注释
本文介绍了如何从设备或服务中删除个人数据,并可用于支持 GDPR 下的义务。 有关 GDPR 的一般信息,请参阅 Microsoft 信任中心 的
概述
Microsoft Entra 直通身份验证会创建以下日志类型,其中可能包含个人数据:
- Microsoft Entra Connect 跟踪日志文件。
- 身份验证代理跟踪日志文件。
- Windows 事件日志文件。
可通过两种方式改进直通身份验证的用户隐私:
- 根据请求提取用户的数据以及从安装项中删除该用户的数据。
- 确保任何数据不会保留超过48小时。
我们强烈建议选择第二个选项,因为它更易于实现和维护。 下面是有关每个日志类型的说明:
删除 Microsoft Entra Connect 跟踪日志文件
在安装或升级 Microsoft Entra Connect 或修改直通身份验证配置后的 48 小时内,请检查 %ProgramData%\AADConnect 文件夹的内容并删除此文件夹的跟踪日志内容(trace-*.log 文件),因为此操作可能会创建 GDPR 所涵盖的数据。
重要
请勿删除该文件夹中的 PersistedState.xml 文件,因为此文件用于维持 Microsoft Entra Connect 的以前安装状态,并在完成升级安装时使用。 此文件将永远不会包含有关人员的任何数据,因此永远不应删除。
可使用 Windows 资源管理器查看和删除这些跟踪日志文件,也可使用以下 PowerShell 脚本执行必要的操作:
$Files = ((Get-Item -Path "$env:programdata\aadconnect\trace-*.log").VersionInfo).FileName
Foreach ($file in $Files) {
{Remove-Item -Path $File -Force}
}
将脚本保存在具有“.PS1”扩展名的文件中。 根据需要运行此脚本。
若要详细了解相关 Microsoft Entra Connect GDPR 要求,请参阅此文。
删除身份验证代理事件日志
此产品还可创建 Windows 事件日志。 有关详细信息,请参阅此文。
要查看与直通身份验证代理相关的日志,请在服务器上打开“事件查看器”应用程序,然后在 Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin 下查看。
删除身份验证代理跟踪日志文件
应每隔 48 小时定期检查“%ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace”的内容,并删除此文件夹的内容。
重要
如果身份验证代理服务正在运行,则无法删除此文件夹中的当前日志文件。 重试之前请停止该服务。 为避免用户登录失败,应事先配置直通身份验证以实现高可用性。
可以使用 Windows 资源管理器查看和删除这些文件,或使用以下脚本执行所需的操作:
$Files = ((Get-ChildItem -Path "$env:programdata\microsoft\azure ad connect authentication agent\trace" -Recurse).VersionInfo).FileName
Foreach ($file in $files) {
{Remove-Item -Path $File -Force}
}
要将此脚本计划为每隔 48 小时运行,请执行以下步骤:
- 将脚本保存在具有“.PS1”扩展名的文件中。
- 打开“控制面板”,单击“系统和安全性”。
- 在“管理工具”标题下,单击“计划任务”。
- 在“任务计划程序”中,右键单击“任务计划库”,并单击“创建基本任务...”。
- 输入新任务的名称,然后单击“下一步”。
- 为“任务触发器”选择“每天”,然后单击“下一步”。
- 将重复周期设置为两天,单击“下一步”。
- 选择“启动程序”作为操作,单击“下一步”。
- 在“程序/脚本”框中键入 PowerShell,在标记为“添加参数(可选)”的框中输入之前创建的脚本的完整路径,然后单击“下一步”。
- 下一屏幕会显示要创建的任务摘要。 验证各个值,然后单击“完成”以创建任务:
关于域控制器日志的注意事项
如果启用了审核日志,此产品可能会为域控制器生成安全日志。 若要了解有关配置审核策略的详细信息,请阅读此文。
后续步骤
- 查看信任中心上的 Microsoft 隐私策略
- 故障排除 - 了解如何解决使用此功能时遇到的常见问题。