Kopīgot, izmantojot

Droša piekļuve klientu datiem, izmantojot klientu Lockbox un Power Platform Dynamics 365

  • Raksts

Lielākajai daļai darbību, atbalsta un problēmu novēršanas, ko Microsoft veic personāls (tostarp apakšapstrādātāji), nav nepieciešama piekļuve klientu datiem. Ar Power Platform klientu seifu mēs nodrošinām klientiem interfeisu, kurā pārskatīt un apstiprināt (vai noraidīt) datu piekļuves pieprasījumus retajos gadījumos, kad ir nepieciešama datu piekļuve klientu datiem. Tas tiek izmantots gadījumos, kad inženierim Microsoft ir jāpiekļūst klientu datiem, neatkarīgi no tā, vai tas ir atbilde klienta iniciētu atbalsta biļeti vai problēmu, ko identificējis Microsoft.

Šajā rakstā ir paskaidrots, kā iespējot klientu seifu un kā tiek ierosināti, izsekoti un glabāti seifa pieprasījumi vēlākai pārskatīšanai un auditiem.

Piezīmes

Klientu bloķēšanas kaste ir pieejama publiskajos mākoņos un ASV valdības kopienas mākoņa (GCC) GCC High un Aizsardzības departamenta (DoD) reģionos.

Kopsavilkums

Varat iespējot klientu seifu saviem datu avotiem nomniekā. Iespējojot Customer Lockbox, politika tiks ieviesta tikai vidēm, kas ir aktivizētas pārvaldītajām vidēm. Power Platform Administratori var iespējot Lockbox politiku.

Papildinformāciju skatiet sadaļā Seifa politikas iespējošana.

Retos gadījumos, kad Microsoft tiek mēģināts piekļūt klientu datiem, kas tiek glabāti Power Platform (piemēram), Dataverse administratoriem apstiprināšanai tiek nosūtīts Power Platform bloķēšanas kastes pieprasījums. Papildinformāciju skatiet sadaļā Seifa pieprasījuma pārskatīšana.

Visi seifa pieprasījumu atjauninājumi tiek ierakstīti un padarīti pieejami jūsu organizācijai kā audita žurnāli. Papildinformāciju skatiet sadaļā Seifa audita pieprasījumi.

Power Platform un Dynamics 365 lietojumprogrammas un pakalpojumi glabā klientu datus vairākās Azure krātuves tehnoloģijās. Izslēdzot klienta seifu vidē, ar attiecīgo vidi saistītie klientu dati tiek aizsargāti ar seifa politiku neatkarīgi no krātuves tipa.

Note

  • Pašlaik lietojumprogrammas un pakalpojumi, kuros bloķēšanas kastes politika tiks ieviesta, tiklīdz tā būs iespējota, ir Power Apps (izņemot Kartes Power Apps AI Builder),,, Power Pages, Power Automate,( Microsoft Copilot Studio izņemot GPT AI funkcijas un aģentu veidotāju), Dataverse klientu ieskati, klientu apkalpošana, kopienas, ceļveži, savienotās telpas, finanses (izņemot dzīves cikla pakalpojumus), projektu operācijas (izņemot dzīves cikla pakalpojumus), piegādes ķēde pārvaldība (izņemot Lifecycle Services) un programmas Mārketings reāllaika mārketings līdzekļu apgabals.
  • Līdzekļi, kuru darbību nodrošina Azure OpenAI Service, ir izslēgti no Lockbox politikas ieviešanas, ja vien konkrētā līdzekļa produkta dokumentācijā nav norādīts, ka tiek lietots Lockbox.
  • Nuance Sarunvalodas IVR ir izslēgts no Lockbox politikas ieviešanas, ja vien konkrētā līdzekļa produkta dokumentācijā nav norādīts, ka tiek lietots Lockbox.
  • Maker sveiciena saturs ir izslēgts no Lockbox politikas ieviešanas.
  • Jums ir jāatspējo Lucene.NET meklēšana savā vietnē un jāpāriet uz Dataverse meklēšanu, lai varētu izmantot klientu bloķēšanas lodziņu. Papildinformācija: Meklēšana portālos, izmantojot Lucene.NET meklēšanu, ir novecojusi.

