Chia sẻ qua

Truy cập dữ liệu khách hàng một cách an toàn bằng Customer Lockbox trong Power Platform và Dynamics 365

  • Bài viết

Hầu hết các hoạt động, hỗ trợ và khắc phục sự cố do nhân viên Microsoft thực hiện (bao gồm cả bộ xử lý phụ) đều không yêu cầu truy cập vào dữ liệu khách hàng. Với Customer Lockbox trong Power Platform, chúng tôi cung cấp giao diện cho khách hàng xem xét và phê duyệt (hoặc từ chối) yêu cầu truy cập dữ liệu trong trường hợp hiếm khi cần truy cập dữ liệu vào dữ liệu của khách hàng. Công cụ được sử dụng trong trường hợp kỹ sư của Microsoft cần truy cập vào dữ liệu khách hàng, cho dù là để phản hồi phiếu hỗ trợ do khách hàng khởi tạo hay một vấn đề do Microsoft xác định.

Bài viết này đề cập đến cách bật Customer Lockbox và cách các yêu cầu lockbox được bắt đầu, theo dõi và lưu trữ để xem xét cũng như kiểm tra sau này.

Lưu ý

Customer Lockbox khả dụng trên các đám mây công cộng và Đám mây cộng đồng của Chính phủ Hoa Kỳ (GCC), GCC High và các khu vực Bộ Quốc phòng (DoD).

Tóm tắt

Bạn có thể bật Customer Lockbox cho các nguồn dữ liệu trong đối tượng thuê của mình. Việc bật Customer Lockbox sẽ chỉ thực thi chính sách đối với các môi trường được kích hoạt cho Môi trường được quản lý. Power Platform Người quản trị có thể kích hoạt chính sách hộp khóa.

Để biết thêm thông tin, hãy chuyển đến Bật chính sách lockbox.

Trong trường hợp hiếm hoi khi Microsoft cố gắng truy cập dữ liệu khách hàng được lưu trữ trong Power Platform (ví dụ: Dataverse), yêu cầu hộp khóa sẽ được gửi đến Power Platform người quản trị để phê duyệt. Để biết thêm thông tin, hãy chuyển đến Xem xét yêu cầu lockbox.

Tất cả các bản cập nhật đối với yêu cầu lockbox được ghi lại và cung cấp cho tổ chức của bạn dưới dạng nhật ký kiểm tra. Để biết thêm thông tin, hãy chuyển đến Kiểm tra yêu cầu lockbox.

Power Platform và các ứng dụng và dịch vụ Dynamics 365 lưu trữ dữ liệu khách hàng trong nhiều công nghệ lưu trữ Azure. Khi bạn bật Customer Lockbox cho một môi trường, dữ liệu khách hàng được liên kết với môi trường tương ứng sẽ được bảo vệ theo chính sách lockbox, bất kể loại bộ nhớ nào.

Lưu ý

  • Hiện tại, các ứng dụng và dịch vụ mà chính sách hộp khóa sẽ được thực thi sau khi được bật là Power Apps (trừ Thẻ cho Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (trừ các tính năng AI của GPT và tổng đài viên Builder), Dataverse, Customer Insights, dịch vụ khách hàng, Cộng đồng, Hướng dẫn, Không gian kết nối, Tài chính (trừ Lifecycle Services), Hoạt động dự án (trừ Lifecycle Services), chuỗi cung ứng Quản lý (trừ Lifecycle Services) và khu vực tính năng tiếp thị theo thời gian thực của ứng dụng Tiếp thị.
  • Các tính năng được hỗ trợ bởi Dịch vụ Azure OpenAI sẽ bị loại trừ khỏi chính sách thực thi của Lockbox trừ khi tài liệu sản phẩm cho một tính năng nhất định nêu rõ rằng Lockbox sẽ áp dụng.
  • Nuance Conversational IVR bị loại trừ khỏi chính sách thực thi của Lockbox trừ khi tài liệu sản phẩm cho một tính năng nhất định nêu rõ rằng Lockbox sẽ được áp dụng.
  • Nội dung chào mừng của Maker bị loại trừ khỏi chính sách thực thi của Lockbox.
  • Bạn phải tắt tìm kiếm Lucene.NET khỏi trang web của mình và chuyển đến Dataverse Tìm kiếm để có thể sử dụng Customer Lockbox. Thông tin thêm: Tìm kiếm cổng thông tin bằng tìm kiếm Lucene.NET đã lỗi thời.

