Сигурен достъп до клиентски данни чрез използване на Customer Lockbox в Power Platform и Dynamics 365

Повечето операции, поддръжка и отстраняване на неизправности, извършвани от персонала на Microsoft (включително подизпълнители), не изискват достъп до клиентски данни. Чрез използване на Power Platform Customer Lockbox, клиентите могат да преглеждат и одобряват (или отхвърлят) заявки за достъп до данни в редките случаи, когато Microsoft се нуждае от достъп до клиентските данни. Използвайте го в случаите, когато инженер на Microsoft трябва да получи достъп до клиентски данни, било то в отговор на заявка за поддръжка, инициирана от клиента, или на проблем, идентифициран от Microsoft.

Тази статия описва как да активирате Защитено хранилище на клиента и как заявките за lockbox се инициират, проследяват и съхраняват за по-късни прегледи и одити.

Бележка

Customer Lockbox е наличен в публични облаци и региони на US Government Community Cloud (GCC) GCC High и Министерство на отбраната (DoD).

Обобщение

Можете да активирате Customer Lockbox за вашите източници на данни във вашия клиент. Разрешаването на клиентско заключване налага правилата само за среди, които са активирани за управлявани среди. Power Platform Администраторите могат да активират правилата за заключване.

За повече информация вижте Активиране на политиката за заключващи кутии.

В редките случаи, когато Microsoft се опитва да получи достъп до клиентски данни, които се съхраняват в Power Platform (например, Dataverse), заявка за заключване се изпраща до Power Platform администраторите за одобрение. За повече информация вижте Преглед на заявка за заключваща кутия.

Всички актуализации на заявка за lockbox се записват и се предоставят на вашата организация като журнали за проверка. За повече информация вижте Audit lockbox requests.

Приложенията и услугите на Power Platform и Dynamics 365 съхраняват клиентски данни в няколко технологии за съхранение на Azure. Когато включите Customer Lockbox за среда, клиентските данни, свързани със съответната среда, са защитени от политиката на lockbox, независимо от типа съхранение.

Бележка

  • В момента приложенията и услугите, при които политиката за lockbox се прилага след активиране, са Power Apps (без карти за Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (конфигурираната заключваща кутия не покрива данни, изпратени от Copilot Studio като част от логването на сигурността на Agent 365), Dataverse, Customer Insights, обслужване на клиенти, продажби (с изключение на интелигентността на разговорите), Общности, Ръководства, Свързани пространства, Финанси (с изключение на услугите за жизнения цикъл), Проектни операции (с изключение на Жизнения цикъл услуги), Управление на веригата за доставки (с изключение на Жизнения цикъл) и функцията за маркетинг в реално време в приложението Маркетинг.
  • Функциите, работещи от Azure OpenAI Service, са изключени от прилагането на политиките в lockbox, освен ако продуктовата документация за дадена функция не посочва, че lockbox се прилага.
  • Нюанс Разговорният IVR е изключен от прилагането на политиката за заключващи кутии, освен ако документацията за дадена функция не посочва, че това се прилага.
  • Maker Welcome Content е изключено от прилагането на политиката за lockbox.
  • Настройките на средата на Power Platform са изключени от прилагането на политиките на lockbox.
  • Трябва да изключите търсенето в Lucene.NET от вашия уебсайт и да преминете към Dataverse Search, за да използвате Customer Lockbox. За повече информация вижте Portals search using Lucene.NET търсенето е остарял.

Работен процес

  1. Вашата организация има проблем с Microsoft Power Platform и отваря заявка за поддръжка към Microsoft Support. Като алтернатива, Microsoft проактивно идентифицира проблем (например, задейства се проактивно известие) и се отваря събитие, инициирано от Microsoft, за да проучи и смекчи или поправи основната причина.

  2. Оператор на Microsoft преглежда заявката или събитието за поддръжка и се опитва да отстрани проблема чрез стандартни инструменти и телеметрия. Ако операторът се нуждае от достъп до клиентски данни за по-нататъшно отстраняване на проблеми, инженер на Microsoft започва вътрешен процес на одобрение за достъп до клиентските данни, независимо дали политиката за заключване е активирана.

