다음을 통해 공유


Power Platform 및 Dynamics 365의 고객 Lockbox를 사용하여 고객 데이터에 안전하게 액세스

대부분의 작업, 지원 및 문제 해결은 직원(하위 처리자 포함)이 수행하며, 고객 데이터에 액세스할 필요가 없습니다. Microsoft Power Platform 고객 Lockbox를 통해 드물게 고객 데이터에 대한 데이터 액세스가 필요할 때 고객이 데이터 액세스 요청을 검토 및 승인(또는 거부)할 수 있는 인터페이스를 제공합니다. 이는 엔지니어가 고객 데이터에 액세스해야 하는 경우(응답에서 고객이 시작한 지원 티켓이나 식별된 문제 등)에 사용됩니다 Microsoft . Microsoft

이 문서에서는 고객 Lockbox를 활성화하는 방법과 Lockbox 요청이 시작, 추적, 차후 검토 및 감사를 위해 저장되는 방법에 대해 설명합니다.

참고

고객 Lockbox는 퍼블릭 클라우드, 미국 정부 커뮤니티 클라우드(GCC), GCC High 및 국방부(DoD) 지역에서 사용할 수 있습니다.

요약

테넌트 내의 데이터 원본에 대해 고객 Lockbox를 활성화할 수 있습니다. 고객 Lockbox를 활성화하면 관리형 환경에 대해 활성화된 환경에 대해서만 정책이 적용됩니다. Power Platform 관리자는 Lockbox 정책을 활성화할 수 있습니다.

자세한 내용은 Lockbox 정책 활성화에서 확인하세요.

드물지만 Microsoft 고객 데이터가 저장된 곳(예: Power Platform )에 액세스하려고 하면 승인을 위해 관리자에게 잠금 상자 요청이 전송됩니다. Dataverse Power Platform 자세한 내용은 Lockbox 요청 검토에서 확인하세요.

Lockbox 요청에 대한 모든 업데이트는 기록되고 조직에서 감사 로그로 사용할 수 있습니다. 자세한 내용은 Lockbox 요청 감사에서 확인하세요.

Power Platform 및 Dynamics 365 애플리케이션 및 서비스는 여러 Azure Storage 기술에 고객 데이터를 저장합니다. 환경에 대해 고객 Lockbox를 켜면 스토리지 유형에 관계없이 해당 환경과 연결된 고객 데이터가 Lockbox 정책에 의해 보호됩니다.

노트

  • 현재, 잠금 상자 정책이 활성화되면 적용될 애플리케이션과 서비스는 다음과 같습니다. Power Apps (카드 제외 Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (GPT AI 기능 및 에이전트 빌더 제외), Dataverse, 고객 인사이트, 고객 서비스, 커뮤니티, 가이드, 연결된 공간, 재무(라이프사이클 서비스 제외), 프로젝트 운영(라이프사이클 서비스 제외), 공급망 관리(라이프사이클 서비스 제외), 마케팅 앱의 실시간 마케팅 기능 영역입니다.
  • Azure OpenAI 서비스에서 제공하는 기능은 특정 기능에 대한 제품 문서에 Lockbox가 적용된다고 명시되어 있지 않는 한 Lockbox 정책 시행에서 제외됩니다.
  • Nuance Conversational IVR은 지정된 기능에 대한 제품 문서에 Lockbox가 적용된다고 명시되어 있지 않는 한 Lockbox 정책 시행에서 제외됩니다.
  • 메이커 환영 콘텐츠 는 Lockbox 정책 시행에서 제외됩니다.
  • 고객 Lockbox를 사용하려면 웹사이트에서 Lucene.NET 검색을 비활성화하고 Dataverse 검색으로 이동해야 합니다. 추가 정보: Lucene.NET 검색을 사용한 포털 검색은 더 이상 사용되지 않습니다.

Workflow

  1. 귀하의 조직에서는 Microsoft Power Platform 문제가 발생하여 지원팀에 지원 요청을 Microsoft 진행합니다. 또는, Microsoft 사전에 문제를 식별하고(예: 사전 알림이 트리거됨) Microsoft사전 이벤트가 열려 근본 원인을 조사하고 완화하거나 수정할 수 있습니다.

  2. Microsoft 운영자는 지원 요청/이벤트를 검토하고 표준 도구와 원격 측정을 사용하여 문제를 해결하려고 시도합니다. 추가적인 문제 해결을 위해 고객 데이터에 액세스해야 하는 경우 엔지니어는 록박스 정책이 활성화되었는지 여부와 관계없이 고객 데이터에 대한 액세스에 대한 내부 승인 프로세스를 시작합니다. Microsoft

  3. 또한 해당 데이터 저장소가 Lockbox 정책 활성화에 따라 보호되는 환경과 연결된 경우 Lockbox 요청이 생성됩니다. Power Platform 에서 보류 중인 데이터 액세스 요청에 대한 이메일 알림이 지정된 승인자( Microsoft관리자)에게 전송됩니다.

