Sdílet prostřednictvím

Bezpečný přístup k zákaznickým datům pomocí Customer Lockbox v Power Platform a Dynamics 365

  • Článek

Většina operací, podpory a řešení problémů prováděných Microsoft personálem (včetně dílčích zpracovatelů) nevyžaduje přístup k zákaznickým datům. S Power Platform Customer Lockbox poskytujeme rozhraní pro zákazníky, kde mohou kontrolovat a schvalovat (nebo zamítat) žádosti o přístup k údajům ve vzácných případech, kdy je potřeba získat přístup k údajům zákazníka. Používá se v případech, kdy Microsoft inženýr potřebuje získat přístup k zákaznickým datům, ať už v odpověď na zákaznický lístek podpory nebo problém identifikovaný pomocí Microsoft.

Tento článek popisuje, jak povolit Customer Lockbox a jak jsou požadavky na lockbox iniciovány, sledovány a ukládány pro pozdější kontroly a audity.

Poznámka:

Customer Lockbox je dostupný ve veřejných cloudech a v oblastech US Government Community Cloud (GCC), GCC High a Ministerstvo obrany (DoD).

Shrnutí

Můžete povolit Customer Lockbox pro své zdroje dat v rámci svého klienta. Povolení funkce Customer Lockbox bude vynucovat zásady pouze pro spravovaná prostředí. Power Platform administrátoři mohou povolit zásady zámků.

Další informace najdete v článku Povolení zásad Lockboxu.

Ve vzácných případech, kdy se Microsoft pokusí získat přístup k zákaznickým datům uloženým v Power Platform (například Dataverse), je odeslán požadavek na zamykací schránku Power Platform administrátoři ke schválení. Další informace najdete v článku Kontrola požadavku Lockboxu.

Všechny aktualizace požadavku Lockboxu jsou zaznamenány a zpřístupněny vaší organizaci jako protokoly auditu. Další informace najdete v článku Audit požadavků Lockboxu.

Aplikace a služby Power Platform a Dynamics 365 uchovávají zákaznická data v několika technologiích úložiště Azure. Když zapnete Customer Lockbox pro prostředí, zákaznická data spojená s příslušným prostředím jsou chráněna zásadami Lockboxu bez ohledu na typ úložiště.

Poznámka:

  • V současné době jsou aplikace a služby, u kterých bude po aktivaci vynucována zásada lockboxu, Power Apps (kromě Karty pro Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (kromě funkcí GPT AI a Agent Builder), Dataverse, Customer Insights, služby zákazníkům, Communities, Guides, Connected Spaces, Finance (kromě Lifecycle Services), Project Operations (kromě Lifecycle Services), dodavatelský řetězec Management (kromě Lifecycle Services) a marketing v reálném čase oblast funkcí aplikace Marketing.
  • Funkce využívající Azure OpenAI Service jsou vyloučeny z vynucení zásad Lockbox, pokud dokumentace k produktu pro danou funkci neuvádí, že se pro Lockbox vztahuje.
  • Konverzační interaktivní hlasový systém Nuance je vyloučen z vynucení zásad Lockbox, pokud dokumentace k produktu pro danou funkci neuvádí, že se pro Lockbox vztahuje.
  • Uvítací obsah Maker je vyloučen z prosazování zásad Lockbox.
  • Abyste mohli používat Customer Lockbox, musíte na svém webu zakázat vyhledávání Lucene.NET a přejít na vyhledávání Dataverse. Další informace: Vyhledávání na portálech pomocí vyhledávání Lucene.NET je zastaralé.

Workflow

  1. Vaše organizace má problém s Microsoft Power Platform a otevře žádost o podporu s Microsoft Podporou. Alternativně Microsoft proaktivně identifikuje problém (například se spustí proaktivní oznámení) a otevře se událost iniciovaná Microsoft, aby se prošetřila a zmírnila nebo opravila hlavní příčina.

  2. Operátor Microsoft zkontroluje požadavek/událost podpory a pokusí se problém vyřešit pomocí standardních nástrojů a telemetrie. Pokud je pro další odstraňování problémů nutný přístup k zákaznickým datům, Microsoft inženýr spustí interní schvalovací proces pro přístup k zákaznickým datům, bez ohledu na to, zda jsou nebo nejsou povoleny zásady blokování.

