Sdílet prostřednictvím

Zabezpečený přístup k zákaznickým datům pomocí Customer Lockboxu v Power Platform a Dynamics 365

Většina operací, podpory a řešení problémů prováděných pracovníky společnosti Microsoft (včetně dílčích zpracovatelů) nevyžaduje přístup k údajům zákazníka. Zákazníci můžou pomocí Power Platform Customer Lockboxu kontrolovat a schvalovat (nebo odmítat) žádosti o přístup k datům ve výjimečných případech, kdy Microsoft potřebuje přístup k zákaznickým datům. Použijte ho v případech, kdy technik Microsoftu potřebuje získat přístup k zákaznickým datům, ať už v reakci na lístek podpory iniciovaný zákazníkem nebo k problému zjištěnému Microsoftem.

Tento článek popisuje, jak povolit Customer Lockbox a jak jsou požadavky na lockbox iniciovány, sledovány a ukládány pro pozdější kontroly a audity.

Poznámka:

Customer Lockbox je dostupný ve veřejných cloudech a v oblastech US Government Community Cloud (GCC), GCC High a Ministerstvo obrany (DoD).

Souhrn

Můžete povolit Customer Lockbox pro své zdroje dat v rámci svého klienta. Zapnutí Customer Lockbox vynutí zásady pouze pro prostředí, která jsou aktivovaná pro spravovaná prostředí. Správci Power Platform mohou zapnout zásady Lockbox.

Další informace najdete v tématu Povolení zásad lockboxu.

Ve vzácných případech, kdy se Microsoft pokouší získat přístup k datům zákazníků, která jsou uložena uvnitř Power Platform (například v Dataverse), je odeslán požadavek lockboxu globálním správcům a správcům Power Platform ke schválení. Další informace najdete v tématu Kontrola požadavku lockboxu.

Všechny aktualizace požadavku Lockboxu jsou zaznamenány a zpřístupněny vaší organizaci jako protokoly auditu. Další informace naleznete v tématu o požadavcích Audit lockbox.

Aplikace a služby Power Platform a Dynamics 365 uchovávají zákaznická data v několika technologiích Azure Storage. Když zapnete Customer Lockbox pro prostředí, zákaznická data spojená s příslušným prostředím jsou chráněna zásadami Lockboxu bez ohledu na typ úložiště.

Poznámka:

  • Aplikace a služby, ve kterých se zásady lockboxu vynucují po povolení, jsou Power Apps (kromě karet pro Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Service, Sales (s výjimkou konverzační inteligence), Communities, Guides, Connected Spaces, Finance (kromě Lifecycle Services), Project Operations (s výjimkou Lifecycle Services), Supply Chain Management (kromě Lifecycle Services) a funkce marketingu v reálném čase aplikace Marketing.
  • Funkce využívající Azure OpenAI Service jsou vyloučeny z vynucení zásad Lockbox, pokud produktová dokumentace pro danou funkci neuvádí, že pro ni platí Lockbox.
  • Konverzační interaktivní hlasový systém Nuance je vyloučen z vynucení zásad Lockbox, pokud dokumentace k produktu pro danou funkci neuvádí, že se pro Lockbox vztahuje.
  • Uvítací obsah tvůrce je vyloučen z prosazování zásad Lockbox.
  • Abyste mohli používat Customer Lockbox, musíte na svém webu zakázat vyhledávání Lucene.NET a přejít na vyhledávání Dataverse. Další informace najdete v tématu Vyhledávání na portálech pomocí Lucene.NET je zastaralé.

Workflow

  1. Vaše organizace má problém s Microsoft Power Platform a otevře žádost o podporu u společnosti Microsoft. Alternativně společnost Microsoft proaktivně identifikuje problém (například se spustí proaktivní oznámení) a otevře se událost iniciovaná společností Microsoft, která prošetří a zmírní nebo opraví hlavní příčinu.

  2. Operátor Microsoftu zkontroluje žádost o podporu nebo událost a pokusí se tento problém vyřešit pomocí standardních nástrojů a telemetrie. Pokud operátor potřebuje přístup k zákaznickým datům pro další řešení potíží, spustí technik Microsoftu interní schvalovací proces pro přístup k zákaznickým datům bez ohledu na to, jestli je zásada lockboxu povolená.

