Få säker åtkomst till kunddata med hjälp av Customer Lockbox i Power Platform och Dynamics 365

De flesta åtgärder, support och felsökning som utförs av Microsoft-personal (inklusive underprocessorer) kräver inte åtkomst till kunddata. Genom att använda Power Platform Customer Lockbox kan kunder granska och godkänna (eller avvisa) begäranden om dataåtkomst i det sällsynta fall då Microsoft behöver åtkomst till kunddata. Använd den i fall där en Microsoft-tekniker behöver komma åt kunddata, oavsett om det är ett svar på en kundinitierad supportbegäran eller ett problem som microsoft har identifierat.

Den här artikeln handlar om hur du aktiverar Customer Lockbox och hur säker databas-förfrågningar startas, spåras och lagras för senare granskningar och revisioner.

Obs

Customer Lockbox är tillgänglig i offentliga moln och GCC (Government Community Cloud, GCC) GCC High samt i regioner för försvarsdepartementet (DoD).

Sammanfattning

Du kan aktivera Customer Lockbox för dina datakällor i klientorganisationen. Om du aktiverar Customer Lockbox tillämpas principen endast för miljöer som är aktiverade för hanterade miljöer. Power Platform-administratörer kan aktivera säker databas-principen.

Mer information finns i Aktivera låsbox-principen.

I de undantagsfall då Microsoft försöker komma åt kunddata som lagras i Power Platform (till exempel Dataverse) skickas en säker databas-förfrågan till Power Platform-administratörerna för godkännande. För mer information, se Granska en lockbox-begäran.

Alla uppdateringar av en säker databas-begäran registreras och görs tillgängliga för organisationen som spårningslogggar. Mer information finns i Granska lockbox-begäranden.

Power Platform och Dynamics 365-program och -tjänster lagrar kunddata i flera Azure-lagringstekniker. När du aktiverar Customer Lockbox för en miljö skyddas kunddata som är associerade med respektive miljö av databs-principen, oavsett lagringstyp.

Obs

• För närvarande är de program och tjänster där låsbox-principen tillämpas när den är aktiverad Power Apps (exklusive kort för Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Service, Sales (utom konversationsinformation), Communities, Guider, Anslutna utrymmen, Ekonomi (utom livscykeltjänster), Projektåtgärder (förutom livscykeltjänster), Supply Chain Management (utom livscykeltjänster), och funktionsområdet för marknadsföring i realtid i marknadsföringsappen.
• Funktioner som används av Azure OpenAI Service är inte tillgängliga i Lockbox-policyn såvida det inte finns produktdokumentation för en viss funktion som säger att Lockbox är tillämplig.
• Nuance Konversations-IVR är undantagen från tillämpning av Lockbox-policy om det inte står i produktdokumentationen för en viss funktion att Lockbox gäller.
• Välkomstinnehåll för utvecklare är inte tillgängliga i säker databas-principen.
• Du måste inaktivera Lucene.NET genom att söka på webbplatsen och flytta Dataverse till Sök för att kunna använda Customer Lockbox. Mer information finns i Portalersökning med Lucene.NET har utgått.

Workflow

1. Din organisation har ett problem med Microsoft Power Platform och öppnar en supportbegäran med Microsoft Support. Alternativt identifierar Microsoft proaktivt ett problem (till exempel utlöses ett proaktivt meddelande) och en Microsoft-initierad händelse öppnas för att undersöka och åtgärda orsaken.

2. En Microsoft-operatör granskar supportbegäran eller -händelsen och försöker felsöka problemet med hjälp av standardverktyg och telemetri. Om operatören behöver åtkomst till kunddata för ytterligare felsökning startar en Microsoft-tekniker en intern godkännandeprocess för åtkomst till kunddata, oavsett om låsbox-principen är aktiverad.

