Bagikan melalui

Pengumpulan data pengguna Microsoft Entra untuk autentikasi multifaktor dan pengaturan ulang kata sandi mandiri

  • Artikel

Dokumen ini menjelaskan cara menemukan informasi pengguna yang dikumpulkan oleh Azure Multi-Factor Authentication Server (MFA Server), autentikasi multifaktor Microsoft Entra (berbasis Cloud), dan pengaturan ulang kata sandi mandiri (SSPR) jika Anda ingin menghapusnya.

Catatan

Untuk informasi tentang melihat atau menghapus data pribadi, silakan ulas panduan Microsoft tentang permintaan subjek data Windows untuk situs GDPR. Untuk informasi umum tentang GDPR, lihat bagian GDPR dari Pusat Kepercayaan Microsoft dan bagian GDPR dari portal Kepercayaan Layanan.

Informasi MFA yang dikumpulkan

MFA Server, Ekstensi NPS, dan Adaptor AD FS autentikasi multifaktor Windows Server 2016 Microsoft Entra mengumpulkan dan menyimpan informasi berikut selama 90 hari.

Upaya Autentikasi (digunakan untuk pelaporan dan pemecahan masalah):

  • Tanda Waktu
  • Nama Pengguna
  • Nama Depan
  • Nama Belakang
  • Alamat Email
  • Grup Pengguna
  • Metode Autentikasi (Panggilan Telepon, Pesan Teks, Aplikasi Seluler, Token OATH)
  • Mode Panggilan Telepon (Standar, PIN)
  • Arah Pesan Teks (Satu Arah, Dua Arah)
  • Mode Pesan Teks (OTP, OTP + PIN)
  • Mode Aplikasi Seluler (Standar, PIN)
  • Mode Token OATH (Standar, PIN)
  • Jenis Autentikasi
  • Nama Aplikasi
  • Kode Negara Panggilan Utama
  • Nomor Telepon Panggilan Utama
  • Ekstensi Panggilan Utama
  • Panggilan Utama Diautentikasi
  • Hasil Panggilan Utama
  • Kode Negara Panggilan Cadangan
  • Nomor Telepon Panggilan Cadangan
  • Ekstensi Panggilan Cadangan
  • Panggilan Cadangan Diautentikasi
  • Hasil Panggilan Cadangan
  • Terautentikasi Secara Keseluruhan
  • Hasil Keseluruhan
  • Hasil
  • Terautentikasi
  • Hasil
  • Memulai Alamat IP
  • Perangkat
  • Token Perangkat
  • Jenis Perangkat
  • Versi Aplikasi Seluler
  • Versi OS
  • Hasil
  • Pemeriksaan Pemberitahuan yang Digunakan

Aktivasi (upaya untuk mengaktifkan akun di aplikasi seluler Microsoft Authenticator):

  • Nama Pengguna
  • Nama Akun
  • Tanda Waktu
  • Mendapatkan Hasil Kode Aktivasi
  • Mengaktifkan Keberhasilan
  • Mengaktifkan Kesalahan
  • Hasil Status Aktivasi
  • Nama Perangkat
  • Jenis Perangkat
  • Versi Aplikasi
  • Token OATH Diaktifkan

Blokir (digunakan untuk menentukan status yang diblokir dan untuk pelaporan):

  • Tanda Waktu Blokir
  • Blokir Menurut Nama Pengguna
  • Nama Pengguna
  • Kode Negara
  • Nomor Telepon
  • Nomor Telepon Diformat
  • Ekstensi
  • Membersihkan Ekstensi
  • Terblokir
  • Alasan Blokir
  • Tanda Waktu Penyelesaian
  • Alasan Penyelesaian
  • Penguncian Akun
  • Pemberitahuan Penipuan
  • Pemberitahuan Penipuan Tidak Diblokir
  • Bahasa

Bypass (digunakan untuk pelaporan):

  • Tanda Waktu Bypass
  • Detik Bypass
  • Bypass Menurut Nama Pengguna
  • Nama Pengguna
  • Kode Negara
  • Nomor Telepon
  • Nomor Telepon Diformat
  • Ekstensi
  • Membersihkan Ekstensi
  • Alasan Bypass
  • Tanda Waktu Penyelesaian
  • Alasan Penyelesaian
  • Bypass Digunakan

Perubahan (digunakan untuk menyinkronkan perubahan pengguna ke MFA Server atau MICROSOFT Entra ID):

  • Mengubah Tanda Waktu
  • Nama Pengguna
  • Kode Negara Baru
  • Nomor Telepon Baru
  • Ekstensi Baru
  • Kode Negara Cadangan Baru
  • Nomor Telepon Cadangan Baru
  • Ekstensi Cadangan Baru
  • PIN Baru
  • Perubahan PIN Diperlukan
  • Token Perangkat Lama
  • Token Perangkat Baru

Mengumpulkan data dari MFA Server

Untuk MFA Server versi 8.0 atau lebih tinggi, proses berikut ini memungkinkan administrator mengekspor semua data untuk pengguna:

  • Masuk ke MFA Server Anda, navigasi ke tab Pengguna, pilih pengguna yang bersangkutan, dan klik tombol Edit. Ambil cuplikan layar (Alt-PrtScn) dari setiap tab untuk menyediakan pengaturan MFA saat ini kepada pengguna.
  • Dari baris perintah MFA Server, jalankan perintah berikut ini yang mengubah jalur sesuai dengan penginstalan C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username> Anda untuk menghasilkan file berformat JSON.
  • Administrator juga bisa menggunakan operasi GetUserGdpr SDK Layanan Web sebagai opsi untuk mengekspor semua informasi layanan cloud MFA yang dikumpulkan untuk pengguna tertentu atau dimasukkan ke dalam solusi pelaporan yang lebih besar.
  • Telusuri C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log dan cadangan apa pun untuk "<nama pengguna>" (sertakan tanda kutip dalam penelusuran) untuk menemukan semua contoh catatan pengguna yang ditambahkan atau diubah.
    • Catatan ini dapat dibatasi (tetapi tidak dihilangkan) dengan menghapus centang "Catat perubahan pengguna" di MFA Server UX, bagian Pembuatan Log, tab File Log.
    • Jika syslog dikonfigurasi, dan "Log perubahan pengguna" dicentang di MFA Server UX, bagian Pencatatan log, tab Syslog, entri log dapat dikumpulkan dari syslog sebagai gantinya.
  • Kejadian lain dari nama pengguna di MultiFactorAuthSvc.log dan file log MFA Server lainnya yang berkaitan dengan upaya autentikasi dianggap operasional dan duplikatif terhadap informasi yang diberikan menggunakan ekspor MultiFactorAuthGdpr.exe atau GetUserGdpr SDK Layanan Web.

Menghapus data dari MFA Server

Dari baris perintah MFA Server, jalankan perintah berikut ini yang mengubah jalur sesuai dengan penginstalan C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username> Anda untuk menghapus semua informasi layanan cloud MFA yang dikumpulkan untuk pengguna ini.

  • Data yang termasuk dalam ekspor dihapus secara real time, tetapi mungkin diperlukan waktu hingga 30 hari agar data operasional atau duplikatif dihapus sepenuhnya.
  • Administrator juga dapat menggunakan operasi DeleteUserGdpr SDK Layanan Web sebagai opsi untuk menghapus semua informasi layanan cloud MFA yang dikumpulkan untuk pengguna tertentu atau dimasukkan ke dalam solusi pelaporan yang lebih besar.

Mengumpulkan data dari Ekstensi NPS

Gunakan portal Privasi Microsoft untuk membuat permintaan Ekspor.

  • Informasi MFA termasuk dalam ekspor, yang mungkin memakan waktu berjam-jam atau berhari-hari untuk diselesaikan.
  • Kejadian nama pengguna di log peristiwa AzureMfa/AuthN/AuthNOptCh, AzureMfa/AuthZ/AuthZAdminCh, dan AzureMfa/AuthZ/AuthZOptCh dianggap operasional dan duplikatif terhadap informasi yang diberikan dalam ekspor.

Menghapus data dari Ekstensi NPS

Gunakan portal Privasi Microsoft untuk membuat permintaan Tutup Akun untuk menghapus semua informasi layanan cloud MFA yang dikumpulkan untuk pengguna ini.

  • Mungkin perlu waktu hingga 30 hari agar data dihapus sepenuhnya.

Mengumpulkan data dari Adaptor AD FS autentikasi multifaktor Windows Server 2016 Microsoft Entra

Gunakan portal Privasi Microsoft untuk membuat permintaan Ekspor.

  • Informasi MFA termasuk dalam ekspor, yang mungkin memakan waktu berjam-jam atau berhari-hari untuk diselesaikan.
  • Kejadian nama pengguna dalam log peristiwa Pelacakan/Debug AD FS (jika diaktifkan) dianggap operasional dan duplikatif terhadap informasi yang diberikan dalam ekspor.

Menghapus data dari Adaptor AD FS autentikasi multifaktor Microsoft Entra Windows Server 2016

Gunakan portal Privasi Microsoft untuk membuat permintaan Tutup Akun untuk menghapus semua informasi layanan cloud MFA yang dikumpulkan untuk pengguna ini.

  • Mungkin perlu waktu hingga 30 hari agar data dihapus sepenuhnya.

Mengumpulkan data untuk autentikasi multifaktor Microsoft Entra

Gunakan portal Privasi Microsoft untuk membuat permintaan Ekspor.

  • Informasi MFA termasuk dalam ekspor, yang mungkin memakan waktu berjam-jam atau berhari-hari untuk diselesaikan.

Menghapus data untuk autentikasi multifaktor Microsoft Entra

Gunakan portal Privasi Microsoft untuk membuat permintaan Tutup Akun untuk menghapus semua informasi layanan cloud MFA yang dikumpulkan untuk pengguna ini.

  • Mungkin perlu waktu hingga 30 hari agar data dihapus sepenuhnya.

Menghapus data untuk pengaturan ulang kata sandi mandiri

Pengguna dapat menambahkan jawaban atas pertanyaan keamanan sebagai bagian dari SSPR. Pertanyaan dan jawaban keamanan di-hash untuk mencegah akses yang tidak sah. Hanya data hash yang disimpan, sehingga pertanyaan dan jawaban keamanan tidak dapat diekspor. Pengguna dapat masuk ke Login saya untuk mengedit atau menghapusnya. Satu-satunya informasi lain yang disimpan untuk SSPR adalah alamat email pengguna.

Mereka yang diberi peran Administrator Autentikasi Istimewa dapat menghapus data yang dikumpulkan untuk pengguna mana pun. Pada halaman Pengguna di ID Microsoft Entra, klik Metode autentikasi dan pilih pengguna untuk menghapus telepon atau alamat email mereka.

Langkah berikutnya

Pelaporan MFA Server