim mobilní aplikace (Standard, PIN)
  • Režim tokenu OATH (standardní, PIN)
  • Typ ověřování
  • Název aplikace
  • Kód země primárního volání
  • Primární telefonní číslo hovoru
  • Rozšíření primárního volání
  • Ověření primárního volání
  • Výsledek primárního volání
  • Záložní kód země volání
  • Zálohovat telefonní číslo hovoru
  • Rozšíření volání zálohování
  • Ověření volání zálohování
  • Výsledek volání zálohování
  • Celkový ověřený
  • Celkový výsledek
  • Výsledky
  • Ověřeno
  • Výsledek
  • Iniciace IP adresy
  • Zařízení
  • Token zařízení
  • Typ zařízení
  • Verze mobilní aplikace
  • Verze operačního systému
  • Výsledek
  • Používá se kontrola oznámení.

Aktivace (pokusy o aktivaci účtu v mobilní aplikaci Microsoft Authenticator):

  • Username
  • Název účtu
  • Časové razítko
  • Získání výsledku aktivačního kódu
  • Aktivace úspěšného provedení
  • Chyba aktivace
  • Výsledek stavu aktivace
  • Název zařízení
  • Typ zařízení
  • Verze aplikace
  • Povolený token OATH

Bloky (používané k určení blokovaného stavu a pro vytváření sestav):

  • Časové razítko bloku
  • Blokovat podle uživatelského jména
  • Username
  • Kód země
  • Telefonní číslo
  • Telefonní číslo naformátované
  • Rozšíření
  • Čisté rozšíření
  • Blokované
  • Důvod blokování
  • Časové razítko dokončení
  • Důvod dokončení
  • Uzamčení účtu
  • Upozornění na podvod
  • Upozornění na podvod není blokováno
  • Jazyk

Obchází (používá se pro vytváření sestav):

  • Vynechat časové razítko
  • Vynechat sekundy
  • Obejít podle uživatelského jména
  • Username
  • Kód země
  • Telefonní číslo
  • Telefonní číslo naformátované
  • Rozšíření
  • Čisté rozšíření
  • Důvod obejití
  • Časové razítko dokončení
  • Důvod dokončení
  • Nepoužívané obejití

Změny (používané k synchronizaci změn uživatele na MFA Server nebo Microsoft Entra ID):

  • Změnit časové razítko
  • Username
  • Nový kód země
  • Nové telefonní číslo
  • Nové rozšíření
  • Nový záložní kód země
  • Nové záložní telefonní číslo
  • Nové rozšíření zálohování
  • Nový PIN kód
  • Vyžaduje se změna KÓDU PIN.
  • Starý token zařízení
  • Nový token zařízení

Shromažďování dat z MFA Serveru

Pro MFA Server verze 8.0 nebo vyšší umožňuje správcům exportovat všechna data pro uživatele:

  • Přihlaste se k MFA Serveru, přejděte na kartu Uživatelé , vyberte příslušného uživatele a klikněte na tlačítko Upravit . Pořídit snímky obrazovky (Alt-PrtScn) na každé kartě, aby uživatel zadal aktuální nastavení vícefaktorového ověřování.
  • Z příkazového řádku MFA Serveru spusťte následující příkaz, který změní cestu podle vaší instalace C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username> a vytvoří formátovaný soubor JSON.
  • Správci mohou také použít operaci GetUserGdpr sady SDK webové služby jako možnost exportu všech informací o cloudových službách MFA shromážděných pro daného uživatele nebo začlenit do většího řešení generování sestav.
  • Vyhledejte C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log a všechny zálohy pro "<uživatelské jméno>" (včetně uvozovek do vyhledávání) a vyhledejte všechny instance přidaného nebo změněného záznamu uživatele.
    • Tyto záznamy můžou být omezené (ale neodstraní se) zrušením zaškrtnutí políčka "Protokolovat změny uživatele" v uživatelském prostředí MFA Serveru, v části Protokolování, na kartě Soubory protokolu.
    • Pokud je syslog nakonfigurovaný a v části Protokolování serveru MFA, na kartě Syslog je zaškrtnuté políčko Protokolovat změny uživatele protokolu a položky protokolu se dají shromáždit z syslogu.
  • Další výskyty uživatelského jména v MultiFactorAuthSvc.log a dalších souborech protokolu MFA Serveru, které se týkají pokusů o ověření, jsou považovány za provozní a duplikativní na informace poskytnuté pomocí MultiFactorAuthGdpr.exe exportu nebo sady SDK webové služby GetUserGdpr.