Workflow

  1. Jūsu organizācijai ir problēma ar Microsoft Power Platform atbalsta pieprasījumu, un tā Microsoft atver atbalsta pieprasījumu. Vai arī proaktīvi Microsoft identificē problēmu (piemēram, tiek aktivizēts proaktīvs paziņojums), un Microsoft tiek atvērts iniciēts notikums, lai izpētītu un mazinātu vai novērstu galveno cēloni.

  2. Operators Microsoft pārskata atbalsta pieprasījumu / notikumu un mēģina novērst problēmu, izmantojot standarta rīkus un telemetriju. Ja piekļuvei klientu datiem ir nepieciešama turpmāka problēmu novēršana, inženieris Microsoft aktivizē iekšēju apstiprināšanas procesu, lai piekļūtu klientu datiem, neatkarīgi no tā, vai bloķēšanas kastes politika ir iespējota vai nē.

  3. Turklāt seifa pieprasījums tiek ģenerēts, ja attiecīgā datu krātuve ir saistīta ar vidi, kas ir aizsargāta atbilstoši seifa politikas iespējošanai. Norādītajiem apstiprinātājiem (Power Platform administratoriem) tiek nosūtīts e-pasta paziņojums par gaidošo datu piekļuves pieprasījumu no Microsoft.

    Svarīgi

    Inženieris Microsoft nevarēs turpināt izmeklēšanu, kamēr klients nebūs apstiprinājis bloķēšanas kastes pieprasījumu. Tas var izraisīt atbalsta biļetes apstrādes aizkavi vai ilgstošus pārtraukumus. Pārliecinieties, ka jūs pārraugāt e-pasta paziņojumus un/vai seifa pieprasījumus Power Platform administrēšanas centrā un savlaicīgi atbildat, lai izvairītos no apkalpošanas pārtraukumiem.

    Bloķēšanas kastes pieprasījuma paraugs.

  4. Apstiprinātājs piesakās Power Platform administrēšanas centrā un apstiprina pieprasījumu. Ja pieprasījums tiek noraidīts vai netiek apstiprināts četru dienu laikā, tā derīguma termiņš beidzas, un inženierim Microsoft netiek piešķirta piekļuve.

  5. Pēc tam, kad jūsu organizācijas apstiprinātājs ir apstiprinājis pieprasījumu, Microsoft inženieris iegūst sākotnēji pieprasītās priviliģētās atļaujas un novērš problēmu. Microsoft Inženieriem ir noteikts laiks - 8 stundas -, lai novērstu problēmu, pēc tam piekļuve tiek automātiski atsaukta.

Seifa politikas iespējošana

Power Platform Administratori var izveidot vai atjaunināt bloķēšanas lodziņa politiku administrēšanas Power Platform centrā. Nomnieka līmeņa politikas iespējošana tiks lietota tikai tām vidēm, kas ir aktivizētas pārvaldītajām vidēm. Klientu seifa ieviešana visos datu avotos un visās vidēs var ilgt līdz 24 stundām.

  1. Pierakstieties Power Platform administrēšanas centrā.

  2. Izmantojiet nomnieka iestatījumu lapu, lai pārskatītu un pārvaldītu nomnieka līmeņa iestatījumus. Lai skatītu nomnieka līmeņa iestatījumus, vietnes augšējā labajā stūrī atlasiet zobrata ikonu (Zobrata ikona.) un kreisās puses navigācijas rūtī atlasiet Microsoft Power Platform iestatījumi Power Platform Iestatījumi>Nomnieka iestatījumi>.

  3. Iestatiet opciju Customer Lockbox uz Iespējot.

    Ieslēdziet bloķēšanas kastes politiku.

