Защищенное хранилище Microsoft Purview

В этой статье содержатся рекомендации по развертыванию и настройке для клиентского хранилища. Защищенное хранилище поддерживает запросы на доступ к данным в Exchange Online, SharePoint Online, OneDrive для бизнеса и Teams. Чтобы порекомендовать поддержку для других служб, отправьте запрос на портале отзывов.

Чтобы ознакомиться с вариантами лицензирования пользователей, чтобы воспользоваться преимуществами Майкрософт предложений Purview, ознакомьтесь с руководством по лицензированию Майкрософт 365 для обеспечения соответствия требованиям безопасности&.

Защищенное хранилище гарантирует, что Майкрософт не смогут получить доступ к содержимому для выполнения операций службы без вашего явного одобрения. Защищенное хранилище приводит вас к процессу утверждения, который Майкрософт использует для обеспечения доступа к содержимому только авторизованные запросы. Дополнительные сведения о рабочем процессе Майкрософт см. в статье Управление привилегированным доступом.

Иногда инженеры Майкрософт помогают устранять неполадки, возникающие в службе. Как правило, инженеры устраняют проблемы с помощью обширных средств телеметрии и отладки, Майкрософт имеет для своих служб. Однако в некоторых случаях требуется Майкрософт инженер для доступа к содержимому, чтобы определить первопричину и устранить проблему. Клиентская блокировка требует, чтобы инженер запросит у вас доступ в качестве заключительного шага в рабочем процессе утверждения. Это позволяет утвердить или отклонить запрос для вашей организации, а также обеспечить прямой доступ к содержимому.

Совет

Если вы не являетесь клиентом E5, вы можете бесплатно попробовать все функции premium в Майкрософт Purview. Используйте 90-дневную пробную версию решений Purview, чтобы узнать, как надежные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Портал соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Обзор защищенного хранилища клиента

Рабочий процесс для защищенного хранилища

Ниже описан типичный рабочий процесс, когда инженер Майкрософт запускает запрос на блокировку клиента:

  1. Сотрудник организации испытывает проблему с почтовым ящиком Microsoft 365.

  2. Пользователь диагностирует проблему, но не может устранить ее, поэтому отправляет запрос в службу поддержки Майкрософт.

  3. Инженер службы поддержки Майкрософт проверяет запрос на обслуживание и определяет необходимость доступа к клиенту организации для устранения проблемы.

  4. Инженер службы поддержки Майкрософт входит в средство отправки запросов к защищенному хранилищу и отправляет запрос на доступ к данным, в котором указывает название клиента, номер запроса на обслуживание и предполагаемое время, в течение которого инженеру потребуется доступ к данным.

  5. Когда менеджер службы поддержки Майкрософт утвердит запрос, защищенное хранилище по электронной почте отправляет сотруднику организации, ответственному за утверждение, уведомление о запросе доступа от Майкрософт, ожидающем рассмотрения.

    Пример уведомления о почтовом ящике клиента.

    Любой пользователь, которому назначена роль администратора утверждающего доступ к защищенному хранилищу в Центр администрирования Microsoft 365, может утверждать запросы на блокировку клиента.

  6. Утверждающий входит в Центр администрирования Microsoft 365 и утверждает запрос. При этом создается запись аудита, которую можно найти с помощью поиска по журналу аудита. Дополнительные сведения см. в разделе Аудит запросов на блокировку клиентов.

    Если клиент отклоняет запрос или не утверждает запрос в течение 12 часов, срок действия запроса истекает, и Майкрософт инженеру не предоставляется доступ.

    Важно!

    Майкрософт не содержит никаких ссылок в уведомлениях по электронной почте о блокировке клиента, требующих входа в Office 365.

  7. Когда утверждающий из организации утверждает запрос, инженер Майкрософт получает сообщение об утверждении, входит в клиент и исправит проблему клиента. Доступ предоставляется инженерам Майкрософт на указанное время, по истечении которого он автоматически аннулируется.

Примечание.

Все действия, выполняемые инженером Майкрософт, регистрируются в журнале аудита. Вы можете найти и просмотреть эти записи аудита.

Включение или отключение запросов на блокировку клиента

Включить элементы управления "Защищенное хранилище" можно в Центре администрирования Microsoft 365. При включении защищенного хранилища Майкрософт должны получить одобрение вашей организации перед доступом к содержимому клиента.

  1. Используя рабочую или учебную учетную запись, у которого назначена роль глобального администратора или администратора доступа к защищенному хранилищу, перейдите по адресу https://admin.microsoft.com и выполните вход.

