Защищенное хранилище Microsoft Purview

В этой статье приводятся рекомендации по развертыванию и настройке для защищенного хранилища клиентов. Защищенное хранилище поддерживает запросы на доступ к данным в Exchange Online, SharePoint Online, OneDrive для бизнеса и Teams. Чтобы рекомендовать поддержку для других служб, отправьте запрос на портал отзывов.

Дополнительные сведения о вариантах лицензирования пользователей для использования предложений Microsoft Purview см. в руководстве по лицензированию Microsoft 365 для обеспечения соответствия требованиям & безопасности.

Защищенное хранилище гарантирует, что корпорация Майкрософт не сможет получить доступ к вашему содержимому для выполнения операций обслуживания без явного утверждения. Защищенное хранилище позволяет выполнить рабочий процесс утверждения, используемый корпорацией Майкрософт для обеспечения доступа к содержимому только авторизованными запросами. Дополнительные сведения о рабочем процессе Майкрософт см. в разделе "Управление привилегированным доступом".

Иногда инженеры Майкрософт помогают устранять неполадки, возникающие в службе. Как правило, инженеры устраняют проблемы с использованием обширных средств телеметрии и отладки, которые корпорация Майкрософт использует для своих служб. Однако в некоторых случаях инженеру Майкрософт требуется доступ к содержимому, чтобы определить первопричину и устранить проблему. Защищенное хранилище требует от инженера запросить у вас доступ в качестве последнего шага в рабочем процессе утверждения. Это позволяет утвердить или отклонить запрос для вашей организации, а также предоставить прямой доступ к содержимому.

Видео с обзором защищенного хранилища

Рабочий процесс для защищенного хранилища

В следующих шагах описан типичный рабочий процесс, когда инженер Майкрософт запускает запрос защищенного хранилища:

  1. Сотрудник организации испытывает проблему с почтовым ящиком Microsoft 365.

  2. Пользователь диагностирует проблему, но не может устранить ее, поэтому отправляет запрос в службу поддержки Майкрософт.

  3. Инженер службы поддержки Майкрософт проверяет запрос на обслуживание и определяет необходимость доступа к клиенту организации для устранения проблемы.

  4. Инженер службы поддержки Майкрософт входит в средство отправки запросов к защищенному хранилищу и отправляет запрос на доступ к данным, в котором указывает название клиента, номер запроса на обслуживание и предполагаемое время, в течение которого инженеру потребуется доступ к данным.

  5. Когда менеджер службы поддержки Майкрософт утвердит запрос, защищенное хранилище по электронной почте отправляет сотруднику организации, ответственному за утверждение, уведомление о запросе доступа от Майкрософт, ожидающем рассмотрения.

    Пример уведомления по электронной почте защищенного хранилища клиента.

    Любой пользователь, которому назначена роль администратора утверждающего доступа к защищенной хранилищу Центр администрирования Microsoft 365 может утвердить запросы к защищенной хранилищу.

  6. Утверждающий входит в Центр администрирования Microsoft 365 и утверждает запрос. При этом создается запись аудита, которую можно найти с помощью поиска по журналу аудита. Дополнительные сведения см . в разделе "Аудит запросов защищенного хранилища клиентов".

    Если клиент отклоняет запрос или не утверждает его в течение 12 часов, срок действия запроса истекает, и инженеру Майкрософт не предоставляется доступ.

    Важно!

    Корпорация Майкрософт не включает в уведомления по электронной почте защищенного хранилища пользователей ссылки, требующие входа в Office 365.

  7. После того как утверждающий из организации утвердит запрос, инженер Майкрософт получит сообщение об утверждении, войдите в клиент и устраните проблему клиента. Доступ предоставляется инженерам Майкрософт на указанное время, по истечении которого он автоматически аннулируется.

Примечание

Все действия, выполняемые инженером Майкрософт, регистрируются в журнале аудита. Вы можете найти и просмотреть эти записи аудита.

Включение и отключение запросов защищенного хранилища

Включить элементы управления "Защищенное хранилище" можно в Центре администрирования Microsoft 365. При включении защищенного хранилища майкрософт должна получить утверждение вашей организации перед доступом к содержимому вашего клиента.

  1. Используя рабочую или учебную учетную запись, которой назначена роль глобального администратора или утверждающего доступ к защищенного хранилища, https://admin.microsoft.com перейдите в систему и войдите в систему.

  2. Выберите параметры > безопасности параметров > организации & конфиденциальности.

