Microsoft のスタッフ (代わりの処理者を含む) が実行する操作、サポート、およびトラブルシューティングの多くは、顧客データにアクセスする必要がありません。 Power Platform Customer Lockbox を使用することで、お客様は、Microsoft が顧客データにアクセスする必要があるまれな場合に、データ アクセス要求を確認および承認 (または拒否) できます。 顧客が開始したサポート チケットや Microsoft によって特定された問題に応答して、Microsoft エンジニアがお客様のデータにアクセスする必要がある場合に使用します。
この記事では、カスタマー ロックボックスを有効にする方法、およびロックボックス要求の開始、追跡、および後で行う確認および監査のための保存方法について説明します。
注意
カスタマー ロックボックスは、パブリック クラウドと米国政府コミュニティ クラウド (GCC)、 GCC High、国防総省 (DoD) のリージョンで利用できます。
まとめ
テナント内のデータ ソースに対してカスタマー ロックボックスを有効にすることができます。 カスタマー ロックボックスを有効にすると、マネージド環境が有効になっている環境に対してのみポリシーが適用されます。 Power Platform 管理者はロックボックス ポリシーを有効にできます。
詳細については、「 ロックボックス ポリシーを有効にする」を参照してください。
あまりないことですが、マイクロソフトが Power Platform に保存されている顧客データにアクセスしようとする場合 (Dataverse など)、承認のためにロックボックス要求が Power Platform 管理者に送信されます。 詳細については、「 ロックボックス要求の確認」を参照してください。
ロックボックス要求に対するすべての更新は記録され、監査ログとして組織が利用できるようになります。 詳細については、「 ロックボックス要求の監査」を参照してください。
Power Platform と Dynamics 365 のアプリケーションとサービスは、顧客データをいくつかの Azure ストレージ テクノロジに格納します。 環境に対してカスタマー ロックボックスをオンにすると、ストレージの種類に関係なく、それぞれの環境に関連付けられている顧客データはロックボックス ポリシーにより保護されます。
注意
- 現在、ロックボックス ポリシーが有効になると適用されるアプリケーションとサービスは、Power Apps (Power Apps のカードを除く)、AI Builder、Power Pages、Power Automate、Microsoft Copilot Studio、Dataverse、Customer Insights、Customer Service、Sales (会話インテリジェンスを除く)、コミュニティ、ガイド、接続スペース、財務 (ライフサイクル サービスを除く)、プロジェクト運用 (ライフサイクル サービスを除く)、サプライ チェーン管理 (ライフサイクル サービスを除く) です。 とマーケティング アプリのリアルタイム マーケティング機能領域。
- Azure OpenAI Serviceを利用した機能は、特定の機能の製品ドキュメントにロックボックスが適用されると記載されていない限り、ロックボックス ポリシーの適用から除外されます。
- Nuance 会話型 IVR は、特定の機能の製品マニュアルに Lockbox の適用が明記されていない限り、 Lockbox ポリシーの適用から除外されます。
- メーカー ウェルカム コンテンツ は、ロックボックス ポリシーの適用から除外されます。
- Web サイトから Lucene.NET 検索を無効にし、Dataverse 検索に移動してカスタマー ロックボックスを使用できるようにする必要があります。 詳細については、「 Lucene.NET 検索を使用したポータル検索は非推奨です」を参照してください。
Workflow
組織に Microsoft Power Platform の問題があり、Microsoft サポートでサポート要求を開きます。 また、Microsoft が問題を事前に特定し (プロアクティブな通知がトリガーされるなど)、Microsoft が開始したイベントを開いて、根本原因の調査、軽減または修正を行います。
Microsoft オペレーターは、サポート要求またはイベントを確認し、標準のツールとテレメトリを使用して問題のトラブルシューティングを試みます。 さらにトラブルシューティングを行うためにオペレーターが顧客データにアクセスする必要がある場合、Microsoft のエンジニアは、ロックボックス ポリシーが有効になっているかどうかに関係なく、顧客データにアクセスするための内部承認プロセスを開始します。
