Accesați în siguranță datele clienților folosind Customer Lockbox în Power Platform și Dynamics 365
Cele mai multe operațiuni, asistență și depanare efectuate de Microsoft personal (inclusiv subprocesori) nu necesită acces la datele clienților. Cu Customer Lockbox în Power Platform, oferim o interfață în care clienții pot revizui și aproba (sau respinge) solicitările de acces la date în rarele ocazii când este necesar accesul la date la datele clienților. Este folosit în cazurile în care un Microsoft inginer trebuie să acceseze datele clienților, fie în răspuns la un bilet de asistență inițiat de client sau la o problemă identificată de Microsoft.
Acest articol arată cum să activați Customer Lockbox și cum sunt inițiate, urmărite și stocate cererile de lockbox pentru revizuiri și auditări ulterioare.
Notă
Customer Lockbox este disponibil în cloud-urile publice și în regiunile US Government Community Cloud (GCC), GCC High și Departamentul de Apărare (DoD).
Rezumat
Puteți activa Customer Lockbox pentru sursele dvs. de date din cadrul entității dvs. găzduite. Activarea Customer Lockbox va aplica politica numai pentru mediile care sunt activate pentru Medii gestionate. Power Platform administratorii pot activa politica de blocare.
Pentru mai multe informații, accesați Activați politica lockbox.
În rarele ocazii în care Microsoft încearcă să acceseze datele clienților care sunt stocate în Power Platform (de exemplu, Dataverse), o solicitare de blocare este trimisă către Power Platform administratori pentru aprobare. Pentru mai multe informații, accesați Examinați o solicitare lockbox.
Toate actualizările unei cereri de lockbox sunt înregistrate și puse la dispoziție organizației dvs. sub formă de jurnale de audit. Pentru mai multe informații, accesați Solicitările de audit pentru lockbox.
Power Platform iar aplicațiile și serviciile Dynamics 365 stochează datele clienților în mai multe tehnologii de stocare Azure. Când activați Customer Lockbox pentru un mediu, datele clienților asociate cu mediul respectiv sunt protejate de politica lockbox, indiferent de tipul de stocare.
Notă
- În prezent, aplicațiile și serviciile în care politica de blocare va fi aplicată odată activată sunt Power Apps (cu excepția Carduri pentru Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (excluzând funcțiile GPT AI și Agent Builder), Dataverse, Customer Insights, serviciu pentru relații cu clienții, comunități, ghiduri, spații conectate, Finanțe (cu excepția serviciilor ciclului de viață), operațiunilor de proiect (cu excepția serviciilor ciclului de viață), managementul lanț de aprovizionare (cu excepția serviciilor ciclului de viață) și zona de funcții marketing în timp real a aplicației de marketing.
- Funcțiile oferite de Azure OpenAI Service sunt excluse din aplicarea politicii Lockbox, cu excepția cazului în care documentația produsului pentru o anumită caracteristică precizează că se aplică Lockbox.
- Nuance Conversational IVR este exclus din aplicarea politicii Lockbox, cu excepția cazului în care documentația produsului pentru o anumită caracteristică precizează că Lockbox se aplică.
- Conținutul de bun venit Maker este exclus din aplicarea politicii Lockbox.
- Trebuie să dezactivați căutarea Lucene.NET de pe site-ul dvs. și să treceți la Dataverse Căutare pentru a putea folosi Caseta de blocare a clienților. Mai multe informații: Căutarea în portaluri folosind căutarea Lucene.NET este învechită.
Workflow
Organizația dvs. are o problemă cu Microsoft Power Platform și deschide o solicitare de asistență cu Microsoft Asistență. Alternativ, Microsoft identifică proactiv o problemă (de exemplu, se declanșează o notificare proactivă) și se deschide un eveniment inițiat de Microsoft pentru a investiga și a atenua sau a remedia cauza principală.
Un Microsoft operator examinează solicitarea/evenimentul de asistență și încearcă să depaneze problema utilizând instrumente standard și telemetrie. Dacă este necesar accesul la datele clienților pentru depanare ulterioară, un Microsoft inginer declanșează un proces intern de aprobare pentru accesul la datele clienților, indiferent dacă politica de blocare este activată sau nu.
