Безпечний доступ до даних клієнтів за допомогою Customer Lockbox у Power Platform та Dynamics 365

Для більшості операцій, підтримки та виправлення неполадок, що виконуються персоналом корпорації Майкрософт (включно з субобробниками), не потрібен доступ до даних клієнтів. Завдяки Power Platform Customer Lockbox клієнти можуть переглядати та затверджувати (або відхиляти) запити на доступ до даних у рідкісних випадках, коли Microsoft потрібен доступ до даних клієнтів. Використовуйте його у випадках, коли інженеру Microsoft потрібно отримати доступ до даних клієнтів — чи то у відповідь на запит підтримки, ініційовану клієнтом, чи на проблему, виявлену Microsoft.

У цій статті описано, як увімкнути повний контроль доступу на стороні клієнта та як ініціюються, відстежуються та зберігаються запити захищеного повного контролю доступу для наступних перевірок і аудитів.

Нотатка

Customer Lockbox доступний у публічних хмарах та регіонах US Government Community Cloud (GCC), GCC High та Міністерства оборони (DoD).

Зведення

У клієнті можна ввімкнути повний контроль доступу на стороні клієнта для джерел даних. Увімкнення Lockbox на ринку клієнта застосовуватиме політику лише для середовищ, активованих для керованих середовищ. Power Platform Адміністратори можуть увімкнути політику сейфа.

Для отримання додаткової інформації дивіться у розділі «Увімкнути політику сейфів».

У рідкісних випадках, коли корпорація Майкрософт намагається отримати доступ до даних клієнтів, які зберігаються всередині Power Platform Dataverse, адміністраторам Power Platform надсилається запит на затвердження. Для отримання додаткової інформації дивіться у розділі «Переглянути запит на сейф».

Усі оновлення запиту на повний контроль доступу записуються та переносяться в організацію як контрольний журнал. Для отримання додаткової інформації дивіться запити на скриньки з замками аудиту.

Додатки та сервіси Power Platform та Dynamics 365 зберігають дані клієнтів у кількох технологіях зберігання Azure. Якщо ввімкнути повний контроль доступу на стороні клієнта для середовища, дані клієнтів, зв’язані з відповідним середовищем, захищені політикою повного контролю доступу незалежно від типу сховища.

Нотатка

  • Наразі застосунки та сервіси, де політика lockbox застосовується після її активації: Power Apps (за винятком карт для Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (налаштована скринька не покриває дані, надіслані Copilot Studio у рамках журналу аудиту безпеки Agent 365), Dataverse, Customer Insights, обслуговування клієнтів, продажі (окрім аналітики розмов), Спільноти, Гіди, Зв'язані простори, Фінанси (крім послуг життєвого циклу), Операції проєктів (крім послуг життєвого циклу), Управління ланцюгом постачання (крім послуг життєвого циклу) та розділ функції маркетингу в реальному часі в додатку Маркетинг.
  • Функції, що працюють на Azure OpenAI Service, виключені з застосування політик lockbox, якщо в документації продукту для певної функції не зазначено, що lockbox застосовується.
  • Nuance Conversational IVR виключений із застосування політики lockbox, якщо в документації продукту для певної функції не зазначено, що lockbox застосовується.
  • Контент Maker Welcome Content виключений із дотримання політики lockbox.
  • Налаштування середовища Power Platform виключені з застосування політик lockbox.
  • Ви повинні вимкнути пошук Lucene.NET на своєму сайті та перейти до пошуку Dataverse, щоб користуватися Customer Lockbox. Для детальнішої інформації див. Portals search за допомогою Lucene.NET пошук застарілий.

Робочий процес

  1. Ваша організація має проблему з Microsoft Power Platform і відкриває запит на підтримку до Microsoft Support. Крім того, корпорація Microsoft проактивно виявляє проблему (наприклад, ініціювала проактивне сповіщення) і відкрито подію, запущену Microsoft, щоб досліджувати й усувати або виправити основну причину.

  2. Оператор Microsoft переглядає запит або подію в підтримку та намагається усунути проблему за допомогою стандартних інструментів і телеметрії. Якщо оператору потрібен доступ до даних клієнтів для подальшого усунення несправностей, інженер Microsoft починає внутрішній процес затвердження доступу до даних клієнта, незалежно від того, чи активована політика lockbox.