  3. Kromě toho je vygenerován požadavek Lockboxu, pokud je příslušné úložiště dat přidruženo k prostředí chráněnému podle zásad Lockboxu. Určeným schvalovatelům (Power Platform správcům) je zasláno e-mailové upozornění o nevyřízené žádosti o přístup k datům od Microsoft.

    Důležité

    Technik Microsoft nebude moci pokračovat ve vyšetřování, dokud zákazník neschválí požadavek na skříňku. To může způsobit zpoždění nebo dlouhodobé výpadky při vyřizování žádosti o podporu. Ujistěte se, že sledujete e-mailová upozornění a/nebo požadavky Lockboxu v centru pro správu Power Platform a reagujete včas, aby nedošlo k přerušením služby.

    Vzorový požadavek Lockboxu.

  4. Schvalovatel se přihlásí do centra pro správu Power Platform a žádost schválí. Pokud je žádost zamítnuta nebo neschválena do čtyř dnů, její platnost vyprší a Microsoft inženýrovi není udělen přístup.

  5. Poté, co schvalovatel z vaší organizace žádost schválí, Microsoft inženýr získá zvýšená oprávnění, která byla původně požadována, a opraví váš problém. Microsoft inženýři mají stanovenou dobu – 8 hodin – na vyřešení problému, po které je přístup automaticky zrušen.

Povolení zásad Lockboxu

Power Platform administrátoři mohou vytvořit nebo aktualizovat zásady zámků v Power Platform centru pro správu. Povolení zásady na úrovni klienta bude platit pouze pro spravovaná prostředí. Implementace Customer Lockboxu ve všech zdrojích dat a všech prostředích může trvat až 24 hodin.

  1. Přihlaste se k centru pro správu Power Platform.

  2. Pomocí stránky Nastavení tenanta můžete zkontrolovat a spravovat nastavení na úrovni tenanta. Chcete-li zobrazit nastavení na úrovni klienta, vyberte ikonu Ozubené kolo (Ikona ozubeného kolečka.) v pravém horním rohu webu Microsoft Power Platform a vyberte Nastavení Power Platform>Nastavení>Nastavení klienta v levém navigačním panelu.

  3. Nastavte Customer Lockbox na Povolit.

    Zapnutí zásad Lockboxu.

Kontrola požadavku Lockboxu

  1. Přihlaste se k centru pro správu Power Platform.

  2. Vyberte Zásady>Customer Lockbox.

  3. Zkontrolujte detaily žádosti.

    Pole Description
    ID žádosti o podporu ID lístku podpory spojeného s požadavkem Lockboxu. Pokud je požadavek výsledkem interní výstrahy iniciované Microsoft, bude hodnota „Microsoft iniciováno“.
    Environment Zobrazovaný název prostředí, ve kterém je požadován přístup k datům.
    Stav Stav požadavku Lockboxu.
    • Vyžaduje se akce: Čeká na schválení od zákazníka
    • Platnost vypršela: Od zákazníka nebylo přijato žádné schválení
    • Schváleno: Schváleno zákazníkem
    • Zamítnuto: Zamítnuto zákazníkem
    Požadováno Čas, ve kterém Microsoft inženýr požádal o přístup k zákaznickým datům v prostředí zákazníka.
    Vypršení platnosti žádosti Čas, do kterého musí zákazník schválit požadavek Lockboxu. Stav požadavku se změní na Platnost vypršela, pokud do této doby nebude dán souhlas.
    Období přístupu Doba, po kterou chce žadatel získat přístup k údajům zákazníka. Tato hodnota je ve výchozím nastavení 8 hodin a nelze ji změnit.
    Vypršení platnosti přístupu Pokud je přístup udělen, je to doba, po kterou má technik Microsoft přístup k zákaznickým datům.

  4. Vyberte požadavek Lockboxu a poté vyberte Schválit nebo Zamítnout.

    Schválení nebo zamítnutí požadavků Lockboxu

    Poznámka:

    Požadavky Lockboxu, které se vyskytly za posledních 28 dní, jsou zobrazeny v tabulce Poslední.

    Jakmile je žádost schválena, nelze ji po celou dobu trvání přístupu 8 hodin odvolat.

Audit požadavků Lockboxu

Upozorňující

Schéma zdokumentované v této části pro události auditu lockboxu je zastaralé a od července 2024 nebude k dispozici. Události Customer Lockbox můžete auditovat pomocí nového schématu dostupného na Kategorie aktivity: Operace Lockboxu.

