Zabezpečený přístup k zákaznickým datům pomocí Customer Lockboxu v Power Platform a Dynamics 365

Většina operací, podpory a řešení problémů prováděných pracovníky společnosti Microsoft (včetně dílčích zpracovatelů) nevyžaduje přístup k údajům zákazníka. Zákazníci můžou pomocí Power Platform Customer Lockboxu kontrolovat a schvalovat (nebo odmítat) žádosti o přístup k datům ve výjimečných případech, kdy Microsoft potřebuje přístup k zákaznickým datům. Použijte ho v případech, kdy technik Microsoftu potřebuje získat přístup k zákaznickým datům, ať už v reakci na lístek podpory iniciovaný zákazníkem nebo k problému zjištěnému Microsoftem.

Tento článek popisuje, jak povolit Customer Lockbox a jak jsou požadavky na lockbox iniciovány, sledovány a ukládány pro pozdější kontroly a audity.

Poznámka:

Customer Lockbox je dostupný ve veřejných cloudech a v oblastech US Government Community Cloud (GCC), GCC High a Ministerstvo obrany (DoD).

Shrnutí

Můžete povolit Customer Lockbox pro své zdroje dat v rámci svého klienta. Zapnutí Customer Lockbox vynutí zásady pouze pro prostředí, která jsou aktivovaná pro spravovaná prostředí. Správci Power Platform mohou zapnout zásady Lockbox.

Další informace najdete v tématu Povolení zásad lockboxu.

Ve vzácných případech, kdy se Microsoft pokouší získat přístup k datům zákazníků, která jsou uložena uvnitř Power Platform (například v Dataverse), je odeslán požadavek lockboxu globálním správcům a správcům Power Platform ke schválení. Další informace najdete v tématu Kontrola požadavku lockboxu.

Všechny aktualizace požadavku Lockboxu jsou zaznamenány a zpřístupněny vaší organizaci jako protokoly auditu. Další informace naleznete v tématu o požadavcích Audit lockbox.

Power Platform a Dynamics 365 aplikace a služby ukládají zákaznická data do několika technologií úložiště Azure. Když zapnete Customer Lockbox pro prostředí, zákaznická data spojená s příslušným prostředím jsou chráněna zásadami Lockboxu bez ohledu na typ úložiště.

Poznámka:

  • Aplikace a služby, ve kterých se zásady lockboxu vynucují po povolení, jsou Power Apps (s výjimkou funkce Karty pro Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (nakonfigurovaný lockbox nezahrnuje data odesílaná z Microsoft Copilot Studio jako součást zabezpečovacího auditního protokolování Agentem 365), Dataverse, Customer Insights, Customer Service, Sales (kromě analýzy konverzací), Komunity, Guides, Connected Spaces, Finance (s výjimkou služeb životního cyklu), Project Operations (s výjimkou služeb životního cyklu), Supply Chain Management (s výjimkou služeb životního cyklu) a oblast funkcí pro marketing v reálném čase aplikace Marketing.
  • Funkce využívající službu Azure OpenAI jsou vyloučené z vynucení zásad lockboxu, pokud dokumentace k dané funkci nestanovuje, že se lockbox aplikuje.
  • Nuance Konverzační IVR je vyloučen z vynucení zásad Lockboxu, pokud produktová dokumentace pro danou funkci uvádí, že Lockbox platí.
  • Maker Welcome Content je vyloučen z vynucování zásad lockboxu.
  • Lucene.NET vyhledávání na vašem webu musíte zakázat a přejít do služby Dataverse Search, aby bylo možné používat Customer Lockbox. Další informace najdete v tématu Vyhledávání na portálech pomocí Lucene.NET je zastaralé.

Workflow

  1. Vaše organizace má problém s Microsoft Power Platform a otevře žádost o podporu s Microsoft Support. Alternativně společnost Microsoft proaktivně identifikuje problém (například se spustí proaktivní oznámení) a otevře se událost iniciovaná společností Microsoft, která prošetří a zmírní nebo opraví hlavní příčinu.

  2. Operátor Microsoftu zkontroluje žádost o podporu nebo událost a pokusí se tento problém vyřešit pomocí standardních nástrojů a telemetrie. Pokud operátor potřebuje přístup k zákaznickým datům pro další řešení potíží, spustí technik Microsoftu interní schvalovací proces pro přístup k zákaznickým datům bez ohledu na to, jestli je zásada lockboxu povolená.

