Få sikker tilgang til kundedata ved hjelp av Customer Lockbox i Power Platform og Dynamics 365

  • Artikkel

De fleste operasjoner, kundestøtte og feilsøking som utføres av Microsoft-ansatte (inkludert underbehandlere) krever ikke tilgang til kundedata. Med Power Platform Customer Lockbox tilbyr vi et grensesnitt der kundene kan gå gjennom og godkjenne (eller avvise) datatilgangsforespørsler i sjeldne tilfeller når det er nødvendig med datatilgang til kundedata. Det brukes i tilfeller der en Microsoft-tekniker må ha tilgang til kundedata, enten som svar på en kundestartet kundestøtteforespørsel eller et problem identifisert av Microsoft.

Denne artikkelen beskriver hvordan du aktiverer Customer Lockbox og hvordan låsekasseforespørsler startes, spores og lagres for senere gjennomganger og sporing av endringer.

Merk

Customer Lockbox er tilgjengelig i offentlige skyer og områder for US Government Community Cloud (GCC), GCC High og Department of Defense (DoD).

Sammendrag

Du kan aktivere Customer Lockbox for datakildene i leieren. Aktivering av Customer Lockbox håndhever bare policyen for miljøer som er aktivert for administrerte miljøer. Globale administratorer og Power Platform-administratorer kan aktivere låsekassepolicyen.

Hvis du vil ha mer informasjon, kan du gå til Aktiver låsekassepolicyen.

I sjeldne tilfeller der Microsoft prøver å få tilgang til kundedata som er lagret i Power Platform (for eksempel Dataverse), sendes det en låsekasseforespørsel til globale administratorer og Power Platform-administratorer for godkjenning. Hvis du vil ha mer informasjon, kan du gå til Gå gjennom en låsekasseforespørsel.

Alle oppdateringer til en låsekasseforespørsel blir registrert og gjort tilgjengelig for organisasjonen som revisjonslogger. Hvis du vil ha mer informasjon, kan du gå til Spor låsekasseforespørsler.

Power Platform- og Dynamics 365-programmer og -tjenester lagrer kundedata i flere Azure-lagringsteknologier. Når du aktiverer Customer Lockbox for et miljø, beskyttes kundedata som er tilknyttet det respektive miljøet, av låsekassepolicyen, uansett lagringstype.

Merk

  • Programmene og tjenestene der låsekassepolicyen skal håndheves når de er aktivert, er Power Apps (unntatt Kort for Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (unntatt GPT AL-funksjoner), Dataverse, Customer Insights, Customer Service, Communities, Guides, Connected Spaces, Finance (unntatt Lifecycle Services), Project Operations (unntatt Lifecycle Services), Supply Chain Management (unntatt Lifecycle Services) og området for markedsføringsfunksjon i sanntid i Marketing-appen.
  • Funksjoner som drives av Azure OpenAI-tjenesten, blir utelukket fra håndhevelse av Lockbox-policyer med mindre produktdokumentasjon for en gitt funksjon fastslår at Lockbox gjelder.
  • Nuance Conversational IVR er utelukket fra håndhevelse av Lockbox-policyer med mindre produktdokumentasjon for en gitt funksjon fastslår at Lockbox gjelder.
  • Utviklervelkomstinnhold er ekskludert fra håndhevelse av Lockbox-policy.
  • Du må deaktivere Lucene.NET søke fra webområdet ditt og flytte Dataverse-søk for å kunne bruke Customer Lockbox. Mer informasjon: Portalsøk ved hjelp av Lucene.NET-søket blir avskrevet.

Workflow

  1. Organisasjonen din har et problem med Microsoft Power Platform og åpner en støtteforespørsel med Microsoft Kundestøtte. Microsoft identifiserer også et problem (for eksempel et proaktivt varsel utløses), og en Microsoft-iverksatt hendelse åpnes for å undersøke og redusere eller løse rotårsaken.

  2. En Microsoft-operatør går gjennom støtteforespørsel/-hendelse og prøver å feilsøke problemet ved hjelp av standardverktøy og telemetri. Hvis det kreves tilgang til kundedata for videre feilsøking, utløser en Microsoft-tekniker en intern godkjenningsprosess for tilgang til kundedata, uavhengig av om låsekassepolicy er aktivert eller ikke.

