Chia sẻ qua

Truy cập an toàn vào dữ liệu khách hàng bằng Customer Lockbox trong Power Platform và Dynamics 365

  • Bài viết

Hầu hết các hoạt động, hỗ trợ và khắc phục sự cố do nhân viên của Microsoft thực hiện (bao gồm cả người xử lý phụ) đều không yêu cầu quyền truy cập vào dữ liệu khách hàng. Với Customer Lockbox trong Power Platform, chúng tôi cung cấp giao diện cho khách hàng xem xét và phê duyệt (hoặc từ chối) yêu cầu truy cập dữ liệu trong trường hợp hiếm khi cần truy cập dữ liệu vào dữ liệu của khách hàng. Công cụ được sử dụng trong trường hợp kỹ sư của Microsoft cần truy cập vào dữ liệu khách hàng, cho dù là để phản hồi phiếu hỗ trợ do khách hàng khởi tạo hay một vấn đề do Microsoft xác định.

Bài viết này đề cập đến cách bật Customer Lockbox và cách các yêu cầu lockbox được bắt đầu, theo dõi và lưu trữ để xem xét cũng như kiểm tra sau này.

Lưu ý

Customer Lockbox có sẵn trên các đám mây công cộng và Đám mây Cộng đồng Chính phủ Hoa Kỳ (GCC), GCC High và các khu vực của Bộ Quốc phòng (DoD).

Tóm tắt

Bạn có thể bật Customer Lockbox cho các nguồn dữ liệu trong đối tượng thuê của mình. Việc bật Hộp khóa khách hàng sẽ chỉ thực thi chính sách đối với các môi trường được kích hoạt cho Môi trường được quản lý. Quản trị viên toàn cầu và quản trị viên Power Platform có thể bật chính sách lockbox.

Để biết thêm thông tin, hãy chuyển đến Bật chính sách lockbox.

Trong trường hợp hiếm gặp khi Microsoft cố gắng truy cập vào dữ liệu khách hàng được lưu trữ trong Power Platform (ví dụ: Dataverse), một yêu cầu lockbox được gửi tới Quản trị viên toàn cầu và quản trị viên Power Platform để phê duyệt. Để biết thêm thông tin, hãy chuyển đến Xem xét yêu cầu lockbox.

Tất cả các bản cập nhật đối với yêu cầu lockbox được ghi lại và cung cấp cho tổ chức của bạn dưới dạng nhật ký kiểm tra. Để biết thêm thông tin, hãy chuyển đến Kiểm tra yêu cầu lockbox.

Power Platform và các ứng dụng cũng như dịch vụ Dynamics 365 lưu trữ dữ liệu khách hàng trong một số công nghệ lưu trữ Azure. Khi bạn bật Customer Lockbox cho một môi trường, dữ liệu khách hàng được liên kết với môi trường tương ứng sẽ được bảo vệ theo chính sách lockbox, bất kể loại bộ nhớ nào.

Lưu ý

  • Hiện tại, các ứng dụng và dịch vụ mà chính sách hộp khóa sẽ được thực thi sau khi bật là Power Apps (không bao gồm Thẻ cho Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (không bao gồm các tính năng của GPT AI), Dataverse, Thông tin chi tiết về khách hàng, dịch vụ khách hàng, Cộng đồng, Hướng dẫn, Không gian được kết nối, Tài chính (ngoại trừ Dịch vụ Vòng đời), Hoạt động Dự án (ngoại trừ Dịch vụ Vòng đời), chuỗi cung ứng Quản lý (ngoại trừ Dịch vụ Vòng đời) và khu vực tính năng tiếp thị theo thời gian thực của ứng dụng Tiếp thị.
  • Các tính năng do Azure cung cấp OpenAI Dịch vụ bị loại trừ khỏi việc thực thi chính sách Lockbox trừ khi tài liệu sản phẩm cho một tính năng nhất định nêu rõ rằng Lockbox áp dụng.
  • Nuance Conversational IVR bị loại trừ khỏi việc thực thi chính sách Lockbox trừ khi tài liệu sản phẩm cho một tính năng nhất định cho biết Lockbox áp dụng.
  • Nội dung chào mừng của Maker không được thực thi chính sách Lockbox.
  • Bạn phải tắt tìm kiếm Lucene.NET khỏi trang web của mình và chuyển sang Dataverse Tìm kiếm để có thể sử dụng Customer Lockbox. Thông tin thêm: Tìm kiếm cổng thông tin bằng cách sử dụng tìm kiếm Lucene.NET không còn được dùng nữa.

