次の方法で共有

ユーザー プライバシーと Microsoft Entra パススルー認証

この記事は、デバイスまたはサービスから個人データを削除する手順について説明しており、GDPR の下で義務を果たすために使用できます。 GDPR に関する一般情報については、Microsoft Trust Center の GDPR に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。

概要

Microsoft Entra パススルー認証では、個人データを含めることができる次の種類のログが作成されます。

  • Microsoft Entra Connect トレース ログ ファイル。
  • 認証エージェント トレース ログ ファイル。
  • Windows イベント ログ ファイル。

次の 2 つの方法でパススルー認証のユーザー プライバシーを強化します:

  1. 要請を受けた際、個人のデータを抽出し、その個人のデータを環境から削除する
  2. 48時間以上データを保存しないようにしてください。

実装や保守がより簡単なので、2 番目の方法を強くお勧めします。 以下に、ログの種類ごとの手順を示します。

Microsoft Entra Connect トレース ログ ファイルを削除する

Microsoft Entra Connect のインストールまたはアップグレード、あるいはパススルー認証の構成の変更の 48 時間以内に、%ProgramData%\AADConnect フォルダーの内容を確認し、このフォルダーのトレース ログ コンテンツ (trace-*.log ファイル) を削除します。このアクションによって GDPR の対象となるデータが作成される可能性があるためです。

Von Bedeutung

このフォルダー内にある PersistedState.xml ファイルは削除しないでください。このファイルは Microsoft Entra Connect の以前のインストールの状態を保持するために使用され、さらには、アップグレードのインストールが完了された場合にも使用されるためです。 このファイルが個人に関するデータを含むことはないため、絶対に削除しないでください。

これらのトレース ログ ファイルの確認と削除には Windows エクスプ ローラーを使用することもできますし、次のような PowerShell スクリプトを使用して、必要なアクションを実行することもできます。

$Files = ((Get-Item -Path "$env:programdata\aadconnect\trace-*.log").VersionInfo).FileName 
 
Foreach ($file in $Files) { 
    {Remove-Item -Path $File -Force} 
}

拡張子が ".PS1" のファイルにスクリプトを保存します。 必要に応じて、このスクリプトを実行してください。

関連する Microsoft Entra Connect の GDPR 要件の詳細については、こちらの記事をご覧ください。

認証エージェントのイベント ログを削除する

この製品では、Windows イベント ログが作成されることもあります。 詳細については、こちらの記事をご覧ください。

パススルー認証エージェントに関するログを表示するには、サーバーでイベント ビューアー アプリケーションを開き、アプリケーションとサービス ログ\Microsoft\AzureAdConnect\AuthenticationAgent\Admin の下を調べます。

認証エージェント トレース ログ ファイルを削除する

%ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace の内容を定期的に確認して、48 時間ごとにこのフォルダーの内容を削除する必要があります。

Von Bedeutung

認証エージェント サービスが実行中の場合は、フォルダー内の現在のログ ファイルを削除できません。 サービスを停止してから、再試行してください。 ユーザーのサインイン エラーを回避するには、高可用性に対応するパススルー認証を既に構成している必要があります。

これらのファイルの確認と削除には Windows エクスプ ローラーを使用することもできますし、次のようなスクリプトを使用して、必要なアクションを実行することもできます。

$Files = ((Get-ChildItem -Path "$env:programdata\microsoft\azure ad connect authentication agent\trace" -Recurse).VersionInfo).FileName 
 
Foreach ($file in $files) { 
    {Remove-Item -Path $File -Force} 
}

このスクリプトを 48 時間ごとに実行するようにスケジュールするには、次の手順に従います。

  1. 拡張子が ".PS1" のファイルにスクリプトを保存します。
  2. コントロール パネルを開き、[システムとセキュリティ] をクリックします。
  3. [管理ツール] で、[タスクのスケジュール] をクリックします。
  4. タスク スケジューラで、[Task Schedule Library](タスク スケジュール ライブラリ) を右クリックし、[基本タスクの作成...] をクリックします
  5. 新しいタスクの名前を入力し、[次へ] をクリックします。
  6. タスク トリガーとして [毎日] を選択し、[次へ] をクリックします。
  7. 繰り返しを [2 日] に設定し、[次へ] をクリックします。
  8. アクションとして [プログラムを起動する] を選択し、[次へ] をクリックします。
  9. プログラム/スクリプトのボックスに「PowerShell」と入力し、[引数の追加 (オプション)] というラベルの付いたボックスに、先ほど作成したスクリプトへの完全なパスを入力して、[次へ] をクリックします。
  10. 次の画面に、作成しようとしているタスクの概要が表示されます。 値を確認し、[完了] をクリックしてタスクを作成します。

ドメイン コントローラー ログに関する注意事項

監査ログが有効になっている場合、この製品では、お使いのドメイン コント ローラーのセキュリティ ログを生成できます。 監査ポリシーの構成に関する詳細については、こちらの記事をご覧ください。

次のステップ