Condividi tramite

Raccolta dei dati utente di Microsoft Entra per l'autenticazione a più fattori e la reimpostazione della password self-service

  • Articolo

Questo documento illustra come trovare informazioni utente raccolte dal server Azure Multi-Factor Authentication (MFA Server), Microsoft Entra Multi-Factor Authentication (basato sul cloud) e reimpostazione della password self-service nel caso in cui si desidera rimuoverle.

Nota

Per informazioni sulla visualizzazione e sull'eliminazione di dati personali, vedere le indicazioni di Microsoft sul sito relativo alle Richieste degli interessati Windows ai sensi del GDPR. Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.

Informazioni MFA raccolte

MFA Server, l'estensione del Server dei criteri di rete e l’adattatore Autenticazione a più fattori di Microsoft Entra AD FS di Windows Server 2016 raccolgono e archiviano le seguenti informazioni per 90 giorni.

Tentativi di autenticazione (utilizzati per la segnalazione e la risoluzione dei problemi):

  • Timestamp:
  • Username
  • Nome
  • Cognome
  • Indirizzo email
  • Gruppo utenti
  • Metodo di autenticazione (telefonata, SMS, app per dispositivi mobili, un token OATH)
  • Modalità telefonata (Standard, PIN)
  • Direzione SMS (unidirezionale e bidirezionale)
  • Modalità SMS (OTP, OTP + PIN)
  • Modalità app per dispositivi mobili (Standard, PIN)
  • Modalità token mobili (Standard, PIN)
  • Tipo di autenticazione
  • Nome dell'applicazione
  • Prefisso internazionale per chiamata primario
  • Numero di telefono per chiamata primario
  • Interno chiamata primario
  • Autenticazione eseguita chiamata primaria
  • Risultato chiamata primario
  • Prefisso internazionale per chiamata di backup
  • Numero di telefono per chiamata di backup
  • Estensione chiamata di ba
  • Autenticazione eseguita chiamata di backup
  • Risultato della chiamata di backup
  • Autenticazione complessiva eseguita
  • Risultati complessivi
  • Risultati
  • Autenticato
  • Risultato
  • Indirizzo IP di avvio
  • Dispositivi
  • Token dispositivo
  • Tipo di dispositivo
  • Versione app mobile
  • Versione sistema operativo
  • Risultato
  • Cerca notifiche usato

Attivazioni (tentativi di attivare un account nell'app per dispositivi mobili Microsoft Authenticator):

  • Username
  • Nome conto
  • Timestamp:
  • Ottenere il risultato del codice di attivazione
  • Attivare l'esito positivo
  • Attivare l'errore
  • Risultato dello stato di attivazione
  • Nome periferica
  • Tipo di dispositivo
  • Versione dell'app
  • Token OATH abilitato

Blocchi (usato per determinare lo stato bloccato e creare report):

  • Timestamp blocco
  • Blocco dal nome utente
  • Username
  • Codice paese
  • Numero di telefono
  • Numero di telefono formattato
  • Estensione
  • Pulisci estensione
  • Bloccati
  • Motivo per blocco
  • Timestamp di completamento
  • Risultati di completamento
  • Blocco dell'account
  • Avviso di illecito
  • Avviso di illecito non bloccato
  • Lingua

Bypass (usato per la creazione di report):

  • Timestamp di bypass
  • Secondi bypass
  • Bypass dal nome utente
  • Username
  • Codice paese
  • Numero di telefono
  • Numero di telefono formattato
  • Estensione
  • Pulisci estensione
  • Motivo per bypass
  • Timestamp di completamento
  • Risultati di completamento
  • Bypass usato

Modifiche (usate per sincronizzare le modifiche utente al server Multi-Factor Authentication o Microsoft Entra ID):

  • Timestamp di modifica
  • Username
  • Nuovo prefisso internazionale
  • Nuovo numero di telefono
  • Nuovo interno
  • Nuovo prefisso internazionale di backup
  • Nuovo numero di telefono di backup
  • Nuovo interno di backup
  • Nuovo PIN
  • Modifica PIN obbligatoria
  • Token dispositivo precedente
  • Nuovo token dispositivo

Raccogliere dati dal server Multi-Factor Authentication

Nella versione 8.0 o successiva di MFA Server, la seguente procedura consente agli amministratori di esportare tutti i dati per gli utenti:

