사용자 개인 정보 보호 및 Microsoft Entra 통과 인증
참고 항목
이 문서에서는 디바이스 또는 서비스에서 개인 데이터를 삭제하는 방법에 대한 단계를 제공하며 GDPR에 따라 의무를 지원하는 데 사용할 수 있습니다. GDPR에 대한 일반정인 정보는 Microsoft Trust Center의 GDPR 섹션 및 Service Trust 포털의 GDPR 섹션을 참조하세요.
개요
Microsoft Entra 통과 인증은 개인 데이터를 포함할 수 있는 다음 로그 형식을 만듭니다.
- Microsoft Entra Connect 추적 로그 파일.
- 인증 에이전트 추적 로그 파일.
- Windows 이벤트 로그.
다음과 같은 두 가지 방법으로 통과 인증에 대한 사용자 개인 정보 보호 수준을 높일 수 있습니다.
- 요청 시 사람에 대한 데이터를 추출하고 그 사람의 데이터를 설치에서 제거합니다.
- 데이터는 48시간 이상 데이터가 보존하지 않도록 합니다.
구현 및 유지 관리가 훨씬 편한 두 번째 옵션을 강력하게 권장합니다. 다음은 각 로그 형식에 대한 지침입니다.
Microsoft Entra Connect 추적 로그 파일 삭제
Microsoft Entra Connect를 설치 또는 업그레이드하거나 통과 인증 구성을 수정한 지 48시간 이내에 %ProgramData%\AADConnect 폴더의 콘텐츠를 확인하고 이 폴더의 추적 로그 콘텐츠(trace-*.log 파일)를 삭제합니다. 이 작업으로 인해 GDPR에서 다루는 데이터가 생성될 수 있기 때문입니다.
Important
이 폴더의 PersistedState.xml 파일은 삭제하지 마세요. 이 파일은 이전에 설치한 Microsoft Entra Connect의 상태를 유지하고 업그레이드 설치를 수행할 때 사용됩니다. 이 파일에는 사람에 대한 데이터가 포함되지 않으므로 삭제해서는 안됩니다.
Windows 탐색기를 사용하여 이러한 추적 로그 파일을 검토한 후 삭제할 수 있고, 다음과 같은 PowerShell 스크립트를 사용하여 필요한 작업을 수행할 수도 있습니다.
$Files = ((Get-Item -Path "$env:programdata\aadconnect\trace-*.log").VersionInfo).FileName
Foreach ($file in $Files) {
{Remove-Item -Path $File -Force}
}
확장명이 ".PS1"인 파일에 스크립트를 저장합니다. 필요에 따라 이 스크립트를 실행합니다.
관련 Microsoft Entra Connect GDPR 요구 사항에 대한 자세한 내용은 이 문서를 참조하세요.
인증 에이전트 이벤트 로그 삭제
이 제품은 Windows 이벤트 로그를 생성할 수도 있습니다. 자세한 내용은 이 문서를 참조하세요.
통과 인증 에이전트와 관련된 로그를 보려면 서버에서 이벤트 뷰어 애플리케이션을 열고 Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin에서 확인합니다.
인증 에이전트 추적 로그 파일 삭제
%ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace의 콘텐츠를 주기적으로 확인하면서 이 폴더의 콘텐츠를 48시간마다 삭제해야 합니다.
Important
인증 에이전트 서비스가 실행 중이면 폴더에서 현재 로그 파일을 삭제할 수 없습니다. 서비스를 중지한 후 다시 시도하세요. 사용자 로그인 오류를 방지하려면 고가용성에 대해 통과 인증이 구성되어 있어야 합니다.
Windows 탐색기를 사용하여 이러한 파일을 검토하고 삭제하거나 다음 스크립트를 사용하여 필요한 작업을 수행할 수 있습니다.
$Files = ((Get-childitem -Path "$env:programdata\microsoft\azure ad connect authentication agent\trace" -Recurse).VersionInfo).FileName
Foreach ($file in $files) {
{Remove-Item -Path $File -Force}
}
이 스크립트가 48시간마다 실행되도록 예약하려면 다음 단계를 수행합니다.
- 확장명이 ".PS1"인 파일에 스크립트를 저장합니다.
- 제어판을 열고 시스템 및 보안을 클릭합니다.
- 관리 도구 제목 아래에서 “예약 작업”을 클릭합니다.
- 작업 스케줄러에서 예약 작업 라이브러리를 마우스 오른쪽 단추로 클릭하고 “기본 작업 만들기…”를 클릭합니다.
- 새 작업의 이름을 입력하고 다음을 클릭합니다.
- 작업 트리거로 “매일”을 선택하고 다음을 클릭합니다.
- 되풀이를 이틀로 설정하고 다음을 클릭합니다.
- “프로그램 시작”을 작업으로 선택하고 다음을 클릭합니다.
- 프로그램/스크립트 상자에 “PowerShell”을 입력하고 “인수 추가(선택 사항)” 상자에 앞서 만든 스크립트의 전체 경로를 입력한 다음, 다음을 클릭합니다.
- 다음 화면에는 작성하려는 작업의 요약이 표시됩니다. 값을 확인하고 마침을 클릭하여 작업을 만듭니다.
도메인 컨트롤러 로그에 대한 참고 사항
감사 로깅이 설정된 경우 해당 제품은 도메인 컨트롤러에 대한 보안 로그를 생성할 수 있습니다. 감사 정책 구성에 대한 자세한 내용은 이 문서를 참조하세요.
다음 단계
- 보안 센터에서 Microsoft 개인 정보 취급 방침을 검토합니다.
- 문제 해결 - 기능과 관련된 일반적인 문제를 해결하는 방법에 대해 알아봅니다.