În plus, este generată o solicitare de lockbox dacă respectivul depozit de date este asociat cu un mediu protejat conform politicii de activare a lockboxului. O notificare prin e-mail este trimisă aprobatorilor desemnați (Power Platform administratori) despre solicitarea de acces la date în așteptare de la Microsoft.
Important
Microsoft Inginerul nu va putea continua cu investigația până când solicitarea casetei de blocare nu este aprobată de client. Acest lucru ar putea cauza întârzieri în abordarea tichetului de asistență sau întreruperi prelungite. Asigurați-vă că monitorizați notificările prin e-mail și/sau solicitările de blocare în centrul de administrare Power Platform și răspundeți în timp util pentru a evita întreruperile serviciului.
Aprobatorul se conectează la centrul de administrare Power Platform și aprobă solicitarea. Dacă cererea este respinsă sau nu este aprobată în termen de patru zile, aceasta expiră și nu i se acordă acces Microsoft inginerului.
După ce aprobatorul din organizația dvs. aprobă solicitarea, Microsoft inginerul obține permisiunile ridicate care au fost solicitate inițial și remediază problema dvs. Microsoft inginerii au o anumită perioadă de timp - 8 ore - pentru a remedia problema, după care accesul este revocat automat.
Activați politica lockbox
Power Platform administratorii pot crea sau actualiza politica de blocare în Power Platform centrul de administrare. Activarea politicii la nivel de chiriaș se va aplica numai mediilor care sunt activate pentru Medii gestionate. Poate dura până la 24 de ore pentru ca toate sursele de date și toate mediile să fie implementate cu Customer Lockbox.
Conectați-vă la Centrul de administrare Power Platform.
Utilizați pagina Setări entitate găzduită pentru a revizui și gestiona setările la nivel de entitate găzduită. Pentru a vedea setările la nivel de chiriaș, selectați pictograma roată () din colțul din dreapta sus al Microsoft Power Platform site-ului și selectați Power Platform setări>Setări>Setări chiriași în panoul de navigare din stânga.
Setați Cutie de blocare pentru client la Activați.
Examinați o solicitare lockbox
Conectați-vă la Centrul de administrare Power Platform.
Selectați Politis>Customer Lockbox.
Examinați detaliile solicitării.
Câmp Descriere ID solicitare de asistență ID-ul tichetului de asistență asociat cu cererea lockbox. Dacă solicitarea este rezultatul unei alerte interne inițiate de Microsoft, valoarea va fi „Microsoft inițiată”. Mediu Numele afișat al mediului în care este solicitat accesul la date. Status Starea solicitării lockbox.
- Acțiune necesară: în așteptarea aprobării din partea clientului
- Expirat: nu a primit nicio aprobare de la client
- Aprobat: Aprobat de client
- Refuzat: refuzat de client
Solicitat Momentul la care Microsoft inginerul a solicitat acces la datele clienților din mediul clientului. Expirare solicitare Ora până la care clientul trebuie să aprobe cererea de lockbox. Starea solicitării se va schimba în Expirată dacă nu se acordă aprobare până la această oră. Perioadă de acces Perioada de timp în care solicitantul dorește să acceseze datele clienților. Această valoare este implicit de 8 ore și nu poate fi modificată. Expirare acces Dacă accesul este acordat, acesta este timpul până la care Microsoft inginerul are acces la datele clienților. Selectați o solicitare lockbox, apoi selectați Aprobați sau Refuzați.
Notă
Solicitările din caseta lockbox care au apărut în ultimele 28 de zile sunt afișate în tabelul Recente.
După ce o solicitare este aprobată, ea nu poate fi revocată pe întreaga durată a perioadei de acces, de 8 ore.
Solicitări de audit lockbox
Avertisment
Schema documentată în această secțiune pentru evenimentele de auditare a casetei de blocare este învechită și nu va fi disponibilă începând cu iulie 2024. Puteți audita evenimentele Customer Lockbox folosind noua schemă disponibilă la Categoria de activitate: Operațiuni Lockbox.
Acțiunile legate de acceptarea, respingerea sau expirarea unei cereri de lockbox sunt înregistrate automat în Microsoft 365 Defender.
