Coleta de dados de usuário do Microsoft Entra para autenticação multifator e redefinição de senha de autoatendimento

  • Artigo

Este documento explica como localizar informações do usuário coletadas pelo Servidor de Autenticação Multifator do Azure (Servidor MFA), autenticação multifator do Microsoft Entra (baseada em nuvem) e redefinição de senha de autoatendimento (SSPR) caso você queira removê-las.

Nota

Para obter informações sobre como visualizar ou excluir dados pessoais, consulte as orientações da Microsoft sobre as solicitações de titulares de dados do Windows para o site GDPR . Para obter informações gerais sobre o RGPD, consulte a secção RGPD do Centro de Confiança da Microsoft e a secção RGPD do Portal de Confiança do Serviço.

Informações sobre AMF recolhidas

O MFA Server, a Extensão NPS e o Adaptador AD FS de autenticação multifator Microsoft Entra do Windows Server 2016 coletam e armazenam as seguintes informações por 90 dias.

Tentativas de autenticação (usadas para relatórios e solução de problemas):

  • Carimbo de Data/Hora
  • Username
  • Nome Próprio
  • Apelido
  • Endereço de E-mail
  • Grupo de Utilizadores
  • Método de autenticação (chamada telefónica, mensagem de texto, aplicação móvel, token OATH)
  • Modo de chamada telefónica (padrão, PIN)
  • Direção da mensagem de texto (unidirecional, bidirecional)
  • Modo de mensagem de texto (OTP, OTP + PIN)
  • Modo de aplicativo móvel (padrão, PIN)
  • Modo de token OATH (padrão, PIN)
  • Tipo de Autenticação
  • Nome da Aplicação
  • Código do país da chamada principal
  • Número de telefone de chamada principal
  • Extensão de chamada principal
  • Chamada principal autenticada
  • Resultado da chamada principal
  • Código do país da chamada de backup
  • Número de telefone de chamada de backup
  • Extensão de chamada de backup
  • Chamada de backup autenticada
  • Resultado da chamada de backup
  • Geral autenticado
  • Resultado Geral
  • Resultados
  • Autenticado
  • Result
  • Iniciando o endereço IP
  • Dispositivos
  • Token do dispositivo
  • Tipo de Dispositivo
  • Versão do aplicativo móvel
  • Versão do SO
  • Result
  • Verificação de notificação usada

Ativações (tentativas de ativar uma conta no aplicativo móvel Microsoft Authenticator):

  • Username
  • Nome da Conta
  • Carimbo de Data/Hora
  • Obter resultado do código de ativação
  • Ativar o Sucesso
  • Ativar erro
  • Resultado do status de ativação
  • Nome do Dispositivo
  • Tipo de Dispositivo
  • Versão do aplicativo
  • Token OATH ativado

Blocos (usados para determinar o estado bloqueado e para relatórios):

  • Bloquear carimbo de data/hora
  • Bloquear por nome de utilizador
  • Username
  • Indicativo de País
  • Número de Telefone
  • Número de telefone formatado
  • Extensão
  • Extensão limpa
  • Bloqueado
  • Motivo do bloqueio
  • Carimbo de data/hora de conclusão
  • Motivo da conclusão
  • Bloqueio de Conta
  • Alerta de fraude
  • Alerta de fraude não bloqueado
  • Linguagem

Desvios (utilizados para a comunicação de informações):

  • Ignorar carimbo de data/hora
  • Ignorar segundos
  • Ignorar por nome de usuário
  • Username
  • Indicativo de País
  • Número de Telefone
  • Número de telefone formatado
  • Extensão
  • Extensão limpa
  • Motivo do desvio
  • Carimbo de data/hora de conclusão
  • Motivo da conclusão
  • Bypass usado

Alterações (usadas para sincronizar alterações do usuário para MFA Server ou Microsoft Entra ID):

  • Alterar carimbo de data/hora
  • Username
  • Novo código do país
  • Novo número de telefone
  • Nova extensão
  • Novo código do país de backup
  • Novo número de telefone de backup
  • Nova extensão de backup
  • Novo PIN
  • Alteração de PIN necessária
  • Token de dispositivo antigo
  • Novo token de dispositivo

Coletar dados do MFA Server

Para MFA Server versão 8.0 ou superior, o seguinte processo permite que os administradores exportem todos os dados para os usuários:

  • Faça login no seu Servidor MFA, navegue até a guia Usuários , selecione o usuário em questão e clique no botão Editar . Faça capturas de tela (Alt-PrtScn) de cada guia para fornecer ao usuário suas configurações atuais de MFA.
  • Na linha de comando do MFA Server, execute o seguinte comando alterando o caminho de acordo com sua instalação C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username> para produzir um arquivo formatado JSON.
  • Os administradores também podem usar a operação GetUserGdpr do SDK do Serviço Web como uma opção para exportar todas as informações do serviço de nuvem MFA coletadas para um determinado usuário ou incorporar em uma solução de relatório maior.
  • Pesquise C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log e quaisquer backups para "nome> de usuário"< (inclua as aspas na pesquisa) para encontrar todas as instâncias do registro de usuário que está sendo adicionado ou alterado.
    • Esses registros podem ser limitados (mas não eliminados) desmarcando "Registrar alterações do usuário" na UX do MFA Server, seção Log, guia Arquivos de Log.
    • Se syslog estiver configurado e "Log user changes" for verificado na UX do MFA Server, seção Logging, guia Syslog, as entradas de log poderão ser coletadas do syslog.
  • Outras ocorrências do nome de usuário em MultiFactorAuthSvc.log e outros arquivos de log do MFA Server pertencentes a tentativas de autenticação são consideradas operacionais e duplicativas para as informações fornecidas usando MultiFactorAuthGdpr.exe export ou Web Service SDK GetUserGdpr.

Excluir dados do MFA Server

Na linha de comando do MFA Server, execute o seguinte comando alterando o caminho de acordo com sua instalação C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username> para excluir todas as informações do serviço de nuvem MFA coletadas para esse usuário.

  • Os dados incluídos na exportação são excluídos em tempo real, mas pode levar até 30 dias para que os dados operacionais ou duplicados sejam totalmente removidos.
  • Os administradores também podem usar a operação DeleteUserGdpr do SDK do serviço Web como uma opção para excluir todas as informações do serviço de nuvem MFA coletadas para um determinado usuário ou incorporar em uma solução de relatório maior.

Coletar dados da extensão NPS

Use o portal de Privacidade da Microsoft para fazer uma solicitação de exportação.

  • As informações de MFA são incluídas na exportação, que pode levar horas ou dias para ser concluída.
  • As ocorrências do nome de usuário nos logs de eventos AzureMfa/AuthN/AuthNOptCh, AzureMfa/AuthZ/AuthZAdminCh e AzureMfa/AuthZ/AuthZOptCh são consideradas operacionais e duplicativas para as informações fornecidas na exportação.

Excluir dados da extensão NPS

Use o portal de Privacidade da Microsoft para fazer uma solicitação de Fechamento de Conta para excluir todas as informações do serviço de nuvem MFA coletadas para esse usuário.

  • Pode levar até 30 dias para que os dados sejam totalmente removidos.

Coletar dados do Adaptador AD FS de autenticação multifator Microsoft Entra do Windows Server 2016

Use o portal de Privacidade da Microsoft para fazer uma solicitação de exportação.

  • As informações de MFA são incluídas na exportação, que pode levar horas ou dias para ser concluída.
  • As ocorrências do nome de usuário nos logs de eventos de Rastreamento/Depuração do AD FS (se habilitadas) são consideradas operacionais e duplicativas para as informações fornecidas na exportação.

Excluir dados do Windows Server 2016 Adaptador AD FS de autenticação multifator Microsoft Entra

Use o portal de Privacidade da Microsoft para fazer uma solicitação de Fechamento de Conta para excluir todas as informações do serviço de nuvem MFA coletadas para esse usuário.

  • Pode levar até 30 dias para que os dados sejam totalmente removidos.

Reunir dados para autenticação multifator do Microsoft Entra

Use o portal de Privacidade da Microsoft para fazer uma solicitação de exportação.

  • As informações de MFA são incluídas na exportação, que pode levar horas ou dias para ser concluída.

Excluir dados para autenticação multifator do Microsoft Entra

Use o portal de Privacidade da Microsoft para fazer uma solicitação de Fechamento de Conta para excluir todas as informações do serviço de nuvem MFA coletadas para esse usuário.

  • Pode levar até 30 dias para que os dados sejam totalmente removidos.

Excluir dados para redefinição de senha de autoatendimento

Os usuários podem adicionar respostas a perguntas de segurança como parte do SSPR. As perguntas e respostas de segurança são colocadas em hash para impedir o acesso não autorizado. Apenas os dados com hash são guardados, pelo que as perguntas e respostas de segurança não podem ser exportadas. Os usuários podem acessar Meus logins para editá-los ou excluí-los. A única outra informação salva para SSPR é o endereço de e-mail do usuário.

Os Administradores Globais podem remover os dados recolhidos para qualquer utilizador. Na página Usuários no Microsoft Entra ID, clique em Métodos de autenticação e selecione um usuário para remover seu telefone ou endereço de email.

Próximos passos

Relatórios do MFA Server