Seifa pieprasījuma pārskatīšana

  1. Pierakstieties Power Platform administrēšanas centrā.

  2. Atlasiet Politikas>Klientu bloķēšanas lodziņš.

  3. Pārskatiet pieprasījuma detalizēto informāciju.

    Kolonna Apraksts
    Atbalsta pieprasījuma ID Ar seifa pieprasījumu saistītās atbalsta biļetes ID. Ja pieprasījums ir iniciēta iekšējā brīdinājuma rezultāts Microsoft, vērtība tiks "Microsoft iniciēta".
    Vide Tās vides parādāmais nosaukums, kurā tiek pieprasīta datu piekļuve.
    Statuss Seifa pieprasījuma statuss.
    • Nepieciešamā darbība: gaida klienta apstiprinājumu
    • Beidzies derīguma termiņš: no klienta nav saņemts apstiprinājums
    • Apstiprināts: klienta apstiprināts
    • Noraidīts: klients noliedz
    Pieprasīts Laiks, Microsoft kurā inženieris pieprasīja piekļuvi klienta datiem klienta vidē.
    Pieprasījuma derīguma termiņš Laiks, līdz kuram klientam ir jāapstiprina seifa pieprasījums. Ja šajā laikā apstiprinājums netiek sniegts, pieprasījuma statuss tiek mainīts uz Beidzies derīgums.
    Piekļuves periods Periods, cik ilgi pieprasītājs vēlas piekļuvi klienta datiem. Šī vērtība pēc noklusējuma ir 8 stundas, un to nevar mainīt.
    Piekļuves derīguma termiņš Ja piekļuve tiek piešķirta, tas ir laiks, līdz kuram Microsoft inženierim ir piekļuve klienta datiem.

  4. Atlasiet seifa pieprasījumu un pēc tam atlasiet Apstiprināt vai Noraidīt.

    Bloķēšanas lodziņa pieprasījumu apstiprināšana vai noraidīšana

    Piezīmes

    Pēdējo 28 dienu laikā notikušie seifa pieprasījumi tiek parādīti tabulā Jaunākie.

    Pēc pieprasījuma apstiprināšanas to nevar atsaukt līdz visa 8 stundu piekļuves perioda garumā.

Seifa audita pieprasījumi

Brīdinājums.

Šajā sadaļā dokumentētā bloķēšanas kastes audita notikumu shēma ir novecojusi un nebūs pieejama, sākot ar 2024. gada jūliju. Varat auditēt Customer Lockbox notikumus, izmantojot jauno shēmu, kas pieejama sadaļā Darbības kategorija: Lockbox operācijas.

Darbības, kas saistītas ar seifa pieprasījumu pieņemšanu, noraidīšanu vai derīguma beigām, tiek automātiski ierakstītas risinājumā Microsoft 365 Defender.

Microsoft 365 Aizstāvja lapa.

Audita izsekošana ietver šos un citus laukus katram seifa pieprasījumam:

  • Unikāls identifikators pieprasījumam
  • Pieprasījuma izveides laiks
  • Organizācijas ID
  • Lietotāja ID (unikāls identifikators operatoram, Microsoft kas izpilda pieprasījumu)
  • Pieprasījuma statuss
  • Saistītās atbalsta biļetes ID
  • Pieprasījuma derīguma termiņš
  • Datu piekļuves derīguma termiņš
  • Vides ID
  • Pieprasījuma pamatojums

Izmantojot cilni Microsoft 365 Audits, administratori var meklēt notikumus, kas saistīti ar seifa sesijām. Skatiet kategoriju Power Platform seifs ar Power Platform saistītiem seifa notikumiem.

Atlasiet bloķēšanas Power Platform lodziņa kategoriju.

Administratori var tieši eksportēt rezultātu kopu, pamatojoties uz filtra kritērijiem.