  3. Pokud je příslušné úložiště dat přidruženo k prostředí chráněnému podle zásad Lockboxu, proces také vygeneruje požadavek Lockboxu Určený schvalovatelé (správci Power Platform) obdrží e-mailové oznámení o čekající žádosti o přístup k datům od Microsoftu.

    Important

    Technik Microsoftu nemůže pokračovat v šetření, dokud zákazník neschválí žádost lockboxu. Tento krok schválení může způsobit zpoždění při řešení podpůrného tiketu nebo způsobit delší výpadky. Ujistěte se, že v Centru pro správu Power Platform monitorujete e-mailová oznámení a požadavky na lockbox. Včas zareagujte, abyste se vyhnuli přerušení služeb.

    Vzorový požadavek Lockboxu.

  4. Schvalovatel se přihlásí do centra pro správu Power Platform a žádost schválí. Pokud schvalovatel žádost odmítne nebo ji neschválí do čtyř dnů, platnost žádosti vyprší a technik Microsoftu nemá přístup.

  5. Jakmile schvalovatel z vaší organizace žádost schválí, získá technik Microsoftu zvýšená oprávnění, která původně požadoval, a opraví váš problém. Technici Microsoftu mají nastavenou dobu – osm hodin – k vyřešení problému, po kterém se přístup automaticky odvolá.

Povolení zásad Lockboxu

Správci Power Platform mohou vytvořit nebo aktualizovat zásady Lockbox v centru pro správu Power Platform. Povolení zásad na úrovni tenanta platí pouze pro prostředí, která jsou aktivována pro spravovaná prostředí. Implementace Customer Lockboxu ve všech zdrojích dat a ve všech prostředích může trvat až 24 hodin.

  1. Přihlaste se do Centra pro správu Power Platform.
  2. V navigačním podokně vyberte Spravovat.
  3. V podokně Správa vyberte Nastavení tenanta.
  4. Vyberte Customer Lockbox a pak Aktivovat.

Kontrola požadavku Lockboxu

  1. Přihlaste se do Centra pro správu Power Platform.

  2. V levém navigačním podokně vyberte Zabezpečení.

  3. V podokně Zabezpečení vyberte Dodržování předpisů.

  4. Na stránce Dodržování předpisů vyberte Customer Lockbox.

  5. Zkontrolujte detaily žádosti.

    Pole Popis
    ID žádosti o podporu ID lístku podpory spojeného s požadavkem Lockboxu. Pokud je požadavek výsledkem interního upozornění iniciovaného Microsoftem, hodnota je "iniciované Microsoftem".
    Prostředí Zobrazovaný název prostředí, ve kterém je požadován přístup k datům.
    Stav Stav požadavku Lockboxu.
    • Vyžaduje se akce: Čeká na schválení od zákazníka
    • Platnost vypršela: Od zákazníka nebyl přijat žádný souhlas
    • Schváleno: Schváleno zákazníkem
    • Zamítnuto: Zamítnuto zákazníkem
    Požadováno Čas, kdy technik Microsoftu požádal o přístup k zákaznickým datům v prostředí zákazníka.
    Vypršení platnosti žádosti Čas, do kterého musí zákazník schválit požadavek Lockboxu. Stav požadavku se změní na Platnost vypršela, pokud do této doby nebude dán souhlas.
    Období přístupu Doba, po kterou chce žadatel získat přístup k údajům zákazníka. Tato hodnota je ve výchozím nastavení 8 hodin a nelze ji změnit.
    Vypršení platnosti přístupu Pokud je přístup udělen, je to doba, po kterou má technik společnosti Microsoft přístup k zákaznickým datům.

  6. Vyberte požadavek Lockboxu a poté vyberte Schválit nebo Zamítnout.

    Schválení nebo zamítnutí požadavků Lockboxu

    Poznámka:

    Požadavky Lockboxu, které se vyskytly za posledních 28 dní, jsou zobrazeny v tabulce Poslední.

    Jakmile je žádost schválena, nelze ji po celou dobu trvání přístupu 8 hodin odvolat.

Audit požadavků Lockboxu

Výstraha

Schéma zdokumentované v této části pro události auditu lockboxu je zastaralé a od července 2024 nebude k dispozici. Události Customer Lockbox můžete auditovat pomocí nového schématu dostupného na Kategorie aktivity: Operace Lockboxu.

Akce související s přijetím, zamítnutím nebo vypršením platnosti požadavku lockboxu se automaticky zaznamenávají v Microsoft 365 Defender.

