Delen via

Gebruikersgegevens beheren in Azure Active Directory B2C

  • Artikel

In dit artikel wordt beschreven hoe u de gebruikersgegevens in Azure Active Directory B2C (Azure AD B2C) kunt beheren met behulp van de bewerkingen die worden geleverd door de Microsoft Graph API. Het beheren van gebruikersgegevens omvat het verwijderen of exporteren van gegevens uit auditlogboeken.

Notitie

Dit artikel bevat stappen voor het verwijderen van persoonlijke gegevens van het apparaat of de service. U kunt het ook gebruiken om uw verplichtingen met betrekking tot de AVG (Algemene Verordening Gegevensbescherming) na te komen. Zie de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust-portal voor algemene informatie over de AVG.

Gebruikersgegevens verwijderen

Gebruikersgegevens worden opgeslagen in de Azure AD B2C-directory en in de auditlogboeken. Alle controlegegevens van gebruikers worden zeven dagen bewaard in Azure AD B2C. Als u gebruikersgegevens binnen die periode van zeven dagen wilt verwijderen, kunt u de bewerking Een gebruiker verwijderen gebruiken. Een DELETE-bewerking is vereist voor elk van de Azure AD B2C-tenants waar gegevens zich kunnen bevinden.

Aan elke gebruiker in Azure AD B2C wordt een object-id toegewezen. De object-id biedt een ondubbelzinnige id die u kunt gebruiken om gebruikersgegevens in Azure AD B2C te verwijderen. Afhankelijk van uw architectuur kan de object-id een nuttige correlatie-id zijn voor andere services, zoals databases voor financieel, marketing en klantrelatiebeheer.

De meest nauwkeurige manier om de object-id voor een gebruiker op te halen, is door deze te verkrijgen als onderdeel van een verificatietraject met Azure AD B2C. Als u een geldige aanvraag voor gegevens van een gebruiker ontvangt met behulp van andere methoden, kan een offlineproces, zoals een zoekopdracht door een medewerker van de klantenservice, nodig zijn om de gebruiker te vinden en de bijbehorende object-id te noteren.

In het volgende voorbeeld ziet u een mogelijke stroom voor het verwijderen van gegevens:

  1. De gebruiker meldt zich aan en selecteert Mijn gegevens verwijderen.
  2. De toepassing biedt een optie om de gegevens in een beheersectie van de toepassing te verwijderen.
  3. De toepassing dwingt een verificatie af om B2C te Azure AD. Azure AD B2C geeft een token met de object-id van de gebruiker terug naar de toepassing.
  4. Het token wordt ontvangen door de toepassing en de object-id wordt gebruikt om de gebruikersgegevens te verwijderen via een aanroep naar de Microsoft Graph API. De Microsoft Graph API verwijdert de gebruikersgegevens en retourneert de statuscode 200 OK.
  5. De toepassing organiseert het verwijderen van gebruikersgegevens in andere organisatiesystemen indien nodig met behulp van de object-id of andere id's.
  6. De toepassing bevestigt het verwijderen van gegevens en biedt de gebruiker de volgende stappen.

Klantgegevens exporteren

Het proces van het exporteren van klantgegevens uit Azure AD B2C is vergelijkbaar met het verwijderingsproces.

Azure AD B2C-gebruikersgegevens zijn beperkt tot:

  • Gegevens die zijn opgeslagen in de Microsoft Entra-id: u kunt gegevens ophalen in een gebruikerstraject voor Azure AD B2C-verificatie met behulp van de object-id of een aanmeldingsnaam, zoals een e-mailadres of gebruikersnaam.
  • Rapport met gebruikersspecifieke controlegebeurtenissen: u kunt gegevens indexeren met behulp van de object-id.

In het volgende voorbeeld van een exportgegevensstroom kunnen de stappen die worden beschreven als uitgevoerd door de toepassing, ook worden uitgevoerd door een back-endproces of een gebruiker met een beheerdersrol in de directory:

  1. De gebruiker meldt zich aan bij de toepassing. Azure AD B2C dwingt indien nodig verificatie af met Microsoft Entra meervoudige verificatie.
  2. De toepassing gebruikt de gebruikersreferenties om een Microsoft Graph API-bewerking aan te roepen om de gebruikerskenmerken op te halen. De Microsoft Graph API biedt de kenmerkgegevens in JSON-indeling. Afhankelijk van het schema kunt u instellen dat de inhoud van het id-token alle persoonlijke gegevens van een gebruiker bevat.
  3. De toepassing haalt de controleactiviteit van de gebruiker op. De Microsoft Graph API verstrekt de gebeurtenisgegevens aan de toepassing.
  4. De toepassing voegt de gegevens samen en maakt deze beschikbaar voor de gebruiker.

Volgende stappen

Zie Gebruikerstoegang beheren voor meer informatie over het beheren van de toegang van gebruikers tot uw toepassing.