出于诊断和使用目的,我想在我的遥测中记录以下内容:
- Azure 订阅 ID
- AAD 租户 ID
- AAD 应用客户端 ID
我应该将它们视为机密/PII 并对其进行哈希/加密吗?
(不用说,我不会以任何方式或形式保留客户端密钥(
最终,您应该根据公司内部或第三方的官方和合规性/隐私/安全审查和认证,从合规性/隐私/安全角度确定要记录的内容以及如何记录。
撇开免责声明不谈:
-
租户 ID 和应用客户端 ID 通常不被视为 PII 或机密。
- 不是 PII,因为它们本身不会告诉您用户是谁。
- 不是秘密,因为它们很容易获得。任何尝试登录您的应用程序的人都将接触到这些内容,因为它们包含在授权请求中。
-
Azure 订阅 ID 通常不被视为 PII,但根据你的敏感度,可能会被视为机密
- Not PII,因为它本身不会告诉你用户是谁。
- 可能是一个秘密,因为它不容易公开给每个人。可以被视为不是秘密,因为如果没有来自授权用户或应用程序的令牌,则无法对其进行任何操作。
请注意,一些公司和隐私审查通常将这 3 个数据点视为组织身份信息 (OII(,有时有处理这些数据点的政策(尽管没有 PII 那么严格(。