それぞれのデータ ストアがロックボックス ポリシーの有効化に従って保護された環境に関連付けられている場合、プロセスはロックボックス要求も生成します。 指定された承認者 (Power Platform 管理者) は、Microsoft からの保留中のデータ アクセス要求に関する電子メール通知を受け取ります。
重要
Microsoft エンジニアは、お客様がロックボックス要求を承認するまで調査を続行できません。 この承認手順により、サポート チケットへの対処が遅れたり、長時間の停止が発生したりする可能性があります。 Power Platform 管理センターで電子メール通知とロックボックス要求を監視していることを確認します。 サービスの中断を回避するために、タイムリーに対応します。
承認者は Power Platform 管理センターにサインインし、要求を承認します。 承認者が要求を拒否した場合、または 4 日以内に承認しなかった場合、要求は期限切れになり、Microsoft エンジニアはアクセス権を取得しません。
組織の承認者が要求を承認すると、Microsoft エンジニアは最初に要求した昇格されたアクセス許可を取得し、問題を修正します。 Microsoft のエンジニアには、問題を解決するための一定の時間 (8 時間) があり、その後、アクセスは自動的に取り消されます。
ロックボックス ポリシーを有効にする
Power Platform 管理者は、Power Platform 管理センターでロックボックス ポリシーの作成または更新を行うことができます。 テナント レベルのポリシーを有効にすると、マネージド環境が有効になっている環境のみに適用されます。 すべてのデータ ソースとすべての環境でカスタマー ロックボックスが実装されるまでに最大 24 時間かかることがあります。
- Power Platform 管理センターにサインインします。
- ナビゲーション ウィンドウで、[管理] を選択 します。
- [ 管理] ウィンドウで、[ テナント設定] を選択します。
- [カスタマー ロックボックス] を選択し、[有効] を選択します。
ロックボックス要求を確認する
Power Platform 管理センターにサインインします。
ナビゲーション ウィンドウで、セキュリティ を選択します。
[ セキュリティ ] ウィンドウで、[ コンプライアンス] を選択します。
[ コンプライアンス ] ページで、[ カスタマー ロックボックス] を選択します。
要求の詳細を確認します。
フィールド 説明 サポート要求 ID ロックボックス要求に関連付けられているサポート チケットの ID。 要求が Microsoft によって開始された内部アラートの結果である場合、値は "Microsoft Initiated" になります。 Environment データ アクセスが要求されている環境の表示名。 状態 ロックボックスの要求の状態。
- アクションが必要です: 顧客からの承認待ち
- 期限切れ: 顧客からの承認なし
- 承認済み: 顧客からの承認済み
- 拒否済み: 顧客による拒否済み
要求済み Microsoft エンジニアが顧客の環境内の顧客データへのアクセスを要求した時刻。 要求の有効期限 顧客がロックボックス要求を承認する必要がある時刻。 この時刻までに承認されない場合、要求の状態が期限切れに変わります。 アクセス期間 要求者が顧客データにアクセスする時間の長さ。 この値は既定で 8 時間であり、変更することはできません。 アクセスの有効期限 アクセスが許可されている場合、Microsoft のエンジニアはこの時刻まで顧客データにアクセスできます。 ロックボックス要求を選択してから、承認また拒否を選択します。
注意
過去 28 日間に発生したロックボックス要求は、最近テーブルに表示されます。
要求が承認されると、8 時間のアクセス期間全体にわたって要求を取り消すことはできません。
ロックボックス要求の監査
警告
このセクションで説明されているロックボックス監査イベントのスキーマは非推奨であり、2024 年 7 月以降は利用できなくなります。 アクティビティ カテゴリ: ロックボックス操作 で利用可能な新しいスキーマを使用して、カスタマー ロックボックス イベントを監査できます。
ロックボックス要求の承諾、拒否、または有効期限に関連するアクションは、Microsoft 365 Defender に自動的に記録されます。
