Безопасный доступ к данным клиентов с помощью защищенного хранилища в Power Platform и Dynamics 365

  • Статья

Большинство операций, выполняемых персоналом Майкрософт (в том числе и дополнительными обработчиками данных), а также осуществление поддержки и устранение неполадок не требуют доступа к данным клиентов. Защищенное хранилище Power Platform предоставляет интерфейс, позволяющий клиентам просматривать и утверждать (или отклонять) запросы на доступ к данным в тех редких случаях, когда доступ к данным клиентов необходим. Оно используется в тех случаях, когда инженеру Майкрософт необходимо получить доступ к данным клиента, для обработки инициированного клиентом запроса в службу поддержки или для решения проблемы, выявленной корпорацией Майкрософт.

В этой статье рассказывается, как включить защищенное хранилище и как запросы, касающиеся защищенного хранилища, инициируются, отслеживаются и сохраняются для последующей проверки и аудита.

Заметка

Защищенное хранилище доступно в общедоступных облаках, а также в облаках сообщества правительства США (GCC), GCC High и в регионах Министерства обороны (DoD).

Сводка

Вы можете включить защищенное хранилище для источников данных в своем клиенте. При включении защищенного хранилища политика будет применяться только к средам, которые активированы для управляемых сред. Включить политику защищенного хранилища могут глобальные администраторы и администраторы Power Platform.

Для получения дополнительной информации перейдите к разделу Включение политики защищенного хранилища.

В тех редких случаях, когда Майкрософт пытается получить доступ к данным клиентов, которые хранятся в Power Platform (например, данным Dataverse), запрос защищенного хранилища отправляется на утверждение глобальным администраторам и администраторам Power Platform. Для получения дополнительной информации перейдите к разделу Просмотр запросов защищенного хранилища.

Все события, касающиеся запроса защищенного хранилища, записываются и предоставляются вашей организации в виде журналов аудита. Для получения дополнительной информации перейдите к разделу Аудит запросов защищенного хранилища.

Приложения и службы Power Platform и Dynamics 365 хранят данные клиентов, используя несколько разных технологических решений службы хранилища Azure. При включении защищенного хранилища для какой-либо среды данные клиентов, связанные с соответствующей средой, подпадают под защиту политикой защищенного хранилища независимо от типа хранилища.

Заметка

  • В настоящее время политика защищенного хранилища при включении применяется к следующим приложениям и службам: Power Apps (исключая карточки для Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Communities, Guides, Connected Spaces, Finance (за исключением Lifecycle Services), Project Operations (за исключением Lifecycle Services), Supply Chain Management (за исключением Lifecycle Services), а также функциональная область для маркетинга в реальном времени в приложении Marketing.
  • Функции, реализованные на базе службы Azure OpenAI, исключаются из применения политики Lockbox, если только в документации продукта для данной функции не указано, что применяется Lockbox.
  • Nuance Conversational IVR исключается из применения политики защищенного хранилища, если только в документации продукта для данной функции не указано, что применяется защищенное хранилище.
  • Приветственного содержимое для создателей исключено из применения политики Lockbox.
  • Вы должны запретить поиск Lucene.NET на своем сайте и перейти на поиск Dataverse, чтобы иметь возможность использовать защищенное хранилище. Дополнительная информация: Поиск на порталах с использованием поиска Lucene.NET не рекомендуется.

Рабочий процесс

  1. В вашей организации возникает проблема с Microsoft Power Platform, и вы обращаетесь в службу поддержки Майкрософт, создав запрос на техническую поддержку. Возможен также вариант, когда корпорация Майкрософт заблаговременно выявляет проблему (например, срабатывает заблаговременное уведомление), и для исследования и обхода или устранения основной причины открывается событие, инициированное корпорацией Майкрософт.

  2. Оператор Майкрософт просматривает запрос на поддержку или событие и пытается устранить неполадку, используя стандартные средства и телеметрию. Если для дальнейшего устранения неполадок необходим доступ к данным клиента, инженер Майкрософт инициирует внутренний процесс утверждения доступа к данным клиента, независимо от того, включена политика защищенного хранилища или нет.