    중요

    Microsoft 엔지니어는 고객이 잠금 장치 요청을 승인할 때까지 조사를 진행할 수 없습니다. 이로 인해 지원 티켓 처리가 지연되거나 중단 시간이 길어질 수 있습니다. Power Platform 관리 센터에서 메일 알림 및/또는 Lockbox 요청을 모니터링하고 서비스 중단을 피하기 위해 적시에 응답해야 합니다.

    샘플 Lockbox 요청입니다.

  4. 승인자는 Power Platform 관리 센터에 로그인하고 요청을 승인합니다. 요청이 거부되거나 4일 이내에 승인되지 않으면 요청은 만료되고 엔지니어에게 접근 권한이 부여되지 않습니다. Microsoft

  5. 조직의 승인자가 요청을 승인하면 Microsoft 엔지니어는 처음 요청했던 승격된 권한을 얻고 문제를 해결합니다. Microsoft 엔지니어는 문제를 해결하기 위해 8시간이라는 정해진 시간을 가지며, 이 시간이 지나면 접근 권한이 자동으로 취소됩니다.

Lockbox 정책 활성화

Power Platform 관리자는 Power Platform 관리 센터에서 잠금 상자 정책을 만들거나 업데이트할 수 있습니다. 테넌트 수준 정책을 활성화하면 관리형 환경에 대해 활성화된 환경에 대해서만 정책이 적용됩니다. 모든 데이터 원본과 모든 환경이 고객 Lockbox로 구현되는 데 최대 24시간이 걸릴 수 있습니다.

  1. Power Platform 관리 센터에 로그인합니다.

  2. 테넌트 설정 페이지를 사용하여 테넌트 수준 설정을 검토하고 관리합니다. 테넌트 수준 설정을 보려면 Microsoft Power Platform 사이트 오른쪽 상단 모서리에 있는 기어 아이콘(기어 아이콘.)을 선택하고 왼쪽 탐색 창에서 Power Platform 설정>설정>테넌트 설정을 선택합니다.

  3. 고객 Lockbox활성화로 설정합니다.

    Lockbox 정책을 켭니다.

Lockbox 요청 검토

  1. Power Platform 관리 센터에 로그인합니다.

  2. 정책>고객 Lockbox를 선택합니다.

  3. 요청 세부 사항을 검토합니다.

    필드 Description
    지원 요청 ID Lockbox 요청과 연결된 지원 티켓의 ID입니다. 요청이 Microsoft-시작된 내부 알림의 결과인 경우 값은 "Microsoft 시작됨"이 됩니다.
    Environment 데이터 액세스가 요청되는 환경의 표시 이름입니다.
    상태 Lockbox 요청의 상태입니다.
    • 필요한 작업: 고객의 승인 대기 중
    • 만료됨: 고객으로부터 승인을 받지 못했습니다.
    • 승인됨: 고객이 승인함
    • 거부됨: 고객이 거부함
    요청됨 엔지니어가 고객의 환경에 있는 고객 데이터에 대한 액세스를 요청한 시간입니다. Microsoft
    요청 만료 고객이 Lockbox 요청을 승인해야 하는 시간입니다. 이 시간까지 승인이 제공되지 않으면 요청 상태가 만료됨으로 변경됩니다.
    액세스 기간 요청자가 고객 데이터에 액세스하려는 시간입니다. 이 값은 기본적으로 8시간이며 변경할 수 없습니다.
    액세스 만료 액세스가 허용되면 엔지니어가 고객 데이터에 액세스할 수 있는 시간은 이 시간까지입니다. Microsoft
  4. Lockbox 요청을 선택한 다음, 승인 또는 거부를 선택합니다.

    Lockbox 요청 승인 또는 거부

    노트

    지난 28일 동안 발생한 Lockbox 요청이 최근 테이블에 표시됩니다.

    요청이 승인되면 8시간의 전체 접근 기간 동안 철회할 수 없습니다.

Lockbox 요청 감사

경고

Lockbox 감사 이벤트에 대해 이 섹션에 설명된 스키마는 더 이상 사용되지 않으며 2024년 7월부터 사용할 수 없습니다. 활동 범주: Lockbox 작업에서 사용할 수 있는 새로운 스키마를 사용하여 고객 Lockbox 이벤트를 감사할 수 있습니다.

