Sdílet prostřednictvím

Bezpečný přístup k zákaznickým datům pomocí Customer Lockbox v Power Platform a Dynamics 365

  • Článek

Většina operací, podpory a řešení problémů prováděných pracovníky společnosti Microsoft (včetně dílčích zpracovatelů) nevyžaduje přístup k údajům zákazníka. S Power Platform Customer Lockbox poskytujeme rozhraní pro zákazníky, kde mohou kontrolovat a schvalovat (nebo zamítat) žádosti o přístup k údajům ve vzácných případech, kdy je potřeba získat přístup k údajům zákazníka. Používá se v případech, kdy technik společnosti Microsoft potřebuje získat přístup k zákaznickým datům, ať už v reakci na zákaznický lístek podpory nebo problém identifikovaný společností Microsoft.

Tento článek popisuje, jak povolit Customer Lockbox a jak jsou požadavky na lockbox iniciovány, sledovány a ukládány pro pozdější kontroly a audity.

Poznámka:

Customer Lockbox je dostupný ve veřejných cloudech a v oblastech US Government Community Cloud (GCC), GCC High a Ministerstvo obrany (DoD).

Shrnutí

Můžete povolit Customer Lockbox pro své zdroje dat v rámci svého klienta. Povolení funkce Customer Lockbox bude vynucovat zásady pouze pro spravovaná prostředí. Globální správci a správci Power Platform mohou povolit zásady Lockboxu.

Další informace najdete v článku Povolení zásad Lockboxu.

Ve vzácných případech, kdy se Microsoft pokouší získat přístup k datům zákazníků, která jsou uložena uvnitř Power Platform (například v Dataverse), je odeslán požadavek Lockboxu globálním správcům a správcům Power Platform ke schválení. Další informace najdete v článku Kontrola požadavku Lockboxu.

Všechny aktualizace požadavku Lockboxu jsou zaznamenány a zpřístupněny vaší organizaci jako protokoly auditu. Další informace najdete v článku Audit požadavků Lockboxu.

Aplikace a služby Power Platform a Dynamics 365 uchovávají zákaznická data v několika technologiích úložiště Azure. Když zapnete Customer Lockbox pro prostředí, zákaznická data spojená s příslušným prostředím jsou chráněna zásadami Lockboxu bez ohledu na typ úložiště.

Poznámka:

  • Aktuální aplikace a služby, u kterých bude vynucována zásada Lockboxu, jakmile bude povolena, jsou Power Apps (kromě Cards pro Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (mimo funkcí GPT AI), Dataverse, Customer Insights, Customer Service, Communities, Guides, Connected Spaces, Finance (kromě Lifecycle Services), Project Operations (kromě Lifecycle Services), Supply Chain Management (kromě Lifecycle Services) a oblast marketingových funkcí v reálném čase v aplikaci Marketing.
  • Funkce využívající Azure OpenAI Service jsou vyloučeny z vynucení zásad Lockbox, pokud dokumentace k produktu pro danou funkci neuvádí, že se pro Lockbox vztahuje.
  • Konverzační interaktivní hlasový systém Nuance je vyloučen z vynucení zásad Lockbox, pokud dokumentace k produktu pro danou funkci neuvádí, že se pro Lockbox vztahuje.
  • Uvítací obsah tvůrce je vyloučen z prosazování zásad Lockbox.
  • Abyste mohli používat Customer Lockbox, musíte na svém webu zakázat vyhledávání Lucene.NET a přejít na vyhledávání Dataverse. Další informace: Vyhledávání na portálech pomocí vyhledávání Lucene.NET je zastaralé.

Workflow

  1. Vaše organizace má problém s Microsoft Power Platform a otevře žádost o podporu u společnosti Microsoft. Alternativně společnost Microsoft proaktivně identifikuje problém (například se spustí proaktivní oznámení) a otevře se událost iniciovaná společností Microsoft, která prošetří a zmírní nebo opraví hlavní příčinu.

  2. Operátor společnosti Microsoft zkontroluje žádost o podporu/událost a pokusí se problém vyřešit pomocí standardních nástrojů a telemetrie. Pokud je k dalšímu řešení problému nutný přístup k zákaznickým datům, technik společnosti Microsoft spustí proces interního schvalování přístupu k zákaznickým datům, bez ohledu na to, zda jsou nebo nejsou povoleny zásady Lockboxu.