  3. Выберите "Безопасность & конфиденциальность", а затем в левом столбце выберите "Защищенное хранилище". Установите флажок "Требовать утверждение для всех запросов на доступ к данным" и сохраните изменения, чтобы включить эту функцию.

    Require approval for Customer Lockbox

Одобрение и отклонение запроса на доступ к защищенному хранилищу

  1. Используя рабочую или учебную учетную запись, которой назначена роль глобального администратора или утверждающего доступ к защищенного хранилища, https://admin.microsoft.com перейдите в систему и войдите в систему.

  2. Выберите службу поддержки > запросов к защищенной папке клиента.

    Щелкните "Поддержка", а затем выберите "Запросы защищенного хранилища".

    Отобразится список запросов защищенного хранилища.

    Список запросов защищенного хранилища клиентов.

  3. Выберите запрос защищенного хранилища, а затем выберите " Утвердить" или " Отклонить".

    Утверждение запросов защищенного хранилища клиента.

    Появится сообщение с подтверждением утверждения запроса защищенного хранилища.

    Отклонить запросы защищенного хранилища клиентов.

Примечание

Используйте командлет Set-AccessToCustomerDataRequest, чтобы утвердить, отклонить или отменить запросы защищенного хранилища Microsoft Purview, которые могут управлять доступом к данным инженерами службы поддержки Майкрософт. Дополнительные сведения см. в разделе Set-AccessToCustomerDataRequest.

Аудит запросов на доступ к защищенному хранилищу

Записи аудита, соответствующие запросам защищенного хранилища клиента, регистрируются в журнале аудита Microsoft 365. Доступ к этим журналам можно получить с помощью средства поиска по журналам аудита в Портал соответствия требованиям Microsoft Purview. Действия, связанные с принятием или отклонением запроса к защищенному хранилищу и действий, выполняемых инженерами Майкрософт (при утверждении запросов на доступ), также регистрируются в журнале аудита. Вы можете найти и просмотреть эти записи аудита.

Прежде чем использовать журнал аудита для отслеживания запросов для защищенного хранилища клиента, необходимо выполнить ряд действий для настройки ведения журнала аудита, включая назначение разрешений для поиска в журнале аудита. Дополнительные сведения см. в разделе "Настройка Аудит Microsoft Purview (стандартная версия)". После завершения настройки выполните следующие действия, чтобы создать запрос поиска по журналу аудита для возврата записей аудита, связанных с защищенной папкой клиента:

  1. Перейдите по адресу https://compliance.microsoft.com.

  2. Войдите с помощью учетной записи, которой назначены соответствующие разрешения для поиска в журнале аудита.

  3. В левой области центра соответствия требованиям выберите " Аудит".

    Отобразится вкладка "Поиск " на странице аудита.

    Страница поиска по журналу аудита.

  4. Настройте указанные ниже условия.

    1. Дата начала и окончания. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период.

    2. Действия. Оставьте это поле пустым, чтобы поиск возвращал записи аудита для всех действий. Это необходимо для возврата записей аудита, связанных с запросами защищенного хранилища клиентов и соответствующими действиями, выполняемых инженерами Майкрософт.

    3. Пользователи. Оставьте это поле пустым.

    4. Файл, папка или сайт. Оставьте это поле пустым.

  5. Чтобы выполнить поиск по указанным условиям, нажмите кнопку Поиск.

    Результаты поиска отображаются через несколько секунд. Дополнительные результаты поиска будут добавлены на страницу до завершения поиска.

  6. Щелкните заголовок в столбце " Действие", чтобы отсортировать результаты в алфавитном порядке на основе значений в столбце "Действие ".

  7. Прокрутите вниз и найдите записи аудита с действием Set-AccessToCustomerDataRequest. Записи с этим действием связаны с утверждающим лицом в вашей организации, утверждающим или отклонять запрос защищенного хранилища.

  8. Кроме того, щелкните заголовок в столбце " Пользователь", чтобы отсортировать результаты в алфавитном порядке, используя значения в столбце " Пользователь". Найдите значение оператора Майкрософт, указывающее действия, выполняемые инженером Майкрософт в ответ на утвержденный запрос защищенного хранилища клиента. В столбце " Действие" отображается действие, выполненное инженером.

    Фильтрация по оператору Майкрософт для отображения записей аудита

  9. В списке результатов щелкните запись аудита, чтобы отобразить ее.

