Zdieľať cez

Bezpečne pristupujte k údajom zákazníkov pomocou Customer Lockbox v Power Platform a Dynamics 365

  • Článok

Väčšina operácií, podpory a riešenia problémov vykonávaných personálom spoločnosti Microsoft (vrátane podprocesorov) nevyžaduje prístup k údajom o zákazníkoch. Prostredníctvom Power Platform Customer Lockbox poskytujeme rozhranie pre zákazníkov na kontrolu a schvaľovanie (alebo odmietnutie) žiadosti o prístup k údajom v zriedkavých prípadoch, keď je potrebný prístup k údajom zákazníkov. Používa sa v prípadoch, keď technik spoločnosti Microsoft potrebuje získať prístup k údajom zákazníkov, či už v reakcii na zákaznícku žiadosť o podporu alebo problém identifikovaný spoločnosťou Microsoft.

Tento článok popisuje, ako povoliť Customer Lockbox a ako sa spúšťajú, sledujú a ukladajú žiadosti Lockbox na neskoršie kontroly a audity.

Poznámka

Customer Lockbox je k dispozícii vo verejných cloudoch a v regiónoch amerického vládneho komunitného cloudu (GCC), GCC High a ministerstva obrany (DoD).

Súhrn

Môžete povoliť Customer Lockbox pre svoje zdroje údajov v rámci svojho nájomníka. Povolenie Customer Lockbox bude presadzovať politiku iba pre prostredia, ktoré sú aktivované pre Spravované prostredia. Globálni správcovia a správcovia Power Platform môžu povoliť politiku Lockbox.

Ďalšie informácie nájdete v časti Povolenie politiky Lockbox.

V zriedkavých prípadoch, keď sa spoločnosť Microsoft pokúsi získať prístup k údajom zákazníka, ktoré sú uložené v rámci Power Platform (napríklad Dataverse), sa žiadosť Lockbox odošle globálnym správcom a správcom Power Platform na schválenie. Ďalšie informácie nájdete v článku Kontrola žiadosti Lockbox.

Všetky aktualizácie žiadosti Lockbox sa zaznamenávajú a sprístupňujú vašej organizácii ako denníky auditu. Ďalšie informácie nájdete v článku Audit žiadostí Lockbox.

Power Platform Aplikácie a služby Dynamics 365 ukladajú údaje zákazníkov v niekoľkých technológiách úložiska Azure. Keď zapnete Customer Lockbox pre prostredie, údaje zákazníkov spojené s príslušným prostredím sú chránené politikou Lockbox bez ohľadu na typ úložiska.

Poznámka

  • V súčasnosti sú aplikácie a služby, v ktorých sa bude po povolení uplatňovať politika zámky, Power Apps (okrem Karty pre Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (okrem funkcií GPT AI), Dataverse, Customer Insights, služby pre zákazníkov, Communities, Guides, Connected Spaces, Finance (okrem Služby životného cyklu), prevádzka projektu (okrem služieb životného cyklu), dodávateľský reťazec Management (okrem služieb životného cyklu) a marketing v reálnom čase oblasť funkcií aplikácie Marketing.
  • Funkcie poháňané službou Azure OpenAI Služby sú vylúčené z presadzovania politiky Lockbox, pokiaľ v dokumentácii k produktu pre danú funkciu nie je uvedené, že Lockbox platí.
  • Nuance Conversational IVR je vylúčený z presadzovania politiky Lockbox, pokiaľ dokumentácia k produktu pre danú funkciu neuvádza, že Lockbox platí.
  • Uvítací obsah Maker je vylúčený z presadzovania pravidiel zámky.
  • Musíte vypnúť Lucene.NET vyhľadávanie na svojom webe a prejsť na Dataverse Vyhľadávanie, aby ste mohli používať Customer Lockbox. Ďalšie informácie: Vyhľadávanie na portáloch pomocou Lucene.NET je zastarané.

Workflow

  1. Vaša organizácia má problém s Microsoft Power Platform a otvorí žiadosť o podporu u oddelenia technickej podpory spoločnosti Microsoft. Prípadne spoločnosť Microsoft proaktívne identifikuje problém (napríklad spustí proaktívne oznámenie) a otvorí sa udalosť iniciovaná spoločnosťou Microsoft, aby sa preskúmala a zmiernila alebo opravila hlavná príčina.

  2. Operátor spoločnosti Microsoft skontroluje žiadosť o podporu/udalosť a pokúsi sa problém vyriešiť pomocou štandardných nástrojov a telemetrie. Ak je na ďalšie odstraňovanie problémov potrebný prístup k údajom o zákazníkoch, technik spoločnosti Microsoft spustí proces interného schválenia prístupu k údajom zákazníkov bez ohľadu na to, či je alebo nie je povolená politika Lockbox.

  3. Okrem toho sa vygeneruje žiadosť Lockbox, ak je príslušný ukladací priestor údajov spojený s prostredím chráneným v súlade s povolením politiky Lockbox. Určeným schvaľovateľom (globálni správcovia a správcovia Power Platform) sa odošle e-mailové upozornenie o čakajúcej žiadosti o prístup k údajom od spoločnosti Microsoft.