Quy trình làm việc

  1. Tổ chức của bạn gặp sự cố với Microsoft Power Platform và mở yêu cầu hỗ trợ với bộ phận Hỗ trợ của Microsoft. Ngoài ra, Microsoft chủ động xác định sự cố (ví dụ: thông báo chủ động được kích hoạt) và sự kiện do Microsoft khởi tạo được mở để điều tra và giảm thiểu hoặc khắc phục nguyên nhân gốc rễ.

  2. Một thao tác viên của Microsoft xem xét sự kiện/yêu cầu hỗ trợ và cố gắng khắc phục sự cố bằng cách sử dụng các công cụ tiêu chuẩn cùng với phép đo từ xa. Nếu cần quyền truy cập vào dữ liệu khách hàng để khắc phục sự cố thêm, một kỹ sư của Microsoft sẽ kích hoạt quy trình phê duyệt nội bộ để truy cập vào dữ liệu khách hàng, bất kể chính sách lockbox có được bật hay không.

  3. Ngoài ra, một yêu cầu lockbox sẽ được tạo nếu kho dữ liệu tương ứng được liên kết với một môi trường được bảo vệ theo hỗ trợ chính sách lockbox. Thông báo qua email sẽ được gửi đến những người phê duyệt được chỉ định (Power Platform người quản trị) về yêu cầu truy cập dữ liệu đang chờ xử lý từ Microsoft.

    Quan trọng

    Kỹ sư của Microsoft sẽ không thể tiến hành điều tra cho đến khi yêu cầu lockbox được khách hàng chấp thuận. Điều này có thể gây ra sự chậm trễ trong việc giải quyết phiếu hỗ trợ hoặc sự cố kéo dài. Đảm bảo rằng bạn theo dõi thông báo email và/hoặc yêu cầu lockbox trong trung tâm quản trị Power Platform và phản hồi kịp thời để tránh gián đoạn dịch vụ.

    Yêu cầu hộp khóa mẫu.

  4. Người phê duyệt đăng nhập vào trung tâm quản trị Power Platform và phê duyệt yêu cầu. Nếu yêu cầu bị từ chối hoặc không được chấp thuận trong vòng bốn ngày, yêu cầu sẽ hết hạn và kỹ sư Microsoft sẽ không được cấp quyền truy cập.

  5. Sau khi người phê duyệt từ tổ chức của bạn phê duyệt yêu cầu, kỹ sư của Microsoft sẽ nhận được các quyền nâng cao được yêu cầu ban đầu và khắc phục sự cố của bạn. Các kỹ sư của Microsoft có một khoảng thời gian là 8 giờ để khắc phục sự cố, sau thời gian đó, quyền truy cập sẽ tự động bị thu hồi.

Kích hoạt chính sách lockbox

Power Platform người quản trị có thể tạo hoặc cập nhật chính sách hộp khóa trong Power Platform trung tâm quản trị. Việc bật chính sách cấp độ đối tượng thuê sẽ chỉ áp dụng cho các môi trường được kích hoạt cho Môi trường được quản lý. Có thể mất tối đa 24 giờ để tất cả các nguồn dữ liệu và tất cả các môi trường được triển khai với Customer Lockbox.

  1. Đăng nhập vào Trung tâm quản trị Power Platform.

  2. Sử dụng trang thiết đặt Đối tượng thuê để xem lại và quản lý thiết đặt cấp độ đối tượng thuê. Để xem cài đặt cấp độ người thuê, hãy chọn biểu tượng Bánh răng (Biểu tượng bánh răng.) ở góc trên bên phải của trang web và chọn Microsoft Power Platform cài đặt Power Platform Cài đặt>Cài đặt người thuê>trong ngăn điều hướng bên trái.

  3. Đặt Hộp khóa khách hàng thành Bật.