  3. Якщо відповідне сховище даних пов'язане з середовищем, захищеним відповідно до політики блокування, процес також генерує запит до скриньки. Призначені затверджувачі (адміністратори Power Platform) отримують електронну пошту сповіщення про очікуваний запит на доступ до даних від Microsoft.

    Важливо

    Інженер Microsoft не може продовжити розслідування, доки клієнт не схвалить запит на сейф. Цей етап затвердження може призвести до затримок у вирішенні запиту в службі підтримки або тривалих збоїв. Обов'язково відстежуйте сповіщення електронної пошти та запити на скриньки в адміністративному центрі Power Platform. Реагуйте своєчасно, щоб уникнути перебоїв у роботі послуг.

    Зразок запиту на сейф.

  4. Затверджувач входить до центру адміністрування Power Platform і схвалює запит. Якщо підтверджувач відхиляє запит або не схвалює його протягом чотирьох днів, запит закінчується, і інженер Microsoft не отримує доступу.

  5. Після того, як затверджувач вашої організації схвалює запит, інженер Microsoft отримує підвищені дозволи, які він спочатку запитував, і вирішує вашу проблему. Інженери Microsoft мають певний час — вісім годин — щоб виправити проблему, після чого доступ автоматично відкликається.

Увімкнення політики повного контролю доступу

Power Platform Адміністратори можуть створювати або оновлювати політику блокування в Power Platform Центрі адміністрування. Увімкнення політики рівня клієнта застосовується лише до середовищ, активованих для керованих середовищ. Впровадження Customer Lockbox у всіх джерелах даних і середовищах може займати до 24 годин.

  1. Увійдіть у Центр адміністрування Power Platform.
  2. В області переходів виберіть Керування .
  3. У панелі керування виберіть налаштування орендаря.
  4. Виберіть Client Lockbox, а потім Enable (Активувати).

Розгляд запиту на повний контроль доступу

  1. Увійдіть у Центр адміністрування Power Platform.

  2. В області переходів виберіть пункт Безпека.

  3. У панелі безпеки виберіть Відповідність.

  4. На сторінці відповідності виберіть Client Lockbox.

  5. Перегляд відомостей про запит.

    Поле Опис
    Ідентифікатор запиту на підтримку Ідентифікатор запиту на підтримку, зв’язаний із запитом на повний контроль доступу. Якщо запит є результатом внутрішнього сповіщення, ініційованого Microsoft, значення — «Microsoft initiated».
    Середовище Коротке ім’я середовища, в якому надається запит на доступ до даних.
    "Стан" Стан запиту на повний контроль доступу.
    • Необхідна дія: очікується схвалення від замовника
    • Термін дії минув: схвалення від замовника не отримано
    • Затверджено: Затверджено замовником
    • Відмовлено: Відмовлено замовником
    Запитано Час, коли інженер Microsoft запитував доступ до даних клієнтів у середовищі клієнта.
    Термін дії запиту Час, на який клієнт має затвердити запит на повний контроль доступу. Статус запиту зміниться на Термін дії минув, якщо до цього часу не буде надано схвалення.
    Період доступу Тривалість часу, протягом якого ініціатор запиту хоче отримувати доступ до даних клієнта. Це значення за замовчуванням становить 8 годин, і його не можна змінити.
    Термін дії доступу Якщо доступ надано, це час, до якого інженер Microsoft має доступ до даних клієнта.

  6. Виберіть запит на повний контроль доступу і натисніть кнопку «Затвердити» або «Відхилити».

    Схвалення або відхилення запитів на блокування

    Нотатка

    Запити на повний контроль доступу, що сталися за останні 28 днів, відображаються в таблиці «Останні».

    Після схвалення запит не може бути відкликаний протягом усього періоду доступу, який триває 8 годин.

Запити на повний контроль доступу до аудиту

Попередження

Схема, задокументована в цьому розділі для подій аудиту блоку, вважається застарілою та не буде доступною, починаючи з липня 2024 року. Ви можете проводити аудит подій на Customer Lockbox за допомогою нової схеми, доступної в категорії Активність: Операції з блокуванням.

Дії, пов'язані з прийняттям, відхиленням або завершенням терміну дії запиту на скриньку, автоматично фіксуються у Microsoft 365 Defender.

