Delen via

Veilig toegang krijgen tot klantgegevens met behulp van Klanten-lockbox in Power Platform en Dynamics 365

Voor de meeste bewerkingen, ondersteuning en probleemoplossing die worden uitgevoerd door Microsoft-personeel (inclusief subverwerkers) is geen toegang tot klantgegevens vereist. Met Power Platform Klanten-lockbox bieden we een interface voor de klanten voor het beoordelen en goedkeuren (of afwijzen) van gegevenstoegang in het zeldzame geval dat gegevenstoegang tot klantgegevens nodig is. Het wordt gebruikt in gevallen waarin een Microsoft-technicus toegang nodig heeft tot klantgegevens, of dit nu is als reactie op een door de klant geïnitieerd ondersteuningsticket of een door Microsoft vastgesteld probleem.

In dit artikel wordt beschreven hoe u Klanten-lockbox inschakelt en hoe lockbox-aanvragen worden geïnitieerd, gevolgd en opgeslagen voor latere beoordelingen en audits.

Opmerking

Klanten-lockbox is beschikbaar in openbare clouds en regio's van de US Government Community Cloud (GCC), GCC High en het Department of Defense (DoD).

Overzicht

U kunt Klanten-lockbox inschakelen voor uw gegevensbronnen binnen uw tenant. Het inschakelen van Klanten-lockbox zorgt ervoor dat beleid alleen wordt afgedwongen voor omgevingen die zijn geactiveerd voor Beheerde omgevingen. Power Platform-beheerders kunnen het lockbox-beleid inschakelen.

Ga naar Het lockbox-beleid inschakelen voor meer informatie.

In het zeldzame geval dat Microsoft probeert toegang te krijgen tot klantgegevens die zijn opgeslagen in Power Platform (bijvoorbeeld Dataverse), wordt een lockbox-aanvraag naar de Power Platform-beheerders verzonden ter goedkeuring. Ga naar Een Lockbox-aanvraag beoordelen voor meer informatie.

Alle updates van een lockbox-aanvraag worden vastgelegd en als auditlogboeken beschikbaar gesteld aan uw organisatie. Ga naar Lockbox-aanvragen controleren voor meer informatie.

In toepassingen en services van Power Platform en Dynamics 365 worden klantgegevens opgeslagen in verschillende Azure-opslagtechnologieën. Wanneer u Klanten-lockbox voor een omgeving inschakelt, worden klantgegevens die aan de respectievelijke omgeving zijn gekoppeld, beschermd door het lockbox-beleid, ongeacht het opslagtype.

Opmerking

  • Momenteel zijn de toepassingen en services waarvoor lockbox-beleid wordt afgedwongen nadat het is ingeschakeld Power Apps (met uitzondering van Kaarten voor Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Service, Sales (met uitzondering van Gespreksinformatie), Community's, Guides, Connected Spaces, Finance (met uitzondering van Lifecycle Services), Project Operations (met uitzondering van Lifecycle Services), Supply Chain Management (met uitzondering van Lifecycle Services) en het gebied van de functie voor realtime marketing van de Marketing-app.
  • Functies die worden aangestuurd door Azure OpenAI Service zijn uitgesloten van Lockbox-beleidshandhaving, tenzij er in de productdocumentatie voor een bepaalde functie staat dat Lockbox van toepassing is.
  • Nuance Conversational IVR is uitgesloten van de handhaving van het Lockbox-beleid, tenzij in de productdocumentatie voor een bepaalde functie vermeld staat dat Lockbox van toepassing is.
  • Welkomstinhoud voor maker is uitgesloten van de handhaving van het Lockbox-beleid.
  • Schakel Zoeken met Lucene.NET uit op uw website en ga naar Zoeken in Dataverse om Klanten-lockbox te kunnen gebruiken. Meer informatie: Zoeken in portals met Lucene.NET is verouderd.

Werkstroom

  1. Uw organisatie heeft een probleem met Microsoft Power Platform en opent een ondersteuningsaanvraag bij Microsoft Ondersteuning. Als alternatief identificeert Microsoft een probleem op proactieve wijze (er wordt bijvoorbeeld een proactieve melding geactiveerd) en wordt een door Microsoft geïnitieerde gebeurtenis geopend om de hoofdoorzaak te onderzoeken en te verhelpen of op te lossen.

  2. Een Microsoft-operator beoordeelt de ondersteuningsaanvraag/-gebeurtenis en probeert het probleem op te lossen met behulp van standaardhulpprogramma's en telemetrie. Als toegang tot klantgegevens nodig is voor verdere probleemoplossing, start een Microsoft-technicus een intern goedkeuringsproces voor toegang tot klantgegevens, ongeacht of het lockbox-beleid is ingeschakeld of niet.

