Конфиденциальность пользователей и сквозная проверка подлинности Microsoft Entra

Примечание.

В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.

Обзор

Сквозная проверка подлинности Microsoft Entra создает следующий тип журнала, который может содержать персональные данные:

• Файлы журнала трассировки Microsoft Entra Подключение.
• файлы журнала трассировки агента проверки подлинности;
• файлы журнала событий Windows.

Конфиденциальность пользователей для сквозной аутентификации можно повысить двумя способами:

1. по запросу извлекать данные для пользователя и удалять эти данные из установленных решений;
2. Не хранить данные больше 48 часов.

Настоятельно рекомендуем использовать второй вариант, так как его проще реализовать и обслуживать. См. приведенные ниже инструкции по каждому типу журналов.

Удаление файлов журнала трассировки microsoft Entra Подключение

Проверьте содержимое папки %ProgramData%\AAD Подключение и удалите содержимое журнала трассировки (файлы журнала trace-*.log) этой папки в течение 48 часов после установки или обновления Microsoft Entra Подключение или изменения конфигурации сквозной проверки подлинности, так как это действие может создавать данные, охватываемые GDPR.

Важно!

Не удаляйте файл PersistedState.xml в этой папке, так как этот файл используется для поддержания состояния предыдущей установки Microsoft Entra Подключение и используется при установке обновления. В этом файле никогда не хранятся личные данные о пользователях, и его не следует удалять.

Вы можете просмотреть и удалить файлы журналов трассировки с помощью проводника Windows или использовать приведенный ниже скрипт PowerShell.

$Files = ((Get-Item -Path "$env:programdata\aadconnect\trace-*.log").VersionInfo).FileName 
 
Foreach ($file in $Files) { 
    {Remove-Item -Path $File -Force} 
}

Сохраните скрипт в файле с расширением PS1. Запускайте его по мере необходимости.

Дополнительные сведения о связанных требованиях Microsoft Entra Подключение GDPR см. в этой статье.

Удаление журналов событий агента аутентификации

Этот продукт может также создавать журналы событий Windows. Дополнительные сведения см. в этой статье.

Чтобы посмотреть журналы, связанные с агентом сквозной аутентификации, откройте на сервере приложение Просмотр событий и проверьте расположение Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.

Удаление файлов журнала трассировки агента проверки подлинности

Следует регулярно проверять содержимое каталога %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace и очищать его каждые 48 часов.

Важно!

Если запущена служба агента аутентификации, вы не сможете удалить текущий файл журнала в этой папке. Остановите службу и повторите попытку. Чтобы избежать ошибок со входом пользователей, следует заранее настроить высокий уровень доступности для сквозной аутентификации.

Вы можете просмотреть и удалить эти файлы с помощью проводника Windows или использовать приведенный ниже сценарий.

$Files = ((Get-childitem -Path "$env:programdata\microsoft\azure ad connect authentication agent\trace" -Recurse).VersionInfo).FileName 
 
Foreach ($file in $files) { 
    {Remove-Item -Path $File -Force} 
}

Запланируйте выполнение этого сценария через каждые 48 часов, используя следующие шаги:

1. Сохраните скрипт в файле с расширением PS1.
2. Откройте Панель управления и выберите элемент Система и безопасность.
3. В разделе Администрирование щелкните Расписание выполнения задач.
4. В планировщике задач нажмите правой кнопкой мыши команду Библиотека расписания задач и щелкните Создать простую задачу.
5. Введите имя для новой задачи и нажмите кнопку Далее.
6. Выберите Ежедневно в поле Триггер задачи и щелкните Далее.
7. Установите значение периодичности "2 дня" и щелкните Далее.
8. Выберите действие Запуск программы и щелкните Далее.
9. В поле программы или сценария введите PowerShell и в поле Добавить аргументы (необязательно) введите полный путь к созданному ранее сценарию, а затем щелкните Далее.
10. На следующем экране показана сводка задачи, которую вы собираетесь создать. Проверьте значения и щелкните Готово, чтобы запустить создание задачи.

Примечание о журналах контроллеров домена

Если включено ведение журнала аудита, этот продукт может создавать журналы безопасности для контроллеров домена. Дополнительные сведения о настройке политик аудита см. в этой статье.

Следующие шаги

• Просмотр политики конфиденциальности корпорации Майкрософт в центре управления безопасностью
• Устранение неполадок. Узнайте, как устранить самые распространенные проблемы с этой функцией.