Dela via

Få säker åtkomst till kunddata med hjälp av Customer Lockbox i Power Platform och Dynamics 365

De flesta åtgärder, support och felsökning som utförs av Microsoft-personal (inklusive underprocessorer) kräver inte åtkomst till kunddata. Genom att använda Power Platform Customer Lockbox kan kunder granska och godkänna (eller avvisa) begäranden om dataåtkomst i det sällsynta fall då Microsoft behöver åtkomst till kunddata. Använd den i fall där en Microsoft-tekniker behöver komma åt kunddata, oavsett om det är ett svar på en kundinitierad supportbegäran eller ett problem som microsoft har identifierat.

Den här artikeln handlar om hur du aktiverar Customer Lockbox och hur säker databas-förfrågningar startas, spåras och lagras för senare granskningar och revisioner.

Kommentar

Customer Lockbox är tillgängligt i publika moln samt i regionerna US Government Community Cloud (GCC), GCC High och Department of Defense (DoD).

Översikt

Du kan aktivera Customer Lockbox för dina datakällor i klientorganisationen. Aktivering av Customer Lockbox tillämpar principen endast för miljöer som är aktiverade för Hanterade miljöer. Power Platform-administratörer kan aktivera lockbox-principen.

Mer information finns i Aktivera låsbox-principen.

Vid de sällsynta tillfällen då Microsoft försöker få åtkomst till kunddata som lagras inom Power Platform (till exempel Dataverse), skickas en lockbox-begäran till Power Platform-administratörerna för godkännande. För mer information, se Granska en lockbox-begäran.

Alla uppdateringar av en lockbox-begäran registreras och görs tillgängliga för din organisation som granskningsloggar. För mer information, se Granska lockbox-begäranden.

Applikationer och tjänster i Power Platform och Dynamics 365 lagrar kunddata i flera olika lagringstekniker från Azure. När du aktiverar Customer Lockbox för en miljö skyddas kunddata som är associerade med respektive miljö av databs-principen, oavsett lagringstyp.

Anteckning

  • För närvarande är de program och tjänster där låsbox-principen tillämpas när den är aktiverad Power Apps (exklusive kort för Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Service, Sales (utom konversationsinformation), Communities, Guider, Anslutna utrymmen, Ekonomi (utom livscykeltjänster), Projektåtgärder (förutom livscykeltjänster), Supply Chain Management (utom livscykeltjänster), och funktionsområdet för marknadsföring i realtid i marknadsföringsappen.
  • Funktioner som används av Azure OpenAI-tjänsten är undantagna från principen för säker databas om det inte finns produktdokumentation för en viss funktion som säger att säker databas är tillämplig.
  • Nuance konversations-IVR är inte tillgängliga i Lockbox-policyn såvida det inte finns produktdokumentation för en viss funktion som säger att Lockbox är tillämplig.
  • Välkomstinnehåll för utvecklare är inte tillgängliga i Lockbox-policyn.
  • Du måste inaktivera Lucene.NET-sökning på din webbplats och gå över till Dataverse-sökning för att kunna använda Customer Lockbox. Mer information finns i Portalersökning med Lucene.NET har utgått.

Arbetsflöde

  1. Din organisation har ett problem med Microsoft Power Platform och öppnar ett supportärende hos Microsoft Support. Alternativt identifierar Microsoft proaktivt ett problem (till exempel genom att ett proaktivt meddelande utlöses), och en Microsoft-initierad händelse öppnas för att undersöka och begränsa eller åtgärda den underliggande orsaken.

  2. En Microsoft-operatör granskar supportbegäran eller -händelsen och försöker felsöka problemet med hjälp av standardverktyg och telemetri. Om operatören behöver åtkomst till kunddata för ytterligare felsökning startar en Microsoft-tekniker en intern godkännandeprocess för åtkomst till kunddata, oavsett om låsbox-principen är aktiverad.

  3. Om respektive datalager är associerat med en miljö som skyddas enligt aktiverandet av låsbox-principen genererar processen även en lockbox-begäran. De utsedda godkännarna (Power Platform-administratörer) får ett e-postmeddelande om den väntande dataåtkomstbegäran från Microsoft.

