Udostępnij przez

Bezpieczny dostęp do danych klientów przy użyciu skrytki klienta w usługach Power Platform i Dynamics 365

Większość operacji, pomocy technicznej i rozwiązywania problemów wykonywanych przez personel firmy Microsoft (w tym podwykonawcy) nie wymaga dostępu do danych klienta. Korzystając z blokady klienta platformy Power Platform, klienci mogą przeglądać i zatwierdzać (lub odrzucać) żądania dostępu do danych w rzadkich przypadkach, gdy firma Microsoft potrzebuje dostępu do danych klientów. Użyj go w przypadkach, w których inżynier firmy Microsoft musi uzyskać dostęp do danych klientów, niezależnie od tego, czy jest on odpowiedzią na bilet pomocy technicznej zainicjowany przez klienta, czy problem zidentyfikowany przez firmę Microsoft.

W tym artykule omówiono, jak włączyć skrytkę klienta i jak żądania skrytki są inicjowane, śledzone i przechowywane do późniejszych przeglądów i audytów.

Uwaga

Usługa Skrytka klienta jest dostępna w chmurze publicznej oraz w usługach regionów US Government Community Cloud (GCC, GCC High) i Department of Defense (DoD).

Podsumowanie

Skrzynkę blokowania klientów można włączyć dla źródeł danych w ramach dzierżawcy. Włączenie skrytki klienta wymusza stosowanie tych zasad tylko dla środowisk, które są aktywowane dla środowisk zarządzanych. Administratorzy platformy Power Platform mogą włączyć zasady skrytki.

Aby uzyskać więcej informacji, zobacz Włącz zasady skrytki.

W rzadkich przypadkach, gdy Microsoft próbuje uzyskać dostęp do danych klientów przechowywanych na platformie Power Platform (na przykład Dataverse), żądanie dotyczące skrytki jest wysyłane do administratorów platformy Power Platform w celu zatwierdzenia. Aby uzyskać więcej informacji, zobacz Przegląd żądania skrzynki.

Wszystkie aktualizacje żądania skrzynki odbiorczej są rejestrowane i udostępniane organizacji jako dzienniki inspekcji. Aby uzyskać więcej informacji, zobacz Audit lockbox requests (Inspekcja żądań skrytki).

Aplikacje Power Platform i Dynamics 365 przechowują dane klientów w kilku technologiach magazynu Azure. Po włączeniu pola Customer Lockbox dla środowiska dane klientów skojarzone z odpowiednim środowiskiem są chronione przez zasady skrzynki odbiorczej, niezależnie od typu magazynu.

Uwaga

  • Obecnie aplikacje i usługi, w których są wymuszane zasady skrytki po włączeniu, to Power Apps (z wyłączeniem kart w ramach Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Service, Sales (z wyjątkiem analizy konwersacji), Communities, Guides, Connected Spaces, Finanse (z wyjątkiem usług cyklu życia), Operacje Projektu (z wyjątkiem usług cyklu życia), Zarządzanie Łańcuchem Dostaw (z wyjątkiem usług cyklu życia) oraz obszar funkcji marketingu w czasie rzeczywistym w aplikacji Marketing.
  • Funkcje obsługiwane przez usługę Azure OpenAI Service są wyłączone z funkcji wymuszania zasad Lockbox, chyba że dokumentacja produktu dla danej funkcji stanowi, że stosowana jest funkcja Lockbox.
  • Funkcje obsługiwane przez usługę konwersacji Nuance IVR są wyłączone z wymuszania zasad skrytki, chyba że dokumentacja produktu dla danej funkcji stanowi, że stosowana jest skrytka.
  • Zawartość powitalna dla twórców jest wyłączona z wymuszania zasad skrytki.
  • Należy wyłączyć wyszukiwanie Lucene.NET w witrynie i przejść do wyszukiwania Dataverse, by włączyć Skrytkę klienta. Aby uzyskać więcej informacji, zobacz Wyszukiwanie w portalach przy użyciu wyszukiwania Lucene.NET jest przestarzałe.

Workflow

  1. Organizacja ma problem z pomocą techniczną Microsoft Power Platform i otwiera zgłoszenie pomocy technicznej Microsoft. Firma Microsoft aktywnie identyfikuje problem (na przykład jest wyzwalane aktywne powiadomienie), a zdarzenie zainicjowane przez firmę Microsoft jest otwierane w celu zbadania i zawęzienia lub rozwiązania głównej przyczyny.

  2. Operator firmy Microsoft przegląda żądanie pomocy technicznej lub zdarzenie i próbuje rozwiązać problem przy użyciu standardowych narzędzi i telemetrii. Jeśli operator potrzebuje dostępu do danych klienta w celu dalszego rozwiązywania problemów, inżynier firmy Microsoft uruchamia wewnętrzny proces zatwierdzania dostępu do danych klientów, niezależnie od tego, czy zasady skrytki są włączone.