    Dôležité

    Technik spoločnosti Microsoft nebude môcť pokračovať vo vyšetrovaní, kým zákazník neschváli žiadosť Lockbox. Mohlo by to spôsobiť oneskorenie pri vybavovaní žiadosti o podporu alebo dlhodobé výpadky. Uistite sa, že sledujete e-mailové upozornenia a/alebo žiadosti Lockbox v centre spravovania Power Platform a odpovedajte včas, aby ste predišli prerušeniam služby.

    Vzor žiadosti o skrinku.

  4. Schvaľovateľ sa prihlási do centra spravovania Power Platform a schváli žiadosť. Ak je žiadosť zamietnutá alebo neschválená do štyroch dní, jej platnosť vyprší a technikovi spoločnosti Microsoft sa neudelí žiadny prístup.

  5. Keď schvaľovateľ z vašej organizácie žiadosť schváli, technik spoločnosti Microsoft získa zvýšené povolenia, ktoré boli pôvodne požadované, a vyrieši váš problém. Technici spoločnosti Microsoft majú stanovený čas – 8 hodín – na vyriešenie problému, po ktorom sa prístup automaticky zruší.

Povolenie politiky Lockbox

Globálni správcovia alebo správcovia Power Platform môžu vytvoriť alebo aktualizovať politiku Lockbox v centre spravovania Power Platform. Povolenie politiky na úrovni nájomníka sa bude vzťahovať iba na prostredia, ktoré sú aktivované pre Spravované prostredia. Implementácia všetkých pre všetky zdroje údajov a všetky prostredia s Customer Lockbox môže trvať až 24 hodín.

  1. Prihláste sa do centra spravovania Power Platform.

  2. Pomocou stránky Nastavenia nájomníka môžete skontrolovať a spravovať nastavenia na úrovni nájomníka. Ak chcete zobraziť nastavenia na úrovni nájomníka, vyberte ikonu Ozubené koliesko (Ikona ozubeného kolieska.) v pravom hornom rohu lokality Microsoft Power Platform a vyberte Power Platform nastavenia>Nastavenia>Nastavenia nájomníka v ľavom navigačnom paneli.

  3. Nastavte Zámok zákazníka na Povoliť.

    Zapnite politiku zámkov.

Kontrola žiadosti o Lockbox

  1. Prihláste sa do centra spravovania Power Platform.

  2. Vyberte Pravidlá>Zámková schránka zákazníka.

  3. Skontrolujte podrobnosti žiadosti.

    Pole Description
    Identifikátor žiadosti o technickú podporu ID žiadosti o podporu spojenej so žiadosťou Lockbox. Ak je žiadosť výsledkom internej výstrahy iniciovanej spoločnosťou Microsoft, hodnota bude „Iniciované spoločnosťou Microsoft“.
    Environment Zobrazovaný názov prostredia, v ktorom sa požaduje prístup k údajom.
    Status Stav žiadosti Lockbox.
    • Vyžaduje sa akcia: Čaká sa na schválenie od zákazníka
    • Platnosť vypršala: Od zákazníka nebol prijatý žiadny súhlas
    • Schválené: Schválené zákazníkom
    • Zamietnuté: Zamietnuté zákazníkom
    Požadované Čas, v ktorom technik spoločnosti Microsoft požiadal o prístup k údajom zákazníka v prostredí zákazníka.
    Uplynutie platnosti žiadosti Čas, do ktorého musí zákazník schváliť žiadosť Lockbox. Stav žiadosti sa zmení na Platnosť vypršala , ak ju do tohto času neschválite.
    Obdobie prístupu Doba, počas ktorého chce žiadateľ získať prístup k údajom zákazníka. Táto hodnota je štandardne nastavená na 8 hodín a nie je možné ju zmeniť.
    Uplynutie platnosti prístupu Ak je prístup povolený, je to čas, dokedy má technik spoločnosti Microsoft prístup k údajom zákazníka.

  4. Vyberte žiadosť Lockbox a potom vyberte Schváliť alebo Odmietnuť.

    Schváľte alebo zamietnite žiadosti o uzamknutie

    Poznámka

    Žiadosti Lockbox, ktoré sa vyskytli za posledných 28 dní, sú zobrazené v tabuľke Nedávne.

    Keď je žiadosť schválená, nie je možné ju odvolať po celú dobu trvania prístupu 8 hodín.

Audit žiadostí Lockbox

Upozornenie

Schéma zdokumentovaná v tejto sekcii pre udalosti auditu zámky je zastaraná a od júla 2024 nebude k dispozícii. Udalosti uzamykacej skrinky zákazníka môžete auditovať pomocou novej schémy dostupnej na Kategória aktivity: Operácie uzamykacej skrinky.

Akcie súvisiace s prijatím, odmietnutím alebo uplynutím platnosti žiadostí Lockbox sa automaticky zaznamenávajú v Microsoft 365 Defender.

