Datenschutz und Passthrough-Authentifizierung von Azure Active Directory

Hinweis

Dieser Artikel enthält eine ausführliche Vorgehensweise zum Löschen personenbezogener Daten vom Gerät oder aus dem Dienst, die Sie bei Ihren Pflichten gemäß der DSGVO unterstützen kann. Allgemeine Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

Übersicht

Durch die Azure AD-Passthrough-Authentifizierung wird der folgende Protokolltyp erstellt, der ggf. personenbezogene Daten enthält:

  • Azure AD Connect-Ablaufverfolgungsprotokoll-Dateien
  • Ablaufverfolgungsprotokoll-Dateien für Authentifizierungs-Agent
  • Windows-Ereignisprotokolldateien

Verbessern Sie den Datenschutz der Benutzer bei der Passthrough-Authentifizierung wie folgt:

  1. Extrahieren von Daten für eine Person und Entfernen der Daten dieser Person aus Installationen auf Anforderung
  2. Sicherstellen, dass keine Daten länger als 48 Stunden beibehalten werden

Wir raten Ihnen dringend, die zweite Option zu verwenden, da diese einfacher zu implementieren und zu verwalten ist. Hier sind die Anleitungen für die einzelnen Protokolltypen angegeben:

Löschen von Azure AD Connect-Ablaufverfolgungsprotokoll-Dateien

Überprüfen Sie den Inhalt des Ordners %ProgramData%\AADConnect, und löschen Sie den Inhalt des Ablaufverfolgungsprotokolls (trace-*.log-Dateien) des Ordners innerhalb von 48 Stunden nach dem Installieren oder Aktualisieren von Azure AD Connect oder dem Ändern der Passthrough-Authentifizierungskonfiguration. Der Grund ist, dass mit dieser Aktion ggf. Daten erstellt werden, die unter die DSGVO fallen.

Wichtig

Löschen Sie nicht die Datei PersistedState.xml in diesem Ordner, da diese Datei zum Verwalten des Zustands der vorherigen Installation von Azure AD Connect und nach einer Upgradeinstallation verwendet wird. Diese Datei enthält niemals Daten zu einer Person und sollte nie gelöscht werden.

Sie können diese Ablaufverfolgungsprotokoll-Dateien entweder mit Windows-Explorer überprüfen und löschen, oder Sie können das folgende PowerShell-Skript verwenden, um die erforderlichen Aktionen durchzuführen:

$Files = ((Get-Item -Path "$env:programdata\aadconnect\trace-*.log").VersionInfo).FileName 
 
Foreach ($file in $Files) { 
    {Remove-Item -Path $File -Force} 
}

Speichern Sie das Skript in einer Datei mit der Erweiterung „.PS1“. Führen Sie dieses Skript je nach Bedarf aus.

Weitere Informationen zu verwandten DSGVO-Anforderungen für Azure AD Connect finden Sie in diesem Artikel.

Löschen der Ereignisprotokolle des Authentifizierungs-Agents

Mit diesem Produkt können auch Windows-Ereignisprotokolle erstellt werden. Weitere Informationen finden Sie in diesem Artikel.

Öffnen Sie zum Anzeigen von Protokollen zum Agent für die Passthrough-Authentifizierung die Ereignisanzeige auf dem Server, und sehen Sie unter Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin nach.

Löschen der Ablaufverfolgungsprotokoll-Dateien für den Authentifizierungs-Agent

Sie sollten den Inhalt von %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace regelmäßig überprüfen und den Inhalt dieses Ordners alle 48 Stunden löschen.

Wichtig

Wenn der Authentifizierungs-Agent ausgeführt wird, ist es nicht möglich, die aktuelle Protokolldatei im Ordner zu löschen. Beenden Sie den Dienst, bevor Sie es erneut versuchen. Um Benutzeranmeldefehler zu vermeiden, sollten Sie die Passthrough-Authentifizierung für Hochverfügbarkeit bereits konfiguriert haben.

Sie können diese Dateien mithilfe von Windows-Explorer überprüfen und löschen, oder Sie können das folgende Skript verwenden, um die erforderlichen Aktionen durchzuführen:

$Files = ((Get-childitem -Path "$env:programdata\microsoft\azure ad connect authentication agent\trace" -Recurse).VersionInfo).FileName 
 
Foreach ($file in $files) { 
    {Remove-Item -Path $File -Force} 
}

Führen Sie diese Schritte aus, um für das Skript die Ausführung nach jeweils 48 Stunden zu planen:

  1. Speichern Sie das Skript in einer Datei mit der Erweiterung „.PS1“.
  2. Öffnen Sie die Systemsteuerung, und klicken Sie auf System und Sicherheit.
  3. Klicken Sie unter der Überschrift Verwaltung auf Aufgaben planen.
  4. Klicken Sie im Taskplaner mit der rechten Maustaste auf Aufgabenplanungsbibliothek, und klicken Sie auf Einfache Aufgabe erstellen....
  5. Geben Sie den Namen für die neue Aufgabe ein, und klicken Sie auf Weiter.
  6. Wählen Sie unter Aufgabentrigger die Option Täglich, und klicken Sie auf Weiter.
  7. Legen Sie die Wiederholung auf zwei Tage fest, und klicken Sie auf Weiter.
  8. Wählen Sie als Aktion Programm starten aus, und klicken Sie auf Weiter.
  9. Geben Sie in das Feld für das Programm/Skript PowerShell und in das Feld Argumente hinzufügen (optional) den vollständigen Pfad zu dem zuvor erstellten Skript ein. Klicken Sie anschließend auf Weiter.
  10. Auf dem nächsten Bildschirm wird eine Zusammenfassung der Aufgabe angezeigt, die Sie erstellen möchten. Überprüfen Sie die Werte, und klicken Sie auf Fertig stellen, um die Aufgabe zu erstellen:

Hinweis zu Domänencontrollerprotokollen

Wenn die Überwachungsprotokollierung aktiviert ist, kann dieses Produkt Sicherheitsprotokolle für Ihre Domänencontroller generieren. Weitere Informationen zum Konfigurieren von Überwachungsrichtlinien finden Sie in diesem Artikel.

Nächste Schritte