Accesați în siguranță datele clienților folosind Customer Lockbox în Power Platform și Dynamics 365

Majoritatea operațiunilor, asistenței și depanării efectuate de personalul Microsoft (inclusiv subcontractanții) nu necesită acces la datele clienților. Prin utilizarea Power Platform Customer Lockbox, clienții pot revizui și aproba (sau respinge) cererile de acces la date în rarele ocazii când Microsoft are nevoie de acces la datele clienților. Folosiți-l în cazurile în care un inginer Microsoft trebuie să acceseze datele clienților, fie ca răspuns la un tichet de suport inițiat de client, fie la o problemă identificată de Microsoft.

Acest articol arată cum să activați Customer Lockbox și cum sunt inițiate, urmărite și stocate cererile de lockbox pentru revizuiri și auditări ulterioare.

Notă

Customer Lockbox este disponibil în cloud-urile publice și în regiunile US Government Community Cloud (GCC), GCC High și Departamentul Apărării (DoD).

Rezumat

Puteți activa Customer Lockbox pentru sursele dvs. de date din cadrul entității dvs. găzduite. Activarea funcției Customer Lockbox aplică politica numai pentru mediile care sunt activate pentru *Medii gestionate* . Power Platform Administratorii pot activa politica lockbox.

Pentru mai multe informații, vezi Activează politica cutiei de siguranță.

În rarele ocazii în care Microsoft încearcă să acceseze datele clienților stocate în Power Platform (de exemplu, Dataverse), o solicitare de tip lockbox este trimisă administratorilor Power Platform pentru aprobare. Pentru mai multe informații, vezi Revizuiește o cerere de lockbox.

Toate actualizările unei cereri de lockbox sunt înregistrate și puse la dispoziție organizației dvs. sub formă de jurnale de audit. Pentru mai multe informații, consultați Cereri de audit pentru lockbox.

Power Platform Și aplicațiile și serviciile Dynamics 365 stochează datele clienților în mai multe tehnologii de stocare Azure. Când activați Customer Lockbox pentru un mediu, datele clienților asociate cu mediul respectiv sunt protejate de politica lockbox, indiferent de tipul de stocare.

Notă

• În prezent, aplicațiile și serviciile pentru care politica lockbox-ului este aplicată odată activată sunt Power Apps (excluzând Cardurile pentru Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Insights, Customer Service, Sales (cu excepția conversațiilor), Communities, Guides, Connected Spaces, Finance (cu excepția Lifecycle Services), Project Operations (cu excepția Lifecycle Services), Supply Chain Management (cu excepția Lifecycle Services), și zona de funcționalități de marketing în timp real a aplicației de marketing.
• Caracteristicile oferite de serviciul Azure sunt excluse din aplicarea politicii Lockbox, cu excepția cazului în care documentația produsului pentru o anumită caracteristică precizează că se aplică Lockbox. OpenAI
• Nuance IVR-ul conversațional este exclus din aplicarea politicii Lockbox, cu excepția cazului în care documentația produsului pentru o anumită funcție precizează că Lockbox se aplică.
• Conținutul de bun venit al creatorului este exclus din aplicarea politicii Lockbox.
• Trebuie să dezactivați căutarea Lucene.NET de pe site-ul dvs. web și să treceți la Dataverse Căutare pentru a putea utiliza Cutia cu datele clienților. Pentru mai multe informații, vezi Portals search using Lucene.NET search este deprevăzut.

Workflow

1. Organizația dvs. are o problemă cu Microsoft Power Platform și deschide o solicitare de asistență către Microsoft Support. Sau Microsoft identifică în mod proactiv o problemă (de exemplu, este declanșată o notificare proactivă) și este deschis un eveniment inițiat de Microsoft pentru a investiga și a atenua sau remedia cauza principală.

2. Un operator Microsoft revizuiește cererea sau evenimentul de suport și încearcă să rezolve problema folosind instrumente standard și telemetrie. Dacă operatorul are nevoie de acces la datele clienților pentru depanare suplimentară, un inginer Microsoft inițiază un proces intern de aprobare pentru accesul la datele clienților, indiferent dacă politica lockbox-ului este activată sau nu.