  3. Jeśli odpowiedni magazyn danych jest skojarzony ze środowiskiem chronionym zgodnie z zasadami aktywacji skrytki, proces generuje również żądanie skrytki. Wyznaczone osoby zatwierdzające (administratorzy platformy Power Platform) otrzymują powiadomienie e-mail dotyczące oczekującego żądania dostępu do danych od firmy Microsoft.

    Ważne

    Inżynier firmy Microsoft nie może kontynuować swojego dochodzenia, dopóki klient nie zatwierdzi żądania lockbox. Ten krok zatwierdzania może spowodować opóźnienia w rozwiązywaniu problemu z biletem pomocy technicznej lub długotrwałymi awariami. Upewnij się, że monitorujesz powiadomienia e-mail i żądania dostępu do skrytki w centrum administracyjnym platformy Power Platform. Należy reagować w odpowiednim czasie, aby uniknąć przerw w działaniu usługi.

    Przykładowe żądanie skrzynki odbiorczej.

  4. Osoba zatwierdzająca podpisuje się w centrum administracyjnym platformy Power Platform i zatwierdza żądanie. Jeśli osoba zatwierdzająca odrzuci żądanie lub nie zatwierdzi go w ciągu czterech dni, żądanie wygaśnie, a inżynier firmy Microsoft nie uzyska dostępu.

  5. Gdy osoba zatwierdzająca z organizacji zatwierdzi żądanie, inżynier firmy Microsoft otrzyma podniesione uprawnienia, których początkowo zażądał, i rozwiąże problem. Inżynierowie firmy Microsoft mają ustawiony czas — osiem godzin — aby rozwiązać problem, po którym dostęp zostanie automatycznie odwołany.

Włączanie zasad blokowania

Administratorzy globalni Power Platform mogą tworzyć i aktualizować zasady blokowania skrytek w centrum administracyjnym Power Platform. Włączenie zasad na poziomie dzierżawcy ma zastosowanie tylko do środowisk, które są aktywowane dla środowisk zarządzanych. Wdrożenie skrytki klienta we wszystkich źródłach danych i środowiskach może potrwać do 24 godzin.

  1. Zaloguj się do centrum administracyjnego Power Platform.
  2. W okienku nawigacji wybierz pozycję Zarządzaj.
  3. W panelu Zarządzania wybierz pozycję Ustawienia dzierżawy.
  4. Wybierz pozycję Skrytka klienta, a następnie wybierz pozycję Włącz.

Przejrzyj prośbę o skrytkę

  1. Zaloguj się do centrum administracyjnego Power Platform.

  2. W okienku nawigacji, wybierz Zabezpieczenia.

  3. W okienku Zabezpieczenia wybierz pozycję Zgodność.

  4. Na stronie Zgodność wybierz pozycję Skrytka klienta.

  5. Przejrzyj szczegóły żądania.

    Pole Description
    Identyfikator żądania pomocy technicznej Identyfikator biletu pomocy technicznej skojarzonego z żądaniem skrzynki odbiorczej. Jeśli żądanie jest wynikiem wewnętrznego alertu zainicjowanego przez firmę Microsoft, wartość to "Zainicjowane przez firmę Microsoft".
    Environment To wyświetlana nazwa środowiska, w którym jest żądany dostęp do danych.
    Stan Stan żądania skrytki.
    • Wymagane działanie: oczekujące na zatwierdzenie przez klienta
    • Wygasły: nie otrzymano zatwierdzeń od klienta
    • Zatwierdzone: zatwierdzone przez klienta
    • Odmowa: odmowa przez klienta
    Zażądano Czas, w którym inżynier firmy Microsoft zażądał dostępu do danych klientów w środowisku klienta.
    Wygaśnięcie żądania Czas, w którym klient musi zatwierdzić żądanie skrzynki odbiorczej. Stan żądania zmienia się na Wygasły, jeśli w tym czasie nie zostanie wykonane żadne zatwierdzenie.
    Okres dostępu Czas, przez który żądanie chce uzyskać dostęp do danych klienta. Ta wartość wynosi domyślnie 8 godzin i nie można jej zmienić.
    Wygaśnięcie dostępu W przypadku przyznanego dostępu należy zaczekać na uzyskanie przez inżyniera firmy Microsoft dostępu do danych klienta.

  6. Wybierz żądanie skrzynki odbiorczej, a następnie wybierz opcję Zatwierdzanie lub Odmowa.

    Zatwierdzanie i odrzucanie żądań blokowania

    Uwaga

    Żądania skrzynki odbiorczej, które wystąpiły w ciągu ostatnich 28 dni, są wyświetlane w tabeli Ostatnie.

    Po zatwierdzeniu żądania nie można go cofnąć na cały czas trwania 8 godzin.

Kontrola prośby o skrytkę

Ostrzeżenie

Schemat udokumentowany w tej sekcji dla zdarzeń inspekcji skrytki jest przestarzały i nie będzie dostępny od lipca 2024 r. Zdarzenia funkcji Skrytki klienta można inspekcji, korzystając z nowego schematu dostępnego w Kategorii działania: operacje skrytki.

