Zarządzanie danymi użytkowników w usłudze Azure Active Directory B2C

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

W tym artykule omówiono sposób zarządzania danymi użytkownika w usłudze Azure Active Directory B2C (Azure AD B2C) przy użyciu operacji udostępnianych przez interfejs API programu Microsoft Graph. Zarządzanie danymi użytkownika obejmuje usuwanie lub eksportowanie danych z dzienników inspekcji.

Uwaga / Notatka

Ten artykuł zawiera kroki usuwania danych osobowych z urządzenia lub usługi i może służyć do wspierania zobowiązań wynikających z RODO. Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.

Usuwanie danych użytkownika

Dane użytkownika są przechowywane w katalogu usługi Azure AD B2C i w dziennikach inspekcji. Wszystkie dane inspekcji użytkownika są przechowywane przez 7 dni w usłudze Azure AD B2C. Jeśli chcesz usunąć dane użytkownika w ciągu tego 7-dniowego okresu, możesz użyć operacji Usuń użytkownika . Operacja DELETE jest wymagana dla każdej dzierżawy usługi Azure AD B2C, w których mogą znajdować się dane.

Każdy użytkownik w usłudze Azure AD B2C ma przypisany identyfikator obiektu. Identyfikator obiektu zawiera jednoznaczny identyfikator używany do usuwania danych użytkownika w usłudze Azure AD B2C. W zależności od architektury identyfikator obiektu może być przydatnym identyfikatorem korelacji w innych usługach, takich jak bazy danych zarządzania relacjami z klientami, takie jak bazy danych zarządzania finansami, marketingiem i klientami.

Najbardziej dokładnym sposobem uzyskania identyfikatora obiektu dla użytkownika jest uzyskanie go w ramach podróży uwierzytelniania za pomocą usługi Azure AD B2C. Jeśli otrzymasz prawidłowe żądanie danych od użytkownika przy użyciu innych metod, konieczne może być przeprowadzenie procesu offline, takiego jak wyszukiwanie przez agenta pomocy technicznej klienta, aby znaleźć użytkownika i zanotować skojarzony identyfikator obiektu.

W poniższym przykładzie przedstawiono możliwy przepływ usuwania danych:

1. Użytkownik loguje się i wybiera pozycję Usuń moje dane.
2. Aplikacja oferuje opcję usunięcia danych w sekcji administracyjnej aplikacji.
3. Aplikacja wymusza uwierzytelnianie w usłudze Azure AD B2C. Usługa Azure AD B2C udostępnia token z identyfikatorem obiektu użytkownika z powrotem do aplikacji.
4. Token jest odbierany przez aplikację, a identyfikator obiektu służy do usuwania danych użytkownika za pośrednictwem wywołania interfejsu API programu Microsoft Graph. Interfejs API programu Microsoft Graph usuwa dane użytkownika i zwraca kod stanu 200 OK.
5. Aplikacja organizuje usuwanie danych użytkownika w innych systemach organizacyjnych zgodnie z potrzebami przy użyciu identyfikatora obiektu lub innych identyfikatorów.
6. Aplikacja potwierdza usunięcie danych i zawiera kolejne kroki dla użytkownika.

Eksportowanie danych klientów

Proces eksportowania danych klientów z usługi Azure AD B2C jest podobny do procesu usuwania.

Dane użytkownika usługi Azure AD B2C są ograniczone do:

• Dane przechowywane w Microsoft Entra ID: Możesz pobierać dane w ścieżce uwierzytelniania użytkownika Azure AD B2C, korzystając z identyfikatora obiektu lub dowolnej nazwy logowania, takiej jak adres e-mail lub nazwa użytkownika.
• Raport zdarzeń inspekcji specyficznych dla użytkownika: dane można indeksować przy użyciu identyfikatora obiektu.

W poniższym przykładzie przepływu danych eksportu kroki opisane jako wykonywane przez aplikację mogą być również wykonywane przez proces zaplecza lub użytkownika z rolą administratora w katalogu:

1. Użytkownik loguje się do aplikacji. W razie potrzeby usługa Azure AD B2C wymusza uwierzytelnianie za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft.
2. Aplikacja używa poświadczeń użytkownika do wywołania operacji interfejsu API programu Microsoft Graph w celu pobrania atrybutów użytkownika. Interfejs API programu Microsoft Graph udostępnia dane atrybutów w formacie JSON. W zależności od schematu można ustawić zawartość tokenu identyfikatora, aby uwzględnić wszystkie dane osobowe użytkownika.
3. Aplikacja pobiera aktywność audytu użytkownika. Interfejs API programu Microsoft Graph udostępnia dane zdarzenia aplikacji.
4. Aplikacja agreguje dane i udostępnia je użytkownikowi.

Dalsze kroki

Aby dowiedzieć się, jak zarządzać sposobem uzyskiwania dostępu użytkowników do aplikacji, zobacz Zarządzanie dostępem użytkowników.