Quy trình làm việc

  1. Tổ chức của bạn gặp sự cố với Microsoft Power Platform và mở yêu cầu hỗ trợ với bộ phận Hỗ trợ của Microsoft. Ngoài ra, Microsoft chủ động xác định sự cố (ví dụ: thông báo chủ động được kích hoạt) và sự kiện do Microsoft khởi tạo được mở để điều tra và giảm thiểu hoặc khắc phục nguyên nhân gốc rễ.

  2. Một thao tác viên của Microsoft xem xét sự kiện/yêu cầu hỗ trợ và cố gắng khắc phục sự cố bằng cách sử dụng các công cụ tiêu chuẩn cùng với phép đo từ xa. Nếu cần quyền truy cập vào dữ liệu khách hàng để khắc phục sự cố thêm, một kỹ sư của Microsoft sẽ kích hoạt quy trình phê duyệt nội bộ để truy cập vào dữ liệu khách hàng, bất kể chính sách lockbox có được bật hay không.

  3. Ngoài ra, một yêu cầu lockbox sẽ được tạo nếu kho dữ liệu tương ứng được liên kết với một môi trường được bảo vệ theo hỗ trợ chính sách lockbox. Một thông báo qua email sẽ được gửi tới những người phê duyệt được chỉ định (Quản trị viên toàn cầu và quản trị viên Power Platform) về yêu cầu truy cập dữ liệu đang chờ xử lý từ Microsoft.

    Quan trọng

    Kỹ sư của Microsoft sẽ không thể tiến hành điều tra cho đến khi yêu cầu lockbox được khách hàng chấp thuận. Điều này có thể gây ra sự chậm trễ trong việc giải quyết phiếu hỗ trợ hoặc sự cố kéo dài. Đảm bảo rằng bạn theo dõi thông báo email và/hoặc yêu cầu lockbox trong trung tâm quản trị Power Platform và phản hồi kịp thời để tránh gián đoạn dịch vụ.

    Một yêu cầu hộp khóa mẫu.

  4. Người phê duyệt đăng nhập vào trung tâm quản trị Power Platform và phê duyệt yêu cầu. Nếu yêu cầu bị từ chối hoặc không được phê duyệt trong vòng bốn ngày, yêu cầu đó sẽ hết hạn và kỹ sư của Microsoft sẽ không được cấp quyền truy cập.

  5. Sau khi người phê duyệt từ tổ chức của bạn phê duyệt yêu cầu, kỹ sư của Microsoft sẽ nhận được các quyền nâng cao được yêu cầu ban đầu và khắc phục sự cố của bạn. Các kỹ sư của Microsoft có một khoảng thời gian là 8 giờ để khắc phục sự cố, sau thời gian đó, quyền truy cập sẽ tự động bị thu hồi.

Kích hoạt chính sách lockbox

Quản trị viên toàn cầu hoặc quản trị viên Power Platform có thể tạo hoặc cập nhật chính sách lockbox trong trung tâm quản trị Power Platform. Việc bật chính sách cấp độ đối tượng thuê sẽ chỉ áp dụng cho các môi trường được kích hoạt cho Môi trường được quản lý. Có thể mất tối đa 24 giờ để tất cả các nguồn dữ liệu và tất cả các môi trường được triển khai với Customer Lockbox.

  1. Đăng nhập vào Trung tâm quản trị Power Platform.

  2. Sử dụng trang thiết đặt Đối tượng thuê để xem lại và quản lý thiết đặt cấp độ đối tượng thuê. Để xem cài đặt cấp độ đối tượng thuê, hãy chọn biểu tượng Gear (Biểu tượng bánh răng.) ở góc trên bên phải của trang Microsoft Power Platform và chọn Power Platform cài đặt>Cài đặt>Cài đặt đối tượng thuê trong ngăn điều hướng bên trái.

