Bezpečný prístup k zákazníckym údajom pomocou Customer Lockbox v Power Platform a Dynamics 365

Väčšina operácií, podpory a riešenia problémov vykonávaných zamestnancami spoločnosti Microsoft (vrátane subdodávateľov) si nevyžaduje prístup k údajom zákazníkov. Použitím Power Platform Customer Lockbox môžu zákazníci kontrolovať a schvaľovať (alebo zamietať) žiadosti o prístup k dátam v zriedkavých prípadoch, keď Microsoft potrebuje prístup k údajom zákazníkov. Používajte ho v prípadoch, keď inžinier Microsoftu potrebuje prístup k zákazníckym údajom, či už v reakcii na zákaznícky iniciovaný podporný tiket alebo na problém identifikovaný Microsoftom.

Tento článok popisuje, ako povoliť Customer Lockbox a ako sa spúšťajú, sledujú a ukladajú žiadosti Lockbox na neskoršie kontroly a audity.

Poznámka

Službu Customer Lockbox je možné použiť vo verejných cloudoch a v regiónoch US Government Community Cloud (GCC), a v regiónoch Ministerstva obrany (DoD). GCC High

Summary

Môžete povoliť Customer Lockbox pre svoje zdroje údajov v rámci svojho nájomníka. Povolenie funkcie Customer Lockbox vynúti politiku iba pre prostredia, ktoré sú aktivované pre spravované prostredia . Power Platform Správcovia môžu povoliť politiku uzamknutej schránky.

Pre viac informácií pozri Povoliť politiku lockboxu.

V zriedkavých prípadoch, keď sa spoločnosť Microsoft pokúša získať prístup k údajom zákazníkov uloženým v priečinku Power Platform (napríklad Dataverse), sa správcom odošle žiadosť o uzamykanie na schválenie. Power Platform Pre viac informácií pozri Preskúmaj žiadosť o uzamykateľnú schránku.

Všetky aktualizácie žiadosti Lockbox sa zaznamenávajú a sprístupňujú vašej organizácii ako denníky auditu. Pre viac informácií pozri Audit lockbox requests.

Aplikácie a služby Power Platform a Dynamics 365 ukladajú zákaznícke dáta v niekoľkých Azure úložných technológiách. Keď zapnete Customer Lockbox pre prostredie, údaje zákazníkov spojené s príslušným prostredím sú chránené politikou Lockbox bez ohľadu na typ úložiska.

Poznámka

  • V súčasnosti sú aplikácie a služby, kde sa politika lockboxu vynucuje po zapnutí, Power Apps (okrem Cards for Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (nakonfigurovaný lockbox nepokrýva dáta posielané zo Copilot Studio v rámci bezpečnostného auditu Agent 365), Dataverse, Customer Insights, Customer Service, Sales (okrem konverzačnej inteligencie), Komunity, sprievodcovia, prepojené priestory, financie (okrem služieb životného cyklu), prevádzka projektov (okrem služieb životného cyklu), riadenie dodávateľského reťazca (okrem služieb životného cyklu) a oblasť marketingu v reálnom čase v aplikácii marketing.
  • Funkcie poháňané službou Azure OpenAI Service sú vylúčené z vynucovania politiky lockboxu, pokiaľ dokumentácia produktu k danej funkcii neuvádza, že lockbox sa uplatňuje.
  • Nuance Conversational IVR je vylúčený z vynucovania politiky lockboxu, pokiaľ dokumentácia produktu pre danú funkciu neuvádza, že lockbox platí.
  • Maker Welcome Content je vylúčený z vynucovania pravidiel lockboxov.
  • Nastavenia prostredia Power Platform sú vylúčené z vynucovania politiky lockboxu.
  • Musíte vypnúť vyhľadávanie Lucene.NET na svojej webovej stránke a prejsť na vyhľadávanie v Dataverse, aby ste mohli používať Customer Lockbox. Pre viac informácií pozri Portals search using Lucene.NET search is deprecated.

Pracovný postup

  1. Vaša organizácia má problém s Microsoft Power Platform a otvára žiadosť o podporu na Microsoft Support. Prípadne spoločnosť Microsoft proaktívne identifikuje problém (napríklad spustí proaktívne oznámenie) a otvorí sa udalosť iniciovaná spoločnosťou Microsoft, aby sa preskúmala a zmiernila alebo opravila hlavná príčina.

  2. Operátor Microsoftu preskúma žiadosť o podporu alebo udalosť a pokúsi sa problém vyriešiť pomocou štandardných nástrojov a telemetrie. Ak operátor potrebuje prístup k zákazníckym údajom na ďalšie riešenie problémov, inžinier Microsoftu spustí interný schvaľovací proces prístupu k zákazníckym údajom, bez ohľadu na to, či je politika lockboxu povolená.