  2. Выберите Параметры>Организация Параметры>Конфиденциальность безопасности&.

  3. Выберите Конфиденциальность безопасности&, а затем в левом столбце выберите Защищенное хранилище клиента. Установите флажок Требовать утверждения для всех запросов на доступ к данным и сохраните изменения, чтобы включить эту функцию.

    Require approval for Customer Lockbox

Одобрение и отклонение запроса на доступ к защищенному хранилищу

  1. Используя рабочую или учебную учетную запись, у которого назначена роль глобального администратора или администратора доступа к защищенному хранилищу, перейдите по адресу https://admin.microsoft.com и выполните вход.

  2. Выберите Запросы на блокировку для клиентов в службе поддержки>.

    Нажмите кнопку Поддержка, а затем — Запросы на блокировку клиента.

    Отобразится список запросов к защищенному хранилищу.

    Список запросов на блокировку клиента.

  3. Выберите запрос на блокировку клиента, а затем выберите Утвердить или Отклонить.

    Утвердить запросы на блокировку клиента.

    Появится сообщение с подтверждением об утверждении запроса на блокировку клиента.

    Запретить запросы на блокировку клиента.

Примечание.

Используйте командлет Set-AccessToCustomerDataRequest для утверждения, отклонения или отмены Майкрософт запросов Purview Customer Lockbox, которые управляют доступом к вашим данным инженерами Майкрософт поддержки. Дополнительные сведения см. в разделе Set-AccessToCustomerDataRequest.

Аудит запросов на доступ к защищенному хранилищу

Записи аудита, соответствующие запросам на блокировку клиента, регистрируются в журнале аудита Майкрософт 365. Доступ к этим журналам можно получить с помощью средства поиска по журналам аудита в Портал соответствия требованиям Microsoft Purview. Действия, связанные с принятием или отклонением запроса на блокировку клиента, и действия, выполняемые инженерами Майкрософт (при утверждении запросов на доступ), также регистрируются в журнале аудита. Вы можете найти и просмотреть эти записи аудита.

Прежде чем использовать журнал аудита для отслеживания запросов к защищенному хранилищу клиента, необходимо выполнить некоторые действия, чтобы настроить ведение журнала аудита, включая назначение разрешений на поиск в журнале аудита. Дополнительные сведения см. в разделе Настройка Аудит Microsoft Purview (стандартный). Завершив настройку, выполните следующие действия, чтобы создать поисковый запрос журнала аудита для возврата записей аудита, связанных с хранилищем клиента:

  1. Перейдите по адресу https://compliance.microsoft.com.

  2. Войдите с помощью учетной записи, которая получила соответствующие разрешения для поиска в журнале аудита.

  3. В левой области Центра соответствия требованиям выберите Аудит.

    Появится вкладка Поиск на странице Аудит .

    Страница поиска по журналам аудита.

  4. Настройте указанные ниже условия.

    1. Дата начала и дата окончания. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период.

    2. Действия. Оставьте это поле пустым, чтобы поиск возвращал записи аудита для всех действий. Это необходимо для возврата всех записей аудита, связанных с запросами на блокировку клиента и соответствующими действиями, выполняемыми инженерами Майкрософт.

    3. Пользователи. Оставьте это поле пустым.

    4. Файл, папка или сайт. Оставьте это поле пустым.

  5. Чтобы выполнить поиск по указанным условиям, нажмите кнопку Поиск.

    Результаты поиска отображаются через несколько секунд. Дополнительные результаты поиска будут добавлены на страницу до завершения поиска.

  6. Щелкните заголовок в столбце Действие , чтобы отсортировать результаты в алфавитном порядке по значениям в столбце Действие .

  7. Прокрутите вниз и найдите записи аудита с действием Set-AccessToCustomerDataRequest. Записи с этим действием связаны с утверждением в вашей организации, утверждающим или отклоняющим запрос на блокировку клиента.

  8. Кроме того, щелкните заголовок в столбце Пользователь , чтобы отсортировать результаты в алфавитном порядке, используя значения в столбце Пользователь . Найдите значение оператора Майкрософт, указывающее действия, выполняемые инженером Майкрософт в ответ на утвержденный запрос на блокировку клиента. В столбце Действие отображается действие, выполненное инженером.

    Фильтрация по оператору Майкрософт для отображения записей аудита

  9. В списке результатов щелкните запись аудита, чтобы отобразить ее.