3. Om respektive datalager är associerat med en miljö som skyddas enligt aktiverandet av låsbox-principen genererar processen även en lockbox-begäran. De utsedda godkännarna (Power Platform-administratörer) får ett e-postmeddelande om den väntande dataåtkomstbegäran från Microsoft.

   Viktigt!

   Microsoft-teknikern kan inte fortsätta med undersökningen förrän kunden godkänner lockbox-begäran. Det här godkännandesteget kan orsaka fördröjningar i hanteringen av supportärenden eller långvariga avbrott. Kontrollera att du övervakar e-postaviseringar och lockbox-begäranden i administrationscentret för Power Platform. Svara i tid för att undvika avbrott i tjänsten.

   

4. Godkännaren loggar in i Power Platform administrationscentret och godkänner förfrågan. Om godkännaren avvisar begäran eller inte godkänner den inom fyra dagar upphör begäran att gälla och Microsoft-teknikern får ingen åtkomst.

5. När godkännaren från din organisation har godkänt begäran får Microsoft-teknikern de utökade behörigheter som de ursprungligen begärde och åtgärdar problemet. Microsofts tekniker har en viss tid – åtta timmar – för att åtgärda problemet, varefter åtkomsten återkallas automatiskt.

Aktivera säker databas-principen

Power Platform- administratörer kan skapa eller uppdatera säker databas-principen i Power Platform administrationscenter. Aktivering av principen på klientorganisationsnivå gäller endast för miljöer som är aktiverade för hanterade miljöer. Det kan ta upp till 24 timmar för alla datakällor och alla miljöer att implementera Customer Lockbox.

1. Logga in på Power Platform administratörscenter.
2. I navigeringsfönstret väljer du Hantera.
3. I fönstret Hantera väljer du Klientinställningar.
4. Välj Kundlåsbox och välj sedan Aktivera.

Begäranden om säker databas

1. Logga in på Power Platform administratörscenter.

2. I den navigeringsrutan väljer du Säkerhet.

3. I fönstret Säkerhet väljer du Efterlevnad.

4. På sidan Efterlevnad väljer du Customer Lockbox.

5. Granska begärandeinformationen.

   Fält	Beskrivning
   ID för supportbegäran	ID för supportbiljetten som är kopplad till säker databas-förfrågan. Om begäran är ett resultat av en Microsoft-initierad intern avisering är värdet "Microsoft-initierad".
   Environment	Den visningsnamn miljön där dataåtkomst begärs.
   Status	Status för säker databas-begäran. Åtgärd krävs: Väntar på godkännande från kunden Förfallen: Inget godkännande från kunden Godkänt: Godkänt av kunden Nekad: Nekas av kunden
   Begärd	Den tidpunkt då Microsoft-teknikern begärde åtkomst till kunddata i kundens miljö.
   Giltighet för begäran	Den tid då kunden måste godkänna säker databas-begäran. Statusen för begäran ändras till Har upphört att gälla om inget godkännande har getts vid den här tidpunkten.
   Åtkomstperiod	Den tid som beställaren vill ha åtkomst till kunddata. Det här värdet är som standard 8 timmar och kan inte ändras.
   Giltighet för åtkomst	Om åtkomst beviljas är det den tid som Microsoft-teknikern har åtkomst till kunddata.

6. Välj en säker databas-begäran och välj sedan Godkänn eller Neka.

   

   Obs

   De säker databas-förfrågningar som har inträffat under de senaste 28 dagarna visas i tabellen Senaste.

   När en begäran har godkänts kan den inte återkallas under hela åtkomstperioden på 8 timmar.

Granska begäranden om säker databas

Varning

Schemat som dokumenteras i detta avsnitt för granskningshändelser för säker databas är inaktuell och kommer inte att vara tillgängligt från och med juli 2024. Du kan granska händelser för säker databas med hjälp av det nya schemat tillgängligt i Aktivitetskategorin: åtgärder för säker databas.

Åtgärder som är relaterade till att acceptera, neka eller förfalla en säker databas-begäran registreras automatiskt i Microsoft 365 Defender.