    Viktigt!

    Microsoft-teknikern kan inte fortsätta med undersökningen förrän kunden godkänner lockbox-begäran. Det här godkännandesteget kan orsaka fördröjningar i hanteringen av supportärenden eller långvariga avbrott. Kontrollera att du övervakar e-postaviseringar och lockbox-begäranden i administrationscentret för Power Platform. Svara i tid för att undvika avbrott i tjänsten.

    Ett exempel på en lockbox-begäran.

  4. Godkännaren loggar in i Power Platform Admin Center och godkänner begäran. Om godkännaren avvisar begäran eller inte godkänner den inom fyra dagar upphör begäran att gälla och Microsoft-teknikern får ingen åtkomst.

  5. När godkännaren från din organisation har godkänt begäran får Microsoft-teknikern de utökade behörigheter som de ursprungligen begärde och åtgärdar problemet. Microsofts tekniker har en viss tid – åtta timmar – för att åtgärda problemet, varefter åtkomsten återkallas automatiskt.

Aktivera lockbox-principen

Power Platform-administratörer kan skapa eller uppdatera lockbox-principen i Power Platform Admin Center. Aktivering av policyn på klientnivå (tenant) tillämpas endast på miljöer som är aktiverade för Hanterade miljöer. Det kan ta upp till 24 timmar för alla datakällor och alla miljöer att implementera Customer Lockbox.

  1. Logga in i Administrationscenter för Power Platform.
  2. I navigeringsfönstret väljer du Hantera.
  3. I fönstret Hantera väljer du Klientinställningar.
  4. Välj Kundlåsbox och välj sedan Aktivera.

Granska en lockbox-begäran

  1. Logga in i Administrationscenter för Power Platform.

  2. I den navigeringsrutan väljer du Säkerhet.

  3. I fönstret Säkerhet väljer du Efterlevnad.

  4. På sidan Efterlevnad väljer du Customer Lockbox.

  5. Granska begärandeinformationen.

    Fält Beskrivning
    ID för supportbegäran ID för supportbiljetten som är kopplad till lockbox-förfrågan. Om begäran är ett resultat av en Microsoft-initierad intern avisering är värdet "Microsoft-initierad".
    Miljö Den visningsnamn miljön där dataåtkomst begärs.
    Status Status för lockbox-begäran.
    • Åtgärd krävs: Väntar på godkännande från kunden
    • Förfallen: Inget godkännande från kunden
    • Godkänt: Godkänt av kunden
    • Nekad: Nekas av kunden
    Begärd Den tidpunkt då Microsoft-teknikern begärde åtkomst till kunddata i kundens miljö.
    Giltighet för begäran Den tid då kunden måste godkänna lockbox-begäran. Statusen för begäran kommer att ändras till Förfallen om inget godkännande ges vid den här tiden.
    Åtkomstperiod Den tid som beställaren vill ha åtkomst till kunddata. Det här värdet är som standard 8 timmar och kan inte ändras.
    Giltighet för åtkomst Om åtkomst beviljas är det den tid som Microsoft-teknikern har åtkomst till kunddata.

  6. Välj en lockbox-begäran och välj sedan Godkänn eller Neka.

    Godkänn eller avvisa lockbox-förfrågningar

    Kommentar

    De lockbox-förfrågningar som har inträffat under de senaste 28 dagarna visas i tabellen Senaste.

    När en förfrågan har godkänts kan den inte upphävas under hela åtkomsttidens varaktighet på åtta timmar.

Granska begäranden om säker databas

Varning

Schemat som dokumenteras i detta avsnitt för granskningshändelser för lockbox är inaktuell och kommer inte att vara tillgängligt från och med juli 2024. Du kan granska händelser för säker databas med hjälp av det nya schemat tillgängligt i Aktivitetskategorin: åtgärder för säker databas.

Åtgärder relaterade till att acceptera, neka eller låta en lockbox-begäran löpa ut registreras automatiskt i Microsoft 365 Defender.