Экспорт результатов поиска в журнале аудита

Вы также можете экспортировать результаты поиска по журналу аудита в CSV-файл, а затем открыть его в Excel, чтобы использовать возможности фильтрации и сортировки, чтобы упростить поиск и просмотр записей аудита, связанных с запросом на доступ к защищенной папке клиента.

Чтобы экспортировать записи аудита, выполните описанные выше действия для поиска в журнале аудита. После завершения поиска выберите "Экспорт > скачать все результаты в верхней части страницы результатов поиска". После завершения экспорта можно скачать CSV-файл на локальный компьютер. Более подробные инструкции см. в статье "Экспорт, настройка и просмотр записей журнала аудита".

После скачивания файла его можно открыть в Excel, а затем отфильтровать по столбцу "Операции", чтобы отобразить записи аудита для действий Set-AccessToCustomerDataRequest. Можно также выполнить фильтрацию по столбцу UserIds (с использованием значения оператора Майкрософт), чтобы отобразить записи аудита для действий, выполняемых инженерами Майкрософт.

Примечание

При просмотре записей аудита в CSV-файле дополнительные сведения содержатся в столбце AuditData . Сведения в этом столбце содержатся в объекте JSON, который содержит несколько свойств, настроенных как пары property:value , разделенных запятыми. Функцию преобразования JSON в Редактор Power Query Excel можно использовать для разделения каждого свойства в объекте JSON в столбце AuditData на несколько столбцов, чтобы каждое свойство было собственным столбцом. Это упрощает интерпретацию этой информации. Подробные инструкции см. в статье "Форматирование экспортированного журнала аудита с помощью Редактор Power Query".

Поиск и экспорт записей аудита с помощью PowerShell

Альтернативой использованию средства поиска аудита в Портал соответствия требованиям Microsoft Purview является выполнение командлета Search-UnifiedAuditLog в Exchange Online PowerShell. Одним из преимуществ использования PowerShell является возможность поиска действий set-AccessToCustomerDataRequest или действий, выполняемых инженерами Майкрософт, связанных с запросом защищенного хранилища.

После подключения к Exchange Online PowerShell выполните одну из следующих команд. Замените заполнители определенным диапазоном дат.

Поиск действий Set-AccessToCustomerDataRequest

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest

Поиск действий, выполняемых инженерами Майкрософт

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"

Дополнительные сведения и примеры см. в разделе "Поиск и экспорт записей журнала аудита с помощью PowerShell".

Мы также предоставили сценарий PowerShell, который можно использовать для поиска в журнале аудита и экспорта результатов в CSV-файл. Дополнительные сведения см. в статье "Использование скрипта PowerShell для поиска в журнале аудита".

Запись аудита для запроса защищенного хранилища клиента

Когда пользователь в вашей организации утверждает или отклоняет запрос защищенного хранилища клиента, запись аудита регистрируется в журнале аудита со следующими сведениями.

Свойство записи аудита Описание
Date Дата и время одобрения или отклонения запроса на доступ к защищенному хранилищу.
IP-адрес IP-адрес компьютера, используемого утверждающий для одобрения или отклонения запроса.
Пользователь Учетная запись службы[ BOXServiceAccount@customerforest.prod.outlook.com].
Действие Set-AccessToCustomerDataRequest; это действие аудита, которое регистрируется при одобрении или отклонении запроса на доступ к защищенному хранилищу.
Item Guid запроса защищенного хранилища клиента

На следующем снимке экрана показан пример записи аудита, соответствующей утвержденной запросу защищенного хранилища клиента. Если запрос защищенного хранилища клиента был отклонен, значение параметра ApprovalDecision будет равно Deny.

Запись аудита для утвержденного запроса защищенного хранилища клиента.

Запись аудита для действия, выполненного инженером Майкрософт

Действия, выполняемые инженером Майкрософт после утверждения запроса на доступ к защищенному хранилищу (что может привести к доступу к содержимому клиента), регистрируются в журнале аудита. Эти записи содержат следующие сведения.

Свойство записи аудита Описание
Date Дата и время выполнения действия. Время выполнения этого действия будет в течение 4 часов после утверждения запроса защищенного хранилища клиента.
IP-адрес IP-адрес компьютера, использованного инженером Майкрософт.
Пользователь Оператор Майкрософт; Это значение указывает, что запись связана с запросом защищенного хранилища клиента.
Действие Имя действия, выполненного инженером Майкрософт.
Элемент <empty>

Вопросы и ответы

К какой службе Microsoft 365 применяется защищенное хранилище?

