Freigeben über


Sicherer Zugriff auf Kundendaten mit Customer Lockbox in Power Platform und Dynamics 365

Für die meisten Vorgänge, den Support und die Fehlerbehebung, die von Microsoft Personal (einschließlich Unterauftragsverarbeitern) durchgeführt werden, ist kein Zugriff auf Kundendaten erforderlich. Mit der Power Platform Kunden-Lockbox stellen wir eine Schnittstelle zur Verfügung, über die Kunden Datenzugriffsanforderungen in den seltenen Fällen, in denen ein Zugriff auf Kundendaten erforderlich ist, überprüfen und genehmigen (oder ablehnen) können. Es wird in Fällen verwendet, in denen ein Microsoft Techniker auf Kundendaten zugreifen muss, sei es in Antwort aufgrund eines vom Kunden initiierten Support-Tickets oder eines von ihm identifizierten Problems Microsoft.

In diesem Artikel wird beschrieben, wie die Kunden-Lockbox aktiviert wird und wie Lockbox-Anforderungen initiiert, nachverfolgt und für spätere Überprüfungen und Überwachungen gespeichert werden.

Anmerkung

Kunden-Lockbox ist in öffentlichen Clouds und in den Regionen US Government Community Cloud (GCC), GCC High und Department of Defense (DoD) verfügbar.

Übersicht

Sie können die Kunden-Lockbox für Ihre Datenquellen in Ihrem Mandanten aktivieren. Durch die Aktivierung der Kunden-Lockbox wird die Richtlinie nur für Umgebungen durchgesetzt, die für Verwaltete Umgebungen aktiviert sind. Power Platform Administratoren können die Lockbox-Richtlinie aktivieren.

Weitere Informationen finden Sie unter Die Lockbox-Richtlinie aktivieren.

In den seltenen Fällen, in denen Microsoft Versuche unternommen werden, auf darin gespeicherte Kundendaten zuzugreifen Power Platform (z. B. Dataverse), wird eine Lockbox-Anfrage zur Genehmigung an die Power Platform Administratoren gesendet. Weitere Informationen finden Sie unter Eine Lockbox-Anforderung überprüfen.

Alle Aktualisierungen einer Lockbox-Anforderung werden aufgezeichnet und Ihrer Organisation als Überwachungsprotokolle zur Verfügung gestellt. Weitere Informationen finden Sie unter Lockbox-Anforderungen überwachen.

Power Platform und Dynamics 365 Anwendungen und Services speichern Kundendaten in verschiedenen Azure Speichertechnologien. Wenn Sie die Kunden-Lockbox für eine Umgebung aktivieren, werden Kundendaten, die der jeweiligen Umgebung zugeordnet sind, unabhängig vom Speichertyp durch die Lockbox-Richtlinie geschützt.

Notiz

  • Derzeit werden die folgenden Anwendungen und Dienste nach der Aktivierung für die Lockbox-Richtlinie erzwungen: Power Apps (ausgenommen Karten für Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (ausgenommen GPT AI-Funktionen und Agent Builder), Dataverse Customer Insights, Kundenservice, Communities, Guides, Connected Spaces, Finance (außer Lifecycle Services), Project Operations (außer Lifecycle Services), Lieferkette Management (außer Lifecycle Services) und der Funktionsbereich Echtzeitmarketing der Marketing-App.
  • Von Azure OpenAI Service bereitgestellte Funktionen sind von der Lockbox-Richtliniendurchsetzung ausgeschlossen, es sei denn, in der Produktdokumentation für eine bestimmte Funktion steht, dass Lockbox gilt.
  • Die Unterhaltungs-ISA von Nuance ist von der Lockbox-Richtliniendurchsetzung ausgeschlossen, es sei denn, in der Produktdokumentation für ein bestimmtes Feature steht, dass Lockbox gilt.
  • Maker-Willkommensinhalte sind von der Durchsetzung der Lockbox-Richtlinie ausgeschlossen.
  • Sie müssen die Lucene.NET-Suche auf Ihrer Website deaktivieren und auf Dataverse Suche umstellen, um Customer Lockbox verwenden zu können. Weitere Informationen: Portale, die die Lucene.NET-Suche verwenden, sind veraltet.