  3. Ако съответното хранилище на данни е свързано със среда, защитена според политиката на lockbox, процесът също генерира заявка за lockbox. Назначените одобрители (администраторите на Power Platform) получават имейл известие за предстоящата заявка за достъп до данни от Microsoft.

    Важно

    Инженерът на Microsoft не може да продължи разследването, докато клиентът не одобри заявката за заключваща кутия. Тази стъпка за одобрение може да доведе до забавяния при справянето с заявката за поддръжка или продължителни прекъсвания. Уверете се, че следите имейл известията и заявките за заключващи кутии в администраторския център на Power Platform. Отговаряйте навреме, за да избегнете прекъсвания на обслужването.

    Примерна заявка за заключване.

  4. Одобряващият влиза в Power Platform административния център и одобрява заявката. Ако одобрителят отхвърли заявката или не я одобри в рамките на четири дни, заявката изтича и инженерът на Microsoft няма достъп.

  5. След като одобрителят от вашата организация одобри заявката, инженерът на Microsoft получава повишените права, които първоначално е поискал, и решава проблема ви. Инженерите на Microsoft имат определено време – осем часа – за да решат проблема, след което достъпът автоматично се отнема.

Активиране на правилата за lockbox

Power Platform Администраторите могат да създават или актуализират правилата за заключване в центъра за Power Platform администриране. Разрешаването на правилата на ниво клиент се прилага само за среди, които са активирани за управлявани среди. Може да отнеме до 24 часа на всички източници на данни и среди да се реализира Customer Lockbox.

  1. Влезте в центъра за администриране на Power Platform.
  2. В навигационния екран изберете Управление.
  3. В панела Управление изберете настройки на наемателя.
  4. Изберете Клиентска заключваща кутия и след това изберете Активиране.

Преглед на заявка за заключване на кутия

  1. Влезте в центъра за администриране на Power Platform.

  2. В навигационния екран изберете Защита.

  3. В панела за сигурност изберете Съответствие.

  4. На страницата за съответствие изберете Заключване на клиента.

  5. Преглед на подробности за заявка.

    Поле Описание
    ИД на заявка за поддържка Идентификаторът на билета за поддръжка, свързан със заявката за lockbox. Ако заявката е резултат от вътрешно известие, инициирано от Microsoft, стойността е "Microsoft инициира".
    Среда Показваното име на средата, в която се иска достъп до данни.
    Състояние Състоянието на заявката за заключване.
    • Необходимо действие: В очакване на одобрение от клиента
    • Изтекъл: Не е получено одобрение от клиента
    • Одобрено: Одобрено от клиента
    • Отхвърлено: Отхвърлено от клиента
    Поискано Моментът, в който инженерът на Microsoft поиска достъп до клиентски данни в средата на клиента.
    Изтичане на заявка Времето, до което клиентът трябва да одобри заявката за lockbox. Статусът на заявката се променя на Изтекъл , ако до този момент не бъде дадено одобрение.
    Период на достъп Продължителността на времето, през което заявителят иска да има достъп до клиентските данни. Тази стойност по подразбиране е 8 часа и не може да се променя.
    Изтичане на достъпа Ако достъпът е предоставен, това е времето, до което инженерът на Microsoft има достъп до клиентските данни.

  6. Изберете заявка за кутия за заключване и след това изберете Одобрение или Отказ.

    Одобряване или отказване на заявки за сейфър

    Бележка

    Заявките за lockbox, възникнали през последните 28 дни, се показват в таблицата Последни.

    След като заявката бъде одобрена, тя не може да бъде отменена за целия период на достъп от 8 часа.

Одит на заявките за заключване

Предупреждение

Схемата, документирана в този раздел за събитията за проверка на защитената кутия, е отхвърлена и няма да бъде налична от юли 2024 г. Можете да проверявате събитията на клиентската скрита кутия, като използвате новата схема, налична в Категория дейност: Операции със заключване.

Действията, свързани с приемане, отказване или изтичане на заявка за заключваща кутия, се записват автоматично в Microsoft 365 Defender.

