重要
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息。
本文讨论如何使用 Microsoft Graph API 提供的作来管理 Azure Active Directory B2C (Azure AD B2C) 中的用户数据。 管理用户数据包括从审核日志中删除或导出数据。
备注
本文介绍了如何从设备或服务中删除个人数据,并可用于支持 GDPR 下的义务。 有关 GDPR 的常规信息,请参阅 Azure 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
用户数据存储在 Azure AD B2C 目录和审核日志中。 所有用户审核数据在 Azure AD B2C 中保留 7 天。 如果要在 7 天内删除用户数据,可以使用 Delete a user (删除用户 )作。 对于数据可能驻留的每个 Azure AD B2C 租户,都需要执行 DELETE 操作。
Azure AD B2C 中的每个用户都分配有一个对象 ID。 对象 ID 提供了一个明确的标识符,可用于删除 Azure AD B2C 中的用户数据。 根据您的架构,对象 ID 可以是其他服务(例如财务、营销和客户关系管理数据库)中的有用关联标识符。
获取用户对象 ID 的最准确方法是在使用 Azure AD B2C 进行身份验证过程中获取它。 如果您使用其他方法从用户收到有效的数据请求,则可能需要脱机过程(例如客户服务支持代理的搜索)来查找用户并记下关联的对象 ID。
以下示例显示了可能的数据删除流程:
- 用户登录并选择 Delete my data (删除我的数据)。
- 该应用程序提供了一个选项,用于删除应用程序管理部分中的数据。
- 应用程序强制对 Azure AD B2C 进行身份验证。 Azure AD B2C 向应用程序提供包含用户对象 ID 的令牌。
- 应用程序接收令牌,并使用对象 ID 通过调用 Microsoft Graph API 来删除用户数据。 Microsoft Graph API 删除用户数据并返回状态代码 200 OK。
- 该应用程序根据需要使用对象 ID 或其他标识符来编排其他组织系统中的用户数据的删除。
- 该应用程序确认删除数据并向用户提供后续步骤。
从 Azure AD B2C 导出客户数据的过程类似于删除过程。
Azure AD B2C 用户数据仅限于:
- 存储在 Microsoft Entra ID 中的数据:可以使用对象 ID 或任何登录名(例如电子邮件地址或用户名)检索 Azure AD B2C 身份验证用户旅程中的数据。
- 特定于用户的审核事件报告:您可以使用对象 ID 为数据编制索引。
在以下导出数据流示例中,描述为由应用程序执行的步骤也可以由后端进程或目录中具有管理员角色的用户执行:
- 用户登录到应用程序。 Azure AD B2C 根据需要使用 Microsoft Entra 多重身份验证强制进行身份验证。
- 应用程序使用用户凭据调用 Microsoft Graph API作来检索用户属性。 Microsoft Graph API 以 JSON 格式提供属性数据。 根据架构,您可以设置 ID 令牌内容以包含有关用户的所有个人数据。
- 应用程序检索用户审计活动。 Microsoft Graph API 向应用程序提供事件数据。
- 应用程序聚合数据并将其提供给用户。
要了解如何管理用户访问应用程序的方式,请参阅 管理用户访问权限。