Få sikker tilgang til kundedata ved hjelp av Customer Lockbox i Power Platform og Dynamics 365
De fleste operasjoner, støtte og feilsøking som utføres av Microsoft personell (inkludert underbehandlere) krever ikke tilgang til kundedata. Med Power Platform Customer Lockbox tilbyr vi et grensesnitt der kundene kan gå gjennom og godkjenne (eller avvise) datatilgangsforespørsler i sjeldne tilfeller når det er nødvendig med datatilgang til kundedata. Den brukes i tilfeller der en Microsoft tekniker trenger tilgang til kundedata, enten som svar på en kundeinitiert støtteforespørsel eller et problem identifisert av Microsoft.
Denne artikkelen beskriver hvordan du aktiverer Customer Lockbox og hvordan låsekasseforespørsler startes, spores og lagres for senere gjennomganger og sporing av endringer.
Merk
Customer Lockbox er tilgjengelig i offentlige skyer og områder for US Government Community Cloud (GCC), GCC High og Department of Defense (DoD).
Sammendrag
Du kan aktivere Customer Lockbox for datakildene i leieren. Aktivering av Customer Lockbox håndhever bare policyen for miljøer som er aktivert for administrerte miljøer. Power Platform Administratorer kan aktivere Lockbox-policyen.
Hvis du vil ha mer informasjon, kan du gå til Aktiver låsekassepolicyen.
I de sjeldne tilfellene når Microsoft forsøk på å få tilgang til kundedata som er lagret i Power Platform (for eksempel), Dataverse sendes en lockbox-forespørsel til administratorene Power Platform for godkjenning. Hvis du vil ha mer informasjon, kan du gå til Gå gjennom en låsekasseforespørsel.
Alle oppdateringer til en låsekasseforespørsel blir registrert og gjort tilgjengelig for organisasjonen som revisjonslogger. Hvis du vil ha mer informasjon, kan du gå til Spor låsekasseforespørsler.
Power Platform- og Dynamics 365-programmer og -tjenester lagrer kundedata i flere Azure-lagringsteknologier. Når du aktiverer Customer Lockbox for et miljø, beskyttes kundedata som er tilknyttet det respektive miljøet, av låsekassepolicyen, uansett lagringstype.
Merk
- For øyeblikket er Power Apps applikasjonene og tjenestene der lockbox-policyen skal håndheves når den er aktivert (unntatt kort for Power Apps), AI Builder,, Power Pages Power Automate,( Microsoft Copilot Studio unntatt GPT AI-funksjoner og Agent Builder), Dataverse, Kundeinnsikt, kundeservice, fellesskap, veiledninger, tilkoblede områder, økonomi (unntatt livssyklustjenester), prosjektoperasjoner (unntatt livssyklustjenester), forsyningskjede Administrasjon (unntatt Lifecycle Services) og funksjonsområdet for sanntidsmarkedsføring i Marketing-appen.
- Funksjoner som drives av Azure OpenAI-tjenesten, blir utelukket fra håndhevelse av Lockbox-policyer med mindre produktdokumentasjon for en gitt funksjon fastslår at Lockbox gjelder.
- Nuance Conversational IVR er utelukket fra håndhevelse av Lockbox-policyer med mindre produktdokumentasjon for en gitt funksjon fastslår at Lockbox gjelder.
- Velkomstinnhold for opprettere er utelatt fra håndhevelse av Lockbox-policyer.
- Du må deaktivere Lucene.NET søke fra webområdet ditt og flytte Dataverse-søk for å kunne bruke Customer Lockbox. Mer informasjon: Portalsøk ved hjelp av Lucene.NET-søket blir avskrevet.
Workflow
Organisasjonen din har et problem med Microsoft Power Platform og åpner en støtteforespørsel med Microsoft kundestøtte. Alternativt Microsoft identifiserer proaktivt et problem (for eksempel utløses et proaktivt varsel), og en Microsoft initiert hendelse åpnes for å undersøke og redusere eller fikse rotårsaken.
En Microsoft operatør ser gjennom støtteforespørselen/hendelsen og prøver å feilsøke problemet ved hjelp av standardverktøy og telemetri. Hvis tilgang til kundedata er nødvendig for ytterligere feilsøking, utløser en Microsoft tekniker en intern godkjenningsprosess for tilgang til kundedata, uavhengig av om nøkkelbokspolicy er aktivert eller ikke.