Workflow

  1. Ihre Organisation hat ein Problem mit Microsoft Power Platform und öffnet eine Supportanfrage beim Microsoft Support. Alternativ wird ein Problem Microsoft proaktiv identifiziert (beispielsweise wird eine proaktive Benachrichtigung ausgelöst) und ein Microsoftinitiiertes Ereignis geöffnet, um die Grundursache zu untersuchen und zu mildern oder zu beheben.

  2. A Microsoft Operator überprüft die Supportanfrage/das Supportereignis und versucht, das Problem mithilfe von Standardtools und Telemetrie zu beheben. Wenn zur weiteren Fehlerbehebung Zugriff auf Kundendaten erforderlich ist, löst ein Microsoft Techniker einen internen Genehmigungsprozess für den Zugriff auf Kundendaten aus, unabhängig davon, ob die Lockbox-Richtlinie aktiviert ist oder nicht.

  3. Darüber hinaus wird eine Lockbox-Anforderung generiert, wenn die entsprechende Datenspeicher einer Umgebung zugeordnet ist, die gemäß der Aktivierung der Lockbox-Richtlinie geschützt ist. Eine E-Mail-Benachrichtigung wird an die benannten Genehmiger (Power Platform Administratoren) über die ausstehende Datenzugriffsanforderung von Microsoft gesendet.

    Wichtig

    Der Microsoft Techniker kann mit seiner Untersuchung erst fortfahren, wenn die Lockbox-Anforderung vom Kunden genehmigt wurde. Dies kann zu Verzögerungen bei der Bearbeitung des Supporttickets oder längeren Ausfällen führen. Stellen Sie sicher, dass Sie E-Mail-Benachrichtigungen und/oder Lockbox-Anforderungen im Power Platform Admin Center überwachen, und reagieren Sie rechtzeitig, um Dienstunterbrechungen zu vermeiden.

    Beispiel einer Lockbox-Anforderung.

  4. Der Genehmiger meldet sich im Power Platform Admin Center an und genehmigt die Anfrage. Wenn die Anfrage abgelehnt oder nicht innerhalb von vier Tagen genehmigt wird, verfällt sie und dem Microsoft Ingenieur wird kein Zugriff mehr gewährt.

  5. Nachdem der Genehmiger aus Ihrer Organisation die Anforderung genehmigt hat, erhält der Microsoft Techniker die ursprünglich angeforderten erweiterten Berechtigungen und behebt Ihr Problem. Microsoft Die Techniker haben eine festgelegte Zeit (8 Stunden), um das Problem zu beheben. Danach wird der Zugriff automatisch widerrufen.

Die Lockbox-Richtlinie aktivieren

Power Platform Administratoren können die Lockbox-Richtlinie im Power Platform Admin Center erstellen oder aktualisieren. Die Aktivierung der Richtlinie für die Mandantenebene gilt nur für Umgebungen, die für Verwaltete Umgebungen aktiviert sind. Es kann bis zu 24 Stunden dauern, bis alle Datenquellen und alle Umgebungen bei der Kunden-Lockbox implementiert sind.

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. Verwenden Sie die Seite „Mandanteneinstellungen“, um Einstellungen auf Mandantenebene zu überprüfen und zu verwalten. Um die Einstellungen auf Mandantenebene anzuzeigen, wählen Sie das Symbol Gear (Zahnrad-Symbol) in der oberen rechten Ecke der Seite Microsoft Power Platform und wählen Sie Power Platform Einstellungen>Einstellungen>Mietereinstellungen im linken Navigationsbereich.

  3. Setzen Sie Customer Lockbox auf Aktivieren.

    Die Lockbox-Richtlinie aktivieren.