Lockbox 요청 수락, 거부 또는 만료와 관련된 작업은 Microsoft 365 Defender에 자동으로 기록됩니다.

Microsoft 365 Defender 페이지입니다.

감사 추적에는 각 Lockbox 요청에 대한 다음 필드와 기타 필드가 포함됩니다.

  • 요청의 고유 식별자
  • 요청 생성 시간
  • 조직 ID
  • 사용자 ID(요청을 수행하는 Microsoft 운영자에 대한 고유 식별자)
  • 요청 상태
  • 연결된 지원 티켓 ID
  • 만료 시간 요청
  • 데이터 액세스 만료 시간
  • 환경 ID
  • 근거 요청

Microsoft 365 감사 탭을 사용하면 관리자가 Lockbox 세션과 관련된 이벤트를 검색할 수 있습니다. Power Platform 관련 Lockbox 이벤트는 Power Platform Lockbox 범주를 확인하세요.

Power Platform Lockbox 범주를 선택합니다.

관리자는 필터 기준에 따라 결과 집합을 직접 내보낼 수 있습니다.

고객 Lockbox는 두 가지 유형의 감사 로그를 생성합니다.

  1. Microsoft 에 의해 시작되고 잠금 상자 요청이 생성되거나 만료되거나 액세스 세션이 종료될 때 발생하는 로그입니다. 이 감사 로그 세트는 작업이 다음에 의해 시작되기 때문에 특정 사용자 ID와 일치하지 않습니다 Microsoft.
  2. 사용자가 Lockbox 요청을 승인하거나 거부하는 경우와 같은 최종 사용자 작업에 의해 시작된 로그입니다. 이러한 작업을 수행하는 사용자에게 할당된 E5 라이선스가 없으면 로그가 필터링되고 감사 로그에 표시되지 않습니다.

기본적으로 감사 로그는 1년 동안 보존됩니다. 감사 기록을 10년 동안 유지하려면 10년 감사 로그 보존 추가 기능 라이선스가 필요합니다. 감사 로그 보존에 대한 자세한 내용은 감사(프리미엄)를 참조하세요.

고객 Lockbox에 대한 라이선스 요구 사항

고객 Lockbox 정책은 관리 환경에 대해 활성화된 환경에서만 적용됩니다. 관리형 환경은 프리미엄 사용 권한을 부여하는 독립 실행형 Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages 및 Dynamics 365 라이선스에 권한으로 포함됩니다. 관리형 환경 라이선스에 대해 자세히 알아보려면 라이선스Microsoft Power Platform 라이선싱 개요를 참조하세요.

또한 Microsoft Power Platform 및 Dynamics 365용 고객 Lockbox에 액세스하려면 Lockbox 정책이 시행되는 환경의 사용자가 다음 구독을 보유해야 합니다.

  • Microsoft 365 또는 Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 준수
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 내부 위험 관리
  • Microsoft 365 A5/E5/F5/G5 정보 보호 및 거버넌스 해당 라이선스에 대해 자세히 알아보십시오.

제외

  • Lockbox 요청은 다음 엔지니어링 지원 시나리오에서 트리거되지 않습니다.

    • 예기치 않거나 예측할 수 없는 경우에 서비스를 복구하거나 복원하기 위해 즉각적인 주의가 필요한 주요 서비스 중단과 같이 표준 운영 절차를 벗어나는 비상 시나리오. 이러한 "깨끗한 유리" 이벤트는 드물며 대부분의 경우 해결하기 위해 고객 데이터에 액세스할 필요가 없습니다.

    • Microsoft 엔지니어는 문제 해결의 일환으로 기본 플랫폼에 액세스하며 의도치 않게 고객 데이터에 노출됩니다. 이러한 시나리오로 인해 의미 있는 양의 고객 데이터에 액세스하는 경우는 드뭅니다.

  • 고객 Lockbox 요청은 데이터에 대한 외부 법적 요구에 의해서도 트리거되지 않습니다. 자세한 내용은 Microsoft 신뢰 센터에서 정부의 데이터 요청에 대한 논의를 참조하세요.

  • 고객 Lockbox는 Copilot AI 기능에 대해 공유된 고객 데이터의 액세스 및 수동 검토에 적용되지 않습니다. 고객 Lockbox는 모든 범위 내 데이터에 대해 활성화된 상태로 유지됩니다.

알려진 문제점

  • 테넌트에서 테넌트 간 마이그레이션은 고객 Lockbox가 활성화된 경우 지원되지 않습니다. 환경을 다른 테넌트로 이동하려면 고객 Lockbox를 비활성화해야 합니다. 마이그레이션이 완료되면 고객 Lockbox를 다시 활성화할 수 있습니다.