  3. Bovendien wordt een lockbox-verzoek gegenereerd als de respectievelijke gegevensopslag is gekoppeld aan een omgeving die is beveiligd volgens de activering van het lockbox-beleid. Er wordt een e-mailmelding naar de aangewezen goedkeurders verzonden (Power Platform-beheerders en -beheerders) over de openstaande aanvraag voor toegang tot gegevens van Microsoft.

    Belangrijk

    De Microsoft-technicus kan pas doorgaan met het onderzoek als het lockbox-verzoek is goedgekeurd door de klant. Dit kan vertragingen bij het afhandelen van het ondersteuningsticket of langdurige uitval veroorzaken. Zorg ervoor dat u e-mailmeldingen en/of lockbox-aanvragen controleert in het Power Platform-beheercentrum en tijdig reageert om serviceonderbrekingen te voorkomen.

    Een voorbeeld van een lockbox-aanvraag.

  4. De fiatteur meldt zich aan bij het Power Platform-beheercentrum en keurt de aanvraag goed. Als de aanvraag wordt afgewezen of niet binnen vier dagen wordt goedgekeurd, verloopt deze en wordt er geen toegang verleend aan de Microsoft-technicus.

  5. Nadat de fiatteur van uw organisatie de aanvraag heeft goedgekeurd, verkrijgt de Microsoft-technicus de verhoogde machtigingen die aanvankelijk waren aangevraagd en lost hij uw probleem op. Technici van Microsoft hebben een bepaalde tijd - 8 uur - om het probleem op te lossen, waarna de toegang automatisch wordt ingetrokken.

Het lockbox-beleid inschakelen

Power Platform-beheerders kunnen het lockbox-beleid maken of bijwerken in het Power Platform-beheercentrum. Het inschakelen van beleid op tenantniveau is alleen van toepassing op omgevingen die zijn geactiveerd voor Beheerde omgevingen. Het kan tot 24 uur duren voordat alle gegevensbronnen en alle omgevingen zijn geïmplementeerd met Klanten-lockbox.

  1. Meld u aan bij het Power Platform-beheercentrum.
  2. Selecteer in het navigatiedeelvenster de optie Beheren.
  3. Selecteer tenantinstellingen in het deelvenster Beheren.
  4. Selecteer Customer Lockbox en selecteer Vervolgens Inschakelen.

Een Lockbox-aanvraag beoordelen

  1. Meld u aan bij het Power Platform-beheercentrum.

  2. Selecteer in het navigatiedeelvenster de optie Beveiliging.

  3. Selecteer Naleving in het deelvenster Beveiliging.

  4. Selecteer Klanten-lockbox op de pagina Naleving.

  5. Beoordeel de details van de aanvraag.

    Veld Beschrijving
    Id ondersteuningsaanvraag De id van het ondersteuningsticket dat is gekoppeld aan de lockbox-aanvraag. Als de aanvraag het resultaat is van een door Microsoft geïnitieerde interne waarschuwing, is de waarde Door Microsoft geïnitieerd.
    Milieu De weergavenaam van de omgeving waarin gegevenstoegang wordt aangevraagd.
    -Status De status van de lockbox-aanvraag.
    • Actie vereist: in afwachting van goedkeuring van de klant
    • Verlopen: geen goedkeuring ontvangen van de klant
    • Goedgekeurd: goedgekeurd door de klant
    • Geweigerd: afgewezen door de klant
    Aangevraagd Het tijdstip waarop de Microsoft-technicus toegang heeft gevraagd tot klantgegevens in de omgeving van de klant.
    Verlopen van aanvraag De tijd waarbinnen de klant de lockbox-aanvraag moet goedkeuren. De status van de aanvraag verandert in Verlopen als er op dat moment geen goedkeuring is gegeven.
    Toegangsperiode De tijdsduur dat de aanvrager toegang wil tot klantgegevens. Deze waarde is standaard 8 uur en kan niet worden gewijzigd.
    Verloop van toegang Als toegang wordt verleend, is dit de tijd tot wanneer de Microsoft-technicus toegang heeft tot klantgegevens.

  6. Selecteer een lockbox-aanvraag en selecteer vervolgens Goedkeuren of Weigeren.

    Lockbox-aanvragen goedkeuren of weigeren

    Opmerking

    De lockbox-aanvragen die in de afgelopen 28 dagen hebben plaatsgevonden, worden weergegeven in de tabel Recent.

    Als een aanvraag is goedgekeurd, kan deze niet worden ingetrokken voor de volledige duur van de toegangsperiode van 8 uur.

Lockbox-aanvragen controleren

Waarschuwing

Het schema dat in deze sectie wordt gedocumenteerd voor de lockbox-controlegebeurtenissen is verouderd en is vanaf juli 2024 niet meer beschikbaar. U kunt Klanten-lockbox-gebeurtenissen controleren met behulp van het nieuwe schema dat beschikbaar is in Activiteitscategorie: Lockbox-bewerkingen.

