Delen via

Gegevensverzameling van Microsoft Entra-gebruikers voor meervoudige verificatie en selfservice voor wachtwoordherstel

  • Artikel

In dit artikel wordt uitgelegd hoe u gebruikersgegevens kunt vinden die zijn verzameld door De Azure Multi-Factor Authentication-server (MFA-server), Microsoft Entra multi-factor authentication (cloudgebaseerde) en selfservice voor wachtwoordherstel (SSPR) in het geval u deze wilt verwijderen.

Notitie

Voor informatie over het weergeven of verwijderen van persoonsgegevens, raadpleegt u de richtlijnen van Microsoft op de site Verzoek tot toegang tot persoonsgegevens met betrekking tot de AVG (Algemene Verordening Gegevensbescherming). Zie voor algemene informatie over AVG de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal.

Verzamelde MFA-gegevens

MFA Server, de NPS-extensie en de Windows Server 2016 Microsoft Entra multifactor authentication AD FS Adapter verzamelen en opslaan de volgende informatie gedurende 90 dagen.

Verificatiepogingen (gebruikt voor rapportage en probleemoplossing):

  • Tijdstempel
  • Username
  • Voornaam
  • Achternaam
  • E-mailadres
  • Gebruikersgroep
  • Verificatiemethode (telefoongesprek, sms-bericht, mobiele app, OATH-token)
  • Modus Telefoongesprek (standaard, pincode)
  • Tekstberichtrichting (in één richting, in twee richtingen)
  • Tekstberichtmodus (OTP, OTP + pincode)
  • Modus voor mobiele apps (standaard, pincode)
  • OATH-tokenmodus (standaard, pincode)
  • Verificatietype
  • Naam van de toepassing
  • Landcode van primaire aanroep
  • Primair telefoonnummer voor bellen
  • Primaire oproepextensie
  • Geverifieerde primaire aanroep
  • Resultaat van primaire aanroep
  • Landcode voor back-upoproep
  • Telefoonnummer van back-upgesprek
  • Extensie voor back-upoproep
  • Geverifieerde back-upoproep
  • Resultaat van back-upoproep
  • Algemeen geverifieerd
  • Algemeen resultaat
  • Resultaten
  • Geverifieerd
  • Resultaat
  • IP-adres initiëren
  • Apparaten
  • Apparaattoken
  • Apparaattype
  • Versie mobiele app
  • Besturingssysteemversie
  • Resultaat
  • Gebruikte controle op melding

Activeringen (probeert een account te activeren in de mobiele Microsoft Authenticator-app):

  • Username
  • Accountnaam
  • Tijdstempel
  • Resultaat activeringscode ophalen
  • Geslaagd activeren
  • Fout activeren
  • Resultaat activeringsstatus
  • Apparaatnaam
  • Apparaattype
  • App-versie
  • OATH-token ingeschakeld

Blokken (gebruikt om de geblokkeerde status en voor rapportage te bepalen):

  • Tijdstempel blokkeren
  • Blokkeren op gebruikersnaam
  • Username
  • Landcode
  • Telefoonnummer
  • Telefoonnummer opgemaakt
  • Toestel
  • Schone extensie
  • Geblokkeerd
  • Reden blokkeren
  • Tijdstempel van voltooiing
  • Reden van voltooiing
  • Accountvergrendeling
  • Fraudewaarschuwing
  • Fraudewaarschuwing niet geblokkeerd
  • Taal

Overslaan (gebruikt voor rapportage):

  • Tijdstempel overslaan
  • Seconden overslaan
  • Omzeilen door gebruikersnaam
  • Username
  • Landcode
  • Telefoonnummer
  • Telefoonnummer opgemaakt
  • Toestel
  • Schone extensie
  • Reden overslaan
  • Tijdstempel van voltooiing
  • Reden van voltooiing
  • Overslaan gebruikt

Wijzigingen (gebruikt om wijzigingen van gebruikers te synchroniseren met MFA Server of Microsoft Entra ID):

  • Tijdstempel wijzigen
  • Username
  • Nieuwe landcode
  • Nieuw telefoonnummer
  • Nieuwe extensie
  • Nieuwe landcode voor back-up
  • Nieuw telefoonnummer voor back-up
  • Nieuwe back-upextensie
  • Nieuwe pincode
  • Pincodewijziging vereist
  • Oud apparaattoken
  • Nieuw apparaattoken

Gegevens verzamelen van MFA-server

Met het volgende proces voor MFA Server versie 8.0 of hoger kunnen beheerders alle gegevens voor gebruikers exporteren:

  • Meld u aan bij uw MFA-server, navigeer naar het tabblad Gebruikers, selecteer de betreffende gebruiker en selecteer de knop Bewerken. Maak schermopnamen (Alt-PrtScn) van elk tabblad om de gebruiker de huidige MFA-instellingen te geven.
  • Voer vanaf de opdrachtregel van de MFA-server de volgende opdracht uit om het pad te wijzigen op basis van uw installatie C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username> om een bestand met JSON-indeling te produceren.
  • Beheerders kunnen de webservice-SDK GetUserGdpr-bewerking ook gebruiken als optie voor het exporteren van alle MFA-cloudservicegegevens die voor een bepaalde gebruiker zijn verzameld of in een grotere rapportageoplossing worden opgenomen.
  • Zoek C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log en eventuele back-ups voor '<gebruikersnaam>' (inclusief de aanhalingstekens in de zoekopdracht) om alle exemplaren van de gebruikersrecord te vinden die worden toegevoegd of gewijzigd.
    • Deze records kunnen worden beperkt (maar niet geëlimineerd) door 'Wijzigingen van logboekgebruiker' uit te schakelen in de sectie MFA Server UX, de sectie Logboekregistratie, het tabblad Logboekbestanden.
    • Als syslog is geconfigureerd en 'Wijzigingen van logboekgebruiker' is ingeschakeld in de UX van de MFA-server, de sectie Logboekregistratie, het tabblad Syslog, kunnen de logboekvermeldingen worden verzameld uit syslog.
  • Andere exemplaren van de gebruikersnaam in MultiFactorAuthSvc.log en andere MFA Server-logboekbestanden met betrekking tot verificatiepogingen worden beschouwd als operationeel en duplicatatief voor de informatie die wordt verstrekt met behulp van MultiFactorAuthGdpr.exe export- of webservice-SDK GetUserGdpr.

Gegevens verwijderen uit MFA-server

Voer vanaf de opdrachtregel van de MFA-server de volgende opdracht uit om het pad te wijzigen op basis van uw installatie C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username> om alle verzamelde MFA-cloudservicegegevens voor deze gebruiker te verwijderen.

  • Gegevens die zijn opgenomen in de export, worden in realtime verwijderd, maar het kan tot 30 dagen duren voordat operationele of duplicatieve gegevens volledig zijn verwijderd.
  • Beheerders kunnen de webservice-SDK DeleteUserGdpr-bewerking ook gebruiken als optie voor het verwijderen van alle MFA-cloudservicegegevens die voor een bepaalde gebruiker zijn verzameld of die in een grotere rapportageoplossing worden opgenomen.

Gegevens verzamelen uit de NPS-extensie

Gebruik de Microsoft-privacyportal om een aanvraag voor exporteren te doen.

  • MFA-informatie wordt opgenomen in de export, wat uren of dagen kan duren.
  • Exemplaren van de gebruikersnaam in de gebeurtenislogboeken AzureMfa/AuthN/AuthNOptCh, AzureMfa/AuthZ/AuthZAdminCh en AzureMfa/AuthZ/AuthZOptCh worden beschouwd als operationeel en duplicatatief voor de informatie in de export.

Gegevens verwijderen uit de NPS-extensie

Gebruik de Microsoft-privacyportal om een aanvraag in te dienen voor Account Close om alle verzamelde MFA-cloudservicegegevens voor deze gebruiker te verwijderen.

  • Het kan tot 30 dagen duren voordat gegevens volledig zijn verwijderd.

Gegevens verzamelen van Windows Server 2016 Microsoft Entra multifactor authentication AD FS Adapter

Gebruik de Microsoft-privacyportal om een aanvraag voor exporteren te doen.

  • MFA-informatie wordt opgenomen in de export, wat uren of dagen kan duren.
  • Exemplaren van de gebruikersnaam in de gebeurtenislogboeken ad FS-tracering/foutopsporing (indien ingeschakeld) worden beschouwd als operationeel en duplicatatief voor de informatie die in de export wordt verstrekt.

Gegevens verwijderen uit Windows Server 2016 Microsoft Entra multifactor authentication AD FS Adapter

Gebruik de Microsoft-privacyportal om een aanvraag in te dienen voor Account Close om alle verzamelde MFA-cloudservicegegevens voor deze gebruiker te verwijderen.

  • Het kan tot 30 dagen duren voordat gegevens volledig zijn verwijderd.

Gegevens verzamelen voor Meervoudige Verificatie van Microsoft Entra

Gebruik de Microsoft-privacyportal om een aanvraag voor exporteren te doen.

  • MFA-informatie wordt opgenomen in de export, wat uren of dagen kan duren.

Gegevens verwijderen voor Meervoudige Verificatie van Microsoft Entra

Gebruik de Microsoft-privacyportal om een aanvraag in te dienen voor Account Close om alle verzamelde MFA-cloudservicegegevens voor deze gebruiker te verwijderen.

  • Het kan tot 30 dagen duren voordat gegevens volledig zijn verwijderd.

Gegevens verwijderen voor selfservice voor wachtwoordherstel

Gebruikers kunnen antwoorden toevoegen aan beveiligingsvragen als onderdeel van SSPR. Beveiligingsvragen en -antwoorden worden gehasht om onbevoegde toegang te voorkomen. Alleen de gehashte gegevens worden opgeslagen, zodat de beveiligingsvragen en antwoorden niet kunnen worden geëxporteerd. Gebruikers kunnen naar Mijn aanmeldingen gaan om ze te bewerken of te verwijderen. De enige andere informatie die is opgeslagen voor SSPR, is het e-mailadres van de gebruiker.

Personen aan wie de rol Privileged Authentication Administrator is toegewezen, kunnen gegevens verwijderen die voor elke gebruiker zijn verzameld. Selecteer op de pagina Gebruikers in Microsoft Entra ID verificatiemethoden en kies een gebruiker om diens telefoonnummer of e-mailadres te verwijderen.

Volgende stappen

Rapportage van MFA-server