3. Dacă depozitul de date corespunzător este asociat cu un mediu protejat conform activării politicii lockbox, procesul generează și o cerere lockbox. Aprobatorii desemnați (administratorii Power Platform) primesc o notificare prin e-mail despre cererea de acces la date în așteptare de la Microsoft.

   Important

   Inginerul Microsoft nu poate continua investigația până când clientul nu aprobă cererea de lockbox. Acest pas de aprobare ar putea cauza întârzieri în rezolvarea tichetului de suport sau întreruperi prelungite. Asigură-te că monitorizezi notificările prin email și cererile lockbox în centrul de administrare Power Platform. Răspundeți la timp pentru a evita întreruperile serviciului.

   

4. Aprobatorul se conectează la centrul de administrare Power Platform și aprobă solicitarea. Dacă aprobatorul respinge cererea sau nu o aprobă în patru zile, cererea expiră și inginerul Microsoft nu primește acces.

5. După ce aprobatorul organizației tale aprobă cererea, inginerul Microsoft primește permisiunile ridicate pe care le-a cerut inițial și rezolvă problema. Inginerii Microsoft au la dispoziție un timp stabilit – opt ore – pentru a remedia problema, după care accesul este automat retras.

Activați politica lockbox

Power Platform Administratorii pot crea sau actualiza politica lockbox în centrul de administrare. Power Platform Activarea politicii la nivel de chiriaș se aplică numai mediilor care sunt activate pentru Medii gestionate. Poate dura până la 24 de ore pentru ca toate sursele de date și toate mediile să implementeze Customer Lockbox.

1. Conectați-vă la Centrul de administrare Power Platform.
2. În panoul de navigare, selectați Gestionare.
3. În panoul Gestionează, selectează setări Tenant (Chiriaș).
4. Selectează Customer Lockbox, apoi selectează Activează.

Examinați o solicitare lockbox

1. Conectați-vă la Centrul de administrare Power Platform.

2. În panoul de navigare, selectați Securitate.

3. În panoul de securitate , selectează Conformitate.

4. Pe pagina de Conformitate , selectați Cutia de Securitate pentru Clienți.

5. Examinați detaliile solicitării.

   Câmp	Descriere
   ID solicitare de asistență	ID-ul tichetului de asistență asociat cu cererea lockbox. Dacă cererea este rezultatul unei alerte interne inițiate de Microsoft, valoarea este "Microsoft inițiat".
   Mediu	Numele afișat al mediului în care este solicitat accesul la date.
   Status	Starea solicitării lockbox. Acțiune necesară: În așteptarea aprobării din partea clientului Expirat: Nu s-a primit nicio aprobare de la client Aprobat: Aprobat de client Refuzat: Refuzat de client
   Solicitat	Momentul în care inginerul Microsoft a solicitat acces la datele clienților în mediul clientului.
   Expirare solicitare	Ora până la care clientul trebuie să aprobe cererea de lockbox. Starea cererii se schimbă în Expirată dacă nu se acordă nicio aprobare până la acest moment.
   Perioadă de acces	Perioada de timp în care solicitantul dorește să acceseze datele clienților. Această valoare este implicit de 8 ore și nu poate fi modificată.
   Expirare acces	Dacă accesul este acordat, aceasta este ora până la care inginerul Microsoft are acces la datele clienților.

6. Selectați o solicitare lockbox, apoi selectați Aprobați sau Refuzați.

   

   Notă

   Solicitările din caseta lockbox care au apărut în ultimele 28 de zile sunt afișate în tabelul Recente.

   Odată ce o cerere este aprobată, aceasta nu poate fi revocată pe întreaga durată a perioadei de acces de 8 ore.

Solicitări de audit lockbox

Avertisment

Schema documentată în această secțiune pentru evenimentele de audit lockbox este perimată și nu va fi disponibilă începând cu iulie 2024. Puteți audita evenimentele din Lockbox-ul clientului utilizând noua schemă disponibilă la Categoria de activități: Operațiuni Lockbox.

Acțiunile legate de acceptarea, respingerea sau expirarea unei cereri de lockbox sunt înregistrate automat în Microsoft 365 Defender.