I tillegg genereres det en låsekasseforespørsel hvis datalager er knyttet til et miljø beskyttet i henhold til aktivering av lockbox-policy. Et e-postvarsel sendes til de angitte godkjennerne (Power Platform administratorene) om den ventende forespørselen om datatilgang fra Microsoft.
Viktig!
Teknikeren Microsoft kan ikke fortsette med undersøkelsen før lockbox-forespørselen er godkjent av kunden. Dette kan føre til forsinkelser i løsningen av kundestøtteforespørselen eller lange avbrudd. Sørg for at du overvåker e-postvarslinger eller låsekasseforespørsler i Power Platform-administrasjonssenteret og svarer i tide for å unngå tjenesteavbrudd.
Godkjenneren logger på administrasjonssenteret for Power Platform og godkjenner forespørselen. Hvis forespørselen avvises eller ikke godkjennes innen fire dager, utløper den, og ingeniøren Microsoft får ingen tilgang.
Når godkjenneren fra organisasjonen har godkjent forespørselen, får teknikeren Microsoft de utvidede tillatelsene som opprinnelig ble forespurt, og løser problemet. Microsoft Ingeniører har en bestemt tid - 8 timer - til å fikse problemet, hvoretter tilgangen automatisk tilbakekalles.
Aktiver låsekassepolicyen
Power Platform Administratorer kan opprette eller oppdatere Lockbox-policyen i administrasjonssenteret Power Platform . Aktivering av leiernivåpolicyen vil bare gjelde miljøer som er aktivert for administrerte miljøer. Det kan ta opptil 24 timer før alle datakilder og miljøer implementeres med Customer Lockbox.
Bruk siden Leierinnstillinger til å se gjennom og administrere innstillinger på leiernivå. Hvis du vil vise innstillinger for leiernivå, velger du Tannhjul-ikonet () øverst i høyre hjørne på Microsoft Power Platform-området og velger Power Platform-innstillinger>Innstillinger>Leierinnstillinger i navigasjonsruten på venstre side.
Sett Customer Lockbox til Aktiver.
Gå gjennom en låsekasseforespørsel
Velg Policyer>Customer Lockbox.
Se gjennom detaljene i forespørselen.
Felt Bekrivelse ID for støtteforespørsel ID-en for støtteforespørselen som er knyttet til låsekasseforespørselen. Hvis forespørselen er et resultat av Microsoft initiert internt varsel, vil verdien være "Microsoft initiert". Environment Visningsnavn til miljøet det bes om datatilgang i. Status Statusen for låsekasseforespørselen.
- Handling som kreves: Venter på godkjenning fra kunden
- Utløpt: Ingen godkjenning mottatt fra kunden
- Godkjent: Godkjent av kunden
- Avslått: Avvist av kunden
Forespurt Tidspunktet da teknikeren Microsoft ba om tilgang til kundedata i kundens miljø. Forespørsel utløper Tidspunktet kunden må godkjenne låsekasseforespørselen. Statusen for forespørselen endres til Utløpt hvis det ikke gis godkjenning innen dette tidspunktet. Tilgangsperiode Hvor lenge forespørselsrepresentanten ønsker tilgang til kundedata. Denne verdien er som standard åtte timer og kan ikke endres. Tilgangsutløp Hvis tilgang gis, er dette tidspunktet ingeniøren Microsoft har tilgang til kundedata. Velg en låsekasseforespørsel, og velg deretter Godkjenn eller Avslå.
Merk
Låsekasseforespørsler som har forekommet i løpet av de siste 28 dagene, vises i Nylige-tabellen.
Når en forespørsel er godkjent, kan den ikke oppheves for hele tilgangsperioden på åtte timer.
Spor låsekasseforespørsler
Advarsel!
Skjemaet som dokumenteres i denne delen for Lockbox-overvåkingshendelser, er avskrevet og vil ikke være tilgjengelig fra juli 2024. Du kan overvåke Customer Lockbox-hendelser ved å bruke det nye skjemaet som er tilgjengelig i Aktivitetskategori: Lockbox-operasjoner.