  3. I tillegg genereres det en låsekasseforespørsel hvis datalager er knyttet til et miljø beskyttet i henhold til aktivering av lockbox-policy. Det sendes en e-postvarsling til de angitte godkjennerne (globale administratorer og Power Platform-administratorer) om den ventende datatilgangsforespørselen fra Microsoft.

    Viktig

    Microsoft-teknikeren kan ikke fortsette etterforskingen før låsekasseforespørselen er godkjent av kunden. Dette kan føre til forsinkelser i løsningen av kundestøtteforespørselen eller lange avbrudd. Sørg for at du overvåker e-postvarslinger eller låsekasseforespørsler i Power Platform-administrasjonssenteret og svarer i tide for å unngå tjenesteavbrudd.

    Et eksempel på en låsekasseforespørsel.

  4. Godkjenneren logger på administrasjonssenteret for Power Platform og godkjenner forespørselen. Hvis forespørselen er avvist eller ikke godkjent innen fire dager, utløper den, og ingen tilgang gis til Microsoft-teknikeren.

  5. Når godkjenneren fra organisasjonen har godtatt forespørselen, henter Microsoft-teknikeren de opphøyede tillatelsene som opprinnelig ble forespurt, og løser problemet. Microsoft-teknikere har en angitt tidsperiode – åtte timer – for å løse problemet, og etter dette trekkes tilgangen automatisk tilbake.

Aktiver låsekassepolicyen

Globale administratorer eller Power Platform-administratorer kan opprette eller oppdatere låsekassepolicyen i administrasjonssenteret for Power Platform. Aktivering av leiernivåpolicyen vil bare gjelde miljøer som er aktivert for administrerte miljøer. Det kan ta opptil 24 timer før alle datakilder og miljøer implementeres med Customer Lockbox.

  1. Logg på Power Platform-administrasjonssenteret.

  2. Bruk siden Leierinnstillinger til å se gjennom og administrere innstillinger på leiernivå. Hvis du vil vise innstillinger for leiernivå, velger du Tannhjul-ikonet (Tannhjulikonet.) øverst i høyre hjørne på Microsoft Power Platform-området og velger Power Platform-innstillinger>Innstillinger>Leierinnstillinger i navigasjonsruten på venstre side.

  3. Sett Customer Lockbox til Aktiver.

    Slå på låsekassepolicyen.

Gå gjennom en låsekasseforespørsel

  1. Logg på Power Platform-administrasjonssenteret.

  2. Velg Policyer>Customer Lockbox.

  3. Se gjennom detaljene i forespørselen.

    Felt Bekrivelse
    ID for støtteforespørsel ID-en for støtteforespørselen som er knyttet til låsekasseforespørselen. Hvis forespørselen er et resultat av internt varsel fra Microsoft, blir verdien Microsoft-startet.
    Miljø Visningsnavn til miljøet det bes om datatilgang i.
    Status Statusen for låsekasseforespørselen.
    • Handling kreves: Venter på godkjenning fra kunden
    • Utløpt: Ingen godkjenning mottatt fra kunden
    • Godkjent: Godkjent av kunden
    • Avslått: Avslått av kunden
    Forespurt Tidspunktet da Microsoft-teknikeren ba om tilgang til kundedata i kundens miljø.
    Forespørsel utløper Tidspunktet kunden må godkjenne låsekasseforespørselen. Statusen for forespørselen endres til Utløpt hvis det ikke gis godkjenning innen dette tidspunktet.
    Tilgangsperiode Hvor lenge forespørselsrepresentanten ønsker tilgang til kundedata. Denne verdien er som standard åtte timer og kan ikke endres.
    Tilgangsutløp Hvis tilgang gis, er dette tidspunktet Microsoft-teknikeren har tilgang til kundedataene.

  4. Velg en låsekasseforespørsel, og velg deretter Godkjenn eller Avslå.

    Godkjenn eller avvis låsekasseforespørsler

    Merk

    Låsekasseforespørsler som har forekommet i løpet av de siste 28 dagene, vises i Nylige-tabellen.

    Når en forespørsel er godkjent, kan den ikke oppheves for hele tilgangsperioden på åtte timer.

Spor låsekasseforespørsler

Handlinger relatert til å godta, avvise eller utløpe en låsekasseforespørsel, registreres automatisk i Microsoft 365 Defender.

Microsoft 365 Defender-side.