  3. Pokud je příslušné úložiště dat přidruženo k prostředí chráněnému podle povolení zásad lockboxu, proces také vygeneruje žádost o lockbox. Určený schvalovatelé (správci Power Platform) obdrží e-mailové oznámení o čekající žádosti o přístup k datům od Microsoftu.

    Důležité

    Technik Microsoftu nemůže pokračovat v šetření, dokud zákazník neschválí žádost lockboxu. Tento krok schválení může způsobit zpoždění při řešení podpůrného tiketu nebo způsobit delší výpadky. Ujistěte se, že v Centru pro správu Power Platform monitorujete e-mailová oznámení a požadavky na lockbox. Včas zareagujte, abyste se vyhnuli přerušení služeb.

    Vzorový požadavek Lockboxu.

  4. Schvalovatel se přihlásí do centra pro správu Power Platform a žádost schválí. Pokud schvalovatel žádost odmítne nebo ji neschválí do čtyř dnů, platnost žádosti vyprší a technik Microsoftu nemá přístup.

  5. Jakmile schvalovatel z vaší organizace žádost schválí, získá technik Microsoftu zvýšená oprávnění, která původně požadoval, a opraví váš problém. Technici Microsoftu mají nastavenou dobu – osm hodin – k vyřešení problému, po kterém se přístup automaticky odvolá.

Povolení zásad Lockboxu

Správci Power Platform mohou vytvořit nebo aktualizovat zásady Lockbox v centru pro správu Power Platform. Povolení zásad na úrovni tenanta platí pouze pro prostředí, která jsou aktivována pro spravovaná prostředí. Implementace Customer Lockboxu ve všech zdrojích dat a ve všech prostředích může trvat až 24 hodin.

  1. Přihlaste se k centru pro správu Power Platform.
  2. V navigačním podokně vyberte Spravovat.
  3. V podokně Správa vyberte Nastavení tenanta.
  4. Vyberte Customer Lockbox a pak Aktivovat.

Kontrola požadavku Lockboxu

  1. Přihlaste se k centru pro správu Power Platform.

  2. V levém navigačním podokně vyberte Zabezpečení.

  3. V podokně Zabezpečení vyberte Dodržování předpisů.

  4. Na stránce Dodržování předpisů vyberte Customer Lockbox.

  5. Zkontrolujte detaily žádosti.

    Pole Popis
    ID žádosti o podporu ID lístku podpory spojeného s požadavkem Lockboxu. Pokud je požadavek výsledkem interního upozornění iniciovaného Microsoftem, hodnota je "iniciované Microsoftem".
    Prostředí Zobrazovaný název prostředí, ve kterém je požadován přístup k datům.
    Průběh Stav požadavku Lockboxu.
    • Vyžaduje se akce: Čeká na schválení od zákazníka
    • Platnost vypršela: Od zákazníka nebyl přijat žádný souhlas
    • Schváleno: Schváleno zákazníkem
    • Zamítnuto: Zamítnuto zákazníkem
    Požadováno Čas, kdy technik Microsoftu požádal o přístup k zákaznickým datům v prostředí zákazníka.
    Vypršení platnosti žádosti Čas, do kterého musí zákazník schválit požadavek Lockboxu. Stav požadavku se změní na Platnost vypršela, pokud do této doby nebude dán souhlas.
    Období přístupu Doba, po kterou chce žadatel získat přístup k údajům zákazníka. Tato hodnota je ve výchozím nastavení 8 hodin a nelze ji změnit.
    Vypršení platnosti přístupu Pokud je přístup udělen, je to doba, po kterou má technik společnosti Microsoft přístup k zákaznickým datům.

  6. Vyberte požadavek Lockboxu a poté vyberte Schválit nebo Zamítnout.

    Schválení nebo zamítnutí požadavků Lockboxu

    Poznámka:

    Požadavky Lockboxu, které se vyskytly za posledních 28 dní, jsou zobrazeny v tabulce Poslední.

    Jakmile je žádost schválena, nelze ji po celou dobu trvání přístupu 8 hodin odvolat.

Audit požadavků Lockboxu

Upozorňující

Schéma zdokumentované v této části pro události auditu lockboxu je zastaralé a od července 2024 nebude k dispozici. Události Customer Lockbox můžete auditovat pomocí nového schématu dostupného na Kategorie aktivity: Operace Lockboxu.

Akce související se schválením, zamítnutím nebo vypršením platnosti požadavku Lockboxu se zaznamenávají automaticky v aplikaci Microsoft 365 Defender.

Stránka Microsoft 365 Defender.