Microsoft 365 Stránka obrancov.

Sledovanie auditu zahŕňa tieto a ďalšie polia pre každú žiadosť Lockbox:

  • Jednoznačný identifikátor požiadavky
  • Čas vytvorenia žiadosti
  • Identifikátor organizácie
  • ID používateľa (jedinečný identifikátor operátora spoločnosti Microsoft, ktorý má na starosti žiadosť)
  • Stav žiadosti
  • Priradený ID žiadosti o podporu
  • Čas uplynutia platnosti žiadosti
  • Čas vypršania platnosti prístupu k údajom
  • ID prostredia
  • Odôvodnenie žiadosti

Karta Microsoft 365 Audit umožňuje správcom vyhľadávať udalosti spojené s reláciami Lockbox. Prezrite si kategóriu Power Platform Lockbox pre súvisiace udalosti Power Platform Lockbox.

Vyberte kategóriu zámky Power Platform .

Správcovia môžu priamo exportovať množinu výsledkov na základe kritérií filtra.

Výsledky vyhľadávania auditu zámkov.

Customer Lockbox vytvára dva typy protokolov auditu:

  1. Protokoly, ktoré sú iniciované spoločnosťou Microsoft a zodpovedajú žiadosti o uzamknutie, ktorá sa vytvára, jej platnosť vyprší alebo keď sa skončia relácie prístupu. Táto sada denníkov auditu nezodpovedá konkrétnemu ID používateľa, pretože akcie iniciuje spoločnosť Microsoft.
  2. Protokoly, ktoré sú iniciované akciami koncového používateľa, napríklad keď používateľ schváli alebo zamietne požiadavku na uzamknutie. Ak používateľ, ktorý vykonáva tieto operácie, nemá pridelenú licenciu E5, protokoly sa odfiltrujú a nezobrazia sa v protokoloch auditu.

V predvolenom nastavení sa protokoly auditu uchovávajú po dobu jedného roka. Na uchovávanie záznamov o audite po dobu 10 rokov potrebujete doplnkovú licenciu na uchovávanie záznamov auditu na 10 rokov. Ďalšie podrobnosti o uchovávaní denníka auditu nájdete v časti Audit (Premium) .

Licenčné požiadavky pre Customer Lockbox

Politika funkcie Customer Lockbox sa bude vynucovať iba v prostrediach, ktoré sú aktivované pre spravované prostredia. Spravované prostredia je súčasťou samostatných licencií Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, ktoré poskytujú prémiové práva na používanie. Ak sa chcete dozvedieť viac o licencovaní v spravovanom prostredí, pozrite si časti Licencia a Prehľad licencovania pre Microsoft Power Platform.

Okrem toho prístup k Customer Lockbox for Microsoft Power Platform a Dynamics 365 vyžaduje, aby používatelia v prostrediach, kde sa vynucuje politika Lockbox, mali niektoré z týchto predplatných:

  • Microsoft 365 alebo Office 365 A5/E5/G5
  • Microsoft 365 Súlad s A5/E5/F5/G5
  • Microsoft 365 F5 Zabezpečenie & Súlad
  • Microsoft 365 A5/E5/F5/G5 Riadenie vnútorných rizík
  • Microsoft 365 A5/E5/F5/G5 Ochrana a správa informácií Prečítajte si viac o príslušných licenciách.

Vylúčenia

  • Žiadosti Lockbox sa nespúšťajú v nasledujúcich scenároch technickej podpory:

    • Núdzové scenáre, ktoré nespadajú do štandardných prevádzkových postupov, ako napríklad veľký výpadok služby, ktorý si vyžaduje okamžitú pozornosť na obnovenie alebo obnovenie služieb v neočakávaných alebo nepredvídateľných prípadoch. Tieto udalosti „rozbitia skla“ sú zriedkavé a vo väčšine prípadov nevyžadujú na vyriešenie žiadny prístup k údajom zákazníkov.

    • Technik spoločnosti Microsoft pristupuje k základnej platforme ako súčasť riešenia problémov a je neúmyselne vystavený údajom zákazníkov. Je zriedkavé, že by takéto scenáre viedli k prístupu k zmysluplnému množstvu údajov zákazníkov.

  • Žiadosti Customer Lockbox tiež nie sú spúšťané externými právnymi požiadavkami o údaje. Podrobnosti nájdete v diskusii o žiadostiach vlády o údaje v Centre dôveryhodnosti spoločnosti Microsoft.

  • Customer Lockbox sa nebude vzťahovať na prístup a manuálnu kontrolu zákazníckych údajov zdieľaných pre kopilot funkcie AI. Zákaznícka schránka zostane aktivovaná pre všetky údaje v rozsahu.

Známe problémy

  • Migrácia z nájomníka na nájomníka nie je podporovaná, keď je povolený Customer Lockbox. Ak chcete presunúť prostredie k inému nájomníkovi, musíte vypnúť Customer Lockbox. Po dokončení migrácie môžete znova zapnúť Customer Lockbox.