  3. Kromě toho je vygenerován požadavek Lockboxu, pokud je příslušné úložiště dat přidruženo k prostředí chráněnému podle zásad Lockboxu. Určeným schvalovatelům (globálním správcům a správcům Power Platform) je zasláno upozornění e-mailem na nevyřízenou žádost o přístup k datům od společnosti Microsoft.

    Důležité

    Technik společnosti Microsoft nebude moci pokračovat v průzkumu chyby, dokud nebude žádost Lockboxu schválena zákazníkem. To může způsobit zpoždění nebo dlouhodobé výpadky při vyřizování žádosti o podporu. Ujistěte se, že sledujete e-mailová upozornění a/nebo požadavky Lockboxu v centru pro správu Power Platform a reagujete včas, aby nedošlo k přerušením služby.

    Vzorový požadavek Lockboxu.

  4. Schvalovatel se přihlásí do centra pro správu Power Platform a žádost schválí. Pokud je žádost zamítnuta nebo není schválena do čtyř dnů, její platnost vyprší a technikovi společnosti Microsoft není udělen žádný přístup.

  5. Poté, co schvalovatel z vaší organizace žádost schválí, technik společnosti Microsoft získá zvýšená oprávnění, která byla původně požadována, a opraví váš problém. Inženýři Microsoftu mají stanovenou dobu – 8 hodin – na vyřešení problému, poté je přístup automaticky odebrán.

Povolení zásad Lockboxu

Globální správci popř. správci Power Platform mohou vytvořit nebo aktualizovat zásady Lockboxu v centru pro správu Power Platform. Povolení zásady na úrovni klienta bude platit pouze pro spravovaná prostředí. Implementace Customer Lockboxu ve všech zdrojích dat a všech prostředích může trvat až 24 hodin.

  1. Přihlaste se k centru pro správu Power Platform.

  2. Pomocí stránky Nastavení tenanta můžete zkontrolovat a spravovat nastavení na úrovni tenanta. Chcete-li zobrazit nastavení na úrovni klienta, vyberte ikonu Ozubené kolo (Ikona ozubeného kolečka.) v pravém horním rohu webu Microsoft Power Platform a vyberte Nastavení Power Platform>Nastavení>Nastavení klienta v levém navigačním panelu.

  3. Nastavte Customer Lockbox na Povolit.

    Zapnutí zásad Lockboxu.

Kontrola požadavku Lockboxu

  1. Přihlaste se k centru pro správu Power Platform.

  2. Vyberte Zásady>Customer Lockbox.

  3. Zkontrolujte detaily žádosti.

    Pole Description
    ID žádosti o podporu ID lístku podpory spojeného s požadavkem Lockboxu. Pokud je požadavek výsledkem interní výstrahy iniciované společností Microsoft, bude hodnota „Microsoft initiated“.
    Prostředí Zobrazovaný název prostředí, ve kterém je požadován přístup k datům.
    Stav Stav požadavku Lockboxu.
    • Vyžaduje se akce: Čeká na schválení od zákazníka
    • Platnost vypršela: Od zákazníka nebyl přijat žádný souhlas
    • Schváleno: Schváleno zákazníkem
    • Zamítnuto: Zamítnuto zákazníkem
    Požadováno Čas, kdy technik společnosti Microsoft požádal o přístup k zákaznickým datům v prostředí zákazníka.
    Vypršení platnosti žádosti Čas, do kterého musí zákazník schválit požadavek Lockboxu. Stav požadavku se změní na Platnost vypršela, pokud do této doby nebude dán souhlas.
    Období přístupu Doba, po kterou chce žadatel získat přístup k údajům zákazníka. Tato hodnota je ve výchozím nastavení 8 hodin a nelze ji změnit.
    Vypršení platnosti přístupu Pokud je přístup udělen, je to doba, po kterou má technik společnosti Microsoft přístup k zákaznickým datům.

  4. Vyberte požadavek Lockboxu a poté vyberte Schválit nebo Zamítnout.

    Schválení nebo zamítnutí požadavků Lockboxu

    Poznámka:

    Požadavky Lockboxu, které se vyskytly za posledních 28 dní, jsou zobrazeny v tabulce Poslední.

    Jakmile je žádost schválena, nelze ji po celou dobu trvání přístupu 8 hodin odvolat.

Audit požadavků Lockboxu

Upozorňující

Schéma zdokumentované v této části pro události auditu lockboxu je zastaralé a od července 2024 nebude k dispozici. Události Customer Lockbox můžete auditovat pomocí nového schématu dostupného na Kategorie aktivity: Operace Lockboxu.

