Verwalten von Benutzerdaten in Azure Active Directory B2CManage user data in Azure Active Directory B2C

In diesem Artikel wird beschrieben, wie Sie Benutzerdaten in Azure Active Directory B2C (Azure AD B2C) mit den Vorgängen der Microsoft Graph-API verwalten.This article discusses how you can manage the user data in Azure Active Directory B2C (Azure AD B2C) by using the operations that are provided by the Microsoft Graph API. Beim Verwalten von Benutzerdaten werden u.a. Daten aus Überwachungsprotokollen gelöscht oder exportiert.Managing user data includes deleting or exporting data from audit logs.

Hinweis

Dieser Artikel enthält Schritte zum Löschen von persönlichen Daten vom Gerät oder aus dem Dienst und kann zur Unterstützung Ihrer Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) verwendet werden.This article provides steps for how to delete personal data from the device or service and can be used to support your obligations under the GDPR. Allgemeine Informationen zur DSGVO finden Sie unter GDPR section of the Service Trust portal (DSGVO-Bereich des Service Trust Portals).If you’re looking for general info about GDPR, see the GDPR section of the Service Trust portal.

Löschen von BenutzerdatenDelete user data

Benutzerdaten werden im Azure AD B2C-Verzeichnis und in den Überwachungsprotokollen gespeichert.User data is stored in the Azure AD B2C directory and in the audit logs. Alle Daten zur Benutzerüberwachung werden in Azure AD B2C sieben Tage lang aufbewahrt.All user audit data is retained for 7 days in Azure AD B2C. Falls Sie Benutzerdaten innerhalb dieser 7-Tage-Frist löschen möchten, können Sie den Vorgang Einen Benutzer löschen verwenden.If you want to delete user data within that 7-day period, you can use the Delete a user operation. Ein DELETE-Vorgang ist für alle Azure AD B2C-Mandanten erforderlich, auf denen sich Daten befinden können.A DELETE operation is required for each of the Azure AD B2C tenants where data might reside.

Jedem Benutzer in Azure AD B2C wird eine Objekt-ID zugewiesen.Every user in Azure AD B2C is assigned an object ID. Mit der Objekt-ID erhalten Sie einen eindeutigen Bezeichner, den Sie zum Löschen von Benutzerdaten in Azure AD B2C verwenden können.The object ID provides an unambiguous identifier for you to use to delete user data in Azure AD B2C. Je nach Architektur kann die Objekt-ID auch ein nützlicher Korrelationsbezeichner für andere Dienste sein, z.B. Datenbanken in den Bereichen Finanzen, Marketing und Kundenbeziehungsmanagement.Depending on your architecture, the object ID can be a useful correlation identifier across other services, such as financial, marketing, and customer relationship management databases.

Der präziseste Ansatz zum Beschaffen der Objekt-ID für einen Benutzer ist das Abrufen im Rahmen eines Authentifizierungsablaufs mit Azure AD B2C.The most accurate way to get the object ID for a user is to obtain it as part of an authentication journey with Azure AD B2C. Wenn Sie eine gültige Datenanforderung von einem Benutzer über andere Methoden erhalten, ist unter Umständen ein Offlineprozess erforderlich, wie eine Suche nach einem Kundendienst-Agent, um den Benutzer zu finden und die zugeordnete Objekt-ID zu erhalten.If you receive a valid request for data from a user by using other methods, an offline process, such as a search by a customer service support agent, might be necessary to find the user and note the associated object ID.

