Поделиться через

Безопасный доступ к данным клиента с помощью блокировки клиента в Power Platform и Dynamics 365

Большинство операций, выполняемых персоналом Майкрософт (в том числе и дополнительными обработчиками данных), а также осуществление поддержки и устранение неполадок не требуют доступа к данным клиентов. С помощью блокировки клиента Power Platform клиенты могут просматривать и утверждать (или отклонять) запросы доступа к данным в редких случаях, когда корпорация Майкрософт нуждается в доступе к данным клиента. Используйте его в тех случаях, когда инженер Майкрософт должен получить доступ к данным клиента, независимо от того, в ответ на запрос в службу поддержки, инициированный клиентом, или проблема, обнаруженная корпорацией Майкрософт.

В этой статье рассказывается, как включить защищенное хранилище и как запросы, касающиеся защищенного хранилища, инициируются, отслеживаются и сохраняются для последующей проверки и аудита.

Примечание.

Защищенное хранилище доступно в общедоступных облаках, а также в облаках сообщества правительства США (GCC), GCC High и в регионах Министерства обороны (DoD).

Сводка

Вы можете включить защищенное хранилище для источников данных в своем клиенте. Включение функции Customer Lockbox обеспечивает применение политики только для сред, активированных для управляемых сред. Включить политику защищенного хранилища могут администраторы Power Platform.

Дополнительные сведения см. в разделе "Включить политику блокировки".

В тех редких случаях, когда Microsoft пытается получить доступ к данным клиентов, которые хранятся в Power Platform (например, Dataverse), запрос защищенного хранилища отправляется на утверждение администраторам Power Platform. Дополнительные сведения см. в разделе "Просмотр запроса на блокировку".

Все события, касающиеся запроса защищенного хранилища, записываются и предоставляются вашей организации в виде журналов аудита. Дополнительные сведения см. в разделе "Запросы на блокировку аудита".

Приложения и службы Power Platform и Dynamics 365 хранят данные клиентов, используя несколько разных технологических решений службы хранилища Azure. При включении защищенного хранилища для какой-либо среды данные клиентов, связанные с соответствующей средой, подпадают под защиту политикой защищенного хранилища независимо от типа хранилища.

Примечание.

  • В настоящее время приложения и службы, в которых применяется политика блокировки после включения, — Power Apps (за исключением карточек для Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Service, Sales (кроме аналитики бесед), Сообщества, Руководства, Подключенные пространства, Финансы (за исключением служб управления жизненным циклом), Операции проектов (за исключением служб управления жизненным циклом), Управление цепочками поставок (за исключением служб управления жизненным циклом), и область маркетинга в режиме реального времени приложения "Маркетинг".
  • Функции, реализованные на базе службы Azure OpenAI, исключаются из применения политики Lockbox, если только в документации продукта для данной функции не указано, что применяется Lockbox.
  • Nuance Разговорный IVR исключается из сферы применения политики Lockbox, если в документации по продукту для данной функции не указано, что Lockbox применяется.
  • Приветственного содержимое для создателей исключено из применения политики Lockbox.
  • Вы должны запретить поиск Lucene.NET на своем сайте и перейти на поиск Dataverse, чтобы иметь возможность использовать защищенное хранилище. Дополнительные сведения см. в статье "Поиск на порталах" с помощью Lucene.NET не рекомендуется.

Рабочий процесс

  1. В вашей организации возникает проблема с Microsoft Power Platform, и вы обращаетесь в службу поддержки Майкрософт, создав запрос на техническую поддержку. Возможен также вариант, когда корпорация Майкрософт заблаговременно выявляет проблему (например, срабатывает заблаговременное уведомление), и для исследования и обхода или устранения основной причины открывается событие, инициированное корпорацией Майкрософт.

  2. Оператор Майкрософт проверяет запрос на поддержку или событие и пытается устранить проблему с помощью стандартных средств и телеметрии. Если оператору требуется доступ к данным клиента для дальнейшего устранения неполадок, инженер Майкрософт запускает внутренний процесс утверждения для доступа к данным клиента независимо от того, включена ли политика блокировки.