監査トレースには、各ロックボックス要求のこれらのフィールドやその他のフィールドが含まれます。
- 要求の一意の識別子
- 要求作成時刻
- 組織 ID
- ユーザー ID (要求を実行する Microsoft のオペレーターの一意の識別子)
- 要求の状態
- 関連付けられたサポート チケット ID
- 要求の有効期限
- データ アクセスの有効期限
- 環境 ID
- 要求の妥当性
Microsoft 365 監査タブにより、管理者はロックボックス セッションに関連するイベントを検索することができます。 ロックボックス イベントに関連付けられている Power Platform の Power Platform ロックボックス カテゴリを表示します。
管理者は、フィルター条件に基づいて結果セットを直接エクスポートすることができます。
カスタマー ロックボックスは、次の 2 種類の監査ログを生成します:
- Microsoft によって開始され、ロックボックス要求の作成中、期限切れ、またはアクセス セッション終了時に対応するログ。 この一連の監査ログは、アクションが Microsoft によって開始されるため、特定のユーザー ID には対応していません。
- ユーザーがロックボックス要求を承認または拒否したときなど、エンド ユーザーのアクションによって開始されるログ。 これらの操作を実行するユーザーに E5 ライセンスが割り当てられていない場合、ログはフィルターで除外され、監査ログに表示されません。
デフォルトでは、監査ログは 1 年間保存されます。 監査記録を 10 年間保持するには、10 年間の監査ログ保持アドオン ライセンスが必要です。 監査ログの保持の詳細については、監査 (Premium) を参照してください。
カスタマー ロックボックスのライセンス要件
カスタマー ロックボックス ポリシーは、マネージド環境に対してアクティブ化された環境にのみ適用されます。 マネージド環境は、スタンドアロン版 Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages、およびプレミアム利用権を付与した Dynamics 365 ライセンスにエンタイトルメントとして含まれています。 マネージド環境ライセンスの詳細については、ライセンスとMicrosoft Power Platform のライセンスの概要を参照してください。
さらに、Microsoft Power Platform および Dynamics 365 のカスタマー ロックボックスにアクセスするには、ロックボックス ポリシーが適用されている環境のユーザーに次のサブスクリプションが必要です:
- Microsoft 365 または Office 365 A5/E5/G5
- Microsoft 365 a5/E5/f5/g5 コンプライアンス
- Microsoft 365 F5 のセキュリティとコンプライアンス
- Microsoft 365 A5/E5/F5/G5 インサイダー リスク管理ユーザー
- Microsoft 365 A5/E5/F5/G5 Information Protection とガバナンス、 適用されるライセンスの 詳細情報。
除外
次のエンジニアリング サポートのシナリオでは、ロックボックス要求はトリガーされません。
予期しないまたは予測できない場合にサービスを回復または復元するのに早急な対応を必要とする大規模なサービス停止など、標準の運用手順外の緊急事態。 これらの "中断" イベントはまれであり、ほとんどの場合、解決するために顧客データへのアクセスは必要ありません。
Microsoft エンジニアは、トラブルシューティングの一環として基盤となるプラットフォームにアクセスし、謝って顧客データにさらされています。 このようなシナリオにより、意味のある顧客データ量にアクセスできることはめったにありません。
カスタマー ロックボックス要求は、データに対する外部の法的要求によってトリガーされることもありません。 詳細については、Microsoft セキュリティ センターの政府によるデータ要求に関する説明を参照してください。
カスタマー ロックボックスは、Copilot AI 機能で共有される顧客データへのアクセス許可や手動レビューには適用されません。 カスタマー ロックボックスは、スコープ内のすべてのデータに対して有効なままです。
既知の問題
- テナントからテナントへの移行は、カスタマー ロックボックスが有効になっている場合、サポートされません。 環境を別のテナントに移動するには、カスタマー ロックボックスを無効にする必要があります。 移行が完了したら、カスタマー ロックボックスを再度有効にすることができます。