Конфиденциальность пользователей и сквозная проверка подлинности Microsoft Entra
Примечание.
В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.
Обзор
Сквозная проверка подлинности Microsoft Entra создает следующий тип журнала, который может содержать персональные данные:
- Файлы журнала трассировки Microsoft Entra Подключение.
- файлы журнала трассировки агента проверки подлинности;
- файлы журнала событий Windows.
Конфиденциальность пользователей для сквозной аутентификации можно повысить двумя способами:
- по запросу извлекать данные для пользователя и удалять эти данные из установленных решений;
- Не хранить данные больше 48 часов.
Настоятельно рекомендуем использовать второй вариант, так как его проще реализовать и обслуживать. См. приведенные ниже инструкции по каждому типу журналов.
Удаление файлов журнала трассировки microsoft Entra Подключение
Проверьте содержимое папки %ProgramData%\AAD Подключение и удалите содержимое журнала трассировки (файлы журнала trace-*.log) этой папки в течение 48 часов после установки или обновления Microsoft Entra Подключение или изменения конфигурации сквозной проверки подлинности, так как это действие может создавать данные, охватываемые GDPR.
Важно!
Не удаляйте файл PersistedState.xml в этой папке, так как этот файл используется для поддержания состояния предыдущей установки Microsoft Entra Подключение и используется при установке обновления. В этом файле никогда не хранятся личные данные о пользователях, и его не следует удалять.
Вы можете просмотреть и удалить файлы журналов трассировки с помощью проводника Windows или использовать приведенный ниже скрипт PowerShell.
$Files = ((Get-Item -Path "$env:programdata\aadconnect\trace-*.log").VersionInfo).FileName
Foreach ($file in $Files) {
{Remove-Item -Path $File -Force}
}
Сохраните скрипт в файле с расширением PS1. Запускайте его по мере необходимости.
Дополнительные сведения о связанных требованиях Microsoft Entra Подключение GDPR см. в этой статье.
Удаление журналов событий агента аутентификации
Этот продукт может также создавать журналы событий Windows. Дополнительные сведения см. в этой статье.
Чтобы посмотреть журналы, связанные с агентом сквозной аутентификации, откройте на сервере приложение Просмотр событий и проверьте расположение Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Удаление файлов журнала трассировки агента проверки подлинности
Следует регулярно проверять содержимое каталога %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace и очищать его каждые 48 часов.
Важно!
Если запущена служба агента аутентификации, вы не сможете удалить текущий файл журнала в этой папке. Остановите службу и повторите попытку. Чтобы избежать ошибок со входом пользователей, следует заранее настроить высокий уровень доступности для сквозной аутентификации.
Вы можете просмотреть и удалить эти файлы с помощью проводника Windows или использовать приведенный ниже сценарий.
$Files = ((Get-childitem -Path "$env:programdata\microsoft\azure ad connect authentication agent\trace" -Recurse).VersionInfo).FileName
Foreach ($file in $files) {
{Remove-Item -Path $File -Force}
}
Запланируйте выполнение этого сценария через каждые 48 часов, используя следующие шаги:
- Сохраните скрипт в файле с расширением PS1.
- Откройте Панель управления и выберите элемент Система и безопасность.
- В разделе Администрирование щелкните Расписание выполнения задач.
- В планировщике задач нажмите правой кнопкой мыши команду Библиотека расписания задач и щелкните Создать простую задачу.
- Введите имя для новой задачи и нажмите кнопку Далее.
- Выберите Ежедневно в поле Триггер задачи и щелкните Далее.
- Установите значение периодичности "2 дня" и щелкните Далее.
- Выберите действие Запуск программы и щелкните Далее.
- В поле программы или сценария введите PowerShell и в поле Добавить аргументы (необязательно) введите полный путь к созданному ранее сценарию, а затем щелкните Далее.
- На следующем экране показана сводка задачи, которую вы собираетесь создать. Проверьте значения и щелкните Готово, чтобы запустить создание задачи.
Примечание о журналах контроллеров домена
Если включено ведение журнала аудита, этот продукт может создавать журналы безопасности для контроллеров домена. Дополнительные сведения о настройке политик аудита см. в этой статье.
Следующие шаги
- Просмотр политики конфиденциальности корпорации Майкрософт в центре управления безопасностью
- Устранение неполадок. Узнайте, как устранить самые распространенные проблемы с этой функцией.