Microsoft 365 Defender сторінка.

Трасування аудиту містять ці та інші поля для кожного запиту на повний контроль доступу.

  • Унікальний ідентифікатор для запиту
  • Час створення запиту
  • Ідентифікатор організації
  • Ідентифікатор користувача (унікальний ідентифікатор оператора Microsoft, який виконує запит)
  • Стан запиту
  • Пов’язаний ідентифікатор запиту на підтримку
  • Час завершення терміну дії запиту
  • Час завершення терміну дії доступу до даних
  • Ідентифікатор середовища
  • Обґрунтування запиту

Вкладка Microsoft 365 Audit дозволяє адміністраторам шукати події, пов'язані з сесіями lockbox. Перегляд категорії Power Platform Повний контроль доступу для подій, пов'язаних із Power Platform.

Виберіть Power Platform категорію сейфа.

Адміністратори можуть безпосередньо експортувати набір результатів за умовами фільтра.

Customer Lockbox створює два типи журналів аудиту:

  1. Журнали, ініційовані корпорацією Майкрософт і відповідають створенню, терміну дії запиту на блокування або завершенню сеансів доступу. Цей набір журналів аудиту не відповідає певному ідентифікатору користувача, оскільки дії ініціює корпорація Майкрософт.
  2. Журнали, які ініціюються діями кінцевого користувача, наприклад, коли користувач схвалює або відхиляє запит на блокування. Якщо користувачу, який виконує ці операції, не призначено ліцензію E5, журнали відфільтровуються та не відображаються в журналах аудиту.

За замовчуванням журнали аудиту зберігаються протягом одного року. Щоб зберігати аудиторські записи протягом 10 років, потрібна додаткова ліцензія на зберігання аудиторського журналу протягом 10 років. Дивіться розділ Аудит (Преміум)для отримання більш детальної інформації про зберігання аудиторського журналу.

Вимоги до ліцензування Customer Lockbox

Політика Customer Lockbox застосовується лише до середовищ, активованих для керованих середовищ. Керовані середовища включені як права у автономні ліцензії Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages та Dynamics 365, які надають преміум-права на використання. Щоб дізнатися більше про ліцензування керованого середовища, дивіться Licensing та Ліцензування для Microsoft Power Platform.

Крім того, доступ до Customer Lockbox для Microsoft Power Platform та Dynamics 365 вимагає, щоб користувачі в середовищах, де застосовується політика Lockbox, мали будь-яку з таких підписок:

  • Microsoft 365 або Office 365 A5/E5/G5
  • Відповідність Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 Безпека та Відповідність
  • Microsoft 365 A5/E5/F5/G5 Управління інсайдерськими ризиками
  • Microsoft 365 A5/E5/F5/G5 Information Protection та управління Дізнайтеся більше про відповідні ліцензії.

Винятки

  • Запити на повний контроль доступу не ініціюються в таких сценаріях інженерної підтримки:

    • Аварійні сценарії, що виходять за межі стандартних операційних процедур, наприклад, серйозний збій служби, що потребує негайного втручання для відновлення або поновлення служб у непередбачених або неочікуваних випадках. Такі випадки «розбитого скла» трапляються рідко і в більшості випадків не потребують доступу до даних клієнтів для вирішення.

    • Інженер Microsoft має доступ до основної платформи в рамках усунення несправностей і ненавмисно має доступ до даних клієнтів. Такі сценарії рідко призводять до доступу до великого обсягу даних клієнтів.

  • Запити на повний контроль доступу на стороні клієнта також не ініціюються зовнішніми юридичними вимогами до даних. Докладнішу інформацію див. в обговореннях запитів уряду на отримання даних у Центрі безпеки та конфіденційності Microsoft.

  • Customer Lockbox не застосовуватиметься до доступу та ручного перегляду даних клієнтів, які використовуються для функцій Copilot AI. Lockbox залишається ввімкненим для всіх даних, що стосуються обсягу.

Відомі проблеми

  • Міграція з клієнта в клієнт не підтримується, якщо увімкнуто повний контроль доступу на стороні клієнта. Щоб перемістити середовище до іншого клієнта, вимкніть повний контроль доступу на стороні клієнта. Після завершення перенесення повний контроль доступу на стороні клієнта можна ввімкнути знову.
  • Last updated on