Экспорт результатов поиска в журнале аудита

Вы также можете экспортировать результаты поиска по журналу аудита в CSV-файл, а затем открыть файл в Excel, чтобы использовать возможности фильтрации и сортировки, чтобы упростить поиск и просмотр записей аудита, связанных с запросом на доступ к защищенному хранилищу клиента.

Чтобы экспортировать записи аудита, выполните предыдущие действия для поиска в журнале аудита. После завершения поиска выберите Экспорт > Скачать все результаты в верхней части страницы результатов поиска. После завершения экспорта можно скачать CSV-файл на локальный компьютер. Более подробные инструкции см. в статье Экспорт, настройка и просмотр записей журнала аудита.

Скачав файл, вы можете открыть его в Excel, а затем отфильтровать в столбце Операции записи аудита для действий Set-AccessToCustomerDataRequest . Вы также можете отфильтровать данные по столбцу UserIds (используя значение Майкрософт Оператор), чтобы отобразить записи аудита для действий, выполняемых инженерами Майкрософт.

Примечание.

При просмотре записей аудита в CSV-файле дополнительные сведения содержатся в столбце AuditData . Сведения в этом столбце содержатся в объекте JSON, который содержит несколько свойств, настроенных как пары property:value , разделенные запятыми. Функцию преобразования JSON можно использовать в Редактор Power Query в Excel, чтобы разделить каждое свойство в объекте JSON в столбце AuditData на несколько столбцов, чтобы у каждого свойства был свой собственный столбец. Это упрощает интерпретацию этой информации. Подробные инструкции см. в разделе Форматирование экспортированного журнала аудита с помощью Редактор Power Query.

Поиск и экспорт записей аудита с помощью PowerShell

Альтернативой использованию средства поиска аудита в Портал соответствия требованиям Microsoft Purview является выполнение командлета Search-UnifiedAuditLog в Exchange Online PowerShell. Одним из преимуществ использования PowerShell является то, что вы можете специально искать действия Set-AccessToCustomerDataRequest или действия, выполняемые инженерами Майкрософт, связанными с запросом на блокировку клиента.

После подключения к Exchange Online PowerShell выполните одну из следующих команд. Замените заполнители определенным диапазоном дат.

Set-AccessToCustomerDataRequest Поиск действий

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest

Поиск действий, выполняемых инженерами Майкрософт

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"

Дополнительные сведения и примеры см. в статье Использование PowerShell для поиска и экспорта записей журнала аудита.

Мы также предоставили скрипт PowerShell, который можно использовать для поиска в журнале аудита и экспорта результатов в CSV-файл. Дополнительные сведения см. в статье Использование скрипта PowerShell для поиска в журнале аудита.

Запись аудита для запроса на блокировку клиента

Когда сотрудник вашей организации утверждает или отклоняет запрос на блокировку клиента, запись аудита регистрируется в журнале аудита, содержащую следующие сведения.

Свойство записи аудита Описание
Date Дата и время одобрения или отклонения запроса на доступ к защищенному хранилищу.
IP-адрес IP-адрес компьютера, используемого утверждающий для одобрения или отклонения запроса.
Пользователь Учетная запись службы BOXServiceAccount@[customerforest].prod.outlook.com.
Действие Set-AccessToCustomerDataRequest; это действие аудита, которое регистрируется при одобрении или отклонении запроса на доступ к защищенному хранилищу.
Элемент Guid запроса на блокировку клиента

На следующем снимку экрана показан пример записи аудита, которая соответствует утвержденному запросу на блокировку клиента. Если запрос на защищенное хранилище клиента был отклонен, значение ApprovalDecision параметра будет иметь значение Deny.

Запись аудита для утвержденного запроса на блокировку клиента.

Запись аудита для действия, выполненного инженером Майкрософт

Действия, выполняемые инженером Майкрософт после утверждения запроса на доступ к защищенному хранилищу (что может привести к доступу к содержимому клиента), регистрируются в журнале аудита. Эти записи содержат следующие сведения.

Свойство записи аудита Описание
Date Дата выполнения действия. Время выполнения этого действия будет в течение 4 часов с момента утверждения запроса на блокировку клиента.
IP-адрес IP-адрес компьютера, использованного инженером Майкрософт.
Пользователь оператор Майкрософт; это значение указывает, что запись связана с запросом на блокировку клиента.
Действие Имя действия, выполненного инженером Майкрософт.
Элемент <пусто>

Вопросы и ответы

К каким службам Майкрософт 365 применяется хранилище для клиентов?