Akce související se schválením, zamítnutím nebo vypršením platnosti požadavku Lockboxu se zaznamenávají automaticky v aplikaci Microsoft 365 Defender.

Stránka aplikace Microsoft 365 Defender.

Trasování auditu zahrnuje u každého požadavků Lockboxu tato a další pole:

  • Jedinečný identifikátor požadavku
  • Čas vytvoření požadavku
  • ID organizace
  • ID uživatele (jedinečný identifikátor Microsoft operátora provádějícího požadavek)
  • Stav požadavku
  • ID asociovaného lístku podpory
  • Čas vypršení platnosti
  • Čas vypršení přístupu k datům
  • ID prostředí
  • Odůvodnění požadavku

Karta Audit aplikace Microsoft 365 umožňuje správcům vyhledávat události spojené s relacemi Lockboxu. Zobrazení kategorie Power Platform Lockbox pro události Power Platform související s Lockboxem.

Vyberte kategorii Lockboxu Power Platform.

Správci mohou přímo exportovat sadu výsledků na základě kritérií filtru.

Customer Lockbox vytváří dva typy protokolů auditu:

  1. Protokoly, které jsou iniciovány Microsoft a odpovídají požadavku na uzamčení, který je vytvořen, vyprší jeho platnost nebo když skončí relace přístupu. Tato sada protokolů auditu neodpovídá konkrétnímu ID uživatele, protože akce spouští Microsoft.
  2. Protokoly, které jsou iniciovány akcemi koncového uživatele, například když uživatel schválí nebo zamítne požadavek Lockboxu. Pokud uživatel, který tyto operace provádí, nemá přidělenou licenci E5, protokoly se odfiltrují a v protokolech auditu se nezobrazí.

Ve výchozím nastavení jsou protokoly auditu uchovávány po dobu jednoho roku. Chcete-li uchovávat záznamy auditu po dobu 10 let, potřebujete doplňkovou licenci 10-Year Audit Log Retention. Další podrobnosti o uchovávání protokolu auditu naleznete v části Audit (Premium) .

Licenční požadavky pro Customer Lockbox

Zásady Customer Lockboxu se budou vynucovat jenom v prostředích, která jsou aktivovaná pro spravovaná prostředí. Spravovaná prostředí jsou zahrnuta jako nárok v samostatných licencích Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, které poskytují prémiová práva k užívání. Chcete-li se dozvědět více o licencování spravovaných prostředí, viz Licencování a Přehled licencí pro Microsoft Power Platform.

Přístup k funkci Customer Lockbox pro Microsoft Power Platform a Dynamics 365 navíc vyžaduje, aby uživatelé v prostředích, kde je vynucována zásada Lockboxu, měli libovolné z těchto předplatných:

  • Microsoft 365 nebo Office 365 A5/E5/G5
  • Dodržování předpisů Microsoft 365 A5/E5/F5/G5
  • Zabezpečení a dodržování předpisů Microsoft 365 F5
  • Správa insiderských rizik Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5 Information Protection and Governance Další informace o použitelných licencích.

Vyloučení

  • Požadavky Lockboxu se nespouštějí v následujících scénářích technické podpory:

    • Nouzové scénáře, které nespadají do standardních provozních postupů, jako je velký výpadek služby, který vyžaduje okamžitou pozornost při obnovení nebo obnovení služeb v neočekávaných nebo nepředvídatelných případech. Tyto závažné události jsou vzácné a ve většině případů nevyžadují k vyřešení žádný přístup k datům zákazníků.

    • A Microsoft inženýr přistupuje k základní platformě v rámci odstraňování problémů a je neúmyslně vystaven zákaznickým datům. Je vzácné, že by takové scénáře vedly k přístupu ke smysluplnému množství zákaznických dat.

  • Požadavky Lockboxu také nejsou vyvolány externími právními požadavky na data. Podrobnosti najdete v diskuzi o žádostech státní správy o data v Microsoft Centru důvěryhodnosti.

  • Customer Lockbox se nebude vztahovat na přístup a ruční kontrolu zákaznických dat sdílených pro funkce Copilot AI. Customer Lockbox zůstane aktivní pro všechna data v rozsahu.

Známé problémy

  • Migrace z tenanta na tenanta není podporována, když je aktivní Customer Lockbox. Chcete-li přesunout prostředí k jinému klientu, musíte deaktivovat Customer Lockbox. Po dokončení migrace můžete znovu aktivovat Customer Lockbox.