Microsoft 365 Defender-sida.

Granskningsspårning omfattar dessa och andra fält för varje lockbox-begäran:

  • Unik identifierare för begäran
  • Begär skapandetid
  • Organisations-ID
  • Användar-ID (unik identifierare för Microsoft-operatören som utför begäran)
  • Status för begäran
  • Tillhörande supportärende-ID
  • Kräv utgångstid
  • Förfallodatum för dataåtkomst
  • Miljö-ID
  • Begär motivering

Fliken Granskning i Microsoft 365 gör det möjligt för administratörer att söka efter händelser kopplade till lockbox-sessioner. Visa kategorin Power Platform Lockbox för Power Platform-relaterade lockbox-händelser.

Välj kategorin Power Platform lockbox.

Administratörer kan direkt exportera resultatuppsättningen baserat på filtervillkoren.

Customer Lockbox skapar två typer av spårningslogggar:

  1. Loggar som startas av Microsoft och som motsvarar en lockbox-begäran som skapas, förfaller eller när åtkomstsessionerna avslutas. Denna uppsättning granskningsloggar motsvarar inte ett specifikt användar-ID eftersom åtgärderna initieras av Microsoft.
  2. Loggar som startas av slutanvändaresåtgärder, till exempel när en användare godkänner eller nekar en lockbox-begäran. Om användaren som utför dessa operationer inte har tilldelats en E5-licens, filtreras loggarna bort och kommer inte att visas i granskningsloggarna.

Som standard bevaras spårningslogggarna med en varaktighet på ett år. Du behöver en tio års licens för lagring av spårningsloggg för att bevara granskningsposter i tio år. Se Granska (Premium) för mer information om lagring av spårningslogggar.

Licenskrav för Lockbox-kund

Aktivering av Lockbox-kund tillämpar principen endast för miljöer som är aktiverade för Hanterade miljöer. Hanterade miljöer (Managed Environments) ingår som en förmån i fristående licenser för Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages och Dynamics 365 som ger premium-användningsrättigheter. För att lära dig mer om licensiering för Hanterade miljöer, se Licensiering och Licensieringsöversikt för Microsoft Power Platform.

Dessutom kräver åtkomst till Lockbox-kund för Microsoft Power Platform och Dynamics 365 att användare i de miljöer där lockbox-principen tillämpas har någon av följande prenumerationer:

  • Microsoft 365 eller Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5-efterlevnad
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 Insider Risk Management
  • Microsoft 365 A5/E5/F5/G5 Information Protection and Governance (Informationsskydd och styrning) Läs mer om tillämpliga licenser.

Exkluderingar

  • Säker databas-förfrågningar utlöses inte i följande tekniska supportscenarier:

    • Nödscenarier som faller utanför standardprocedurer, såsom ett omfattande tjänsteavbrott som kräver omedelbara åtgärder för att återställa eller återinföra tjänster i oväntade eller oförutsägbara fall. De här ”avbrottshändelserna” är få och i de flesta fall behöver ingen åtkomst till kunddata åtgärdas.

    • En Microsoft-tekniker använder den underliggande plattformen som en del av felsökning och är oavsiktligt synlig för kunddata. Det är sällan som sådana scenarier skulle resultera i åtkomst till meningsfulla kvantiteter kunddata.

  • Customer Lockbox-förfrågningar utlöses inte heller av externa juridiska krav på data. Mer information finns i diskussion om förfrågningar om data från myndigheter i Microsoft Trust Center.

  • Customer Lockbox gäller inte för åtkomst och manuell granskning av kunddata som delas för Copilot AI-funktioner. Customer Lockbox förblir aktiverat för all data som omfattas.

Kända problem

  • Migrering klientorganisation-till-klientorganisation stöds inte när Customer Lockbox har aktiverats. Du måste inaktivera Customer Lockbox för att flytta en miljö till en annan klientorganisation. Du kan återaktivera Customer Lockbox när migreringen är slutförd.
  • Last updated on