Collecte des données utilisateur Microsoft Entra pour l'authentification multifacteur et la réinitialisation de mot de passe en libre-service
Ce document explique comment rechercher les informations utilisateur collectées par le serveur d’authentification multi-facteur Azure (serveur MFA), l’authentification multi-facteur Microsoft Entra (dans le cloud) et la réinitialisation de mot de passe en libre-service (SSPR) dans le cas où vous souhaiteriez les supprimer.
Remarque
Pour plus d’informations sur la consultation ou la suppression des données personnelles, consultez l’aide de Microsoft sur le site Demandes des personnes concernées pour le RGPD de Windows. Pour obtenir des informations générales concernant le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.
Informations d’authentification multifacteur collectées
Le serveur MFA, l’extension NPS et l’adaptateur AD FS de l’authentification multifacteur Microsoft Entra pour Windows Server 2016 collectent et stockent les informations suivantes pendant 90 jours.
Tentatives d’authentification (utilisées pour la création de rapports et la résolution des problèmes) :
- Timestamp
- Nom d’utilisateur
- Prénom
- Nom
- Adresse de messagerie
- Groupe d’utilisateurs
- Méthode d’authentification (appel téléphonique, message texte, application mobile, jeton OATH)
- Mode d’appel téléphonique (standard, PIN)
- Direction du message texte (unidirectionnelle, bidirectionnelle)
- Mode du message texte (OTP, OTP + PIN)
- Mode d’application mobile (standard, PIN)
- Mode de jeton OATH (standard, PIN)
- Type d’authentification
- Nom de l’application
- Indicatif de pays de l’appel principal
- Numéro de téléphone de l’appel principal
- Extension de l’appel principal
- Appel principal authentifié
- Résultat de l’appel principal
- Indicatif de pays de l’appel de sauvegarde
- Numéro de téléphone de l’appel de sauvegarde
- Extension de l’appel de sauvegarde
- Appel de sauvegarde authentifié
- Résultat de l’appel de sauvegarde
- Authentification globale
- Résultat global
- Résultats
- Authentifiée
- Résultats
- Adresse IP d’initialisation
- Appareils
- Jeton d’appareil
- Type d’appareil
- Version de l’application mobile
- Version du SE
- Résultats
- Utilisation de la vérification de la présence de notifications
Activations (tentatives d’activation d’un compte dans l’application mobile Microsoft Authenticator) :
- Nom d’utilisateur
- Nom du compte
- Timestamp
- Obtenir le résultat du code d’activation
- Succès de l’activation
- Erreur d’activation
- Résultat de l’état d’activation
- Nom de l’appareil
- Type d’appareil
- Version de l’application
- Activation du jeton OATH
Blocs (utilisés pour déterminer l’état de blocage pour la création de rapports) :
- Horodatage du blocage
- Blocage par nom d’utilisateur
- Nom d’utilisateur
- Indicatif de pays
- Numéro de téléphone
- Numéro de téléphone formaté
- Extension
- Nettoyer l’extension
- Bloqué
- Raison du blocage
- Horodatage de l’achèvement
- Motif de la saisie semi-automatique
- Verrouillage de compte
- Alerte de fraude
- Alerte de fraude non bloquée
- Langage
Contournements (utilisé pour la création de rapports) :
- Horodatage du contournement
- Nombre de secondes du contournement
- Contournement par nom d’utilisateur
- Nom d’utilisateur
- Indicatif de pays
- Numéro de téléphone
- Numéro de téléphone formaté
- Extension
- Nettoyer l’extension
- Motif du contournement
- Horodatage de l’achèvement
- Motif de la saisie semi-automatique
- Utilisation du contournement
Modifications (utilisé pour synchroniser les modifications utilisateur sur le serveur MFA ou Microsoft Entra ID) :
- Horodatage de la modification
- Nom d’utilisateur
- Nouvel indicatif de pays
- Nouveau numéro de téléphone
- Nouvelle extension
- Nouvel indicatif de pays de sauvegarde
- Nouveau numéro de téléphone de sauvegarde
- Nouvelle extension de sauvegarde
- Nouveau PIN
- Modification du PIN requise
- Ancien jeton d’appareil
- Nouveau jeton d’appareil
Collecter des données à partir du serveur MFA
Pour MFA Server version 8.0 ou ultérieure le processus suivant permet aux administrateurs d’exporter toutes les données pour les utilisateurs :
- Connectez-vous à votre serveur MFA, accédez à l’onglet Utilisateurs, sélectionnez l’utilisateur en question, puis cliquez sur le bouton Modifier. Faites des captures d’écran (Alt + Imp. écr.) de chaque onglet pour fournir à l’utilisateur ses paramètres MFA actuels.
- À partir de la ligne de commande du serveur MFA, exécutez la commande suivante en remplaçant le chemin d’accès en fonction de votre installation
C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username>
pour générer un fichier au format JSON. - Les administrateurs peuvent également utiliser l’opération GetUserGdpr du Kit de développement logiciel (SDK) Service Web sous forme d’option pour exporter toutes les informations du service cloud MFA collectées pour un utilisateur donné ou les intégrer dans une solution de création de rapports plus vaste.