Trasování auditu zahrnuje u každého požadavků Lockboxu tato a další pole:

  • Jedinečný identifikátor požadavku
  • Čas vytvoření požadavku
  • ID organizace
  • ID uživatele (jedinečný identifikátor pro operátora společnosti Microsoft, který provádí požadavek)
  • Stav požadavku
  • ID asociovaného lístku podpory
  • Čas vypršení platnosti
  • Čas vypršení přístupu k datům
  • ID prostředí
  • Odůvodnění požadavku

Karta Audit Microsoft 365 umožňuje správcům vyhledávat události spojené s relacemi Lockboxu. Zobrazení kategorie Power Platform Lockbox pro události Power Platform související s Lockboxem.

Vyberte kategorii lockboxu Power Platform.

Správci mohou přímo exportovat sadu výsledků na základě kritérií filtru.

Customer Lockbox vytváří dva typy protokolů auditu:

  1. Protokoly, které jsou iniciovány společností Microsoft a odpovídají požadavku Lockboxu, který je vytvořen, vyprší mu platnost nebo když skončí relace přístupu. Tato sada protokolů auditu neodpovídá konkrétnímu ID uživatele, protože akce iniciuje společnost Microsoft.
  2. Protokoly, které jsou iniciovány akcemi koncového uživatele, například když uživatel schválí nebo zamítne požadavek Lockboxu. Pokud uživatel, který tyto operace provádí, nemá přiřazenou licenci E5, protokoly se odfiltrují a nezobrazí se v protokolech auditu.

Ve výchozím nastavení jsou protokoly auditu uchovávány po dobu jednoho roku. Chcete-li uchovávat záznamy auditu po dobu 10 let, potřebujete doplňkovou licenci 10-Year Audit Log Retention. Další podrobnosti o uchovávání protokolu auditu naleznete v části Audit (Premium) .

Licenční požadavky pro Customer Lockbox

Zásady Customer Lockboxu se vynucují jenom v prostředích, která jsou aktivovaná pro spravovaná prostředí. Spravovaná prostředí jsou zahrnuta jako nárok v samostatných licencích Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, které dávají práva k užívání Premium. Chcete-li se dozvědět více o licencování spravovaných prostředí, viz Licencování a Přehled licencí pro Microsoft Power Platform.

Přístup ke Customer Lockbox pro Microsoft Power Platform a Dynamics 365 navíc vyžaduje, aby uživatelé v prostředích, kde jsou vynucovány zásady lockboxu, měli některé z těchto předplatných:

  • Microsoft 365 nebo Office 365 A5/E5/G5
  • Dodržování předpisů Microsoft 365 A5/E5/F5/G5
  • Zabezpečení a dodržování předpisů Microsoft 365 F5
  • Řízení insiderského rizika Microsoft 365 A5/E5/F5/G5
  • Ochrana informací a zásady správného řízení Microsoft 365 A5/E5/F5/G5 Další informace o použitelných licencích.

Vyloučení

  • Požadavky Lockboxu se nespouštějí v následujících scénářích technické podpory:

    • Nouzové scénáře, které nespadají do standardních provozních postupů, jako je velký výpadek služby, který vyžaduje okamžitou pozornost při obnovení nebo obnovení služeb v neočekávaných nebo nepředvídatelných případech. Tyto "nouzové" události jsou vzácné a ve většině případů nevyžadují žádný přístup k zákaznickým datům k jejich vyřešení.

    • Technik společnosti Microsoft přistupuje k základní platformě v rámci řešení problémů a je neúmyslně vystaven datům zákazníků. Je vzácné, že by takové scénáře vedly k přístupu ke smysluplnému množství zákaznických dat.

  • Požadavky Lockboxu také nejsou vyvolány externími právními požadavky na data. Podrobnosti najdete v diskusi o vládních požadavcích na data v Centru zabezpečení společnosti Microsoft.

  • Customer Lockbox se nebude vztahovat na přístup a ruční kontrolu zákaznických dat sdílených pro funkce Copilot AI. Customer Lockbox zůstává aktivovaný pro všechna data v rozsahu.

Známé problémy

  • Migrace z tenanta na tenanta není podporována, když je aktivní Customer Lockbox. Chcete-li přesunout prostředí k jinému klientu, musíte deaktivovat Customer Lockbox. Po dokončení migrace můžete znovu aktivovat Customer Lockbox.
  • Last updated on