Eine Lockbox-Anforderung überprüfen

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. Wählen Sie Richtlinien>Kunden-Lockbox.

  3. Überprüfen Sie die Anforderungsdetails.

    Feld Beschreibung
    Supportanfragekennung Die ID des Supporttickets, das der Lockbox-Anforderung zugeordnet ist. Wenn die Anforderung das Ergebnis eines Microsoft-initiierten internen Alarms ist, lautet der Wert „Microsoft initiiert“.
    Environment Der Anzeigename der Umgebung, in der der Datenzugriff angefordert wird.
    Status Der Status der Lockbox-Anforderung.
    • Erforderliche Aktion: Genehmigung durch den Kunden steht noch aus
    • Abgelaufen: Keine Freigabe vom Kunden erhalten
    • Genehmigt: Vom Kunden genehmigt
    • Abgelehnt: Vom Kunden abgelehnt
    Angefordert Der Zeitpunkt, zu dem der Microsoft Techniker Zugriff auf Kundendaten im Umgebung des Kunden angefordert hat.
    Ablauf der Anforderung Die Zeit, bis wann der Kunde die Lockbox-Anforderung genehmigen muss. Der Status der Anforderung ändert sich in Abgelaufen, wenn bis zu diesem Zeitpunkt keine Genehmigung vorliegt.
    Zugriffszeitraum Die Zeitspanne, für die der Anforderer auf Kundendaten zugreifen möchte. Dieser Wert beträgt standardmäßig 8 Stunden und kann nicht geändert werden.
    Ablauf des Zugriffs Wenn der Zugriff gewährt wird, ist dies die Zeit, bis zu der der Microsoft Techniker Zugriff auf die Kundendaten hat.
  4. Wählen Sie eine Lockbox-Anforderung und dann Genehmigen oder Ablehnen aus.

    Lockbox-Anforderungen genehmigen oder ablehnen

    Notiz

    Die in den letzten 28 Tagen aufgetretenen Lockbox-Anforderungen werden in der Tabelle Zuletzt verwendet angezeigt.

    Sobald eine Anforderung genehmigt wurde, kann sie für die gesamte Dauer des Zugriffszeitraums von 8 Stunden nicht widerrufen werden.

Lockbox-Anforderungen überwachen

Warnung

Das in diesem Abschnitt für die Lockbox-Überwachungsereignisse dokumentierte Schema ist veraltet und ist ab Juli 2024 nicht mehr verfügbar. Sie können Kunden-Lockbox-Ereignisse mit dem neuen Schema überwachen, das unter Aktivitätskategorie: Lockbox-Vorgänge verfügbar ist.

Aktionen im Zusammenhang mit dem Akzeptieren, Ablehnen oder Ablaufen einer Lockbox-Anforderung werden automatisch in Microsoft 365 Defender aufgezeichnet.

Microsoft 365 Defender Seite.

Überwachungsablaufverfolgungen enthalten für jede Lockbox-Anforderung diese und andere Felder:

  • Eindeutiger Bezeichner für die Anforderung
  • Erstellungszeit der Anforderung
  • Organisations-ID
  • Benutzer-ID (eindeutige Kennung für den Microsoft Operator, der die Anfrage durchführt)
  • Anforderungsstatus
  • ID des dazugehörigen Supporttickets
  • Ablaufzeit der Anforderung
  • Ablaufzeit für den Datenzugriff
  • Umgebungs-ID
  • Begründung der Anforderung

Mit der Registerkarte Microsoft 365 Überwachung können Administratoren nach Ereignissen suchen, die mit Lockbox-Sitzungen verbunden sind. In der Kategorie Power Platform Lockbox finden Sie mit der Power Platform zusammenhängende Lockbox-Ereignisse.

Wählen Sie die Power Platform Lockbox-Kategorie aus.

Administratoren können den Ergebnissatz basierend auf den Filterkriterien direkt exportieren.

