Freigeben über

Microsoft Entra-Benutzerdatensammlung für Multi-Faktor-Authentifizierung und Self-Service-Kennwortzurücksetzung

  • Artikel

In diesem Dokument wird erläutert, wie Sie Benutzerdaten suchen, die vom Azure-Server für die Multi-Faktor-Authentifizierung (MFA-Server), von der Microsoft Entra-Multi-Faktor-Authentifizierung (cloudbasiert) und der Self-Service-Kennwortzurücksetzung gesammelt wurden, falls Sie diese Daten entfernen möchten.

Hinweis

Weitere Informationen zum Einsehen oder Löschen personenbezogener Daten finden Sie in der Microsoft-Anleitung auf der Website Anträge betroffener Personen im Rahmen der DSGVO und des CCPA. Allgemeine Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

Gesammelte MFA-Informationen

Der MFA-Server, die NPS-Erweiterung und der AD FS-Adapter für die Microsoft Entra-Multi-Faktor-Authentifizierung unter Windows Server 2016 erfassen und speichern die folgenden Informationen 90 Tage lang.

Authentifizierungsversuche (für Berichterstellung und Problembehandlung):

  • Timestamp
  • Username
  • First Name (Vorname)
  • Last Name (Nachname)
  • E-Mail-Adresse
  • Benutzergruppe
  • Authentifizierungsmethode (Telefonanruf, SMS, mobile App, OATH-Token)
  • Telefonanrufmodus (Standard, PIN)
  • SMS-Anweisung (unidirektional, bidirektional)
  • SMS-Modus (OTP, OTP + PIN)
  • Mobiler Appmodus (Standard, PIN)
  • OATH-Tokenmodus (Standard, PIN)
  • Authentifizierungstyp
  • Anwendungsname
  • Landesvorwahl der Hauptrufnummer
  • Hauptrufnummer
  • Durchwahl der Hauptrufnummer
  • Hauptanruf authentifiziert
  • Ergebnis des Hauptanrufs
  • Landesvorwahl der Ersatzrufnummer
  • Ersatzrufnummer
  • Durchwahl der Ersatzrufnummer
  • Ersatzanruf authentifiziert
  • Ergebnis des Ersatzanrufs
  • Authentifiziert (insgesamt)
  • Ergebnis (insgesamt)
  • Ergebnisse
  • Authentifiziert
  • Ergebnis
  • Initialisierungs-IP-Adresse
  • Geräte
  • Gerätetoken
  • Gerätetyp
  • Version der mobilen App
  • Betriebssystemversion
  • Ergebnis
  • Verwendete Benachrichtigungsüberprüfung

Aktivierungen (Versuch, ein Konto in der mobilen Microsoft Authenticator-App zu aktivieren):

  • Username
  • Kontoname
  • Timestamp
  • Abrufen des Aktivierungcodeergebnisses
  • Aktivierung erfolgreich
  • Fehler beim Aktivieren
  • Ergebnis des Aktivierungsstatus
  • Gerätename
  • Gerätetyp
  • Appversion
  • OATH-Token aktiviert

Blockierungen (für gesperrten Zustand und Berichterstellung):

  • Zeitstempel der Blockierung
  • Blockierung nach Benutzernamen
  • Username
  • Landesvorwahl
  • Rufnummer
  • Formatierte Rufnummer
  • Durchwahl
  • Durchwahl bereinigen
  • Blockiert
  • Grund der Blockierung
  • Zeitstempel des Abschlusses
  • Grund des Abschlusses
  • Kontosperrung
  • Betrugswarnung
  • Betrugswarnung nicht blockiert
  • Sprache

Umgehungen (für Berichterstellung)

  • Zeitstempel der Umgehung
  • Umgehung in Sekunden
  • Umgehung nach Benutzernamen
  • Username
  • Landesvorwahl
  • Rufnummer
  • Formatierte Rufnummer
  • Durchwahl
  • Durchwahl bereinigen
  • Grund der Umgehung
  • Zeitstempel des Abschlusses
  • Grund des Abschlusses
  • Verwendete Umgehung

Änderungen (verwendet zum Synchronisieren von Benutzeränderungen beim MFA-Server oder Microsoft Entra ID):

  • Zeitstempel der Änderung
  • Username
  • Neue Landesvorwahl
  • Neue Rufnummer
  • Neue Durchwahl
  • Neue Landesvorwahl der Ersatzrufnummer
  • Neue Ersatzrufnummer
  • Neue Durchwahl der Ersatzrufnummer
  • Neue PIN
  • PIN-Änderung erforderlich
  • Altes Gerätetoken
  • Neues Gerätetoken

Erfassen von Daten vom MFA-Server

Administratoren können mithilfe der folgenden Anleitung alle Benutzerdaten vom MFA-Server exportieren (Version 8.0 oder höher):

