Delen via

Veilig toegang krijgen tot klantgegevens met behulp van Customer Lockbox in Power Platform en Dynamics 365

Voor de meeste bewerkingen, ondersteuning en probleemoplossing die worden uitgevoerd door Microsoft-personeel (inclusief subverwerkers) is geen toegang tot klantgegevens vereist. Door Power Platform Customer Lockbox te gebruiken, kunnen klanten aanvragen voor gegevenstoegang beoordelen en goedkeuren (of afwijzen) in zeldzame gevallen waarin Microsoft toegang nodig heeft tot klantgegevens. Gebruik dit in gevallen waarin een Microsoft-technicus toegang moet hebben tot klantgegevens, of dit nu het geval is als reactie op een door de klant geïnitieerde ondersteuningsticket of een probleem dat door Microsoft is geïdentificeerd.

In dit artikel wordt beschreven hoe u Klanten-lockbox inschakelt en hoe lockbox-aanvragen worden geïnitieerd, gevolgd en opgeslagen voor latere beoordelingen en audits.

Opmerking

Klanten-lockbox is beschikbaar in openbare clouds en regio's van de US Government Community Cloud (GCC), GCC High en het Department of Defense (DoD).

Overzicht

U kunt Klanten-lockbox inschakelen voor uw gegevensbronnen binnen uw tenant. Het inschakelen van Klanten-lockbox zorgt ervoor dat beleid alleen wordt afgedwongen voor omgevingen die zijn geactiveerd voor Beheerde omgevingen. Power Platform-beheerders kunnen het lockbox-beleid inschakelen.

Zie Het lockbox-beleid inschakelen voor meer informatie.

In het zeldzame geval dat Microsoft probeert toegang te krijgen tot klantgegevens die zijn opgeslagen in Power Platform (bijvoorbeeld Dataverse), wordt een lockbox-aanvraag naar de Power Platform-beheerders verzonden ter goedkeuring. Zie Een lockbox-aanvraag controleren voor meer informatie.

Alle updates van een lockbox-aanvraag worden vastgelegd en als auditlogboeken beschikbaar gesteld aan uw organisatie. Zie Lockbox-aanvragen controleren voor meer informatie.

In toepassingen en services van Power Platform en Dynamics 365 worden klantgegevens opgeslagen in verschillende Azure-opslagtechnologieën. Wanneer u Klanten-lockbox voor een omgeving inschakelt, worden klantgegevens die aan de respectievelijke omgeving zijn gekoppeld, beschermd door het lockbox-beleid, ongeacht het opslagtype.

Opmerking

  • Momenteel zijn de toepassingen en services waarvoor het lockbox-beleid wordt afgedwongen zodra dit is ingeschakeld, Power Apps (met uitzondering van Cards voor Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Service, Sales (behalve gespreksinformatie), Community's, Gidsen, Verbonden Ruimten, Financiën (behalve Levenscyclusservices), Project Operations (behalve Levenscyclusservices), Supply Chain Management (behalve Levenscyclusservices), en het real-time marketinggebied van de Marketing-app.
  • Functies die worden aangestuurd door Azure OpenAI Service zijn uitgesloten van Lockbox-beleidshandhaving, tenzij er in de productdocumentatie voor een bepaalde functie staat dat Lockbox van toepassing is.
  • Nuance Conversational IVR is uitgesloten van de handhaving van het Lockbox-beleid, tenzij in de productdocumentatie voor een bepaalde functie vermeld staat dat Lockbox van toepassing is.
  • Welkomstinhoud voor maker is uitgesloten van de handhaving van het Lockbox-beleid.
  • Schakel Zoeken met Lucene.NET uit op uw website en ga naar Zoeken in Dataverse om Klanten-lockbox te kunnen gebruiken. Voor meer informatie, zie Portals zoeken met behulp van Lucene.NET zoekfunctie is afgeschaft.

Werkstroom

  1. Uw organisatie heeft een probleem met Microsoft Power Platform en opent een ondersteuningsaanvraag bij Microsoft Ondersteuning. Als alternatief identificeert Microsoft een probleem op proactieve wijze (er wordt bijvoorbeeld een proactieve melding geactiveerd) en wordt een door Microsoft geïnitieerde gebeurtenis geopend om de hoofdoorzaak te onderzoeken en te verhelpen of op te lossen.

  2. Een Microsoft-operator controleert de ondersteuningsaanvraag of gebeurtenis en probeert het probleem op te lossen met behulp van standaardhulpprogramma's en telemetrie. Als de operator toegang nodig heeft tot klantgegevens voor verdere probleemoplossing, start een Microsoft-technicus een intern goedkeuringsproces voor toegang tot klantgegevens, ongeacht of het lockbox-beleid is ingeschakeld.