Granskningsspårning omfattar dessa och andra fält för varje säker databas-begäran:

• Unik identifierare för begäran
• Begär skapandetid
• Organisations-ID
• Användar-ID (unik identifierare för Microsoft-operatören som utför begäran)
• Status för begäran
• Tillhörande supportärende-ID
• Kräv utgångstid
• Förfallodatum för dataåtkomst
• Miljö-ID
• Begär motivering

På fliken Microsoft 365 granska låter administratörer söka efter händelser associerade med säker databas-sessioner. Visa kategorin Power Platform säker databas för Power Platform relaterad säker databas-händelser.

Administratörer kan direkt exportera resultatuppsättningen baserat på filtervillkoren.

Customer Lockbox skapar två typer av spårningslogggar:

1. Loggar som startas av Microsoft och som motsvarar en begäran om säker databas som skapas, förfaller eller när åtkomstsessionerna avslutas. Den här uppsättningen granskningsloggar motsvarar inte ett specifikt användar-ID eftersom åtgärderna initieras av Microsoft.
2. Loggar som startas av slutanvändaresåtgärder, till exempel när en användare godkänner eller nekar en begäran om säker databas. Om användaren som utför dessa åtgärder inte har tilldelats en E5-licens filtreras loggarna bort och visas inte i granskningsloggarna.

Som standard bevaras spårningslogggarna med en varaktighet på ett år. Du behöver en tio års licens för lagring av spårningsloggg för att bevara granskningsposter i tio år. Se Granska (Premium) för mer information om lagring av spårningslogggar.

Licenskrav för Customer Lockbox

Customer Lockbox-principen tillämpas endast på miljöer som är aktiverade för hanterade miljöer. Hanterade miljöer ingår som berättigande i fristående Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages och Dynamics 365 licenser som ger förstklassiga användningsrättigheter. Mer information om licenser i hanterad miljö finns i översikten Licensiering och Översikt över licensiering för Microsoft Power Platform.

Åtkomst till Customer Lockbox för Microsoft Power Platform och Dynamics 365 kräver användare i de miljöer där Lockbox-policyn måste ha någon av följande prenumerationer:

• Microsoft 365 eller Office 365 A5/E5/G5
• Efterlevnad i Microsoft 365 A5/E5/F5/G5
• Microsoft 365 F5 säkerhet och efterlevnad
• Microsoft 365 A5/E5/F5/G5 Hantering av interna risker
• Microsoft 365 A5/E5/F5/G5 Informationsskydd och informationsstyrning Läs mer om tillämpliga licenser.

Exkluderingar

• Säker databas-förfrågningar utlöses inte i följande tekniska supportscenarier:

  • Nödsituationer som faller utanför standarddriftsprocedurer, till exempel ett större serviceavbrott som kräver omedelbar uppmärksamhet för att återställa eller återställa tjänster i oväntade eller oförutsägbara fall. Dessa "break glass"-händelser är sällsynta och kräver i de flesta fall inte någon åtkomst till kunddata för att lösa problemet.

  • En Microsoft-tekniker använder den underliggande plattformen som en del av felsökning och är oavsiktligt synlig för kunddata. Det är sällan som sådana scenarier skulle resultera i åtkomst till meningsfulla kvantiteter kunddata.

• Customer Lockbox-förfrågningar utlöses inte heller av externa juridiska krav på data. Mer information finns i diskussion om förfrågningar om data från myndigheter i Microsoft Trust Center.

• Customer Lockbox gäller inte för åtkomst och manuell granskning av kunddata som delas för Copilot AI-funktioner. Customer Lockbox är fortfarande aktiverat för alla data som omfattas.

Kända problem

• Migrering klientorganisation-till-klientorganisation stöds inte när Customer Lockbox har aktiverats. Du måste inaktivera Customer Lockbox för att flytta en miljö till en annan klientorganisation. Du kan återaktivera Customer Lockbox när migreringen är slutförd.