Stránka Programu Microsoft 365 Defender

Trasování auditu zahrnuje u každého požadavků Lockboxu tato a další pole:

  • Jedinečný identifikátor požadavku
  • Čas vytvoření požadavku
  • ID organizace
  • ID uživatele (jedinečný identifikátor pro operátora společnosti Microsoft, který provádí požadavek)
  • Stav požadavku
  • ID asociovaného lístku podpory
  • Čas vypršení platnosti
  • Čas vypršení přístupu k datům
  • ID prostředí
  • Odůvodnění požadavku

Karta Microsoft 365 Audit umožňuje správcům vyhledávat události přidružené k relacím lockboxu. Zobrazení kategorie Power Platform Lockbox pro události Power Platform související s Lockboxem.

Vyberte kategorii lockboxu Power Platform.

Správci mohou přímo exportovat sadu výsledků na základě kritérií filtru.

Customer Lockbox vytváří dva typy protokolů auditu:

  1. Protokoly, které jsou iniciovány společností Microsoft a odpovídají požadavku Lockboxu, který je vytvořen, vyprší mu platnost nebo když skončí relace přístupu. Tato sada protokolů auditu neodpovídá konkrétnímu ID uživatele, protože akce iniciuje společnost Microsoft.
  2. Protokoly, které jsou iniciovány akcemi koncového uživatele, například když uživatel schválí nebo zamítne požadavek Lockboxu. Pokud uživatel, který tyto operace provádí, nemá přiřazenou licenci E5, protokoly se odfiltrují a nezobrazí se v protokolech auditu.

Ve výchozím nastavení jsou protokoly auditu uchovávány po dobu jednoho roku. Chcete-li uchovávat záznamy auditu po dobu 10 let, potřebujete doplňkovou licenci 10-Year Audit Log Retention. Další podrobnosti o uchovávání protokolu auditu naleznete v části Audit (Premium) .

Licenční požadavky pro Customer Lockbox

Zásady Customer Lockboxu se vynucují jenom v prostředích, která jsou aktivovaná pro spravovaná prostředí. Spravovaná prostředí jsou zahrnutá jako oprávnění v samostatných Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365 licencích, které poskytují práva na použití úrovně Premium. Další informace o licencování spravované prostředí najdete v tématu Licensing a Přehled licencování pro Microsoft Power Platform.

Kromě toho přístup k Customer Lockboxu pro Microsoft Power Platform a Dynamics 365 vyžaduje, aby uživatelé v prostředích, ve kterých se zásady Lockboxu vynucovaly, aby některé z těchto předplatných měly:

  • Microsoft 365 nebo Office 365 A5/E5/G5
  • dodržování předpisů Microsoft 365 A5/E5/F5/G5
  • Zabezpečení a dodržování předpisů v Microsoftu 365 F5
  • Microsoft 365 A5/E5/F5/G5 Insider Risk Management
  • Ochrana informací a zásady správného řízení Microsoft 365 A5/E5/F5/G5 Další informace o použitelných licencích.

Vyloučení

  • Požadavky Lockboxu se nespouštějí v následujících scénářích technické podpory:

    • Nouzové scénáře, které nespadají do standardních provozních postupů, jako je velký výpadek služby, který vyžaduje okamžitou pozornost při obnovení nebo obnovení služeb v neočekávaných nebo nepředvídatelných případech. Tyto závažné události jsou vzácné a ve většině případů nevyžadují k vyřešení žádný přístup k datům zákazníků.

    • Technik společnosti Microsoft přistupuje k základní platformě v rámci řešení problémů a je neúmyslně vystaven datům zákazníků. Je vzácné, že by takové scénáře vedly k přístupu ke smysluplnému množství zákaznických dat.

  • Požadavky Lockboxu také nejsou vyvolány externími právními požadavky na data. Podrobnosti najdete v diskusi o vládních požadavcích na data v Centru zabezpečení společnosti Microsoft.

  • Customer Lockbox se nevztahuje na přístup a ruční kontrolu zákaznických dat sdílených pro funkce Copilot AI. Customer Lockbox zůstává aktivovaný pro všechna data v rozsahu.

Známé problémy

  • Migrace z tenanta na tenanta není podporována, když je aktivní Customer Lockbox. Chcete-li přesunout prostředí k jinému klientu, musíte deaktivovat Customer Lockbox. Po dokončení migrace můžete znovu aktivovat Customer Lockbox.
  • Last updated on