Acties met betrekking tot het accepteren, weigeren of verlopen van een lockbox-aanvraag worden automatisch geregistreerd in Microsoft 365 Defender.

Microsoft 365 Defender-pagina.

Audit-traceringen omvatten deze en andere velden voor elke lockbox-aanvraag:

  • Unieke id voor de aanvraag
  • Aanmaaktijd van aanvraag
  • Organisatie-id
  • Gebruikers-id (unieke identificatie voor de Microsoft-operator die de aanvraag uitvoert)
  • Aanvraagstatus
  • Id van gekoppeld ondersteuningsticket
  • Verlooptijd van aanvraag
  • Verlooptijd voor gegevenstoegang
  • Omgevings-id
  • Reden voor aanvraag

Het tabblad Audit van Microsoft 365 stelt beheerders in staat om gebeurtenissen te zoeken die verband houden met lockbox-sessies. Bekijk de categorie Power Platform-lockbox voor aan Power Platform gerelateerde lockbox-gebeurtenissen.

Selecteer de categorie Power Platform-lockbox.

Beheerders kunnen de resultatenset direct exporteren op basis van de filtercriteria.

Klanten-lockbox produceert twee typen auditlogboeken:

  1. Logboeken die worden geïnitieerd door Microsoft en overeenkomen met het maken of verlopen van een lockbox-aanvraag of het beëindigen van toegangssessies. Deze set auditlogboeken komt niet overeen met een specifieke gebruikers-id omdat de acties worden geïnitieerd door Microsoft.
  2. Logboeken die worden geïnitieerd door acties van eindgebruikers, zoals wanneer een gebruiker een lockbox-aanvraag goedkeurt of weigert. Als aan de gebruiker die deze bewerkingen uitvoert geen E5-licentie is toegewezen, worden de logboeken gefilterd en worden ze niet weergegeven in de auditlogboeken.

De auditlogs worden standaard één jaar lang bewaard. U hebt een invoegtoepassingslicentie voor het bewaren van auditlogboeken voor 10 jaar nodig om auditrecords 10 jaar te kunnen bewaren. Zie Audit (Premium) voor meer informatie over het bewaren van auditlogboeken.

Licentievereisten voor Klanten-lockbox

Het beleid voor Klanten-lockbox wordt alleen toegepast op omgevingen die zijn geactiveerd voor Beheerde omgevingen. Beheerde omgevingen is als een recht inbegrepen bij zelfstandige Power Apps-, Power Automate-, Microsoft Copilot Studio-, Power Pages- en Dynamics 365-licenties die premium-gebruiksrechten bieden. Zie Licenties en Overzicht van licenties voor Microsoft Power Platform voor meer informatie over licenties voor beheerde omgevingen.

Daarnaast vereist toegang tot Klanten-lockbox voor Microsoft Power Platform en Dynamics 365 dat gebruikers in de omgevingen waar het Lockbox-beleid wordt afgedwongen om een van deze abonnementen te hebben:

  • Microsoft 365 of Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5-compliance
  • Microsoft 365 F5-beveiliging en -compliance
  • Intern risicobeheer Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5-informatiebescherming en governance Meer informatie over toepasselijke licenties.

Uitsluitingen

  • Er worden geen Lockbox-aanvragen geactiveerd in de volgende technische ondersteuningsscenario's:

    • Noodscenario's die buiten de standaard operationele procedures vallen, zoals een grote servicestoring die onmiddellijke aandacht vereist om services te herstellen of opnieuw te activeren in onverwachte of onvoorspelbare gevallen. Dergelijke noodgevallen zijn zeldzaam en vereisen in de meeste gevallen geen toegang tot klantgegevens om op te lossen.

    • Een Microsoft-technicus heeft toegang tot het onderliggende platform als onderdeel van het oplossen van problemen en wordt onbedoeld blootgesteld aan klantgegevens. Het komt zelden voor dat dergelijke scenario's leiden tot toegang tot betekenisvolle hoeveelheden klantgegevens.

  • Klanten-lockbox-aanvragen worden ook niet geactiveerd door externe wettelijke eisen voor gegevens. Zie de bespreking van overheidsaanvragen voor gegevens in het Microsoft Vertrouwenscentrum voor details.

  • Klanten-lockbox is niet van toepassing op de toegang tot en handmatige beoordeling van klantgegevens die worden gedeeld voor Copilot AI-functies. Klanten-lockbox blijft ingeschakeld voor alle gegevens die in het bereik vallen.

Bekende problemen

  • Migratie van tenant naar tenant wordt niet ondersteund wanneer Klanten-lockbox is ingeschakeld. U moet Klanten-lockbox uitschakelen om een omgeving naar een andere tenant te verplaatsen. U kunt Klanten lockbox opnieuw inschakelen zodra de migratie is voltooid.
  • Last updated on