Trasajele de audit includ aceste câmpuri și altele, pentru fiecare solicitare de lockbox:

• Identificator unic pentru solicitare
• Ora creării solicitării
• ID organizație
• ID utilizator (identificator unic pentru operatorul Microsoft care efectuează solicitarea)
• Stare solicitare
• ID-ul tichetului de asistență asociat
• Ora de expirare a solicitării
• Ora de expirare a accesului la date
• ID mediu
• Justificarea solicitării

Fila Microsoft 365 Audit permite administratorilor să caute evenimente asociate cu sesiunile lockbox. Vizualizați categoria Power Platform Lockbox pentru evenimente Power Platform legate de lockbox.

Administratorii pot exporta direct setul de rezultate pe baza criteriilor de filtrare.

Customer Lockbox produce două tipuri de jurnale de audit:

1. Jurnalele inițiate de Microsoft și corespund creării, expirării sau încheierii sesiunilor de acces a cererii de tip lockbox. Acest set de jurnale de audit nu corespunde unui anumit ID de utilizator, deoarece acțiunile sunt inițiate de Microsoft.
2. Jurnale inițiate de acțiunile utilizatorului final, cum ar fi atunci când un utilizator aprobă sau respinge o solicitare de acces la un lockbox. Dacă utilizatorul care efectuează aceste operațiuni nu are o licență E5 atribuită, jurnalele sunt filtrate și nu vor apărea în jurnalele de audit.

În mod implicit, jurnalele de audit sunt păstrate timp de un an. Aveți nevoie de o licență suplimentară pentru păstrarea jurnalelor de audit timp de 10 ani pentru a păstra înregistrările de audit timp de 10 ani. Consultați Audit (Premium) pentru mai multe detalii despre păstrarea jurnalului de audit.

Cerințe de licențiere pentru Customer Lockbox

Politica Customer Lockbox se aplică numai în mediile care sunt activate pentru Medii gestionate. Mediile gestionate sunt incluse ca drept de utilizare în licențele independente Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages și Dynamics 365 care oferă drepturi de utilizare premium. Pentru a afla mai multe despre licențele pentru Mediu gestionat, consultați Licențiere și Prezentare generală privind licențele pentru Microsoft Power Platform.

În plus, accesul la Customer Lockbox pentru Microsoft Power Platform și Dynamics 365 necesită ca utilizatorii din mediile în care se aplică politica Lockbox să aibă oricare dintre aceste abonamente:

• Microsoft 365 sau Office 365 A5/E5/G5
• Conformitate Microsoft 365 A5/E5/F5/G5
• Securitate și conformitate Microsoft 365 F5
• Gestionarea riscurilor interne Microsoft 365 A5/E5/F5/G5
• Microsoft 365 A5/E5/F5/G5 Protecția și guvernanța informațiilor Aflați mai multe despre licențele aplicabile.

Excluderi

• Solicitările lockbox nu sunt declanșate în următoarele scenarii de asistență tehnică:

  • Scenarii de urgență care nu se încadrează în procedurile standard de operare, cum ar fi o întrerupere majoră a serviciului care necesită o atenție imediată pentru recuperarea sau restabilirea serviciilor în cazuri neașteptate sau imprevizibile. Aceste evenimente de tip "spargere de sticlă" sunt rare și, în majoritatea cazurilor, nu necesită acces la datele clienților pentru a fi rezolvate.

  • Un inginer Microsoft accesează platforma de bază ca parte a depanării și este expus din neatenție la datele clienților. Este rar ca astfel de scenarii să ducă la accesarea unor cantități semnificative de date despre clienți.

• De asemenea, solicitările Customer Lockbox ale clienților nu sunt declanșate de solicitări legale externe pentru date. Pentru detalii, consultați discuția despre solicitările guvernamentale de date din Microsoft Trust Center.

• Funcția Customer Lockbox nu se va aplica accesului și revizuirii manuale a datelor clienților partajate pentru funcțiile Copilot AI. Cutia de securitate a clientului rămâne activată pentru toate datele din domeniul de aplicare.

Probleme cunoscute

• Migrarea de la o entitate găzduită la alta nu este acceptată atunci când este activat Customer Lockbox. Trebuie să dezactivați Customer Lockbox pentru a muta un mediu în altă entitate găzduită. Puteți reactiva Customer Lockbox odată ce migrarea este finalizată.