  3. Ak je príslušné dátové úložisko spojené s prostredím chráneným podľa uzamykateľnej politiky uzamknutia, proces tiež generuje požiadavku na uzamykateľnú schránku. Určení schvaľovatelia (administrátori Power Platform) dostanú e-mailové upozornenie o čakajúcej žiadosti o prístup k dátam od Microsoftu.

    Dôležité

    Microsoftový inžinier nemôže pokračovať vo vyšetrovaní, kým zákazník neschváli žiadosť o lockbox. Tento schvaľovací krok môže spôsobiť oneskorenia pri riešení tiketu alebo dlhodobé výpadky. Nezabudnite sledovať e-mailové notifikácie a požiadavky na lockbox v administrátorskom centre Power Platform. Reagujte včas, aby ste predišli prerušeniam služieb.

    Vzorová žiadosť o uzamykateľnú schránku.

  4. Schvaľovateľ sa prihlási do centra spravovania Power Platform a schváli žiadosť. Ak schvaľovateľ žiadosť zamietne alebo neschváli do štyroch dní, žiadosť vyprší a inžinier Microsoftu nemá prístup.

  5. Keď schvaľovateľ z vašej organizácie schváli žiadosť, Microsoft inžinier získa zvýšené oprávnenia, ktoré pôvodne požadovali, a opraví váš problém. Inžinieri Microsoftu majú stanovený čas – osem hodín – na vyriešenie problému, po ktorom je prístup automaticky odobratý.

Povolenie politiky Lockbox

Power Platform Správcovia môžu vytvoriť alebo aktualizovať politiku uzamknutej schránky v centre spravovania. Power Platform Povolenie politiky na úrovni nájomníka sa vzťahuje iba na prostredia, ktoré sú aktivované pre Spravované prostredia. Implementácia Customer Lockboxu môže trvať až 24 hodín vo všetkých dátových zdrojoch a prostrediach.

  1. Prihláste sa do centra spravovania Power Platform.
  2. V navigačnej table vyberte položku Spravovať.
  3. V paneli Spravovať vyberte Nastavenia nájomcu.
  4. Vyberte Customer Lockbox a potom Povoliť.

Kontrola žiadosti o Lockbox

  1. Prihláste sa do centra spravovania Power Platform.

  2. V navigačnej table vyberte položku Zabezpečenie.

  3. V bezpečnostnom paneli vyberte Súlad.

  4. Na stránke Súlad vyberte Zákaznícky lockbox.

  5. Skontrolujte podrobnosti žiadosti.

    Pole Description
    Identifikátor žiadosti o technickú podporu ID žiadosti o podporu spojenej so žiadosťou Lockbox. Ak je požiadavka výsledkom interného upozornenia iniciovaného Microsoftom, hodnota je "Microsoft iniciovaný".
    Životné prostredie Zobrazovaný názov prostredia, v ktorom sa požaduje prístup k údajom.
    Stav Stav žiadosti Lockbox.
    • Vyžadovaná akcia: Čaká sa na schválenie zákazníkom
    • Platnosť vypršala: Od zákazníka nebolo prijaté žiadne schválenie
    • Schválené: Schválené zákazníkom
    • Zamietnuté: Zamietnuté zákazníkom
    Požadované Čas, keď inžinier Microsoftu požiadal o prístup k zákazníckym údajom v zákazníckom prostredí.
    Uplynutie platnosti žiadosti Čas, do ktorého musí zákazník schváliť žiadosť Lockbox. Ak do tohto času nebude udelené žiadne schválenie, stav žiadosti sa zmení na Platnosť vypršala .
    Obdobie prístupu Doba, počas ktorého chce žiadateľ získať prístup k údajom zákazníka. Táto hodnota je štandardne nastavená na 8 hodín a nie je možné ju zmeniť.
    Uplynutie platnosti prístupu Ak je prístup povolený, je to čas, dokedy má technik spoločnosti Microsoft prístup k údajom zákazníka.

  6. Vyberte žiadosť Lockbox a potom vyberte Schváliť alebo Odmietnuť.

    Schváliť alebo zamietnuť žiadosti o uzamknutú schránku

    Poznámka

    Žiadosti Lockbox, ktoré sa vyskytli za posledných 28 dní, sú zobrazené v tabuľke Nedávne.

    Po schválení žiadosti ju nemožno odvolať počas celej doby prístupu 8 hodín.

Audit žiadostí Lockbox

Upozornenie

Schéma zdokumentovaná v tejto časti pre udalosti auditu lockboxu je zastaraná a nebude k dispozícii od júla 2024. Udalosti uzamknutej schránky zákazníka môžete auditovať pomocou novej schémy dostupnej v kategórii aktivity: Operácie uzamknutej schránky. ...

Akcie súvisiace s prijatím, zamietnutím alebo vypršaním požiadavky na uzamykateľnú schránku sa automaticky zaznamenávajú v Microsoft 365 Defender.

