Поделиться через

Сбор данных пользователей Microsoft Entra для многофакторной проверки подлинности и самостоятельного сброса пароля

  • Статья

В этом документе объясняется, как найти сведения о пользователях, собранные сервером Многофакторной идентификации Azure (сервер MFA), многофакторной проверкой подлинности Microsoft Entra (cloud-based) и самостоятельным сбросом пароля (SSPR) в случае его удаления.

Примечание.

Дополнительные сведения о просмотре и удалении персональных данных см. в руководстве Майкрософт на сайте Запросы субъектов данных, определенные в GDPR, в отношении Windows. Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.

Собираемые сведения для MFA

Сервер MFA, расширение NPS и windows Server 2016 Многофакторная проверка подлинности AD FS Адаптер Microsoft Entra собирают и хранят следующие сведения в течение 90 дней.

Попытки пройти проверку подлинности (для создания отчетов и устранения неполадок):

  • Метка времени
  • Username
  • Имя
  • Фамилия
  • Электронная почта
  • Группа пользователей
  • метод проверки подлинности (телефонный звонок, SMS, мобильное приложение или OATH-токен);
  • режим "Телефонный звонок" (стандартный, ПИН-код);
  • направление передачи SMS (одностороннее, двустороннее);
  • режим "SMS" (OTP, OTP и ПИН-код);
  • Режим "Мобильное приложение" (стандартный, ПИН-код);
  • режим "Токен OATH" (стандартный, ПИН-код);
  • Тип проверки подлинности
  • Имя приложения
  • основной вызов — код страны;
  • основной вызов — номер телефона;
  • основной вызов — добавочный номер;
  • основной вызов — проверка подлинности;
  • основной вызов — результат;
  • резервный вызов — код страны;
  • резервный вызов — номер телефона;
  • резервный вызов — добавочный номер;
  • резервный вызов — проверка подлинности;
  • резервный вызов — результат;
  • итоговая проверка подлинности;
  • Итоговый результат
  • Результаты
  • Проверка подлинности выполнена
  • Результат
  • IP-адрес вызывающего;
  • .
  • токен устройства;
  • Тип устройства
  • версия мобильного приложения;
  • Версия ОС
  • Результат
  • использованная проверка наличия уведомлений.

Активации (попытки активировать учетную запись в мобильном приложении Microsoft Authenticator):

  • Username
  • Название организации
  • Метка времени
  • результат получения кода активации;
  • успешная активация;
  • ошибка активации;
  • результат состояния активации;
  • Имя устройства
  • Тип устройства
  • версия приложения;
  • включен токен OATH.

Блокировки (для определения состояния блокировки и формирования отчетов):

  • метка времени для блокировки;
  • имя пользователя, включившего блокировку;
  • Username
  • Код страны
  • Телефон
  • форматированный номер телефона;
  • Расширение
  • добавочный номер отсутствует
  • Заблокировано
  • Причина блокировки
  • время выполнения;
  • причина выполнения;
  • Блокировка учетной записи
  • Предупреждение о мошенничестве
  • Предупреждение о мошенничестве не блокируется
  • Язык

Обходы проверки (используется для создания отчетов):

  • Время обхода проверки
  • Время обхода проверки в секундах
  • Имя пользователя, выполнившего обход проверки
  • Username
  • Код страны
  • Телефон
  • форматированный номер телефона;
  • Расширение
  • добавочный номер отсутствует
  • причина обхода проверки;
  • время выполнения;
  • причина выполнения;
  • использование обхода проверки.

Изменения (используется для синхронизации изменений пользователей с сервером MFA или идентификатором Microsoft Entra):

  • время изменения;
  • Username
  • новый код страны;
  • новый номер телефона;
  • новый добавочный номер;
  • новый резервный код страны;
  • новый резервный номер телефона;
  • новый резервный добавочный номер;
  • новый ПИН-код;
  • требование изменить ПИН-код;
  • токен старого устройства;
  • токен нового устройства.

Сбор данных с сервера многофакторной идентификации

Для сервера MFA версии 8.0 или более поздней версии администраторы могут выполнить следующий процесс, чтобы экспортировать все данные о пользователях.