  • Accedere a MFA Server, passare alla scheda Utenti, selezionare l'utente in questione e fare clic sul pulsante Modifica. Acquisire schermate (Alt-Stamp) di ogni scheda per fornire all'utente le relative impostazioni correnti di Multi-Factor Authentication.
  • Dalla riga di comando del server MFA, eseguire il seguente comando di modifica del percorso in base all'installazione C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username> per produrre un file JSON formattato.
  • Gli amministratori hanno anche la possibilità di usare l'operazione di SDK GetUserGdpr del servizio Web per esportare tutte le informazioni del servizio cloud MFA raccolte per un determinato utente o incorporarle in una soluzione di report maggiore.
  • Cercare C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log ed eventuali backup per "<username>" (includere le virgolette nella ricerca) per trovare tutte le istanze del record utente che sono state aggiunte o modificate.
    • Questi record possono essere limitati (ma non vengono eliminati) deselezionando "Modifiche dell'utente di log" nell'esperienza utente del server di MFA, sezione di registrazione, scheda File di log.
    • Se syslog è configurato e "Modifiche dell'utente di log" viene archiviato nell'esperienza utente di MFA, sezione di registrazione, scheda Syslog, le voci di log possono essere raccolte da syslog.
  • Altre occorrenze di nome utente nei file MultiFactorAuthSvc.log e altri file di log del server MFA relativi ai tentativi di autenticazione sono considerate operative e duplicati delle informazioni fornite usando l'esportazioneMultiFactorAuthGdpr.exe o il kit SDK GetUserGdpr del servizio Web.

Eliminare dati dal server MFA

Dalla riga di comando del server MFA, eseguire il seguente comando di modifica del percorso in base all'installazione C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username> per eliminare tutte le informazioni del servizio cloud MFA raccolte per un determinato utente.

  • I dati inclusi nell'esportazione verranno eliminati in tempo reale, ma la rimozione completa dei dati operativi o duplicati potrebbe richiedere fino a 30 giorni.
  • Gli amministratori hanno anche la possibilità di usare l'operazione di SDK GetUserGdpr del servizio Web per eliminare tutte le informazioni del servizio cloud MFA raccolte per un determinato utente o incorporarle in una soluzione di report maggiore.

Raccogliere i dati dall'estensione del Server di criteri di rete

Usare il portale sulla Privacy di Microsoft per effettuare una richiesta di esportazione.

  • Le informazioni di autenticazione a più fattori sono incluse nell'esportazione, che potrebbe richiedere ore o giorni per il completamento.
  • Le occorrenze del nome utente nei log eventi AzureMfa/AuthN/AuthNOptCh, AzureMfa/AuthZ/AuthZAdminCh e AzureMfa/AuthZ/AuthZOptCh sono considerate operative e duplicate delle informazioni fornite nell'esportazione.

Eliminare i dati dall'estensione del Server di criteri di rete

Usare il portale sulla Privacy di Microsoft per effettuare una richiesta a Chiudi Account per eliminare tutte le informazioni del servizio cloud MFA raccolte per un determinato utente.

  • La rimozione completa dei dati potrebbe richiedere fino a 30 giorni.

Raccogliere dati dall'adattatore AD FS per l'autenticazione a più fattori di Microsoft Entra di Windows Server 2016

Usare il portale sulla Privacy di Microsoft per effettuare una richiesta di esportazione.

  • Le informazioni di autenticazione a più fattori sono incluse nell'esportazione, che potrebbe richiedere ore o giorni per il completamento.
  • Le occorrenze del nome utente nei log eventi di traccia/debug di AD FS (se abilitati) vengono considerate operativo e duplicate delle informazioni fornite nell'esportazione.

Eliminare i dati dall'adattatore AD FS per l'autenticazione a più fattori di Microsoft Entra di Windows Server 2016

Usare il portale sulla Privacy di Microsoft per effettuare una richiesta a Chiudi Account per eliminare tutte le informazioni del servizio cloud MFA raccolte per un determinato utente.

  • La rimozione completa dei dati potrebbe richiedere fino a 30 giorni.

Raccogliere i dati per l'autenticazione a più fattori Microsoft Entra

Usare il portale sulla Privacy di Microsoft per effettuare una richiesta di esportazione.

  • Le informazioni di autenticazione a più fattori sono incluse nell'esportazione, che potrebbe richiedere ore o giorni per il completamento.

Cancellare i dati per l'autenticazione a più fattori Microsoft Entra

Usare il portale sulla Privacy di Microsoft per effettuare una richiesta a Chiudi Account per eliminare tutte le informazioni del servizio cloud MFA raccolte per un determinato utente.

  • La rimozione completa dei dati potrebbe richiedere fino a 30 giorni.

Eliminare i dati per la reimpostazione della password self-service

Gli utenti possono aggiungere risposte alle domande di sicurezza come parte della reimpostazione della password self-service. Le domande e le risposte di sicurezza vengono eseguite tramite hash per impedire l'accesso non autorizzato. Vengono salvati solo i dati con hash, quindi le domande e le risposte di sicurezza non possono essere esportate. Gli utenti possono passare a Accessi personali per modificarli o eliminarli. Le uniche altre informazioni salvate per la reimpostazione della password self-service sono l'indirizzo di posta elettronica dell'utente.

Gli utenti assegnati al ruolo Amministratore dell'autenticazione privilegiato possono rimuovere i dati raccolti per qualsiasi utente. Nella pagina Utenti in Microsoft Entra ID fare clic su Metodi di autenticazione e selezionare un utente per rimuovere il telefono o l'indirizzo di posta elettronica.

Passaggi successivi

Creazione di report nel server MFA