  3. Если соответствующее хранилище данных связано с средой, защищенной в соответствии с включением политики блокировки, процесс также создает запрос на блокировку. Назначенные утверждающие (администраторы Power Platform) получают уведомление по электронной почте об ожидающем запросе доступа к данным от Корпорации Майкрософт.

    Внимание

    Инженер Майкрософт не может продолжить расследование, пока клиент не утвердит запрос на блокировку. Этот шаг утверждения может привести к задержкам в разрешении запроса в службу поддержки или длительным сбоям. Убедитесь, что вы отслеживаете уведомления электронной почты и запросы на доступ к lockbox в Центре администрирования Power Platform. Своевременно отвечайте на это, чтобы избежать прерываний работы служб.

    Пример запроса защищенного хранилища.

  4. Утверждающий входит в центр администрирования Power Platform и одобряет запрос. Если утверждающий отклоняет запрос или не утверждает его в течение четырех дней, срок действия запроса истекает, а инженер Майкрософт не получает доступа.

  5. После того как утверждающий из вашей организации утвердит запрос, инженер Майкрософт получает повышенные разрешения, которые они первоначально запрашивали и исправляют вашу проблему. Инженеры Майкрософт имеют определенное время — восемь часов, чтобы устранить проблему, после чего доступ автоматически отозван.

Включение политики защищенного хранилища

Администраторы Power Platform могут создать или изменить политику защищенного хранилища в центре администрирования Power Platform. Включение политики уровня клиента применяется только к средам, активированным для управляемых сред. Для внедрения Customer Lockbox во всех источниках данных и всех средах может потребоваться до 24 часов.

  1. Войдите в в центр администрирования Power Platform.
  2. В области навигации выберите Управление.
  3. В области "Управление" выберите параметры клиента.
  4. Выберите бокс блокировки клиентов, а затем выберите Включить.

Просмотр запросов защищенного хранилища

  1. Войдите в в центр администрирования Power Platform.

  2. В области навигации выберите Безопасность.

  3. В области "Безопасность " выберите "Соответствие".

  4. На странице Compliance выберите Customer Lockbox.

  5. Просмотрите подробности запроса.

    Поле Описание:
    Идентификатор запроса в службу поддержки Идентификатор запроса в службу поддержки, связанного с запросом защищенного хранилища. Если запрос является результатом внутренних оповещений, вызванных корпорацией Майкрософт, значение — «Initiated by Microsoft».
    Environment Отображаемое имя среды, в которой запрашивается доступ к данным.
    Статус Статус запроса защищенного хранилища.
    • Требуется действие: Ожидает одобрения от клиента
    • Время действия истекло: Не получено одобрение от клиента
    • Одобрено: Утвержден клиентом
    • Отклонено: Отклонен клиентом
    Время поступления запроса Время, в течение которого инженер Майкрософт запрашивал доступ к данным клиента в среде клиента.
    Срок действия запроса Время, до которого клиент должен утвердить запрос защищенного хранилища. Если к этому времени не будет получено одобрение, статус запроса изменится на Истек .
    Период доступа Продолжительность времени, в течение которого запрашивающая сторона хочет иметь доступ к данным клиента. Это значение по умолчанию равно 8 часам и не может быть изменено.
    Срок действия доступа Если доступ предоставлен, тут будет указано время, до которого инженер Майкрософт имеет доступ к данным клиента.

  6. Выберите запрос защищенного хранилища, а затем выберите Утвердить или Отклонить.

    Утверждение или отклонение запросов защищенного хранилища

    Примечание.

    Запросы защищенного хранилища, поступившие за последние 28 дней, отображаются в таблице Недавние.

    После одобрения запроса его невозможно отозвать в течение всего периода доступа, составляющего 8 часов.

Аудит запросов защищенного хранилища

Предупреждение

Схема, описанная в этом разделе для событий аудита защищенного хранилища, устарела и не будет доступна начиная с июля 2024 г. Вы можете проводить аудит событий защищенного хранилища, используя новую схему, доступную в разделе Категория действий: операции защищенного хранилища.

Действия, связанные с принятием, отклонением или истечением срока действия запроса на защищенное хранилище, автоматически записываются в Microsoft 365 Defender.

Страница Microsoft 365 Defender.