Microsoft 365 Defender страница.

Одитните следи включват тези и други полета за всяка заявка за lockbox:

  • Еднозначен идентификатор за заявката
  • Време за създаване на заявката
  • ИД на организация
  • User ID (уникален идентификатор за оператора на Microsoft, изпълняващ заявката)
  • Състояние на заявка
  • Идентификационен номер на свързан билет за поддръжка
  • Време на изтичане на заявката
  • Време за изтичане на достъпа до данни
  • ИД на среда
  • Обосновка на искането

Разделът Microsoft 365 Audit позволява на администраторите да търсят събития, свързани със сесии в lockbox. Вижте категорията Power Platform Lockbox за Power Platform събития, свързани с lockbox.

Изберете категорията Power Platform на заключването.

Администраторите могат директно да експортират набора от резултати въз основа на критериите за филтриране.

Customer Lockbox създава два вида регистрационни файлове за проверка:

  1. Регистрационни файлове, които са инициирани от Microsoft и съответстват на заявката за заключване, която се създава, изтича или когато сесиите за достъп приключват. Този набор от регистрационни файлове за проверка не съответства на конкретен потребителски ИД, тъй като действията се инициират от Microsoft.
  2. Регистрационни файлове, които се инициират от действия на крайния потребител, като например когато потребителят одобри или откаже заявка за заключване. Ако потребителят, който извършва тези операции, няма присвоен лиценз E5, регистрационните файлове се филтрират и няма да се показват в регистрационните файлове за проверка.

По подразбиране регистрационните файлове за одит се съхраняват за период от една година. Имате нужда от 10-годишен лиценз за добавка за съхранение на регистрационни файлове за проверка, за да запазите одиторските записи за 10 години. Вижте Проверка (Premium) за повече подробности относно запазването на регистрационния файл за проверка.

Изисквания за лицензиране за клиентска скрита кутия

Правилата за заключване на клиента се прилагат само в среди, които са активирани за управлявани среди. Управляваните среди са включени като право в самостоятелни лицензи Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages и Dynamics 365, които дават премиум права за ползване. За да научите повече за лицензирането на управлявана среда, вижте Licensing и Licensing overview за Microsoft Power Platform.

Освен това, достъпът до Customer Lockbox за Microsoft Power Platform и Dynamics 365 изисква потребителите в средите, където политиката за Lockbox се прилага, да имат някоя от следните абонаменти:

  • Microsoft 365 или Office 365 A5/E5/G5
  • Съответствие с Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 Сигурност и Съответствие
  • Microsoft 365 A5/E5/F5/G5 Управление на вътрешния риск
  • Microsoft 365 A5/E5/F5/G5 Information Protection и управление Научете повече за приложимите лицензи.

Изключения

  • Заявките за Lockbox не се задействат в следните сценарии за инженерна поддръжка:

    • Аварийни сценарии, които са извън стандартните оперативни процедури, като например голямо прекъсване на услугата, което изисква незабавно внимание за възстановяване или възстановяване на услуги в неочаквани или непредсказуеми случаи. Тези събития с "чупене на стъкло" са редки и в повечето случаи не изискват достъп до клиентски данни за разрешаване.

    • Инженер на Microsoft получава достъп до основната платформа като част от отстраняване на неизправности и по невнимание е изложен на клиентски данни. Рядко се случва такива сценарии да доведат до достъп до значими количества клиентски данни.

  • Заявките на Защитено хранилище на клиента също не се задействат от външни правни изисквания за данни. За подробности вижте обсъждането на правителствени искания за данни в Microsoft Trust Center.

  • Customer Lockbox няма да се прилага за достъпа и ръчния преглед на споделените клиентски данни за функциите на Copilot AI. Заключващото се поле на клиента остава активирано за всички данни в обхвата.

Известни проблеми

  • Миграцията от клиент към клиент не се поддържа, когато Защитено хранилище на клиента е активиран. Трябва да деактивирате Защитено хранилище на клиента, за да преместите среда към друг клиент. Можете да активирате повторно Защитено хранилище на клиента, след като миграцията приключи.
  • Last updated on