Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
In diesem Artikel wird erläutert, wie Sie die Benutzerdaten in Azure Active Directory B2C (Azure AD B2C) mithilfe der Vorgänge verwalten können, die von der Microsoft Graph-API bereitgestellt werden. Das Verwalten von Benutzerdaten umfasst das Löschen oder Exportieren von Daten aus Überwachungsprotokollen.
Hinweis
Dieser Artikel enthält eine ausführliche Vorgehensweise zum Löschen personenbezogener Daten vom Gerät oder aus dem Dienst, die Sie bei Ihren Pflichten gemäß der DSGVO unterstützen kann. Allgemeine Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.
Löschen von Benutzerdaten
Benutzerdaten werden im Azure AD B2C-Verzeichnis und in den Überwachungsprotokollen gespeichert. Alle Benutzerüberwachungsdaten werden 7 Tage lang in Azure AD B2C aufbewahrt. Wenn Sie Benutzerdaten innerhalb dieses Zeitraums von 7 Tagen löschen möchten, können Sie den Vorgang " Benutzer löschen " verwenden. Für jeden Azure AD B2C-Mandanten, in dem sich Daten befinden, ist ein DELETE-Vorgang erforderlich.
Jedem Benutzer in Azure AD B2C wird eine Objekt-ID zugewiesen. Die Objekt-ID stellt einen eindeutigen Bezeichner bereit, mit dem Sie Benutzerdaten in Azure AD B2C löschen können. Je nach Architektur kann die Objekt-ID ein nützlicher Korrelationsbezeichner für andere Dienste sein, z. B. Finanz-, Marketing- und Customer Relationship Management-Datenbanken.
Die genaueste Methode zum Abrufen der Objekt-ID für einen Benutzer besteht darin, sie als Teil einer Authentifizierungsreise mit Azure AD B2C abzurufen. Wenn Sie eine gültige Anforderung für Daten von einem Benutzer mithilfe anderer Methoden erhalten, kann ein Offlineprozess, z. B. eine Suche durch einen Kundendienstmitarbeiter, erforderlich sein, um den Benutzer zu finden und die zugehörige Objekt-ID zu notieren.
Das folgende Beispiel zeigt einen möglichen Datenlöschfluss:
- Der Benutzer meldet sich an und wählt "Meine Daten löschen" aus.
- Die Anwendung bietet eine Möglichkeit, die Daten innerhalb eines Verwaltungsabschnitts der Anwendung zu löschen.
- Die Anwendung erzwingt eine Authentifizierung bei Azure AD B2C. Azure AD B2C stellt ein Token mit der Objekt-ID des Benutzers zurück zur Anwendung bereit.
- Das Token wird von der Anwendung empfangen, und die Objekt-ID wird verwendet, um die Benutzerdaten über einen Aufruf der Microsoft Graph-API zu löschen. Die Microsoft Graph-API löscht die Benutzerdaten und gibt einen Statuscode von 200 OK zurück.
- Die Anwendung koordiniert das Löschen von Benutzerdaten in anderen Organisationssystemen nach Bedarf mithilfe der Objekt-ID oder anderer Bezeichner.
- Die Anwendung bestätigt das Löschen von Daten und führt die nächsten Schritte für den Benutzer aus.
Kundendaten exportieren
Der Vorgang zum Exportieren von Kundendaten aus Azure AD B2C ähnelt dem Löschvorgang.
Azure AD B2C-Benutzerdaten sind auf Folgendes beschränkt:
- Daten, die in der Microsoft Entra-ID gespeichert sind: Sie können Daten in einer Azure AD B2C-Authentifizierungs-Benutzerreise abrufen, indem Sie die Objekt-ID oder einen beliebigen Anmeldenamen verwenden, z. B. eine E-Mail-Adresse oder einen Benutzernamen.
- Bericht über benutzerspezifische Überwachungsereignisse: Sie können Daten mithilfe der Objekt-ID indizieren.
Im folgenden Beispiel für einen Exportdatenfluss können die Schritte, die beschrieben werden, wie sie von der Anwendung ausgeführt werden, auch von einem Back-End-Prozess oder einem Benutzer mit einer Administratorrolle im Verzeichnis ausgeführt werden:
- Der Benutzer meldet sich bei der Anwendung an. Azure AD B2C erzwingt bei Bedarf die Authentifizierung mit der mehrstufigen Microsoft Entra-Authentifizierung.
- Die Anwendung verwendet die Benutzeranmeldeinformationen, um einen Microsoft Graph-API-Vorgang aufzurufen, um die Benutzerattribute abzurufen. Die Microsoft Graph-API stellt die Attributdaten im JSON-Format bereit. Je nach Schema können Sie den INHALT des ID-Tokens so festlegen, dass alle persönlichen Daten zu einem Benutzer einbezogen werden.
- Die Anwendung ruft die Überwachungsaktivitäten für den Endbenutzer ab. Die Microsoft Graph-API stellt die Ereignisdaten für die Anwendung bereit.
- Die Anwendung aggregiert die Daten und stellt sie dem Benutzer zur Verfügung.
Nächste Schritte
Informationen zum Verwalten des Zugriffs von Benutzern auf Ihre Anwendung finden Sie unter Verwalten des Benutzerzugriffs.