Hantera användardata i Azure Active Directory B2C

Den här artikeln beskriver hur du kan hantera användardata i Azure Active Directory B2C (Azure AD B2C) med hjälp av de åtgärder som tillhandahålls av Microsoft Graph API. Hantering av användardata omfattar borttagning eller export av data från granskningsloggar.

Anteckning

Den här artikeln innehåller steg om hur du tar bort personuppgifter från enheten eller tjänsten och kan användas för att stödja dina skyldigheter enligt GDPR. Allmän information om GDPR finns i avsnittet GDPR i Microsoft Trust Center och GDPR i Service Trust-portalen.

Ta bort användardata

Användardata lagras i katalogen Azure AD B2C och i granskningsloggarna. Alla användargranskningsdata behålls i 7 dagar i Azure AD B2C. Om du vill ta bort användardata inom den sjudagarsperioden kan du använda åtgärden Ta bort en användare . En DELETE-åtgärd krävs för var och en av de Azure AD B2C-klientorganisationer där data kan finnas.

Varje användare i Azure AD B2C tilldelas ett objekt-ID. Objekt-ID:t innehåller en entydig identifierare som du kan använda för att ta bort användardata i Azure AD B2C. Beroende på din arkitektur kan objekt-ID:t vara en användbar korrelationsidentifierare för andra tjänster, till exempel ekonomi-, marknadsförings- och kundrelationshanteringsdatabaser.

Det mest exakta sättet att hämta objekt-ID:t för en användare är att hämta det som en del av en autentiseringsresa med Azure AD B2C. Om du får en giltig begäran om data från en användare med hjälp av andra metoder kan en offlineprocess, till exempel en sökning av en kundtjänstsupportagent, vara nödvändig för att hitta användaren och notera det associerade objekt-ID:t.

I följande exempel visas ett möjligt flöde för databorttagning:

1. Användaren loggar in och väljer Ta bort mina data.
2. Programmet erbjuder ett alternativ för att ta bort data i ett administrationsavsnitt i programmet.
3. Programmet tvingar en autentisering att Azure AD B2C. Azure AD B2C tillhandahåller en token med objekt-ID:t för användaren tillbaka till programmet.
4. Token tas emot av programmet och objekt-ID:t används för att ta bort användardata via ett anrop till Microsoft Graph API. Microsoft Graph API tar bort användardata och returnerar en statuskod på 200 OK.
5. Programmet samordnar borttagningen av användardata i andra organisationssystem efter behov med hjälp av objekt-ID:t eller andra identifierare.
6. Programmet bekräftar borttagningen av data och ger användaren nästa steg.

Exportera kunddata

Processen för att exportera kunddata från Azure AD B2C liknar borttagningsprocessen.

Azure AD B2C-användardata är begränsad till:

• Data som lagras i Microsoft Entra-ID: Du kan hämta data i en Azure AD användarresa för B2C-autentisering med hjälp av objekt-ID:t eller något inloggningsnamn, till exempel en e-postadress eller ett användarnamn.
• Rapport om användarspecifika granskningshändelser: Du kan indexeringsdata med hjälp av objekt-ID:t.

I följande exempel på ett exportdataflöde kan de steg som beskrivs som utförda av programmet också utföras av antingen en serverdelsprocess eller en användare med en administratörsroll i katalogen:

1. Användaren loggar in på programmet. Azure AD B2C framtvingar autentisering med Microsoft Entra multifaktorautentisering om det behövs.
2. Programmet använder användarautentiseringsuppgifterna för att anropa en Microsoft-Graph API åtgärd för att hämta användarattributen. Microsoft Graph API tillhandahåller attributdata i JSON-format. Beroende på schemat kan du ange att ID-tokeninnehållet ska innehålla alla personliga data om en användare.
3. Programmet hämtar användargranskningsaktiviteten. Microsoft Graph API tillhandahåller händelsedata till programmet.
4. Programmet sammanställer data och gör dem tillgängliga för användaren.

Nästa steg

Information om hur du hanterar hur användare får åtkomst till ditt program finns i Hantera användaråtkomst.