Coleta de dados de usuário do Microsoft Entra para a autenticação multifator e a redefinição de senha por autoatendimento
Este documento explica como encontrar as informações de usuário coletadas pelo Servidor do Azure MFA (Servidor de Autenticação Multifator do Microsoft Azure), autenticação multifator do Microsoft Entra (baseada em nuvem) e SSPR (redefinição de senha self-service), caso deseje removê-las.
Observação
Para obter informações sobre como exibir ou excluir dados pessoais, examine as diretrizes da Microsoft no site Solicitações de titulares de dados do Windows para o GDPR. Para obter informações gerais sobre o GDPR, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.
Informações coletadas pela MFA
O Servidor MFA, a Extensão NPS e o Adaptador AD FS de autenticação multifator do Microsoft Entra do Windows Server 2016 coletam e armazenam as informações a seguir por 90 dias.
Tentativas de autenticação (usadas para relatórios e solução de problemas):
- Timestamp
- Nome de Usuário
- Nome
- Sobrenome
- Endereço de Email
- Grupo de usuários
- Método de autenticação (chamada telefônica, mensagem de texto, aplicativo móvel, Token OATH)
- Modo de chamada telefônica (Standard, PIN)
- Direção da mensagem de texto (unidirecional, bidirecional)
- Modo de mensagem de texto (OTP, OTP + PIN)
- Modo de aplicativo móvel (Standard, PIN)
- Modo de Token OATH (Standard, PIN)
- Tipo de autenticação
- Nome do Aplicativo
- Código do país da chamada primária
- Número do telefone da chamada primária
- Extensão da chamada primária
- Chamada primária autenticada
- Resultado da chamada primária
- Código do país da chamada de backup
- Número do telefone da chamada de backup
- Extensão da chamada de backup
- Chamada de backup autenticada
- Resultado da chamada de backup
- Geral autenticado
- Resultado geral
- Resultados
- Autenticado
- Resultado
- Iniciar endereço IP
- Dispositivos
- Token de dispositivo
- Tipo de Dispositivo
- Versão do Aplicativo Móvel
- Versão do SO
- Resultado
- Verificar notificação usada
Ativações (tentativas de ativar uma conta no aplicativo móvel Microsoft Authenticator):
- Nome de Usuário
- Nome da Conta
- Timestamp
- Obter resultado do código de ativação
- Ativar êxito
- Ativar erro
- Resultado do status de ativação
- Nome do dispositivo
- Tipo de Dispositivo
- Versão de Aplicativo
- Token OATH habilitado
Blocos (usados para determinar o estado bloqueado e para relatório):
- Bloquear carimbo de data/hora
- Bloquear por nome de usuário
- Nome de Usuário
- Código do país
- Número de telefone
- Número de telefone formatado
- Extensão
- Limpar extensão
- Bloqueado
- Motivo para bloquear
- Conclusão do carimbo de data/hora
- Motivo da conclusão
- Bloqueio de conta
- Alerta de fraude
- Alerta de fraude não bloqueado
- Idioma
Bypass (usado para relatórios):
- Carimbo de data/hora de bypass
- Segundos do bypass
- Bypass por nome de usuário
- Nome de Usuário
- Código do país
- Número de telefone
- Número de telefone formatado
- Extensão
- Limpar extensão
- Motivo do bypass
- Conclusão do carimbo de data/hora
- Motivo da conclusão
- Bypass usado
Alterações (usadas para sincronizar as alterações do usuário no Servidor MFA ou no Microsoft Entra ID):
- Alterar carimbo de data/hora
- Nome de Usuário
- Novo código do país
- Novo número do telefone
- Nova extensão
- Novo código do país de backup
- Novo número do telefone de backup
- Nova extensão de backup
- Novo PIN
- Alteração de PIN necessária
- Antigo token de dispositivo
- Novo token de dispositivo
Coletar dados do Servidor MFA
Para Servidor MFA versão 8.0 ou superior, o processo a seguir permite que os administradores exportem todos os dados para usuários:
- Faça logon no Servidor MFA, navegue até a guia Usuários selecione o usuário em questão e clique no botão Editar. Faça capturas de tela (Alt-PrtScn) de cada guia para fornecer ao usuário as configurações do MFA atuais.
- Na linha de comando do Servidor MFA, execute o comando a seguir alterando o caminho de acordo com a instalação
C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe export <username>
para produzir um arquivo no formato JSON. - Os administradores também podem usar a operação GetUserGdpr do SDK de Serviço Web como uma opção para exportar todas as informações de MFA do serviço de nuvem coletadas para um determinado usuário ou para incorporar em uma solução de relatórios maior.