  3. Кроме того, запрос защищенного хранилища создается, если соответствующее хранилище данных связано со средой, подпадающей под действие включенной политики защищенного хранилища. Уведомление об ожидающем обработки запросе Майкрософт на доступ к данным отправляется по электронной почте назначенным утверждающим (глобальным администраторам и администраторам Power Platform).

    Внимание

    Инженер Майкрософт не сможет продолжить расследование причин возникновения проблемы до тех пор, пока клиент не одобрит запрос защищенного хранилища. Из-за этого могут возникать задержки в обработке запросов в службу поддержки или длительные простои. Обязательно отслеживайте уведомления, поступающие на электронную почту и/или запросы защищенного хранилища в центре администрирования Power Platform и своевременно реагируйте на них, чтобы избежать перебоев в работе служб.

    Пример запроса защищенного хранилища.

  4. Утверждающий входит в центр администрирования Power Platform и одобряет запрос. Если запрос отклонен или остается неутвержденным в течение четырех дней, он становится недействительным и инженер Майкрософт не получает доступ.

  5. После утверждения запроса утверждающим из вашей организации инженер Майкрософт получит первоначально запрошенные дополнительные разрешения и устранит возникшую у вас проблему. Инженеры Майкрософт должны устранить проблему за определенное количество времени — 8 часов, по истечении которых доступ автоматически аннулируется.

Включение политики защищенного хранилища

Глобальные администраторы и администраторы Power Platform могут создать или изменить политику защищенного хранилища в центре администрирования Power Platform. Включение политики на уровне клиента будет применяться только к средам, которые активированы для управляемых сред. Введение в действие защищенного хранилища для всех источников данных и всех сред может занять до 24 часов.

  1. Войдите в в центр администрирования Power Platform.

  2. Используйте страницу настроек клиента для просмотра и управления настройками на уровне клиента. Чтобы просмотреть параметры на уровне клиента, нажмите значок шестеренки (Значок шестеренки.) в правом верхнем углу сайта Microsoft Power Platform и выберите Параметры Power Platform>Параметры>Параметры арендатора на левой панели навигации.

  3. Установите для параметра Защищенное хранилище значение Включить.

    Включение политики защищенного хранилища.

Просмотр запросов защищенного хранилища

  1. Войдите в в центр администрирования Power Platform.

  2. Выберите Политики>Защищенное хранилище.

  3. Просмотрите подробности запроса.

    Поле Описание:
    Идентификатор запроса в службу поддержки Идентификатор запроса в службу поддержки, связанного с запросом защищенного хранилища. Если запрос поступил в результате внутреннего оповещения, инициированного корпорацией Майкрософт, это значение будет «Инициировано Майкрософт».
    Среда Отображаемое имя среды, в которой запрашивается доступ к данным.
    Статус Статус запроса защищенного хранилища.
    • Требуется действие: Ожидает одобрения от клиента
    • Время действия истекло: Не получено одобрение от клиента
    • Одобрено: Утвержден клиентом
    • Отклонено: Отклонен клиентом
    Время поступления запроса Время, когда инженер Майкрософт запросил доступ к данным клиента в среде клиента.
    Срок действия запроса Время, до которого клиент должен утвердить запрос защищенного хранилища. Статус запроса изменится на Время действия истекло, если до этого времени не будет получено одобрение.
    Период доступа Продолжительность времени, в течение которого запрашивающая сторона хочет иметь доступ к данным клиента. Это значение по умолчанию равно 8 часам и не может быть изменено.
    Срок действия доступа Если доступ предоставлен, тут будет указано время, до которого инженер Майкрософт имеет доступ к данным клиента.

  4. Выберите запрос защищенного хранилища, а затем выберите Утвердить или Отклонить.

    Утверждение или отклонение запросов защищенного хранилища

    Заметка

    Запросы защищенного хранилища, поступившие за последние 28 дней, отображаются в таблице Недавние.

    После утверждения запрос не может быть отозван в течение всего периода доступа, составляющего 8 часов.

Аудит запросов защищенного хранилища

Действия, связанные с принятием, отклонением или истечением срока действия запроса на защищенное хранилище, автоматически записываются в Microsoft 365 Defender.

Страница Microsoft 365 Defender.