  3. Als het respectieve gegevensarchief is gekoppeld aan een omgeving die is beveiligd volgens de activering van het lockbox-beleid, genereert het proces ook een lockbox-aanvraag. De aangewezen goedkeurders (Power Platform-beheerders) ontvangen een e-mailmelding over de aanvraag voor gegevenstoegang in behandeling van Microsoft.

    Belangrijk

    De Microsoft-technicus kan pas verdergaan met het onderzoek als de klant de lockbox-aanvraag goedkeurt. Deze goedkeuringsstap kan vertragingen veroorzaken bij het aanpakken van het ondersteuningsticket of langdurige storingen. Zorg ervoor dat u e-mailmeldingen en lockbox-aanvragen bewaakt in het Power Platform-beheercentrum. Reageer tijdig om serviceonderbrekingen te voorkomen.

    Een voorbeeld van een lockbox-aanvraag.

  4. De fiatteur meldt zich aan bij het Power Platform-beheercentrum en keurt de aanvraag goed. Als de fiatteur de aanvraag weigert of niet binnen vier dagen goedkeurt, verloopt de aanvraag en krijgt de Microsoft-technicus geen toegang.

  5. Nadat de fiatteur van uw organisatie de aanvraag goedkeurt, krijgt de Microsoft-technicus de verhoogde machtigingen die ze aanvankelijk hebben aangevraagd en lost het probleem op. Microsoft-technici hebben een vaste tijdsduur ( acht uur ) om het probleem op te lossen, waarna de toegang automatisch wordt ingetrokken.

Het lockbox-beleid inschakelen

Power Platform-beheerders kunnen het lockbox-beleid maken of bijwerken in het Power Platform-beheercentrum. Het inschakelen van beleid op tenantniveau is alleen van toepassing op omgevingen die zijn geactiveerd voor Beheerde omgevingen. Het kan tot 24 uur duren voordat alle gegevensbronnen en alle omgevingen klant-lockbox implementeren.

  1. Meld u aan bij het Power Platform-beheercentrum.
  2. Selecteer in het navigatiedeelvenster de optie Beheren.
  3. Selecteer tenantinstellingen in het deelvenster Beheren.
  4. Selecteer Customer Lockbox en selecteer Vervolgens Inschakelen.

Een Lockbox-aanvraag beoordelen

  1. Meld u aan bij het Power Platform-beheercentrum.

  2. Selecteer in het navigatiedeelvenster de optie Beveiliging.

  3. Selecteer Naleving in het deelvenster Beveiliging.

  4. Selecteer Klanten-lockbox op de pagina Naleving.

  5. Beoordeel de details van de aanvraag.

    Veld Beschrijving
    Id ondersteuningsaanvraag De id van het ondersteuningsticket dat is gekoppeld aan de lockbox-aanvraag. Als de aanvraag het resultaat is van een door Microsoft geïnitieerde interne waarschuwing, is de waarde 'Door Microsoft geïnitieerd'.
    Milieu De weergavenaam van de omgeving waarin gegevenstoegang wordt aangevraagd.
    -Status De status van de lockbox-aanvraag.
    • Actie vereist: in afwachting van goedkeuring van de klant
    • Verlopen: geen goedkeuring ontvangen van de klant
    • Goedgekeurd: goedgekeurd door de klant
    • Geweigerd: afgewezen door de klant
    Aangevraagd Het tijdstip waarop de Microsoft-engineer toegang heeft aangevraagd tot klantgegevens in de omgeving van de klant.
    Verlopen van aanvraag De tijd waarbinnen de klant de lockbox-aanvraag moet goedkeuren. De status van de aanvraag verandert in Verlopen als er op dat moment geen goedkeuring is gegeven.
    Toegangsperiode De tijdsduur dat de aanvrager toegang wil tot klantgegevens. Deze waarde is standaard 8 uur en kan niet worden gewijzigd.
    Verloop van toegang Als toegang wordt verleend, is dit de tijd tot wanneer de Microsoft-technicus toegang heeft tot klantgegevens.

  6. Selecteer een lockbox-aanvraag en selecteer vervolgens Goedkeuren of Weigeren.

    Lockbox-aanvragen goedkeuren of weigeren

    Opmerking

    De lockbox-aanvragen die in de afgelopen 28 dagen hebben plaatsgevonden, worden weergegeven in de tabel Recent.

    Als een aanvraag is goedgekeurd, kan deze niet worden ingetrokken voor de volledige duur van de toegangsperiode van 8 uur.

Lockbox-aanvragen controleren

Waarschuwing

Het schema dat in deze sectie wordt gedocumenteerd voor de lockbox-controlegebeurtenissen is verouderd en is vanaf juli 2024 niet meer beschikbaar. U kunt Klanten-lockbox-gebeurtenissen controleren met behulp van het nieuwe schema dat beschikbaar is in Activiteitscategorie: Lockbox-bewerkingen.