Защищенное хранилище в настоящее время поддерживается в Exchange Online, SharePoint Online, OneDrive для бизнеса и Teams.

Доступно ли защищенное хранилище для всех клиентов?

Защищенное хранилище включается в подписки Microsoft 365 или Office 365 E5 и может быть добавлено в другие планы с подпиской Information Protection и соответствием требованиям или расширенной подпиской на надстройку соответствия. Дополнительные сведения см. в разделе "Планы и цены".

Что такое содержимое клиента?

Содержимое клиента — это данные, созданные пользователями служб и приложений Microsoft 365. Ниже приведены примеры контента клиента.

  • Текст или вложения электронного письма

  • Содержимое сайта SharePoint

  • Сведения в тексте файла SharePoint

  • Skype для бизнеса файла презентации

  • Мгновенные сообщения или голосовые беседы

  • Текст, введенный в чатах Teams и каналах Teams, например чаты 1:1, групповые чаты, общие каналы, частные каналы и чат собраний

  • Другие данные, вставленные в потоки чата Teams, такие как фрагменты кода, изображения, аудио- и видеосвязи, а также ссылки

  • Данные приложений и ботов в чатах Teams и каналах Teams

  • Веб-канал активности Teams

  • Записи и расшифровки собраний Teams

  • Голосовая почта

  • Файлы, опубликованные в чатах Teams и каналах Teams

  • Созданные клиентом большие двоичные объекты или структурированные данные хранилищ (например, контейнеры SQL)

  • Принадлежащая клиенту информация для обеспечения безопасности (например, сертификаты, ключи шифрования и пароли)

  • Выводов и всех последующих выводов, если содержимое клиента остается

Дополнительные сведения о содержимом клиента в Office 365 см. в Office 365 Trust Center.

Кто получает уведомление при наличии запроса на доступ к содержимому?

Глобальные администраторы и все, кому назначена роль администратора утверждающего доступа к защищенной хранилищу, получают уведомление. Это также те же пользователи, которые могут утверждать запросы защищенного хранилища клиентов.

Кто может утверждать или отклонять эти запросы в моей организации?

Глобальные администраторы и все, кому назначена роль администратора утверждающего доступа к защищенной хранилищу, могут утверждать запросы к защищенной папке клиента. Клиенты могут управлять этими назначениями ролей в своих организациях.

Разделы справки использовать защищенное хранилище клиента?

Глобальный администратор может включить и настроить защищенное хранилище клиента в Центр администрирования Microsoft 365.

Если я утвердю запрос защищенного хранилища, что может сделать инженер и как я знаю, что сделал инженер Майкрософт?

После утверждения запроса защищенного хранилища майкрософт предоставил эти необходимые привилегии для доступа к содержимому клиента с помощью предварительно утвержденных командлетов. Действия, выполняемые инженерами Майкрософт в ответ на запросы защищенного хранилища клиентов, регистрируются и доступны в журнале аудита в Центре соответствия & безопасности.

Разделы справки, что корпорация Майкрософт следует процессу утверждения?

Вы можете перекрестно ссылаться на уведомления об утверждении электронной почты, отправленные администраторам и утверждающим в организации, с помощью журнала запросов защищенного хранилища в Центр администрирования Microsoft 365.

Защищенное хранилище клиента включено в последний отчет аудита SSAE 16 SOC 1. Дополнительные сведения см. на портале Microsoft Service Trust Portal.

Может ли корпорация Майкрософт изменить список утверждающих для моего клиента? Если нет, как это предотвратить?

Только глобальный администратор в вашей организации может указать, кто может утверждать запросы защищенного хранилища клиентов. Это означает, что только члены группы глобальный администратор в Azure Active Directory могут указать, кто может утвердить запрос. Членством в глобальный администратор в Azure Active Directory управляет только ваша организация.

Что делать, если мне нужны дополнительные сведения о запросе на доступ к содержимому для его утверждения?

Каждый запрос защищенного хранилища содержит номер запроса на обслуживание Microsoft 365. Чтобы получить дополнительные сведения о запросе, служба поддержки Майкрософт связаться с этим номером службы.

Как долго допустимы разрешения при утверждении запроса защищенного хранилища клиента?

В настоящее время максимальный срок действия разрешений на доступ, предоставляемых инженерам Майкрософт, равен 4 часам. Кроме того, инженер Майкрософт может запросить более короткий период.

Как получить журнал всех запросов защищенного хранилища клиентов?