Handlinger relatert til å godta, avvise eller utløpe en låsekasseforespørsel, registreres automatisk i Microsoft 365 Defender.
Sporing av endringer omfatter disse og andre felter for hver låsekasseforespørsel:
- Unik identifikator for forespørselen
- Opprettingstidspunkt for forespørsel
- Organisasjons-ID
- Bruker-ID (unik identifikator for Microsoft operatøren som utfører forespørselen)
- Status for forespørsel
- Tilknyttet støtteforespørsels-ID
- Utløpstidspunkt for forespørsel
- Utløpstid for datatilgang
- Miljø-ID
- Begrunnelse for forespørsel
Fanen Microsoft 365 Sporing gjør det mulig for administratorer å søke etter hendelser som er tilknyttet låsekasseøkter. Vis kategorien Power Platform-låsekasse for relaterte Power Platform-låsekassehendelser.
Administratorer kan eksportere resultatsettet direkte basert på filtervilkårene.
Customer Lockbox produserer to typer revisjonslogger:
- Logger som startes av Microsoft og tilsvarer lockbox-forespørselen som opprettes, utløper eller når tilgangsøkter avsluttes. Dette settet med overvåkingslogger samsvarer ikke med en bestemt bruker-ID siden handlingene startes av Microsoft.
- Logger som startes av sluttbrukerhandlinger, for eksempel når en bruker godkjenner eller avviser en Lockbox-forespørsel. Hvis brukeren som utfører disse operasjonene, ikke har en tilordnet E5-lisens, filtreres loggene og vises ikke i revisjonsloggene.
Revisjonsloggene beholdes som standard med en varighet på ett år. Du trenger en 10-års lisens for oppbevaring av revisjonslogg for å beholde revisjonsoppføringer i 10 år. Se Sporing av endringer (Premium) hvis du vil ha mer informasjon om oppbevaring av revisjonslogg.
Lisenskrav for Customer Lockbox
Customer Lockbox-policyen håndheves bare på miljøer som er aktivert for administrerte miljøer. Administrerte miljøer er inkludert som rettigheter i frittstående lisenser for Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages og Dynamics 365 som gir Premium-bruksrettigheter. Hvis du vil vite mer om lisensiering for administrert miljø, kan du se Lisensiering og Oversikt over lisensiering for Microsoft Power Platform.
I tillegg krever tilgang til Customer Lockbox for Microsoft Power Platform og Dynamics 365 brukere i miljøene der Lockbox-policyen håndheves for å ha noen av disse abonnementene:
- Microsoft 365 eller Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5-samsvar
- Microsoft 365 F5 Sikkerhet og samsvar
- Microsoft 365 A5/E5/F5/G5 insider-risikobehandling
- Microsoft 365 A5/E5/F5/G5 Information Protection and Governance Finn ut mer om aktuelle lisenser.
Utelatelser
Låsekasseforespørsler utløses ikke i følgende scenarioer for utviklingsstøtte:
Scenarioer for materiell som faller utenfor standard driftsprosedyrer, for eksempel større serviceavbrudd som krever umiddelbar oppmerksomhet for å gjenopprette eller gjenopprette tjenester i uventede eller uforutsette tilfeller. Disse nødhendelsene er sjeldne, og i de fleste tilfeller krever ikke dette tilgang til kundedata for å løse problemet.
En Microsoft tekniker får tilgang til den underliggende plattformen som en del av feilsøking og blir utilsiktet eksponert for kundedata. Det er sjelden at slike scenarioer vil føre til tilgang til meningsfulle mengder kundedata.
Customer Lockbox-forespørsler utløses heller ikke av eksterne juridiske krav til data. Hvis du vil ha mer informasjon, kan du se diskusjonen om forespørsler fra myndighetene om data i klareringssenteret Microsoft .
Customer Lockbox gjelder ikke for tilgang og manuell gjennomgang av kundedata som deles for Copilot AI-funksjoner. Customer Lockbox forblir aktivert for alle data som er i omfang.
Kjente problemer
- Overføring av leiere til leiere støttes ikke når Customer Lockbox er aktivert. Du må deaktivere Customer Lockbox for å flytte et miljø til en annen leier. Du kan aktivere Customer Lockbox på nytt når overføringen er fullført.