Trasajele de audit includ aceste câmpuri și altele, pentru fiecare solicitare de lockbox:
- Identificator unic pentru solicitare
- Ora creării solicitării
- ID organizație
- ID utilizator (identificator unic pentru Microsoft operatorul care efectuează solicitarea)
- Stare solicitare
- ID-ul tichetului de asistență asociat
- Ora de expirare a solicitării
- Ora de expirare a accesului la date
- ID mediu
- Justificarea solicitării
Fila Microsoft 365 Audit permite administratorilor să caute evenimente asociate cu sesiunile lockbox. Vizualizați categoria Power Platform Lockbox pentru evenimente Power Platform legate de lockbox.
Administratorii pot exporta direct setul de rezultate pe baza criteriilor de filtrare.
Customer Lockbox produce două tipuri de jurnale de audit:
- Jurnalele care sunt inițiate de Microsoft și corespund cererii de blocare care sunt create, au expirat sau când sesiunile de acces se încheie. Acest set de jurnale de audit nu corespunde unui anumit ID de utilizator, deoarece acțiunile sunt inițiate de Microsoft.
- Jurnalele care sunt inițiate de acțiuni ale utilizatorului final, cum ar fi atunci când un utilizator aprobă sau respinge o solicitare de blocare. Dacă utilizatorul care efectuează aceste operațiuni nu are o licență E5 atribuită, jurnalele sunt filtrate și nu vor apărea în jurnalele de audit.
În mod implicit, jurnalele de audit sunt păstrate pe o durată de un an. Aveți nevoie de o licență suplimentară de 10 ani pentru păstrarea jurnalului de audit pentru a păstra înregistrările de audit timp de 10 ani. Consultați Audit (Premium) pentru mai multe detalii despre păstrarea jurnalelor de audit.
Cerințe de licențiere pentru Customer Lockbox
Politica Customer Lockbox va fi aplicată numai pe mediile care sunt activate pentru mediile gestionate. Medii gestionate este inclus ca drept în licențele autonome Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages și Dynamics 365 care oferă drepturi de utilizare premium. Pentru a afla mai multe despre licențele pentru Mediu gestionat, consultați Licențiere și Prezentare generală privind licențele pentru Microsoft Power Platform.
În plus, accesul la Customer Lockbox pentru Microsoft Power Platform și Dynamics 365 necesită ca utilizatorii din mediile în care este aplicată politica Lockbox să aibă oricare dintre aceste abonamente:
- Microsoft 365 sau Office 365 A5/E5/G5
- Conformitate Microsoft 365 A5/E5/F5/G5
- Securitate și conformitate Microsoft 365 F5
- Gestionarea riscurilor interne Microsoft 365 A5/E5/F5/G5
- Microsoft 365 A5/E5/F5/G5 Protecția și guvernarea informațiilor Aflați mai multe despre licențele aplicabile.
Excluderi
Solicitările lockbox nu sunt declanșate în următoarele scenarii de asistență tehnică:
Scenarii de urgență care nu se încadrează în procedurile standard de operare, cum ar fi o întrerupere majoră a serviciului care necesită o atenție imediată pentru recuperarea sau restabilirea serviciilor în cazuri neașteptate sau imprevizibile. Aceste evenimente „de urgență” sunt rare și, în majoritatea cazurilor, nu necesită acces la datele clienților pentru a fi rezolvate.
Un Microsoft inginer accesează platforma de bază ca parte a depanării și este expus din neatenție la datele clienților. Este rar ca astfel de scenarii să ducă la accesarea unor cantități semnificative de date despre clienți.
De asemenea, solicitările Customer Lockbox ale clienților nu sunt declanșate de solicitări legale externe pentru date. Pentru detalii, consultați discuția privind cererile guvernamentale de date din Microsoft Centrul de încredere.
Customer Lockbox nu se va aplica accesului și revizuirii manuale a datelor clienților partajate pentru funcțiile Copilot AI. Caseta de blocare a clientului va rămâne activată pentru toate datele din domeniu.
Probleme cunoscute
- Migrarea de la o entitate găzduită la alta nu este acceptată atunci când este activat Customer Lockbox. Trebuie să dezactivați Customer Lockbox pentru a muta un mediu în altă entitate găzduită. Puteți reactiva Customer Lockbox odată ce migrarea este finalizată.