Аудиторское отслеживание для каждого запроса защищенного хранилища включает перечисленные ниже, равно как и некоторые другие поля.

  • Уникальный идентификатор запроса
  • Время создания запроса
  • Идентификатор организации
  • Идентификатор пользователя (уникальный идентификатор оператора Майкрософт, выполняющего запрос)
  • Статус запроса
  • Идентификатор связанного запроса в службу поддержки
  • Срок истечения время действия запроса
  • Срок истечения времени доступа к данным
  • Идентификатор среды
  • Обоснование запроса

Вкладка Аудит Microsoft 365 позволяет администраторам искать события, связанные с сеансами защищенного хранилища. Просмотрите категорию Защищенное хранилище Power Platform, чтобы найти события, связанные с защищенным хранилищем Power Platform.

Выберите категорию «Защищенное хранилище Power Platform».

Администраторы могут напрямую экспортировать набор результатов, полученный на основе условий фильтра.

Результаты поиска для аудита защищенного хранилища.

Защищенное хранилище создает два типа журналов аудита:

  1. Журналы, инициируемые Майкрософт и соответствующие созданию или истечению срока действия запроса защищенного хранилища либо окончанию сеансов доступа. Этот набор журналов аудита не соответствует конкретному идентификатору пользователя, поскольку действия инициируются Майкрософт.
  2. Журналы, которые инициируются действиями конечного пользователя, например когда пользователь утверждает или отклоняет запрос защищенного хранилища. Если пользователю, выполняющему эти операции, не назначена лицензия E5, журналы отфильтровываются и не отображаются в журналах аудита.

По умолчанию журналы аудита хранятся в течение одного года. Для хранения записей аудита в течение 10 лет вам потребуется дополнительная лицензия на хранение журналов аудита на 10 лет. Подробнее о хранении журналов аудита см. в статье Аудит (премиум).

Требования к лицензированию для защищенного хранилища

Политика защищенного хранилища будет применяться только в тех средах, которые активированы для управляемых сред. Управляемые среды включены как объем обслуживания в автономные лицензии Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages и Dynamics 365, дающие премиум-права на использование. Дополнительные сведения о лицензировании управляемых сред см. в разделах Лицензирование и Обзор лицензирования для Microsoft Power Platform.

Кроме того, для доступа к защищенному хранилищу для Microsoft Power Platform и Dynamics 365 требуется, чтобы пользователи в средах, где применяется политика защищенного хранилища, владели любой из этих подписок:

  • Microsoft 365 или Office 365 A5/E5/G5
  • Соответствие Microsoft 365 A5/E5/F5/G5
  • Безопасность и соответствие требованиям Microsoft 365 F5
  • Управление внутренними рисками для Microsoft 365 A5/E5/F5/G5
  • Управление информацией и ее защита для Microsoft 365 A5/E5/F5/G5 Подробнее о применимых лицензиях.

Исключения

  • Запросы защищенного хранилища не инициируются в перечисленных ниже сценариях работы технической поддержки.

    • Экстренные ситуации, выходящие за рамки стандартных операционных процедур, например серьезный сбой службы, требующий немедленного вмешательства для возобновления работы или восстановления служб в непредвиденных или непредсказуемых случаях. Такие неотложные события случаются редко и в большинстве случаев не требуют доступа к данным клиентов для разрешения.

    • Инженер Майкрософт получает доступ к базовой платформе в рамках работы над устранением неполадок и непреднамеренно получает доступ к данным клиентов. Такие сценарии редко приводят к получению доступа к значимым объемам клиентских данных.

  • Запросы защищенного хранилища также не инициируются внешними юридическими запросами на получение данных. Для получения подробной информации см. обсуждение правительственных запросов на получение данные в Центр управления безопасностью Майкрософт.

  • Защищенное хранилище не применяется к доступу и ручному просмотру переданных данных клиентов в отношении функций ИИ в Copilot. Защищенное хранилище останется включенным для всех данных в области.

Известные проблемы

  • Миграция между клиентами не поддерживается, если Защищенное хранилище клиента включено. Вы должны отключить защищенное хранилище клиента, чтобы переместить среду в другой клиент. После завершения переноса вы можете повторно включить защищенное клиентское хранилище.