Аудиторское отслеживание для каждого запроса защищенного хранилища включает перечисленные ниже, равно как и некоторые другие поля.

  • Уникальный идентификатор запроса
  • Время создания запроса
  • Идентификатор организации
  • Идентификатор пользователя (уникальный идентификатор оператора Майкрософт, выполняющего запрос)
  • Статус запроса
  • Идентификатор связанного запроса в службу поддержки
  • Срок истечения время действия запроса
  • Срок истечения времени доступа к данным
  • Идентификатор среды
  • Обоснование запроса

Вкладка Аудит Microsoft 365 позволяет администраторам искать события, связанные с сеансами защищенного хранилища. Просмотрите категорию Защищенное хранилище Power Platform, чтобы найти события, связанные с защищенным хранилищем Power Platform.

Выберите категорию «Защищенное хранилище Power Platform».

Администраторы могут напрямую экспортировать набор результатов, полученный на основе условий фильтра.

Защищенное хранилище создает два типа журналов аудита:

  1. Журналы, инициируемые Майкрософт и соответствующие созданию или истечению срока действия запроса защищенного хранилища либо окончанию сеансов доступа. Этот набор журналов аудита не соответствует конкретному идентификатору пользователя, поскольку действия инициируются корпорацией Microsoft.
  2. Журналы, которые инициируются действиями конечного пользователя, например когда пользователь утверждает или отклоняет запрос защищенного хранилища. Если пользователю, выполняющему эти операции, не назначена лицензия E5, журналы отфильтровываются и не отображаются в журналах аудита.

По умолчанию журналы аудита хранятся в течение одного года. Для хранения записей аудита в течение 10 лет вам потребуется дополнительная лицензия на хранение журналов аудита на 10 лет. Подробнее о хранении журналов аудита см. в статье Аудит (премиум).

Требования к лицензированию для защищенного хранилища

Политика клиентского защищенного хранилища применяется только в средах, активированных для управляемых сред. Управляемые среды включены как объем обслуживания в автономные лицензии Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages и Dynamics 365, дающие премиум-права на использование. Дополнительные сведения о лицензировании управляемых сред см. в разделах Лицензирование и Обзор лицензирования для Microsoft Power Platform.

Кроме того, для доступа к защищенному хранилищу для Microsoft Power Platform и Dynamics 365 требуется, чтобы пользователи в средах, где применяется политика защищенного хранилища, владели любой из этих подписок:

  • Microsoft 365 или Office 365 A5/E5/G5
  • Соответствие Microsoft 365 A5/E5/F5/G5
  • Безопасность и соответствие требованиям Microsoft 365 F5
  • Управление внутренними рисками для Microsoft 365 A5/E5/F5/G5
  • Управление информацией и ее защита для Microsoft 365 A5/E5/F5/G5 Подробнее о применимых лицензиях.

Исключения

  • Запросы защищенного хранилища не инициируются в перечисленных ниже сценариях работы технической поддержки.

    • Экстренные ситуации, выходящие за рамки стандартных операционных процедур, например серьезный сбой службы, требующий немедленного вмешательства для возобновления работы или восстановления служб в непредвиденных или непредсказуемых случаях. Эти события критического доступа являются редкими, и в большинстве случаев не требуют доступа к данным клиента для их решения.

    • Инженер Майкрософт получает доступ к базовой платформе в рамках работы над устранением неполадок и непреднамеренно получает доступ к данным клиентов. Такие сценарии редко приводят к получению доступа к значимым объемам клиентских данных.

  • Запросы защищенного хранилища также не инициируются внешними юридическими запросами на получение данных. Для получения подробной информации см. обсуждение правительственных запросов на получение данные в Центр управления безопасностью Майкрософт.

  • Защищенное хранилище не применяется к доступу и ручному просмотру переданных данных клиентов в отношении функций ИИ в Copilot. Клиентский Lockbox остается включенным для всех данных, входящих в сферу охвата.

Известные проблемы

  • Миграция между клиентами не поддерживается, если Защищенное хранилище клиента включено. Вы должны отключить защищенное хранилище клиента, чтобы переместить среду в другой клиент. После завершения переноса вы можете повторно включить защищенное клиентское хранилище.
  • Last updated on