В настоящее время защищенное хранилище поддерживается в Exchange Online, SharePoint Online, OneDrive для бизнеса и Teams.

Доступно ли клиентское хранилище для всех клиентов?

Защищенное хранилище входит в состав подписок на Майкрософт 365 или Office 365 E5 и может быть добавлено в другие планы с помощью подписки на Information Protection и соответствие требованиям или надстройку расширенного соответствия требованиям. Дополнительные сведения см. в разделе Планы и цены .

Что такое содержимое клиента?

Содержимое клиента — это данные, созданные пользователями Майкрософт 365 служб и приложений. Ниже приведены примеры контента клиента.

  • Текст или вложения электронного письма

  • Содержимое сайта SharePoint

  • Сведения в тексте файла SharePoint

  • Skype для бизнеса текст файла презентации

  • Мгновенные сообщения или голосовые беседы

  • Текст, введенный в чатах Teams и каналах Teams, например в чатах 1:1, групповых чатах, общих каналах, частных каналах и чате собраний

  • Другие данные, вставляемые в потоки чата Teams, такие как фрагменты кода, изображения, аудио- и видеосообщения, а также ссылки

  • Данные приложений и ботов в чатах Teams и каналах Teams

  • Веб-канал действий Teams

  • Записи и расшифровки собраний Teams

  • Голосовая почта

  • Файлы, размещенные в чатах и каналах Teams

  • Созданные клиентом большие двоичные объекты или структурированные данные хранилищ (например, контейнеры SQL)

  • Принадлежащая клиенту информация для обеспечения безопасности (например, сертификаты, ключи шифрования и пароли)

  • Выводы и все последующие выводы, если содержимое клиента остается

Дополнительные сведения о содержимом клиента в Office 365 см. в центре управления безопасностью Office 365.

Кто получает уведомление о запросе на доступ к моему содержимому?

Глобальные администраторы и все пользователи, которым назначена роль администратора утверждающего доступ к защищенному хранилищу клиента, получают уведомления. Это также те же пользователи, которые могут утверждать запросы на блокировку клиента.

Кто может утвердить или отклонить эти запросы в моей организации?

Глобальные администраторы и любой пользователь, которому назначена роль администратора утверждающего доступ к защищенному хранилищу, могут утверждать запросы на блокировку клиента. Клиенты управляют этими назначениями ролей в своих организациях.

Разделы справки согласиться на доступ к защищенному хранилищу?

Глобальный администратор может включить и настроить защищенное хранилище клиента в Центр администрирования Microsoft 365.

Если я утвержу запрос на блокировку клиента, что может сделать инженер и как узнать, что сделал инженер Майкрософт?

После утверждения запроса на блокировку клиента инженер Майкрософт предоставил эти необходимые привилегии для доступа к содержимому клиента с помощью предварительно утвержденных командлетов. Действия, выполняемые инженерами Майкрософт в ответ на запросы к защищенному хранилищу, регистрируются и доступны в журнале аудита в Центре соответствия требованиям безопасности&.

Разделы справки знаете, что Майкрософт следует за процессом утверждения?

Вы можете перекрестно ссылаться на уведомления об утверждении по электронной почте, отправленные администраторам и утверждателям в вашей организации, в журнале запросов к защищенному хранилищу в Центр администрирования Microsoft 365.

Защищенное хранилище включается в последний отчет об аудите SOC 1 SSAE 16. Дополнительные сведения см. в разделе Последние отчеты на портале Майкрософт Service Trust Portal.

Может ли Майкрософт изменить список утверждающих для моего клиента? Если нет, как это предотвратить?

Только глобальный администратор в вашей организации может указать, кто может утверждать запросы на блокировку клиента. Это означает, что только члены группы глобальный администратор в Azure Active Directory могут указать, кто может утверждать запрос. Членство в группе глобальный администратор в Azure Active Directory управляется только вашей организацией.

Что делать, если мне нужны дополнительные сведения о запросе на доступ к содержимому, чтобы утвердить его?

Каждый запрос на блокировку клиента содержит Майкрософт номер запроса на обслуживание 365. Вы можете связаться с служба поддержки Майкрософт и сослаться на этот номер службы, чтобы получить дополнительные сведения о запросе.

Когда запрос на блокировку клиента утверждается, как долго действительны разрешения?

В настоящее время максимальный срок действия разрешений на доступ, предоставляемых инженерам Майкрософт, равен 4 часам. Кроме того, инженер Майкрософт может запросить более короткий период.

