Udostępnij za pośrednictwem

Zbieranie danych użytkownika w usłudze Microsoft Entra na potrzeby uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła

  • Artykuł

W tym artykule wyjaśniono, jak znaleźć informacje o użytkownikach zebrane przez serwer usługi Azure Multi-Factor Authentication (serwer MFA), uwierzytelnianie wieloskładnikowe firmy Microsoft (oparte na chmurze) i samoobsługowe resetowanie hasła (SSPR) w przypadku, gdy chcesz je usunąć.

Uwaga

Aby uzyskać informacje o wyświetlaniu lub usuwaniu danych osobowych, zapoznaj się ze wskazówkami firmy Microsoft dotyczącymi żądań podmiotów danych systemu Windows dotyczących witryny RODO . Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.

Zebrane informacje uwierzytelniania wieloskładnikowego

Serwer MFA, rozszerzenie serwera NPS i windows Server 2016 Microsoft Entra multifactor authentication AD FS adapter zbiera i przechowuje następujące informacje przez 90 dni.

Próby uwierzytelniania (używane do raportowania i rozwiązywania problemów):

  • Sygnatura czasowa
  • Username
  • Imię
  • Nazwisko
  • Adres e-mail
  • Grupa użytkowników
  • Metoda uwierzytelniania (połączenie telefoniczne, wiadomość SMS, aplikacja mobilna, token OATH)
  • Tryb połączenia telefonicznego (standardowy, numer PIN)
  • Kierunek wiadomości SMS (jednokierunkowy, dwukierunkowy)
  • Tryb wiadomości SMS (OTP, OTP + PIN)
  • Tryb aplikacji mobilnej (standardowy, numer PIN)
  • Tryb tokenu OATH (standardowy, numer PIN)
  • Typ uwierzytelniania
  • Nazwa aplikacji
  • Kod kraju wywołania podstawowego
  • Numer telefonu połączenia podstawowego
  • Rozszerzenie wywołania podstawowego
  • Uwierzytelnione wywołanie podstawowe
  • Wynik wywołania podstawowego
  • Kod kraju wywołania kopii zapasowej
  • Numer telefonu połączenia kopii zapasowej
  • Rozszerzenie wywołania kopii zapasowej
  • Uwierzytelnione wywołanie kopii zapasowej
  • Wynik wywołania kopii zapasowej
  • Ogólne uwierzytelnienie
  • Ogólny wynik
  • Wyniki
  • Uwierzytelniono
  • Result
  • Inicjowanie adresu IP
  • Urządzenia
  • Token urządzenia
  • Typ urządzenia
  • Wersja aplikacji mobilnej
  • Wersja systemu operacyjnego
  • Result
  • Użyto sprawdzania powiadomienia

Aktywacje (próby aktywowania konta w aplikacji mobilnej Microsoft Authenticator):

  • Username
  • Nazwa konta
  • Sygnatura czasowa
  • Uzyskiwanie wyniku kodu aktywacji
  • Aktywowanie powodzenia
  • Błąd aktywacji
  • Wynik stanu aktywacji
  • Nazwa urządzenia
  • Typ urządzenia
  • Wersja aplikacji
  • Włączony token OATH

Bloki (używane do określania stanu zablokowanego i raportowania):

  • Sygnatura czasowa bloku
  • Blokuj według nazwy użytkownika
  • Username
  • Kod kraju
  • Numer telefonu
  • Numer telefonu sformatowany
  • Numer wewnętrzny
  • Czyszczenie rozszerzenia
  • Zablokowano
  • Przyczyna blokowania
  • Znacznik czasu ukończenia
  • Przyczyna ukończenia
  • Blokada konta
  • Alert o oszustwie
  • Alert o oszustwie nie został zablokowany
  • Język

Obejścia (używane do raportowania):

  • Pomiń znacznik czasu
  • Pomiń sekundy
  • Obejście według nazwy użytkownika
  • Username
  • Kod kraju
  • Numer telefonu
  • Numer telefonu sformatowany
  • Numer wewnętrzny
  • Czyszczenie rozszerzenia
  • Przyczyna obejścia
  • Znacznik czasu ukończenia
  • Przyczyna ukończenia
  • Obejście używane

Zmiany (używane do synchronizowania zmian użytkownika z serwerem MFA lub identyfikatorem Firmy Microsoft Entra):

  • Zmień znacznik czasu
  • Username
  • Nowy kod kraju
  • Nowy numer telefonu
  • Nowe rozszerzenie
  • Nowy kod kraju kopii zapasowej
  • Nowy numer telefonu kopii zapasowej
  • Nowe rozszerzenie kopii zapasowej
  • Nowy numer PIN
  • Wymagana zmiana numeru PIN
  • Stary token urządzenia
  • Nowy token urządzenia

Zbieranie danych z serwera MFA

W przypadku serwera MFA w wersji 8.0 lub nowszej następujący proces umożliwia administratorom eksportowanie wszystkich danych dla użytkowników:

  • Zaloguj się do swojego serwera MFA, przejdź do karty Użytkownicy, wybierz odpowiedniego użytkownika i wybierz przycisk 'Edytuj'. Wykonaj zrzuty ekranu (Alt-PrtScn) każdej karty, aby udostępnić użytkownikowi bieżące ustawienia uwierzytelniania wieloskładnikowego.
  • W wierszu polecenia serwera MFA uruchom następujące polecenie, zmieniając ścieżkę zgodnie z instalacją C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username> , aby utworzyć plik sformatowany w formacie JSON.
  • Administratorzy mogą również użyć operacji GetUserGdpr zestawu SDK usługi sieci Web jako opcji eksportowania wszystkich informacji o usłudze MFA w chmurze zebranych dla danego użytkownika lub uwzględnienia ich w większym rozwiązaniu raportowania.
  • Wyszukaj C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log i wszelkie kopie zapasowe "<username>" (uwzględnij cudzysłowy w wyszukiwaniu), aby znaleźć wszystkie wystąpienia rekordu użytkownika dodawanego lub zmienianego.
    • Te rekordy można ograniczyć (ale nie wyeliminować), usuwając zaznaczenie pola wyboru "Log user changes" (Rejestrowanie zmian użytkowników) w sekcji UX serwera MFA, w sekcji Rejestrowanie, karcie Pliki dziennika.
    • Jeśli dziennik syslog jest skonfigurowany, a pole "Log user changes" (Dziennik zmian użytkownika) jest zaznaczone w sekcji UX serwera MFA, w sekcji Rejestrowanie, karcie Dziennik systemu, wpisy dziennika można zamiast tego zebrać z dziennika systemowego.
  • Inne wystąpienia nazwy użytkownika w MultiFactorAuthSvc.log i innych plikach dziennika serwera MFA odnoszących się do prób uwierzytelniania są uznawane za operacyjne i duplikacyjne do informacji podanych przy użyciu MultiFactorAuthGdpr.exe eksportowania lub zestawu SDK usługi internetowej GetUserGdpr.

Usuwanie danych z serwera MFA

W wierszu polecenia serwera MFA uruchom następujące polecenie, zmieniając ścieżkę zgodnie z instalacją C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username> , aby usunąć wszystkie informacje o usłudze MFA w chmurze zebrane dla tego użytkownika.

  • Dane zawarte w eksporcie są usuwane w czasie rzeczywistym, ale całkowite usunięcie danych operacyjnych lub duplikacyjnych może potrwać do 30 dni.
  • Administratorzy mogą również użyć operacji DeleteUserGdpr zestawu SDK usługi sieci Web jako opcji usunięcia wszystkich informacji o usłudze MFA w chmurze zebranych dla danego użytkownika lub włączenia ich do większego rozwiązania do raportowania.

Zbieranie danych z rozszerzenia serwera NPS

Użyj portalu ochrony prywatności firmy Microsoft, aby wysłać żądanie eksportu.

  • Informacje uwierzytelniania wieloskładnikowego są zawarte w eksporcie, co może potrwać kilka godzin lub dni.
  • Wystąpienia nazwy użytkownika w dziennikach zdarzeń AzureMfa/AuthN/AuthNOptCh, AzureMfa/AuthZ/AuthZAdminCh i AzureMfa/AuthZOptCh są uznawane za operacyjne i duplikacyjne do informacji podanych w eksporcie.

Usuwanie danych z rozszerzenia serwera NPS

Użyj portalu ochrony prywatności firmy Microsoft, aby wysłać żądanie zamknięcia konta, aby usunąć wszystkie informacje o usłudze MFA w chmurze zebrane dla tego użytkownika.

  • Całkowite usunięcie danych może potrwać do 30 dni.

Zbieranie danych z systemu Windows Server 2016 Microsoft Entra multifactor authentication AD FS Adapter

Użyj portalu ochrony prywatności firmy Microsoft, aby wysłać żądanie eksportu.

  • Informacje uwierzytelniania wieloskładnikowego są zawarte w eksporcie, co może potrwać kilka godzin lub dni.
  • Wystąpienia nazwy użytkownika w dziennikach zdarzeń śledzenia/debugowania usług AD FS (jeśli są włączone) są uznawane za operacyjne i duplikacyjne do informacji podanych w eksporcie.

Usuwanie danych z karty AD FS uwierzytelniania wieloskładnikowego firmy Microsoft w systemie Windows Server 2016

Użyj portalu ochrony prywatności firmy Microsoft, aby wysłać żądanie zamknięcia konta, aby usunąć wszystkie informacje o usłudze MFA w chmurze zebrane dla tego użytkownika.

  • Całkowite usunięcie danych może potrwać do 30 dni.

Zbieranie danych dla uwierzytelniania wieloskładnikowego firmy Microsoft

Użyj portalu ochrony prywatności firmy Microsoft, aby wysłać żądanie eksportu.

  • Informacje uwierzytelniania wieloskładnikowego są zawarte w eksporcie, co może potrwać kilka godzin lub dni.

Usuwanie danych dla uwierzytelniania wieloskładnikowego firmy Microsoft

Użyj portalu ochrony prywatności firmy Microsoft, aby wysłać żądanie zamknięcia konta, aby usunąć wszystkie informacje o usłudze MFA w chmurze zebrane dla tego użytkownika.

  • Całkowite usunięcie danych może potrwać do 30 dni.

Usuwanie danych na potrzeby samoobsługowego resetowania hasła

Użytkownicy mogą dodawać odpowiedzi na pytania zabezpieczające w ramach samoobsługowego resetowania hasła. Pytania zabezpieczające i odpowiedzi są skrótami, aby zapobiec nieautoryzowanemu dostępowi. Zapisane są tylko skróty danych, więc nie można eksportować pytań zabezpieczających i odpowiedzi. Użytkownicy mogą przejść do pozycji Moje logowania , aby je edytować lub usunąć. Jedynymi innymi informacjami zapisanymi dla samoobsługowego resetowania hasła jest adres e-mail użytkownika.

Osoby przypisane do roli Administrator uwierzytelniania uprzywilejowanego mogą usuwać dane zebrane dla dowolnego użytkownika. Na stronie Użytkownicy w witrynie Microsoft Entra ID wybierz metody uwierzytelniania i wybierz użytkownika, aby usunąć jego telefon lub adres e-mail.

Następne kroki

Raportowanie serwera MFA