Sporing av endringer omfatter disse og andre felter for hver låsekasseforespørsel:

  • Unik identifikator for forespørselen
  • Opprettingstidspunkt for forespørsel
  • Organisasjons-ID
  • Bruker-ID (unik identifikator for Microsoft-operatøren som utfører forespørselen)
  • Status for forespørsel
  • Tilknyttet støtteforespørsels-ID
  • Utløpstidspunkt for forespørsel
  • Utløpstid for datatilgang
  • Miljø-ID
  • Begrunnelse for forespørsel

Fanen Microsoft 365 Sporing gjør det mulig for administratorer å søke etter hendelser som er tilknyttet låsekasseøkter. Vis kategorien Power Platform-låsekasse for relaterte Power Platform-låsekassehendelser.

Velg Power Platform-låsekassekategorien.

Administratorer kan eksportere resultatsettet direkte basert på filtervilkårene.

Søkeresultater for sporing av endringer for låsekasse.

Customer Lockbox produserer to typer revisjonslogger:

  1. Logger som startes av Microsoft, og tilsvarer at en Lockbox-forespørsel blir opprettet, utløper eller når tilgangsøkter avsluttes. Dette settet med revisjonslogger samsvarer ikke med en bestemt bruker-ID siden handlingene startes av Microsoft.
  2. Logger som startes av sluttbrukerhandlinger, for eksempel når en bruker godkjenner eller avviser en Lockbox-forespørsel. Hvis brukeren som utfører disse operasjonene, ikke har en tilordnet E5-lisens, filtreres loggene og vises ikke i revisjonsloggene.

Revisjonsloggene beholdes som standard med en varighet på ett år. Du trenger en 10-års lisens for oppbevaring av revisjonslogg for å beholde revisjonsoppføringer i 10 år. Se Sporing av endringer (Premium) hvis du vil ha mer informasjon om oppbevaring av revisjonslogg.

Lisenskrav for Customer Lockbox

Customer Lockbox-policyen håndheves bare på miljøer som er aktivert for administrerte miljøer. Administrerte miljøer er inkludert som rettigheter i frittstående lisenser for Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages og Dynamics 365 som gir Premium-bruksrettigheter. Hvis du vil vite mer om lisensiering for administrert miljø, kan du se Lisensiering og Oversikt over lisensiering for Microsoft Power Platform.

I tillegg krever tilgang til Customer Lockbox for Microsoft Power Platform og Dynamics 365 brukere i miljøene der Lockbox-policyen håndheves for å ha noen av disse abonnementene:

  • Microsoft 365 eller Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5-samsvar
  • Microsoft 365 F5 Sikkerhet og samsvar
  • Microsoft 365 A5/E5/F5/G5 insider-risikobehandling
  • Microsoft 365 A5/E5/F5/G5 Information Protection and Governance Finn ut mer om aktuelle lisenser.

Utelatelser

  • Låsekasseforespørsler utløses ikke i følgende scenarioer for utviklingsstøtte:

    • Scenarioer for materiell som faller utenfor standard driftsprosedyrer, for eksempel større serviceavbrudd som krever umiddelbar oppmerksomhet for å gjenopprette eller gjenopprette tjenester i uventede eller uforutsette tilfeller. Disse nødhendelsene er sjeldne, og i de fleste tilfeller krever ikke dette tilgang til kundedata for å løse problemet.

    • En Microsoft-tekniker har tilgang til den underliggende plattformen som en del av feilsøkingen, og blir utilsiktet eksponert for kundedata. Det er sjelden at slike scenarioer vil føre til tilgang til meningsfulle mengder kundedata.

  • Customer Lockbox-forespørsler utløses heller ikke av eksterne juridiske krav til data. Hvis du vil ha mer informasjon, kan du se diskusjonen om offentlige forespørsler om data i Klareringssenter for Microsoft.

  • Customer Lockbox gjelder ikke for tilgang og manuell gjennomgang av kundedata som deles for Copilot AI-funksjoner. Customer Lockbox forblir aktivert for alle data som er i omfang.

Kjente problemer

  • Overføring av leiere til leiere støttes ikke når Customer Lockbox er aktivert. Du må deaktivere Customer Lockbox for å flytte et miljø til en annen leier. Du kan aktivere Customer Lockbox på nytt når overføringen er fullført.