Klientu Lockbox izveido divu veidu audita žurnālus:

  1. Žurnāli, kurus Microsoft iniciē bloķēšanas lodziņa izveide un kuri atbilst tam, kuru derīguma termiņš ir beidzies vai kad piekļuves sesijas beidzas. Šī audita žurnālu kopa neatbilst konkrētam lietotāja ID, jo darbības sāk. Microsoft
  2. Žurnāli, ko iniciē lietotāja darbības, piemēram, kad lietotājs apstiprina vai noraida bloķēšanas lodziņa pieprasījumu. Ja lietotājam, kas veic šīs darbības, nav piešķirta E5 licence, žurnāli tiek filtrēti un netiek rādīti audita žurnālos.

Pēc noklusējuma audita žurnāli tiek glabāti vienu gadu. Lai audita ierakstus saglabātu 10 gadus, ir nepieciešama 10 gadu audita žurnāla saglabāšanas pievienojumprogrammas licence. Papildinformāciju par audita žurnāla saglabāšanu skatiet sadaļā Audits (Premium).

Customer Lockbox licencēšanas prasības

Klientu seifa politika tiks ieviesta tikai tajās vidēs, kas ir aktivizētas pārvaldītajām vidēm. Pārvaldītās vides ir iekļauta kā tiesības savrupās Power Apps, Power Automate Dynamics 365 Microsoft Copilot Studio Power Pages licencēs, kas piešķir augstākās kvalitātes lietošanas tiesības. Papildinformāciju par pārvaldītās vides licencēšanu skatiet rakstā Licencēšanas un Licencēšanas pārskats pakalpojumā Microsoft Power Platform.

Turklāt, lai piekļūtu Customer Lockbox for Microsoft Power Platform un Dynamics 365, lietotājiem vidēs, kurās tiek īstenota Lockbox politika, ir nepieciešams kāds no šiem abonementiem:

  • Microsoft 365 vai Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 atbilstība
  • Microsoft 365 F5 drošība un atbilstība
  • Microsoft 365 A5/E5/F5/G5 iekšējā riska pārvaldība
  • Microsoft 365 A5/E5/F5/G5 Informācijas aizsardzība un pārvaldība Uzziniet vairāk par piemērojamajām licencēm.

Izņēmumi

  • Seifa pieprasījumi netiek ierosināti šādos tehniskā atbalsta scenārijos:

    • Neparedzēti scenāriji, kas neietilpst standarta operāciju procedūrās, piemēram, liels servisa pārtraukums, kam jāpievērš tūlītēja uzmanība, lai atgūtu vai atjaunotu pakalpojumus neparedzētos vai negaidītos gadījumos. Šie traucējumu notikumi ir reti, un vairumā gadījumu šādu problēmu atrisināšanai nav nepieciešama piekļuve klientu datiem.

    • Inženieris Microsoft piekļūst pamatā esošajai platformai kā daļu no problēmu novēršanas un tiek nejauši pakļauts klientu datiem. Šādu scenāriju gadījumā rezultāts reti ir piekļuve būtiskam klientu datu apjomam.

  • Klientu seifa pieprasījumi netiek ierosināti arī ārēju likumisko datu pieprasījumu gadījumā. Detalizētu informāciju skatiet diskusijā par valsts iestāžu pieprasījumiem pēc datiem Microsoft drošības kontroles centrā.

  • Customer Lockbox neattieksies uz piekļuvi klientu datiem, kas tiek kopīgoti Copilot AI funkcijām, un to manuālu pārskatīšanu. Customer Lockbox joprojām būs iespējots visiem tvērumā esošajiem datiem.

Zināmās problēmas

  • Ja ir iespējots klientu seifs, netiek atbalstīta migrācija no nomnieka uz nomnieku. Lai vidi pārvietotu uz citu nomnieku, ir jāatspējo klientu seifs. Kad migrācija ir pabeigta, varat atkārtoti iespējot klientu seifu.