Как получить журнал всех запросов на блокировку клиента?

Все запросы на блокировку клиента отображаются в Центр администрирования Microsoft 365.

Веб-канал действий Центра соответствия требованиям содержит действия журнала в защищенном хранилище клиента. Клиенты могут перекрестно ссылаться на действия в журнале защищенного хранилища клиентов из веб-канала действий на полученный запрос электронной почты.

Что происходит, если клиент не отвечает на запрос к защищенному хранилищу?

По умолчанию срок действия запросов на доступ к защищенному хранилищу равен 12 часам. Если вы не ответите на запрос в течение 12 часов, срок действия запроса истекает.

Что Майкрософт делать, когда клиент отклоняет запрос на блокировку клиента?

Если клиент отклоняет запрос на блокировку клиента, доступ к содержимому клиента не происходит. Если у пользователя в вашей организации по-прежнему возникает проблема со службой, требующая Майкрософт для доступа к содержимому клиента для устранения проблемы, проблема со службой может сохраниться, и Майкрософт сообщит об этом пользователю.

Разделы справки настроить оповещения при утверждении запроса?

Встроенная возможность оповещения администраторов отсутствует. Однако администраторы могут настраивать оповещения с помощью Microsoft Defender for Cloud Apps.

Защищает ли клиентская блокировка от запросов данных от правоохранительных органов или других третьих лиц?

Нет. Майкрософт серьезно относится к сторонним запросам на данные клиентов. Как поставщик облачных служб Майкрософт всегда выступает за конфиденциальность данных клиентов. В случае получения повестки Майкрософт всегда пытается перенаправить стороннюю сторону клиенту для получения информации. (Читайте блог Брэда Смита: Защита данных клиентов от государственного слежки). Мы периодически публикуем подробную информацию о запросах правоохранительных органов, которые Майкрософт получает.

Дополнительные сведения см. в центре управления безопасностью Майкрософт, посвященном запросам сторонних данных, и в разделе "Раскрытие данных клиента" в Условиях использования веб-служб.

Как Майкрософт гарантировать, что сотрудник не имеет постоянного доступа к содержимому клиентов в Office 365 приложениях?

Майкрософт реализует обширные профилактические меры с помощью систем контроля доступа и детективные меры для выявления и устранения попыток обойти эти системы контроля доступа. Майкрософт 365 работает с принципами минимальных привилегий и JIT-доступа. Таким образом, ни у Майкрософт персонала нет разрешения на доступ к содержимому клиентов на постоянной основе. Если разрешение предоставлено, оно выполняется в течение ограниченного времени.

Майкрософт 365 использует систему управления доступом под названием Lockbox для обработки запросов на разрешения, которые предоставляют возможность выполнения операционных и административных функций в службе. Оператор должен запросить доступ к содержимому клиента с помощью защищенного ящика, который затем требует, чтобы второй пользователь принял меры по запросу (например, утвердить его) перед предоставлением доступа. Этот второй человек не может быть инициатором запроса и должен быть назначен для утверждения доступа к содержимому клиента. Только если запрос утвержден, оператор получает временный доступ к содержимому клиента. По истечении периода повышения прав блокировка отменяет доступ.

Дополнительные сведения об общих методах безопасности Майкрософт см. в условиях использования веб-служб.

При каких обстоятельствах Майкрософт инженерам требуется доступ к моему содержимому?

Наиболее распространенным сценарием, когда Майкрософт инженерам требуется доступ к содержимому клиента, является запрос на поддержку, требующий доступа для устранения неполадок. Базовый принцип Майкрософт 365 заключается в том, что служба работает без Майкрософт доступа к содержимому клиента. Почти все операции службы, выполняемые Майкрософт, полностью автоматизированы, а участие человека строго контролируется и абстрагируется от содержимого клиента. Целью Майкрософт 365 является доступ к содержимому клиента для поддержки службы, пока клиент не утвердит конкретный запрос на доступ к Майкрософт.

Я уже думал, что мои данные защищены с помощью Майкрософт облака, так зачем мне нужна блокировка клиента?

Защищенное хранилище обеспечивает дополнительный уровень управления, предлагая клиентам возможность явно авторизации доступа для операций службы. Демонстрируя наличие процедур для явной авторизации доступа к данным, заблокировка клиента также помогает клиентам выполнять определенные обязательства по соответствию, такие как HIPAA и FEDRAMP.