Acties met betrekking tot het accepteren, weigeren of verlopen van een lockbox-aanvraag worden automatisch geregistreerd in Microsoft 365 Defender.

Microsoft 365 Defender-pagina.

Audit-traceringen omvatten deze en andere velden voor elke lockbox-aanvraag:

  • Unieke id voor de aanvraag
  • Aanmaaktijd van aanvraag
  • Organisatie-id
  • Gebruikers-id (unieke identificatie voor de Microsoft-operator die de aanvraag uitvoert)
  • Aanvraagstatus
  • Id van gekoppeld ondersteuningsticket
  • Verlooptijd van aanvraag
  • Verlooptijd voor gegevenstoegang
  • Omgevings-id
  • Reden voor aanvraag

Het tabblad Audit van Microsoft 365 stelt beheerders in staat om gebeurtenissen te zoeken die verband houden met lockbox-sessies. Bekijk de categorie Power Platform-lockbox voor aan Power Platform gerelateerde lockbox-gebeurtenissen.

Selecteer de categorie Power Platform-lockbox.

Beheerders kunnen de resultatenset direct exporteren op basis van de filtercriteria.

Klanten-lockbox produceert twee typen auditlogboeken:

  1. Logboeken die worden geïnitieerd door Microsoft en overeenkomen met het maken of verlopen van een lockbox-aanvraag of het beëindigen van toegangssessies. Deze set auditlogboeken komt niet overeen met een specifieke gebruikers-id omdat de acties worden geïnitieerd door Microsoft.
  2. Logboeken die worden geïnitieerd door acties van eindgebruikers, zoals wanneer een gebruiker een lockbox-aanvraag goedkeurt of weigert. Als aan de gebruiker die deze bewerkingen uitvoert geen E5-licentie is toegewezen, worden de logboeken gefilterd en worden ze niet weergegeven in de auditlogboeken.

De auditlogs worden standaard één jaar lang bewaard. U hebt een invoegtoepassingslicentie voor het bewaren van auditlogboeken voor 10 jaar nodig om auditrecords 10 jaar te kunnen bewaren. Zie Audit (Premium) voor meer informatie over het bewaren van auditlogboeken.

Licentievereisten voor Klanten-lockbox

Het beleid voor Klanten-lockbox wordt alleen toegepast op omgevingen die zijn geactiveerd voor Beheerde omgevingen. Beheerde omgevingen is als een recht inbegrepen bij zelfstandige Power Apps-, Power Automate-, Microsoft Copilot Studio-, Power Pages- en Dynamics 365-licenties die premium-gebruiksrechten bieden. Zie Licenties en Overzicht van licenties voor Microsoft Power Platform voor meer informatie over licenties voor beheerde omgevingen.

Daarnaast vereist toegang tot Klanten-lockbox voor Microsoft Power Platform en Dynamics 365 dat gebruikers in de omgevingen waar het Lockbox-beleid wordt afgedwongen om een van deze abonnementen te hebben:

  • Microsoft 365 of Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5-compliance
  • Microsoft 365 F5-beveiliging en -compliance
  • Intern risicobeheer Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5-informatiebescherming en governance Meer informatie over toepasselijke licenties.

Uitsluitingen

  • Er worden geen Lockbox-aanvragen geactiveerd in de volgende technische ondersteuningsscenario's:

    • Noodscenario's die buiten de standaard operationele procedures vallen, zoals een grote servicestoring die onmiddellijke aandacht vereist om services te herstellen of opnieuw te activeren in onverwachte of onvoorspelbare gevallen. Deze break glass-gebeurtenissen zijn zeldzaam en vereisen in de meeste gevallen geen toegang tot klantgegevens om ze op te lossen.

    • Een Microsoft-technicus heeft toegang tot het onderliggende platform als onderdeel van het oplossen van problemen en wordt onbedoeld blootgesteld aan klantgegevens. Het komt zelden voor dat dergelijke scenario's leiden tot toegang tot betekenisvolle hoeveelheden klantgegevens.

  • Klanten-lockbox-aanvragen worden ook niet geactiveerd door externe wettelijke eisen voor gegevens. Zie de bespreking van overheidsaanvragen voor gegevens in het Microsoft Vertrouwenscentrum voor details.

  • Klanten-lockbox is niet van toepassing op de toegang tot en handmatige beoordeling van klantgegevens die worden gedeeld voor Copilot AI-functies. Klanten-lockbox blijft ingeschakeld voor alle gegevens die in het bereik vallen.

Bekende problemen

  • Migratie van tenant naar tenant wordt niet ondersteund wanneer Klanten-lockbox is ingeschakeld. U moet Klanten-lockbox uitschakelen om een omgeving naar een andere tenant te verplaatsen. U kunt Klanten lockbox opnieuw inschakelen zodra de migratie is voltooid.
  • Last updated on