Akce související se schválením, zamítnutím nebo vypršením platnosti požadavku Lockboxu se zaznamenávají automaticky v aplikaci Microsoft 365 Defender.

Stránka aplikace Microsoft 365 Defender.

Trasování auditu zahrnuje u každého požadavků Lockboxu tato a další pole:

  • Jedinečný identifikátor požadavku
  • Čas vytvoření požadavku
  • ID organizace
  • ID uživatele (jedinečný identifikátor pro operátora společnosti Microsoft, který provádí požadavek)
  • Stav požadavku
  • ID asociovaného lístku podpory
  • Čas vypršení platnosti
  • Čas vypršení přístupu k datům
  • ID prostředí
  • Odůvodnění požadavku

Karta Audit aplikace Microsoft 365 umožňuje správcům vyhledávat události spojené s relacemi Lockboxu. Zobrazení kategorie Power Platform Lockbox pro události Power Platform související s Lockboxem.

Vyberte kategorii Lockboxu Power Platform.

Správci mohou přímo exportovat sadu výsledků na základě kritérií filtru.

Výsledky vyhledávání auditu Lockboxu.

Customer Lockbox vytváří dva typy protokolů auditu:

  1. Protokoly, které jsou iniciovány společností Microsoft a odpovídají požadavku Lockboxu, který je vytvořen, vyprší mu platnost nebo když skončí relace přístupu. Tato sada protokolů auditu neodpovídá konkrétnímu ID uživatele, protože akce iniciuje společnost Microsoft.
  2. Protokoly, které jsou iniciovány akcemi koncového uživatele, například když uživatel schválí nebo zamítne požadavek Lockboxu. Pokud uživatel, který tyto operace provádí, nemá přidělenou licenci E5, protokoly se odfiltrují a v protokolech auditu se nezobrazí.

Ve výchozím nastavení jsou protokoly auditu uchovávány po dobu jednoho roku. Chcete-li uchovávat záznamy auditu po dobu 10 let, potřebujete doplňkovou licenci 10-Year Audit Log Retention. Další podrobnosti o uchovávání protokolu auditu naleznete v části Audit (Premium) .

Licenční požadavky pro Customer Lockbox

Zásady Customer Lockboxu se budou vynucovat jenom v prostředích, která jsou aktivovaná pro spravovaná prostředí. Spravovaná prostředí jsou zahrnuta jako nárok v samostatných licencích Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, které poskytují prémiová práva k užívání. Chcete-li se dozvědět více o licencování spravovaných prostředí, viz Licencování a Přehled licencí pro Microsoft Power Platform.

Přístup k funkci Customer Lockbox pro Microsoft Power Platform a Dynamics 365 navíc vyžaduje, aby uživatelé v prostředích, kde je vynucována zásada Lockboxu, měli libovolné z těchto předplatných:

  • Microsoft 365 nebo Office 365 A5/E5/G5
  • Dodržování předpisů Microsoft 365 A5/E5/F5/G5
  • Zabezpečení a dodržování předpisů Microsoft 365 F5
  • Správa insiderských rizik Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5 Information Protection and Governance Další informace o použitelných licencích.

Vyloučení

  • Požadavky Lockboxu se nespouštějí v následujících scénářích technické podpory:

    • Nouzové scénáře, které nespadají do standardních provozních postupů, jako je velký výpadek služby, který vyžaduje okamžitou pozornost při obnovení nebo obnovení služeb v neočekávaných nebo nepředvídatelných případech. Tyto závažné události jsou vzácné a ve většině případů nevyžadují k vyřešení žádný přístup k datům zákazníků.

    • Technik společnosti Microsoft přistupuje k základní platformě v rámci řešení problémů a je neúmyslně vystaven datům zákazníků. Je vzácné, že by takové scénáře vedly k přístupu ke smysluplnému množství zákaznických dat.

  • Požadavky Lockboxu také nejsou vyvolány externími právními požadavky na data. Podrobnosti najdete v diskusi o vládních požadavcích na data v Centru zabezpečení společnosti Microsoft.

  • Customer Lockbox se nebude vztahovat na přístup a ruční kontrolu zákaznických dat sdílených pro funkce Copilot AI. Customer Lockbox zůstane aktivní pro všechna data v rozsahu.

Známé problémy

  • Migrace z tenanta na tenanta není podporována, když je aktivní Customer Lockbox. Chcete-li přesunout prostředí k jinému klientu, musíte deaktivovat Customer Lockbox. Po dokončení migrace můžete znovu aktivovat Customer Lockbox.