- Recherchez
C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log
et toutes les sauvegardes destinées à « <nom d’utilisateur> » (incluez les guillemets dans la recherche) pour accéder à toutes les instances ajoutées ou modifiées de l’enregistrement utilisateur.- Ces enregistrements peuvent être limités (mais pas éliminés) en décochant l'option Consigner les modifications des utilisateurs dans Expérience utilisateur du serveur MFA, section Journalisation, onglet Fichiers journaux.
- Si le journal système est configuré, et que l'option Consigner les modifications des utilisateurs est cochée dans Expérience utilisateur du serveur MFA, section Journalisation, onglet Syslog, les entrées de journal peuvent être collectées à partir de syslog.
- Les autres occurrences du nom d’utilisateur dans MultiFactorAuthSvc.log et les autres fichiers journaux du serveur MFA appartenant aux tentatives d’authentification sont considérés comme des données opérationnelles et répétées pour les informations fournies à l’aide de l’exportation de MultiFactorAuthGdpr.exe ou de l’opération GetUserGdpr du Kit de développement logiciel (SDK) Web Service.
Supprimer les données du serveur MFA
À partir de la ligne de commande du serveur MFA, exécutez la commande suivante en remplaçant le chemin d’accès en fonction de votre installation C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username>
pour supprimer toutes les informations de service cloud MFA collectées pour cet utilisateur.
- Les données incluses dans l’exportation de données sont supprimées en temps réel, cependant la suppression totale des données opérationnelles et répétées peut prendre jusqu’à 30 jours.
- Les administrateurs peuvent également utiliser l’opération DeleteUserGdpr du Kit de développement logiciel (SDK) Web Service sous forme d’option pour supprimer toutes les informations du service cloud MFA collectées pour un utilisateur donné ou les intégrer dans une solution de création de rapports plus vaste.
Collecter des données à partir de l’extension NPS
Utilisez le portail de confidentialité de Microsoft pour effectuer une demande d’exportation.
- Les informations MFA sont incluses dans l’exportation qui peut donc prendre des heures ou des jours.
- Les occurrences du nom d’utilisateur dans les journaux d’événements AzureMfa/AuthN/AuthNOptCh, AzureMfa/AuthZ/AuthZAdminCh et AzureMfa/AuthZ/AuthZOptCh sont considérées comme des données opérationnelles et répétées pour les informations fournies dans l’exportation.
Supprimer des données de l’Extension NPS
Utilisez le portail de confidentialité de Microsoft pour effectuer une demande de fermeture de compte afin de supprimer toutes les informations du service cloud MFA collectées pour cet utilisateur.
- La suppression totale de toutes les données peut prendre jusqu’à 30 jours.
Collecter des données à partir de l’adaptateur AD FS de l’authentification multifacteur Microsoft Entra pour Windows Server 2016
Utilisez le portail de confidentialité de Microsoft pour effectuer une demande d’exportation.
- Les informations MFA sont incluses dans l’exportation qui peut donc prendre des heures ou des jours.
- Les occurrences du nom d’utilisateur dans les journaux d’événements AD FS Tracing/Debug (s’ils sont activés) sont considérées comme des données opérationnelles et répétées pour les informations fournies dans l’exportation.
Supprimer des données l’adaptateur AD FS de l’authentification multifacteur Microsoft Entra pour Windows Server 2016
Utilisez le portail de confidentialité de Microsoft pour effectuer une demande de fermeture de compte afin de supprimer toutes les informations du service cloud MFA collectées pour cet utilisateur.
- La suppression totale de toutes les données peut prendre jusqu’à 30 jours.
Collecter des données pour l’authentification multifacteur Microsoft Entra
Utilisez le portail de confidentialité de Microsoft pour effectuer une demande d’exportation.
- Les informations MFA sont incluses dans l’exportation qui peut donc prendre des heures ou des jours.
Supprimer des données pour l’authentification multifacteur Microsoft Entra
Utilisez le portail de confidentialité de Microsoft pour effectuer une demande de fermeture de compte afin de supprimer toutes les informations du service cloud MFA collectées pour cet utilisateur.
- La suppression totale de toutes les données peut prendre jusqu’à 30 jours.
Supprimer les données pour la réinitialisation du mot de passe en libre-service
Les utilisateurs peuvent ajouter des réponses aux questions de sécurité dans le cadre de la réinitialisation de mot de passe en libre-service. Les questions de sécurité et les réponses sont hachées pour empêcher tout accès non autorisé. Seules les données hachées sont enregistrées, de sorte que les questions de sécurité et les réponses ne peuvent pas être exportées. Les utilisateurs peuvent accéder à Mes connexions pour les modifier ou les supprimer. La seule autre information enregistrée pour la réinitialisation de mot de passe en libre-service est l’adresse e-mail de l’utilisateur.
Ceux affectés au rôle Administrateur d’authentification privilégiée peuvent supprimer les données collectées pour n’importe quel utilisateur. Dans la page Utilisateurs de Microsoft Entra ID, cliquez sur Méthodes d’authentification, puis sélectionnez un utilisateur pour supprimer son numéro de téléphone ou son adresse e-mail.