    Bật chính sách hộp khóa.

Xem xét yêu cầu lockbox

  1. Đăng nhập vào Trung tâm quản trị Power Platform.

  2. Chọn Chính sách>Hộp khóa khách hàng.

  3. Xem xét chi tiết yêu cầu.

    Trường Description
    ID yêu cầu hỗ trợ ID của phiếu hỗ trợ được liên kết với yêu cầu lockbox. Nếu yêu cầu là kết quả của cảnh báo nội bộ do Microsoft khởi tạo, thì giá trị sẽ là "Microsoft khởi tạo".
    Môi trường Tên hiển thị của môi trường nơi quyền truy cập dữ liệu đang được yêu cầu.
    Trạng thái Trạng thái của yêu cầu lockbox.
    • Hành động cần thực hiện: Đang chờ sự chấp thuận từ khách hàng
    • Đã hết hạn: Không nhận được sự chấp thuận từ khách hàng
    • Đã duyệt: Đã được khách hàng chấp thuận
    • Bị từ chối: Bị khách hàng từ chối
    Đã yêu cầu Thời điểm kỹ sư của Microsoft yêu cầu quyền truy cập vào dữ liệu khách hàng trong môi trường của khách hàng.
    Hạn yêu cầu Thời điểm mà khách hàng cần phê duyệt yêu cầu lockbox. Trạng thái của yêu cầu sẽ thay đổi thành Đã hết hạn nếu không có phê duyệt nào được đưa ra vào thời điểm này.
    Thời gian truy cập Khoảng thời gian người yêu cầu muốn truy cập dữ liệu khách hàng. Giá trị này theo mặc định là 8 giờ và không thể thay đổi.
    Hạn truy cập Nếu quyền truy cập được cấp, đây là thời gian cho đến khi kỹ sư của Microsoft có quyền truy cập vào dữ liệu khách hàng.

  4. Chọn một yêu cầu lockbox rồi chọn Phê duyệt hoặc Từ chối.

    Chấp thuận hoặc từ chối yêu cầu hộp khóa

    Lưu ý

    Các yêu cầu lockbox đã diễn ra trong 28 ngày qua được hiển thị trong bảng Gần đây.

    Sau khi yêu cầu được phê duyệt, yêu cầu đó không thể bị thu hồi trong toàn bộ thời gian truy cập là 8 giờ.

Kiểm tra yêu cầu lockbox

Cảnh báo

Sơ đồ được ghi lại trong phần này dành cho các sự kiện kiểm tra hộp khóa đã lỗi thời và sẽ không khả dụng kể từ tháng 7 năm 2024. Bạn có thể kiểm tra các sự kiện Hộp khóa khách hàng bằng cách sử dụng lược đồ mới có tại Danh mục hoạt động: Hoạt động Hộp khóa.

Các hành động liên quan đến việc chấp nhận, từ chối hoặc hết hạn yêu cầu lockbox được tự động ghi lại trong Microsoft 365 Defender.

Microsoft 365 Trang bảo vệ.

Dấu vết kiểm tra bao gồm các trường này và các trường khác cho mỗi yêu cầu lockbox:

  • Mã định danh duy nhất của yêu cầu
  • Thời gian tạo yêu cầu
  • ID tổ chức
  • ID người dùng (mã định danh duy nhất cho thao tác viên Microsoft thực hiện yêu cầu)
  • Trạng thái yêu cầu
  • ID phiếu hỗ trợ được liên kết
  • Thời gian hết hạn yêu cầu
  • Thời gian hết hạn quyền truy cập dữ liệu
  • ID môi trường
  • Lý do yêu cầu

Tab Microsoft 365 Kiểm tra cho phép quản trị viên tìm kiếm các sự kiện liên quan đến phiên lockbox. Xem danh mục Power Platform Lockbox để biết các sự kiện lockbox liên quan đến Power Platform.

Chọn danh mục hộp khóa Power Platform .

Quản trị viên có thể xuất trực tiếp bộ kết quả dựa trên tiêu chí lọc.