  • Войдите на сервер MFA, перейдите на вкладку Пользователи, выберите нужного пользователя и нажмите кнопку Изменить. Сделайте снимки (сочетанием клавиш ALT+PRTSCRN) каждой вкладки, чтобы передать пользователю текущие настройки многофакторной проверки подлинности.
  • В командной строке на сервере MFA выполните следующую команду, изменив путь в соответствии со средой установки, чтобы создать файл в формате JSON: C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username>
  • Администраторы также могут использовать операцию GetUserGdpr из пакета SDK веб-службы для экспорта всей информации, собранной в облачной службе MFA для определенного пользователя, или для интеграции с крупным решением по созданию отчетов.
  • Выполните поиск C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log и всех резервных копий "<username>" (включите кавычки в поисковый запрос), чтобы найти все экземпляры добавленных или измененных записей пользователей.
    • Эти записи можно ограничить (но не устранить), сняв флажок Вести журнал изменений, внесенных пользователем в интерфейсе сервера MFA (раздел "Ведение журнала", вкладка "Файлы журнала").
    • Если настроен системный журнал и установлен флажок Вести журнал изменений, внесенных пользователем в интерфейсе сервера MFA (раздел "Ведение журнала", вкладка "Системный журнал"), записи журнала могут собираться из системного журнала.
  • Другие вхождения имен пользователей в файле MultiFactorAuthSvc.log и других файлах журналов сервера MFA, имеющие отношения к попыткам входа, считаются операционными и дублируют информацию, предоставляемую через экспорт MultiFactorAuthGdpr.exe или GetUserGdpr из пакета SDK веб-службы.

Удаление данных с сервера MFA

В командной строке на сервере MFA выполните следующую команду, изменив путь в соответствии со средой установки, чтобы удалить всю информацию, собранную облачной службой MFA о конкретном пользователе: C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username>

  • Данные, включенные в экспорт, удаляются в режиме реального времени, но полное удаление операционных или дублирующихся данных может занять до 30 дней.
  • Администраторы могут также использовать операцию DeleteUserGdpr из пакета SDK веб-службы для удаления всей информации, собранной в облачной службе MFA для определенного пользователя, или для интеграции с крупным решением по созданию отчетов.

Сбор данных с помощью расширения NPS

Используйте портал конфиденциальности Майкрософт для отправки запроса на экспорт.

  • В запрос на экспорт включается информация о многофакторной проверки подлинности, и на его выполнение может потребоваться несколько часов или дней.
  • Вхождения имени пользователя в журналы событий AzureMfa/AuthN/AuthNOptCh, AzureMfa/AuthZ/AuthZAdminCh и AzureMfa/AuthZ/AuthZOptCh считаются операционными или дублирующими информацию, включаемую в экспорт.

Удаление данных с помощью расширения NPS

Используйте портал конфиденциальности Майкрософт, чтобы запросить закрытие учетной записи, чтобы удалить все сведения облачной службы MFA, собранные для этого пользователя.

  • Для полного удаления данных может потребоваться до 30 дней.

Сбор данных из адаптера Microsoft Entra multifactor authentication AD FS для Windows Server 2016

Используйте портал конфиденциальности Майкрософт для отправки запроса на экспорт.

  • В запрос на экспорт включается информация о многофакторной проверки подлинности, и на его выполнение может потребоваться несколько часов или дней.
  • Вхождения имени пользователя в журналы событий AD FS для трассировки и отладки (если они включены) считаются эксплуатационными и дублирующими информацию, включаемую в экспорт.

Удаление данных из адаптера Microsoft Entra multifactor authentication AD FS для Windows Server 2016

Используйте портал конфиденциальности Майкрософт, чтобы запросить закрытие учетной записи, чтобы удалить все сведения облачной службы MFA, собранные для этого пользователя.

  • Для полного удаления данных может потребоваться до 30 дней.

Сбор данных для многофакторной проверки подлинности Microsoft Entra

Используйте портал конфиденциальности Майкрософт для отправки запроса на экспорт.

  • В запрос на экспорт включается информация о многофакторной проверки подлинности, и на его выполнение может потребоваться несколько часов или дней.

Удаление данных для многофакторной проверки подлинности Microsoft Entra

Используйте портал конфиденциальности Майкрософт, чтобы запросить закрытие учетной записи, чтобы удалить все сведения облачной службы MFA, собранные для этого пользователя.

  • Для полного удаления данных может потребоваться до 30 дней.

Удаление данных для самостоятельного сброса пароля

Пользователи могут добавлять ответы на контрольные вопросы в службе самостоятельного сброса пароля (SSPR). Контрольные вопросы и ответы на них хэшируются, чтобы защитить их от несанкционированного доступа. Сохраняются только хэшированные данные, что не позволяет экспортировать контрольные вопросы и ответы на них. Пользователи могут изменить или удалить их в разделе Мои входы. Из всех данных о пользователе для SSPR сохраняется только адрес электронной почты.

Глобальные администраторы могут удалять данные, собранные для любого пользователя. На странице "Пользователи" в идентификаторе Microsoft Entra щелкните методы проверки подлинности и выберите пользователя, чтобы удалить свой телефон или адрес электронной почты.

Следующие шаги

Отчеты в службе Многофакторной идентификации Azure