Microsoft 365 Defender stránka.

Sledovanie auditu zahŕňa tieto a ďalšie polia pre každú žiadosť Lockbox:

  • Jednoznačný identifikátor požiadavky
  • Čas vytvorenia žiadosti
  • Identifikátor organizácie
  • ID používateľa (jedinečný identifikátor operátora spoločnosti Microsoft, ktorý má na starosti žiadosť)
  • Stav žiadosti
  • Priradený ID žiadosti o podporu
  • Čas uplynutia platnosti žiadosti
  • Čas vypršania platnosti prístupu k údajom
  • ID prostredia
  • Odôvodnenie žiadosti

Záložka Microsoft 365 Audit umožňuje administrátorom vyhľadávať udalosti spojené so reláciami lockboxu. Prezrite si kategóriu Power Platform Lockbox pre súvisiace udalosti Power Platform Lockbox.

Vyberte kategóriu uzamykateľných schránok. Power Platform

Správcovia môžu priamo exportovať množinu výsledkov na základe kritérií filtra.

Customer Lockbox vytvára dva typy audítorských protokolov:

  1. Denníky iniciované spoločnosťou Microsoft a zodpovedajúce vytvoreniu, uplynutiu platnosti alebo ukončeniu prístupových relácií požiadavky na uzamknutú schránku. Táto sada audítorských protokolov nezodpovedá konkrétnemu ID používateľa, pretože akcie iniciuje spoločnosť Microsoft.
  2. Záznamy iniciované akciami koncového používateľa, napríklad keď používateľ schváli alebo zamietne požiadavku na uzamknutú schránku. Ak používateľ, ktorý vykonáva tieto operácie, nemá priradenú licenciu E5, protokoly sa odfiltrujú a nezobrazia sa v protokoloch auditu.

Predvolene sa protokoly auditu uchovávajú jeden rok. Na uchovávanie záznamov auditu počas 10 rokov potrebujete doplnkovú licenciu na 10-ročné uchovávanie protokolov auditu. Viac informácií o uchovávaní audítorských protokolov nájdete v časti Audit (Prémiový) .

Licenčné požiadavky pre Customer Lockbox

Zásady uzamknutia zákazníkov sa vynucujú iba v prostrediach, ktoré sú aktivované pre spravované prostredia. Spravované prostredia sú zahrnuté ako oprávnenie v samostatných licenciách Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, ktoré poskytujú prémiové práva na používanie. Ak sa chcete dozvedieť viac o licencovaní spravovaného prostredia, pozrite si prehľad Licensing a Licensing pre Microsoft Power Platform.

Okrem toho prístup k Customer Lockbox pre Microsoft Power Platform a Dynamics 365 vyžaduje, aby používatelia v prostrediach, kde sa politika Lockbox uplatňuje, mali niektorú z týchto predplatných:

  • Microsoft 365 alebo Office 365 A5/E5/G5
  • Súlad s Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 Bezpečnosť & Dodržiavanie predpisov
  • Microsoft 365 A5/E5/F5/G5 Insider riadenie rizík
  • Microsoft 365 A5/E5/F5/G5 Information Protection a správa Viac informácií o relevantných licenciách.

Vylúčenia

  • Žiadosti Lockbox sa nespúšťajú v nasledujúcich scenároch technickej podpory:

    • Núdzové scenáre, ktoré nespadajú do štandardných prevádzkových postupov, ako napríklad veľký výpadok služby, ktorý si vyžaduje okamžitú pozornosť na obnovenie alebo obnovenie služieb v neočakávaných alebo nepredvídateľných prípadoch. Tieto "rozbitie skla" sú zriedkavé a vo väčšine prípadov nevyžadujú prístup k zákazníckym údajom na vyriešenie.

    • Technik spoločnosti Microsoft pristupuje k základnej platforme ako súčasť riešenia problémov a je neúmyselne vystavený údajom zákazníkov. Je zriedkavé, že by takéto scenáre viedli k prístupu k zmysluplnému množstvu údajov zákazníkov.

  • Žiadosti Customer Lockbox tiež nie sú spúšťané externými právnymi požiadavkami o údaje. Podrobnosti nájdete v diskusii o žiadostiach vlády o údaje v Centre dôveryhodnosti spoločnosti Microsoft.

  • Customer Lockbox sa nevzťahuje na prístup a manuálnu kontrolu zákazníckych údajov zdieľaných pre funkcie Copilot AI. Zákaznícky uzamykateľný box zostáva povolený pre všetky údaje v rozsahu.

Známe problémy

  • Migrácia z nájomníka na nájomníka nie je podporovaná, keď je povolený Customer Lockbox. Ak chcete presunúť prostredie k inému nájomníkovi, musíte vypnúť Customer Lockbox. Po dokončení migrácie môžete znova zapnúť Customer Lockbox.
  • Last updated on