- Pesquise
C:\Program Files\Multi-Factor Authentication Server\Logs\MultiFactorAuthSvc.log
e os backups de "<nome de usuário>" (inclua as aspas na pesquisa) para localizar todas as instâncias do registro do usuário sendo adicionadas ou alteradas.- Esses registros podem ser limitados (mas não eliminados) ao desmarcar "Registrar alterações de usuário" no UX do Servidor MFA, seção de registro de log, guia Arquivos de Log.
- Se o syslog estiver configurado e "Registrar alterações de usuário" estiver marcado no UX do Servidor MFA, seção de registro de log, guia Syslog, as entradas de log poderão ser obtidas a partir do syslog.
- Outras ocorrências do nome de usuário no MultiFactorAuthSvc.log e outros arquivos de log do Servidor MFA referentes a tentativas de autenticação são consideradas operacionais e duplicadas para as informações fornecidas usando a exportação de MultiFactorAuthGdpr.exe ou GetUserGdpr do SDK de Serviço Web.
Excluir dados do Servidor MFA
Na linha de comando do Servidor MFA, execute o comando a seguir, alterando o caminho de acordo com a instalação C:\Program Files\Multi-Factor Authentication Server\MultiFactorAuthGdpr.exe delete <username>
para excluir todas as informações de serviço de nuvem do MFA coletadas para esse usuário.
- Os dados incluídos na exportação são excluídos em tempo real, mas pode demorar até 30 dias para que dados operacionais ou duplicados sejam totalmente removidos.
- Os administradores também podem usar a operação DeleteUserGdpr do SDK de Serviço Web como uma opção para excluir todas as informações de serviço de nuvem do MFA coletadas para um determinado usuário ou incorporar em uma solução de relatório maior.
Coletar dados da Extensão NPS
Use o portal de Privacidade da Microsoft para fazer uma solicitação de exportação.
- As informações do MFA estão incluídas na exportação, o que pode demorar horas ou dias para ser concluído.
- As ocorrências do nome de usuário nos logs de eventos do AzureMfa/AuthN/AuthNOptCh, AzureMfa/AuthZ/AuthZAdminCh e AzureMfa/AuthZ/AuthZOptCh são consideradas operacionais e duplicadas para as informações fornecidas na exportação.
Excluir dados da Extensão NPS
Use o portal de Privacidade da Microsoft para fazer uma solicitação de Encerrar Conta para excluir todas as informações de serviço de nuvem do MFA coletadas para esse usuário.
- Pode demorar até 30 dias para que os dados sejam totalmente removidos.
Coletar dados do Adaptador AD FS de autenticação multifator do Microsoft Entra do Windows Server 2016
Use o portal de Privacidade da Microsoft para fazer uma solicitação de exportação.
- As informações do MFA estão incluídas na exportação, o que pode demorar horas ou dias para ser concluído.
- Ocorrências do nome de usuário nos logs de eventos de Rastreamento/Depuração do AD FS (se habilitado) são consideradas operacionais e duplicadas para as informações fornecidas na exportação.
Excluir dados do Adaptador AD FS de autenticação multifator do Microsoft Entra do Windows Server 2016
Use o portal de Privacidade da Microsoft para fazer uma solicitação de Encerrar Conta para excluir todas as informações de serviço de nuvem do MFA coletadas para esse usuário.
- Pode demorar até 30 dias para que os dados sejam totalmente removidos.
Coletar dados para autenticação multifator do Microsoft Entra
Use o portal de Privacidade da Microsoft para fazer uma solicitação de exportação.
- As informações do MFA estão incluídas na exportação, o que pode demorar horas ou dias para ser concluído.
Excluir dados para autenticação multifator do Microsoft Entra
Use o portal de Privacidade da Microsoft para fazer uma solicitação de Encerrar Conta para excluir todas as informações de serviço de nuvem do MFA coletadas para esse usuário.
- Pode demorar até 30 dias para que os dados sejam totalmente removidos.
Excluir dados da redefinição de senha por autoatendimento
Os usuários podem adicionar respostas a perguntas de segurança como parte da SSPR. As perguntas e as respostas de segurança são protegidos com hash para impedir o acesso não autorizado. Somente os dados com hash são salvos, ou seja, as perguntas e as respostas de segurança não podem ser exportadas. Os usuários podem acessar Minhas entradas para editá-las ou excluí-las. A única outra informação salva para a SSPR é o endereço de email do usuário.
Aqueles que recebem a função de Administrador de Autenticação com Privilégios podem remover os dados coletados para qualquer usuário. Na página Usuários do Microsoft Entra ID, clique em Métodos de autenticação e selecione um usuário para remover o telefone ou o endereço de email dele.