删除 Microsoft Entra 应用程序代理的个人数据
Microsoft Entra 应用程序代理要求你在设备上安装连接器,这意味着设备上可能存在个人数据。 本文提供了如何删除该个人数据以提高隐私的步骤。
个人数据在哪里?
应用程序代理可以将个人数据写入以下日志类型:
- 连接器事件日志
- Windows 事件日志
从 Windows 事件日志中删除个人数据
有关如何为 Windows 事件日志配置数据保留的信息,请参阅事件日志的设置。 若要了解有关 Windows 事件日志的信息,请参阅使用 Windows 事件日志。
注意
若要了解如何查看或删除个人数据,请在符合 GDPR 的 Windows 数据主体请求站点中查看 Microsoft 的指南。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
从连接器事件日志中删除个人数据
若要确保应用程序代理日志没有个人数据,可以:
- 在需要时删除或查看数据,或者
- 关闭日志记录
使用以下部分从连接器事件日志中删除个人数据。 对于安装了连接器的所有设备,必须完成删除过程。
注意
本文介绍如何删除设备或服务中的个人数据,并且可用于为 GDPR 下的义务提供支持。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
查看或导出特定数据
若要查看或导出特定数据,请在每个连接器事件日志中搜索相关条目。 日志位于 C:\ProgramData\Microsoft\Microsoft AAD private network connector\Trace
。
由于日志是文本文件,可以使用 findstr 来搜索与用户相关的文本项。
若要查找个人数据,请在日志文件中搜索 UserID。
若要查找由使用 Kerberos 约束委派的应用程序记录的个人数据,请搜索用户名类型的这些组件:
- 本地用户主体名称
- 用户主体名称的用户名部分
- 本地用户主体名称的用户名部分
- 本地安全帐户管理器 (SAM) 帐户名
删除特定数据
若要删除特定数据,请执行以下操作:
- 生成新的日志文件。 重启 Microsoft Entra 专用网络连接器服务。 生成新日志文件后,可以删除或修改旧日志文件。
- 按照前面介绍的查看或导出特定数据过程,查找需要删除的信息。 搜索所有连接器日志。
- 删除相关日志文件,或者有选择地删除包含个人数据的字段。 如果不再需要旧日志文件,也可以将其全部删除。
禁用连接器日志
确保连接器日志不包含个人数据的一个选项是禁用日志生成。 若要停止生成连接器日志,请从 C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config
中删除以下突出显示的行。
后续步骤
有关应用程序代理的概述,请参阅如何提供对本地应用程序的安全远程访问。