Akcje związane z akceptowaniem, odrzucaniem lub wygaśnięciu żądania skrytki są rejestrowane automatycznie w Microsoft 365 Defender.

Strona Microsoft 365 Defender.

Śledzenie inspekcji obejmuje następujące i inne pola dla każdego żądania skrzynki odbiorczej:

  • Unikalny identyfikator żądania
  • Czas utworzenia żądania
  • Identyfikator organizacji
  • Identyfikator użytkownika (unikatowy identyfikator operatora firmy Microsoft wykonującego żądanie)
  • Stan żądania
  • Powiązany identyfikator zgłoszenia pomocy technicznej
  • Czas wygaśnięcia żądania
  • Czas wygaśnięcia dostępu do danych
  • Identyfikator środowiska
  • Poproś o uzasadnienie

Karta Inspekcja w Microsoft 365 umożliwia administratorom wyszukiwanie zdarzeń skojarzonych z sesjami skrytki. Wyświetlanie kategorii Skrytka Power Platform pokrewnych zdarzeń Power Platform dotyczących skrytki.

Wybierz kategorię skrytki platformy Power Platform.

Administratorzy mogą bezpośrednio eksportować zestaw wyników na podstawie kryteriów filtrowania.

Skrytka klienta tworzy dwa typy dzienników inspekcji:

  1. Dzienniki zainicjowane przez firmę Microsoft i odpowiadające tworzonemu żądaniu skrytki, wygasłemu lub po zakończeniu sesji dostępu. Ten zestaw dzienników inspekcji nie odpowiada określonemu identyfikatorowi użytkownika, ponieważ akcje są inicjowane przez Microsoft.
  2. Dzienniki zainicjowane przez akcje użytkownika końcowego, na przykład kiedy użytkownik zatwierdzi lub odmówi żądaniu skrytki. Jeśli użytkownik, który wykonuje te operacje, nie ma przypisanej licencji E5, dzienniki są odfiltrowywane i nie będą wyświetlane w dziennikach inspekcji.

Domyślnie dzienniki inspekcji są przechowywane przez jeden rok. Do zachowania rekordów inspekcji przez 10 lat jest potrzebna 10-letnia licencja na przechowywanie dzienników inspekcji. Zobacz Inspekcja (Premium), aby uzyskać więcej szczegółowych informacji o przechowywaniu dzienników inspekcji.

Wymagania licencyjne dotyczące Skrytki klienta

Zasady skrytek klientów są wymuszane tylko w środowiskach, w których aktywowano obsługę aplikacji Środowiska zarządzane. Środowiska zarządzane są uwzględniane jako uprawnienie w samodzielnych licencjach Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages i Dynamics 365, które zapewniają prawa do użytkowania w warstwie Premium. Aby dowiedzieć się więcej o licencjonowaniu środowiska zarządzanego, zobacz Licencjonowanie i Przegląd licencjonowania dla Microsoft Power Platform.

Ponadto dostęp do korzystania ze skrytki klienta dla Microsoft Power Platform i Dynamics 365 wymaga, aby użytkownicy w środowiskach, w których wymuszane są zasady skrytki mieli jedną z tych subskrypcji:

  • Microsoft 365 lub Office 365 A5/E5/G5
  • Zgodność Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 — zabezpieczenia i zgodność
  • Zarządzanie ryzykiem wewnętrznym na platformie Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5 — ochrona informacji i nadzór Dowiedz się więcej na temat obowiązujących licencji.

Wykluczenia

  • Żądania skrzynki odbiorczej nie są wyzwalane w następujących scenariuszach pomocy technicznej:

    • Scenariusze, które nie są standardowymi procedurami operacyjnymi, na przykład głównymi awarii usług, które wymagają natychmiastowej uwagi w celu odzyskiwania i przywracania usług w nieoczekiwanych lub nieprzewidywnych przypadkach. Te zdarzenia "break glass" są rzadkie i w większości przypadków nie wymagają dostępu do danych klientów w celu rozwiązania problemu.

    • Inżynier firmy Microsoft uzyskuje dostęp do podstawowej platformy w ramach rozwiązywania problemów i zostanie przypadkowo wyeksponowany na dane klienta. Zdarza się, że takie scenariusze powinny powodować dostęp do znaczących ilości danych klientów.

  • Żądania usługi Customer Lockbox nie są również wyzwalane przez zewnętrzne wymagania prawne dotyczące danych. Szczegółowe informacje znajdują się w dyskusji na temat żądań ze stronie rządowych dotyczących danych w Centrum zaufania Microsoft.

  • Skrytka klienta nie będzie mieć zastosowania do dostępu i ręcznego przeglądu danych klienta udostępnianych dla funkcji AI Copilot. Skrytka klienta pozostaje włączona dla wszystkich danych w zakresie.

Znane problemy

  • Migracja dzierżawcy z dzierżawą nie jest obsługiwana, gdy jest włączone Pole blokowania klientów. Aby przenieść środowisko do innej dzierżawy, należy wyłączyć funkcję Skrytki klienta. Po zakończeniu migracji można ponownie włączyć pole skrytki klienta.
  • Last updated on