Im folgenden Beispiel ist ein möglicher Ablauf zum Löschen von Daten dargestellt:The following example shows a possible data-deletion flow:

  1. Der Benutzer meldet sich an und wählt Meine Daten löschen.The user signs in and selects Delete my data.
  2. Die Anwendung enthält eine Option zum Löschen der Daten in einem Verwaltungsabschnitt.The application offers an option to delete the data within an administration section of the application.
  3. Die Anwendung erzwingt eine Authentifizierung über Azure AD B2C.The application forces an authentication to Azure AD B2C. Azure AD B2C stellt für die Anwendung ein Token mit der Objekt-ID des Benutzers bereit.Azure AD B2C provides a token with the object ID of the user back to the application.
  4. Die Anwendung empfängt das Token, und die Objekt-ID wird verwendet, um die Benutzerdaten über einen Aufruf der Microsoft Graph-API zu löschen.The token is received by the application, and the object ID is used to delete the user data through a call to the Microsoft Graph API. Die Microsoft Graph-API löscht die Benutzerdaten und gibt den Statuscode „200 OK“ zurück.The Microsoft Graph API deletes the user data and returns a status code of 200 OK.
  5. Die Anwendung orchestriert das Löschen der Benutzerdaten in anderen Organisationssystemen nach Bedarf, indem die Objekt-ID oder andere Bezeichner verwendet werden.The application orchestrates the deletion of user data in other organizational systems as needed by using the object ID or other identifiers.
  6. Die Anwendung bestätigt das Löschen der Daten und stellt die nächsten Schritte für den Benutzer bereit.The application confirms the deletion of data and provides next steps to the user.

Exportieren von KundendatenExport customer data

Der Prozess zum Exportieren von Kundendaten aus Azure AD B2C ähnelt dem Löschvorgang.The process of exporting customer data from Azure AD B2C is similar to the deletion process.

Azure AD B2C-Benutzerdaten sind auf folgende Daten beschränkt:Azure AD B2C user data is limited to:

  • In Azure Active Directory gespeicherte Daten: Sie können Daten über die User Journey einer Azure AD B2C-Authentifizierung abrufen, indem Sie die Objekt-ID oder einen beliebigen Anmeldenamen wie die E-Mail-Adresse oder den Benutzernamen verwenden.Data stored in the Azure Active Directory: You can retrieve data in an Azure AD B2C authentication user journey by using the object ID or any sign-in name, such as an email address or username.
  • Bericht zu benutzerspezifischen Überwachungsereignissen: Sie können Daten anhand der Objekt-ID indizieren.User-specific audit events report: You can index data by using the object ID.

Im folgenden Beispiel für einen Exportdatenfluss lassen sich die Schritte, die für die Anwendung beschrieben werden, entweder per Back-End-Prozess oder von einem Benutzer mit einer Administratorrolle im Verzeichnis ausführen:In the following example of an export data flow, the steps that are described as being performed by the application can also be performed by either a backend process or a user with an administrator role in the directory:

  1. Der Benutzer meldet sich an der Anwendung an.The user signs in to the application. Azure AD B2C erzwingt bei Bedarf die Authentifizierung mit Azure AD Multi-Factor Authentication.Azure AD B2C enforces authentication with Azure AD Multi-Factor Authentication if needed.
  2. Die Anwendung verwendet die Anmeldeinformationen des Benutzers, um einen Vorgang der Microsoft Graph-API zum Abrufen von Benutzerattributen aufzurufen.The application uses the user credentials to call a Microsoft Graph API operation to retrieve the user attributes. Die Microsoft Graph-API stellt die Attributdaten im JSON-Format bereit.The Microsoft Graph API provides the attribute data in JSON format. Je nach Schema können Sie den ID-Tokeninhalt so festlegen, dass er alle persönlichen Daten eines Benutzers enthält.Depending on the schema, you can set the ID token contents to include all personal data about a user.
  3. Die Anwendung ruft die Überwachungsaktivitäten für den Endbenutzer ab.The application retrieves the user audit activity. Die Microsoft Graph-API stellt die Ereignisdaten für die Anwendung bereit.The Microsoft Graph API provides the event data to the application.
  4. Die Anwendung aggregiert die Daten und stellt sie für den Benutzer zur Verfügung.The application aggregates the data and makes it available to the user.

Nächste SchritteNext steps

Weitere Informationen dazu, wie Benutzer auf Ihre Anwendung zugreifen können, finden Sie unter Verwalten des Benutzerzugriffs.To learn how to manage how users access your application, see Manage user access.