是否考虑 Azure 订阅 ID、AAD 租户 ID 和 AAD 应用程序客户端 ID secret/PII?
Are Azure Subscription ID, AAD Tenant ID, and AAD App Client ID considered secret/PII?
我想在我的遥测中记录以下内容以用于诊断和使用目的:
- Azure 订阅 ID
- AAD 租户 ID
- AAD 应用客户端 ID
我应该将它们视为 secrets/PII 和 hash/encrypt 吗?
(不用说,我不会以任何方式或形式保留客户机密)
最终,您应该从 compliance/privacy/security 的角度,根据公司内部或第三方的官方和 compliance/privacy/security 审查和认证,确定要记录的内容和方式。
撇开免责声明不谈:
- 租户 ID 和应用程序客户端 ID 通常不被视为 PII 或机密。
- 不是 PII,因为它们本身不会告诉您用户是谁。
- 不是秘密,因为它们很容易获得。任何尝试登录您的应用程序的人都将接触到这些内容,因为它们包含在授权请求中。
- Azure 订阅 ID 通常不被视为 PII,但根据您的敏感度,可以将其视为机密
- 不是 PII,因为它本身并不能告诉您用户是谁。
- 可能是个秘密,因为它不容易公开给所有人。可以被认为不是秘密,因为如果没有来自授权用户或应用程序的令牌,就无法用它做任何事情。
请注意,一些公司和隐私审查经常将这 3 个数据点视为组织可识别信息 (OII),并且有时有处理这些信息的政策(尽管不如 PII 严格)。
我想在我的遥测中记录以下内容以用于诊断和使用目的:
- Azure 订阅 ID
- AAD 租户 ID
- AAD 应用客户端 ID
我应该将它们视为 secrets/PII 和 hash/encrypt 吗?
(不用说,我不会以任何方式或形式保留客户机密)
最终,您应该从 compliance/privacy/security 的角度,根据公司内部或第三方的官方和 compliance/privacy/security 审查和认证,确定要记录的内容和方式。
撇开免责声明不谈:
- 租户 ID 和应用程序客户端 ID 通常不被视为 PII 或机密。
- 不是 PII,因为它们本身不会告诉您用户是谁。
- 不是秘密,因为它们很容易获得。任何尝试登录您的应用程序的人都将接触到这些内容,因为它们包含在授权请求中。
- Azure 订阅 ID 通常不被视为 PII,但根据您的敏感度,可以将其视为机密
- 不是 PII,因为它本身并不能告诉您用户是谁。
- 可能是个秘密,因为它不容易公开给所有人。可以被认为不是秘密,因为如果没有来自授权用户或应用程序的令牌,就无法用它做任何事情。
请注意,一些公司和隐私审查经常将这 3 个数据点视为组织可识别信息 (OII),并且有时有处理这些信息的政策(尽管不如 PII 严格)。