  • Melden Sie sich in Ihrem MFA-Server an, navigieren Sie zur Registerkarte Benutzer, wählen Sie den gewünschten Benutzer aus, und klicken Sie auf die Schaltfläche Bearbeiten. Erstellen Sie Screenshots (Alt+Druck) von jeder Registerkarte, um Benutzern ihre aktuellen MFA-Einstellungen bereitzustellen.
  • Führen Sie über die Befehlszeile des MFA-Servers den folgenden Befehl aus. Ändern Sie den Pfad gemäß Ihrer Installation C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username>, um eine Datei im JSON-Format zu erstellen.
  • Administratoren können auch die Web Service SDK-Operation GetUserGdpr als Option verwenden, um alle für einen bestimmten Benutzer gesammelten MFA-Cloud-Service-Informationen zu exportieren oder in eine größere Berichtslösung einzubinden.
  • Suchen Sie C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log und alle Sicherungen nach "<Benutzername>" (schließen Sie die Anführungszeichen in die Suche ein), um alle Instanzen des hinzugefügten oder geänderten Benutzerdatensatzes zu finden.
    • Diese Datensätze können begrenzt (jedoch nicht entfernt) werden, indem Sie in der Benutzerumgebung des MFA-Servers auf der Registerkarte „Protokolldateien“ im Abschnitt „Protokollierung“ die Option „Benutzeränderungen protokollieren“ deaktivieren.
    • Wenn Syslog konfiguriert und „Benutzeränderungen protokollieren“ in der Benutzerumgebung des MFA-Servers auf der Registerkarte „Syslog“, im Abschnitt „Protokollierung“, aktiviert ist, können Protokolleinträge stattdessen aus Syslog erfasst werden.
  • Andere Vorkommen des Benutzernamens im MultiFactorAuthSvc.log und in anderen MFA-Serverprotokolldateien, die sich auf Authentifizierungsversuche beziehen, gelten als operative Daten und Duplikate, die mithilfe des MultiFactorAuthGdpr.exe-Exports oder des Webdienst-SDK GetUserGdpr bereitgestellt wurden.

Löschen von Daten vom MFA-Server

Führen Sie über die Befehlszeile des MFA-Servers den folgenden Befehl aus. Ändern Sie den Pfad gemäß Ihrer Installation C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username>, um alle für diesen Benutzer erfassten MFA-Clouddienstinformationen zu löschen.

  • Im Export enthaltene Daten werden in Echtzeit gelöscht. Es kann jedoch bis zu 30 Tage dauern, bis operative Daten oder Duplikate vollständig entfernt wurden.
  • Administratoren können auch den DeleteUserGdpr-Vorgang des Webdienst-SDK verwenden, um alle erfassten MFA-Clouddienstinformationen für einen bestimmten Benutzer zu löschen oder in eine größere Berichtslösung zu integrieren.

Löschen von Daten aus der NPS-Erweiterung

Verwenden Sie das Microsoft-Datenschutzportal, um eine Exportanfrage zu stellen.

  • MFA-Informationen sind im Export enthalten, dessen Verarbeitung möglicherweise Stunden oder Tage dauert.
  • Vorkommen des Benutzernamens in den Ereignisprotokollen AzureMfa/AuthN/AuthNOptCh AzureMfa/AuthZ/AuthZAdminCh und AzureMfa/AuthZ/AuthZOptCh gelten als operative Daten und Duplikate der im Export enthaltenen Informationen.

Löschen von Daten aus der NPS-Erweiterung

Verwenden Sie das Microsoft-Datenschutzportal, um die Anfrage „Konto schließen“ zu stellen, damit alle für diesen Benutzer erfassten MFA-Clouddienstinformationen gelöscht werden.

  • Es kann bis zu 30 Tage dauern, bis die Daten vollständig entfernt wurden.

Sammeln von Daten aus dem AD FS-Adapter für die Microsoft Entra-Multi-Faktor-Authentifizierung unter Windows Server 2016

Verwenden Sie das Microsoft-Datenschutzportal, um eine Exportanfrage zu stellen.

  • MFA-Informationen sind im Export enthalten, dessen Verarbeitung möglicherweise Stunden oder Tage dauert.
  • Vorkommen des Benutzernamens in den AD FS-Ablaufverfolgungs-/Debugereignisprotokollen (sofern aktiviert) gelten als operative Daten und Duplikate der im Export enthaltenen Informationen.

Löschen von Daten aus dem AD FS-Adapter für die Microsoft Entra-Multi-Faktor-Authentifizierung unter Windows Server 2016

Verwenden Sie das Microsoft-Datenschutzportal, um die Anfrage „Konto schließen“ zu stellen, damit alle für diesen Benutzer erfassten MFA-Clouddienstinformationen gelöscht werden.

  • Es kann bis zu 30 Tage dauern, bis die Daten vollständig entfernt wurden.

Sammeln von Daten für die Microsoft Entra-Multi-Faktor-Authentifizierung

Verwenden Sie das Microsoft-Datenschutzportal, um eine Exportanfrage zu stellen.

  • MFA-Informationen sind im Export enthalten, dessen Verarbeitung möglicherweise Stunden oder Tage dauert.

Löschen von Daten für die Microsoft Entra-Multi-Faktor-Authentifizierung

Verwenden Sie das Microsoft-Datenschutzportal, um die Anfrage „Konto schließen“ zu stellen, damit alle für diesen Benutzer erfassten MFA-Clouddienstinformationen gelöscht werden.

  • Es kann bis zu 30 Tage dauern, bis die Daten vollständig entfernt wurden.

Löschen von Daten für Self-Service-Kennwortzurücksetzung

Benutzer können im Rahmen der Self-Service-Kennwortzurücksetzung Antworten auf Sicherheitsfragen hinzufügen. Sicherheitsfragen und -antworten werden gehasht, um nicht autorisierten Zugriff zu verhindern. Nur die Hashdaten werden gespeichert, sodass die sicherheitsbezogenen Fragen und Antworten nicht exportiert werden können. Benutzer können zu Meine Anmeldungen wechseln, um sie zu bearbeiten oder zu löschen. Die einzige andere für die Self-Service-Kennwortzurücksetzung gespeicherte Information ist die E-Mail-Adresse des Benutzers.

Personen, denen die Rolle Privilegierter Authentifizierungsadministrator zugewiesen ist, können die für jeden Benutzer gesammelten Daten entfernen. Klicken Sie in Microsoft Entra ID auf der Seite Benutzer auf Authentifizierungsmethoden, und wählen Sie einen Benutzer aus, um seine Telefonnummer oder E-Mail-Adresse zu entfernen.

Nächste Schritte

Berichte für MFA-Server