Are Azure Subscription ID, AAD Tenant ID, and AAD App Client ID considered secret/PII?

Question

I would like to log the following in my telemetry for diagnostic and usage purposes:

• Azure Subscription ID
• AAD Tenant ID
• AAD App Client ID

Should I treat them as secrets/PII and hash/encrypt them?

(it goes without saying I will not be retaining the client secret in any way shape or form)

Answer 1

最终，您应根据合规/隐私/安全角度，根据公司内部或第三方的官方和合规/隐私/安全审核和认证确定要记录的内容以及如何记录。

除了免责声明：

• 租户ID和App Client ID通常不被视为PII或秘密。
  • 不是PII，因为他们自己不会告诉你用户是谁。
  • 没有秘密，因为它们很容易获得。任何试图登录您的应用程序的人都将接触到这些内容，因为它们包含在授权请求中。
• Azure订阅ID通常不被视为PII，但视您的敏感度而定，可被视为秘密
  • 不是PII，因为它本身并不会告诉您该用户是谁。
  • 可能是一个秘密，因为它不容易公开给所有人。可以被认为不是秘密，因为如果没有来自授权用户或应用程序的令牌，就无法使用它。

请注意，某些公司和隐私审核通常将这3个数据点视为组织可识别信息（OII），有时还会制定处理这些数据的政策（尽管不如PII严格）。