Azure订阅ID、AAD租户ID和AAD应用程序客户端ID是否被视为机密/PII?
出于诊断和使用目的,我想在遥测中记录以下内容:Azure订阅ID、AAD租户ID和AAD应用程序客户端ID是否被视为机密/PII?,azure,logging,azure-active-directory,telemetry,pii,Azure,Logging,Azure Active Directory,Telemetry,Pii,出于诊断和使用目的,我想在遥测中记录以下内容: Azure订阅ID AAD租户ID AAD应用程序客户端ID 我应该将它们视为机密/PII并对其进行哈希/加密吗 (不用说,我不会以任何方式或形式保留客户机密)最终,您应该根据公司内部或第三方的官方和合规/隐私/安全审查和认证,从合规/隐私/安全角度决定记录什么以及如何记录。 撇开该免责声明不谈: 租户ID和应用程序客户端ID通常不被视为PII或机密。 不是PII,因为他们自己不会告诉你用户是谁 不是秘密,因为它们很容易获得。任何试图登录到
- Azure订阅ID
- AAD租户ID
- AAD应用程序客户端ID
(不用说,我不会以任何方式或形式保留客户机密)最终,您应该根据公司内部或第三方的官方和合规/隐私/安全审查和认证,从合规/隐私/安全角度决定记录什么以及如何记录。 撇开该免责声明不谈:
- 租户ID和应用程序客户端ID通常不被视为PII或机密。
- 不是PII,因为他们自己不会告诉你用户是谁
- 不是秘密,因为它们很容易获得。任何试图登录到您的应用程序的人都将面临这些问题,因为它们包含在授权请求中李>
- Azure订阅ID通常不被视为PII,但根据您的敏感度,可能会被视为秘密
- 不是PII,因为它本身不会告诉你用户是谁
- 可能是一个秘密,因为它不容易公开给每个人。可能被认为不是秘密,因为如果没有授权用户或应用程序的令牌,就无法对其进行任何操作
请注意,一些公司和隐私审查通常将这3个数据点视为组织可识别信息(OII),有时也有处理这些(不太严格的PII)的策略。(1) 如果我没有组织,而我只是在写开源呢?(2) 如果我的公司是微软(我看到你也在那里工作),那该怎么办?我打算在twitter/stack overflow/quora上发布一个问题,因为我想“为什么会有人回答这个完全不直截了当的问题”,显然是谷歌先搜索一下以防万一——瞧。非常感谢!