Odstranění dat ze serveru MFA

Z příkazového řádku MFA Serveru spusťte následující příkaz, který změní cestu podle vaší instalace C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username> , aby se odstranily všechny informace o cloudové službě MFA shromážděné pro tohoto uživatele.

  • Data zahrnutá v exportu se odstraní v reálném čase, ale úplné odebrání provozních nebo duplicitních dat může trvat až 30 dnů.
  • Správci mohou také jako možnost odstranit všechny informace o cloudové službě MFA shromážděné pro daného uživatele nebo začlenit do většího řešení generování sestav pomocí operace DeleteUserGdpr sady SDK webové služby.

Shromažďování dat z rozšíření NPS

Pomocí portálu Microsoft Privacy Portal vytvořte žádost o export.

  • Informace o vícefaktorovém ověřování jsou součástí exportu, což může trvat hodiny nebo dny.
  • Výskyty uživatelského jména v protokolech událostí AzureMfa/AuthN/AuthNOptCh, AzureMfa/AuthZ/AuthZAdminCh a AzureMfa/AuthZ/AuthZOptCh se považují za provozní a duplikativní informace poskytnuté v exportu.

Odstranění dat z rozšíření NPS

Pomocí portálu Microsoft Privacy portal vytvořte žádost o zavření účtu, aby se odstranily všechny informace o cloudové službě MFA shromážděné pro tohoto uživatele.

  • Úplné odebrání dat může trvat až 30 dnů.

Shromažďování dat z adaptéru AD FS pro vícefaktorové ověřování Microsoft Serveru 2016

Pomocí portálu Microsoft Privacy Portal vytvořte žádost o export.

  • Informace o vícefaktorovém ověřování jsou součástí exportu, což může trvat hodiny nebo dny.
  • Výskyty uživatelského jména v protokolech událostí trasování/ladění služby AD FS (pokud jsou povolené) jsou považovány za provozní a duplikativní na informace uvedené v exportu.

Odstranění dat z Windows Serveru 2016 Microsoft Entra multifactor authentication AD FS Adapter

Pomocí portálu Microsoft Privacy portal vytvořte žádost o zavření účtu, aby se odstranily všechny informace o cloudové službě MFA shromážděné pro tohoto uživatele.

  • Úplné odebrání dat může trvat až 30 dnů.

Shromažďování dat pro vícefaktorové ověřování Microsoft Entra

Pomocí portálu Microsoft Privacy Portal vytvořte žádost o export.

  • Informace o vícefaktorovém ověřování jsou součástí exportu, což může trvat hodiny nebo dny.

Odstranění dat pro vícefaktorové ověřování Microsoft Entra

Pomocí portálu Microsoft Privacy portal vytvořte žádost o zavření účtu, aby se odstranily všechny informace o cloudové službě MFA shromážděné pro tohoto uživatele.

  • Úplné odebrání dat může trvat až 30 dnů.

Odstranění dat pro samoobslužné resetování hesla

Uživatelé můžou v rámci samoobslužného resetování hesla přidávat odpovědi na bezpečnostní otázky. Bezpečnostní otázky a odpovědi jsou hashovány, aby se zabránilo neoprávněnému přístupu. Uloží se jenom hashovaná data, takže bezpečnostní otázky a odpovědi se nedají exportovat. Uživatelé můžou přejít na Moje přihlášení a upravit je nebo odstranit. Jedinými dalšími informacemi uloženými pro SSPR je e-mailová adresa uživatele.

Ti, kteří mají přiřazenou roli Správce privilegovaného ověřování, mohou odebrat data shromážděná pro libovolného uživatele. Na stránce Uživatelé v Microsoft Entra ID klikněte na Metody ověřování a vyberte uživatele, který odebere telefon nebo e-mailovou adresu.

Další kroky

Generování sestav MFA Serveru