Все запросы защищенного хранилища клиента отображаются в Центр администрирования Microsoft 365.

Веб-канал действий Центра соответствия требованиям содержит действия журнала защищенного хранилища. Клиенты могут перекрестно ссылаться на действия журнала защищенного хранилища клиента из веб-канала действий по запросу электронной почты, который они получают.

Что происходит, если клиент не отвечает на запрос защищенного хранилища?

По умолчанию срок действия запросов на доступ к защищенному хранилищу равен 12 часам. Если вы не отвечаете на запрос в течение 12 часов, срок действия запроса истекает.

Что делает корпорация Майкрософт, когда клиент отклоняет запрос защищенного хранилища?

Если клиент отклоняет запрос защищенного хранилища, доступ к содержимому клиента не выполняется. Если у пользователя в вашей организации по-прежнему возникает проблема со службой, требующей от корпорации Майкрософт доступа к содержимому клиента для устранения проблемы, проблема со службой может сохраниться, и корпорация Майкрософт проинформит пользователя об этом.

Разделы справки настраивать оповещения при утверждении запроса?

Встроенная возможность оповещений администраторов отсутствует. Однако администраторы могут настраивать оповещения с помощью Microsoft Defender for Cloud Apps.

Защищено ли защищенное хранилище от запросов данных от правоохранительных органов или других третьих лиц?

Нет. Корпорация Майкрософт серьезно относится к сторонним запросам данных клиентов. Как поставщик облачных служб корпорация Майкрософт всегда выступает за конфиденциальность данных клиентов. В случае получения вложенной запроса корпорация Майкрософт всегда пытается перенаправить стороннюю службу клиенту для получения информации. (Прочитайте блог Григория Смита: защита данных клиентов от ненадобности государственных организаций). Мы периодически публикуем подробные сведения о запросах правоохранить, получаемые корпорацией Майкрософт.

Дополнительные сведения см. в центре управления безопасностью Майкрософт относительно запросов данных сторонних разработчиков и разделе "Раскрытие данных клиента" в условиях использования веб-служб.

Как корпорация Майкрософт гарантирует, что у сотрудника нет постоянного доступа к содержимому клиента в Office 365 приложениях?

Корпорация Майкрософт реализует обширные профилактические меры с помощью систем управления доступом, а также меры по выявлению и устранению попыток обойти эти системы контроля доступа. Microsoft 365 работает с принципами минимальных привилегий и JIT-доступа. Таким образом, ни один персонал Майкрософт не имеет разрешения на постоянный доступ к содержимому клиента. Если разрешение предоставлено, оно выполняется в течение ограниченного времени.

Microsoft 365 использует систему управления доступом с именем Lockbox для обработки запросов разрешений, которые предоставляют возможность выполнять операционные и административные функции в службе. Оператор должен запросить доступ к содержимому клиента с помощью защищенного хранилища, после чего второй пользователь должен принять меры по запросу (например, утвердить его) перед предоставлением доступа. Второй пользователь не может быть инициатором запроса и должен быть назначен для утверждения доступа к содержимому клиента. Только если запрос утвержден, оператор получает временный доступ к содержимому клиента. По истечении периода повышения прав защищенное хранилище отменяет доступ.

Дополнительные сведения об общих методиках безопасности Майкрософт см. в условиях использования веб-служб.

При каких обстоятельствах инженерам Майкрософт требуется доступ к содержимому?

Чаще всего инженерам Майкрософт требуется доступ к содержимому клиента, когда клиент отправляет запрос в службу поддержки, требуя доступа для устранения неполадок. Основной принцип Microsoft 365 заключается в том, что служба работает без доступа Майкрософт к содержимому клиента. Почти все операции служб, выполняемые корпорацией Майкрософт, полностью автоматизированы, а участие человека строго контролируется и абстрагируется от содержимого клиента. Цель Microsoft 365 — доступ к содержимому клиента для поддержки службы не требуется, пока клиент не утвердит конкретный запрос на доступ Майкрософт.

Я уже задумывал, что мои данные защищены с помощью облака Майкрософт, поэтому зачем мне нужно защищенное хранилище клиента?

Защищенное хранилище клиентов предоставляет дополнительный уровень контроля, предлагая клиентам возможность явно предоставлять авторизацию доступа для операций службы. Демонстрация того, что процедуры для явной авторизации доступа к данным выполняются, защищенное хранилище также помогает клиентам выполнять определенные обязательства по соответствию, такие как HIPAA и FEDRAMP.