Kunden-Lockbox erstellt zwei Typen von Überwachungsprotokollen:

  1. Protokolle, die von Microsoft initiiert werden und der Erstellung oder dem Ablauf von Lockbox-Anfragen oder dem Ende von Zugriffssitzungen entsprechen. Dieser Satz von Prüfprotokollen entspricht keiner bestimmten Benutzer-ID, da die Aktionen von dieser initiiert werden Microsoft.
  2. Protokolle, die durch Endbenutzeraktionen initiiert werden, beispielsweise wenn ein Benutzer eine Lockbox-Anforderung genehmigt oder ablehnt. Wenn dem Benutzer, der diese Vorgänge ausführt, keine E5-Lizenz zugewiesen ist, werden die Protokolle herausgefiltert und nicht in den Überwachungsprotokollen angezeigt.

Standardmäßig werden die Überwachungsprotokolle für die Dauer eines Jahres aufbewahrt. Sie benötigen eine 10-Jahres-Zusatzlizenz für die Aufbewahrung von Überwachungsprotokollen, um Überwachungsaufzeichnungen 10 Jahre lang aufzubewahren. Weitere Informationen zur Aufbewahrung von Überwachungsprotokollen finden Sie unter Audit (Premium) .

Lizenzierungsanforderungen für Customer Lockbox

Die Kunden-Lockbox-Richtlinie wird nur in Umgebungen durchgesetzt, die für verwaltete Umgebungen aktiviert sind. Verwaltete Umgebung ist als Berechtigung in eigenständigen Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, und Dynamics 365-Lizenzen enthalten, die Premium-Nutzungsrechte gewähren. Weitere Informationen zur Lizenzierung von verwalteten Umgebungen finden Sie unter Lizenzierung und Lizenzübersicht für Microsoft Power Platform.

Darüber hinaus erfordert der Zugriff auf Customer Lockbox for Microsoft Power Platform und Dynamics 365, dass Benutzer in den Umgebungen, in denen die Lockbox-Richtlinie durchgesetzt wird, über eines dieser Abonnements verfügen:

  • Microsoft 365 oder Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 Insider-Risikomanagement
  • Microsoft 365 A5/E5/F5/G5 Information Protection und Governance Erfahren Sie mehr über geltende Lizenzen.

Ausschlüsse

  • Lockbox-Anforderungen werden in den folgenden technischen Supportszenarien nicht ausgelöst:

    • Notfallszenarien, die außerhalb der Standardbetriebsverfahren liegen, z. B. ein größerer Dienstausfall, der in unerwarteten oder unvorhersehbaren Fällen sofortige Aufmerksamkeit erfordert, um Dienste wiederherzustellen. Diese „Notfälle“ sind selten und erfordern in den meisten Fällen zur Behebung keinen Zugriff auf Kundendaten.

    • Ein Microsoft Techniker greift im Rahmen der Fehlerbehebung auf die zugrunde liegende Plattform zu und erhält unbeabsichtigt Zugriff auf Kundendaten. Es ist selten, dass solche Szenarien zum Zugriff auf bedeutende Mengen an Kundendaten führen.

  • Kunden-Lockbox-Anforderungen werden auch nicht durch externe gesetzliche Datenanforderungen ausgelöst. Ausführliche Informationen finden Sie in der Erläuterung zu behördlichen Datenanfragen im Microsoft Trust Center.

  • Die Kunden-Lockbox gilt nicht für den Zugriff und die manuelle Überprüfung von Kundendaten, die für Copilot-KI-Funktionen freigegeben werden. Die Kunden-Lockbox bleibt für alle im Umfang enthaltenen Daten aktiviert.

Bekannte Probleme

  • Die Migration von Mandant zu Mandant wird nicht unterstützt, wenn die Kunden-Lockbox aktiviert ist. Sie müssen Kunden-Lockbox deaktivieren, um eine Umgebung auf einen anderen Mandanten zu verschieben. Sie können die Kunden-Lockbox nach Abschluss der Migration erneut aktivieren.