Customer Lockbox tạo ra hai loại nhật ký kiểm tra:

  1. Nhật ký được khởi tạo bởi Microsoft và tương ứng với yêu cầu hộp khóa được tạo, hết hạn hoặc khi phiên truy cập kết thúc. Bộ nhật ký kiểm tra này không tương ứng với ID người dùng cụ thể vì các hành động được khởi tạo bởi Microsoft.
  2. Nhật ký được khởi tạo bởi hành động của người dùng cuối, chẳng hạn như khi người dùng chấp thuận hoặc từ chối yêu cầu hộp khóa. Nếu người dùng thực hiện các thao tác này không được cấp giấy phép E5, nhật ký sẽ được lọc ra và không hiển thị trong nhật ký kiểm tra.

Theo mặc định, nhật ký kiểm tra được lưu giữ trong thời hạn một năm. Bạn cần có giấy phép bổ sung Lưu giữ nhật ký kiểm toán trong 10 năm để lưu giữ hồ sơ kiểm toán trong 10 năm. Xem Kiểm toán (Cao cấp) để biết thêm chi tiết về việc lưu giữ nhật ký kiểm toán.

Yêu cầu cấp phép cho Customer Lockbox

Chính sách Customer Lockbox sẽ chỉ được thực thi trên các môi trường được kích hoạt cho Môi trường được quản lý. Môi trường được quản lý được bao gồm như một quyền trong các giấy phép độc lập Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages và Dynamics 365 cung cấp quyền sử dụng cao cấp. Để tìm hiểu thêm về cấp phép Môi trường được quản lý, hãy xem Cấp phépTổng quan về cấp phép cho Microsoft Power Platform.

Ngoài ra, quyền truy cập vào Customer Lockbox cho Microsoft Power Platform và Dynamics 365 yêu cầu người dùng trong môi trường áp dụng chính sách Lockbox phải có bất kỳ đăng ký nào sau đây:

  • Microsoft 365 hoặc Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Tuân thủ
  • Microsoft 365 F5 Bảo mật và tuân thủ
  • Microsoft 365 A5/E5/F5/G5 Quản lý rủi ro nội bộ
  • Microsoft 365 A5/E5/F5/G5 Bảo vệ và quản trị thông tin Tìm hiểu thêm về các giấy phép áp dụng.

Loại trừ

  • Yêu cầu lockbox không được kích hoạt trong các tình huống hỗ trợ kỹ thuật sau:

    • Các tình huống khẩn cấp nằm ngoài các quy trình vận hành tiêu chuẩn, chẳng hạn như sự cố dịch vụ lớn cần chú ý ngay lập tức để phục hồi hoặc khôi phục dịch vụ trong các trường hợp bất ngờ hoặc không thể đoán trước. Những sự kiện "cấp bách" này rất hiếm gặp và trong hầu hết các trường hợp, không yêu cầu bất kỳ quyền truy cập nào vào dữ liệu khách hàng để giải quyết.

    • Một kỹ sư của Microsoft truy cập vào nền tảng cơ sở trong quá trình khắc phục sự cố và vô tình tiếp xúc với dữ liệu của khách hàng. Rất hiếm khi các tình huống như vậy đòi hỏi quyền truy cập vào lượng dữ liệu khách hàng đáng kể.

  • Yêu cầu Customer Lockbox cũng không được kích hoạt theo yêu cầu pháp lý bên ngoài về dữ liệu. Để biết chi tiết, hãy tham khảo phần thảo luận về các yêu cầu của cơ quan chính phủ đối với dữ liệu trong Trung tâm tin cậy của Microsoft.

  • Customer Lockbox sẽ không áp dụng cho việc truy cập và xem xét thủ công dữ liệu khách hàng được chia sẻ cho các tính năng AI Copilot. Customer Lockbox sẽ vẫn được bật cho tất cả dữ liệu trong phạm vi.

Các sự cố đã biết

  • Việc di chuyển giữa các đối tượng thuê không được hỗ trợ khi bật Customer Lockbox. Bạn phải tắt Customer Lockbox để chuyển môi trường sang đối tượng thuê khác. Bạn có thể bật lại Customer Lockbox sau khi quá trình di chuyển hoàn tất.