  3. Đặt Hộp khóa khách hàng thành Bật.

    Bật chính sách hộp khóa.

Xem xét yêu cầu lockbox

  1. Đăng nhập vào Trung tâm quản trị Power Platform.

  2. Chọn Chính sách>Hộp khóa khách hàng.

  3. Xem xét chi tiết yêu cầu.

    Trường Description
    ID yêu cầu hỗ trợ ID của phiếu hỗ trợ được liên kết với yêu cầu lockbox. Nếu yêu cầu là kết quả của cảnh báo nội bộ do Microsoft khởi tạo, thì giá trị sẽ là "Microsoft khởi tạo".
    Môi trường Tên hiển thị của môi trường nơi quyền truy cập dữ liệu đang được yêu cầu.
    Trạng thái Trạng thái của yêu cầu lockbox.
    • Hành động cần thực hiện: Đang chờ phê duyệt từ khách hàng
    • Hết hạn: Không nhận được phê duyệt từ khách hàng
    • Đã phê duyệt: Đã được khách hàng phê duyệt
    • Bị từ chối: Bị khách hàng từ chối
    Đã yêu cầu Thời điểm kỹ sư của Microsoft yêu cầu quyền truy cập vào dữ liệu khách hàng trong môi trường của khách hàng.
    Hạn yêu cầu Thời điểm mà khách hàng cần phê duyệt yêu cầu lockbox. Trạng thái của yêu cầu sẽ thay đổi thành Đã hết hạn nếu không có phê duyệt nào được đưa ra vào thời điểm này.
    Thời gian truy cập Khoảng thời gian người yêu cầu muốn truy cập dữ liệu khách hàng. Giá trị này theo mặc định là 8 giờ và không thể thay đổi.
    Hạn truy cập Nếu quyền truy cập được cấp, đây là thời gian cho đến khi kỹ sư của Microsoft có quyền truy cập vào dữ liệu khách hàng.

  4. Chọn một yêu cầu lockbox rồi chọn Phê duyệt hoặc Từ chối.

    Phê duyệt hoặc từ chối yêu cầu hộp khóa

    Lưu ý

    Các yêu cầu lockbox đã diễn ra trong 28 ngày qua được hiển thị trong bảng Gần đây.

    Sau khi yêu cầu được phê duyệt, yêu cầu đó không thể bị thu hồi trong toàn bộ thời gian truy cập là 8 giờ.

Kiểm tra yêu cầu lockbox

Cảnh báo

Lược đồ được ghi lại trong phần này cho các sự kiện kiểm tra hộp khóa không còn được dùng nữa và sẽ không được cung cấp kể từ tháng 7 năm 2024. Bạn có thể kiểm tra các sự kiện Hộp khóa khách hàng bằng cách sử dụng lược đồ mới có sẵn tại Danh mục hoạt động: Hoạt động hộp khóa.

Các hành động liên quan đến việc chấp nhận, từ chối hoặc hết hạn yêu cầu lockbox được tự động ghi lại trong Microsoft 365 Defender.

Microsoft 365 Trang bảo vệ.

Dấu vết kiểm tra bao gồm các trường này và các trường khác cho mỗi yêu cầu lockbox:

  • Mã định danh duy nhất của yêu cầu
  • Thời gian tạo yêu cầu
  • ID tổ chức
  • ID người dùng (mã định danh duy nhất cho thao tác viên Microsoft thực hiện yêu cầu)
  • Trạng thái yêu cầu
  • ID phiếu hỗ trợ được liên kết
  • Thời gian hết hạn yêu cầu
  • Thời gian hết hạn quyền truy cập dữ liệu
  • ID môi trường
  • Lý do yêu cầu

Tab Microsoft 365 Kiểm tra cho phép quản trị viên tìm kiếm các sự kiện liên quan đến phiên lockbox. Xem danh mục Power Platform Lockbox để biết các sự kiện lockbox liên quan đến Power Platform.

Chọn danh mục Power Platform hộp khóa.

Quản trị viên có thể xuất trực tiếp bộ kết quả dựa trên tiêu chí lọc.

Kết quả tìm kiếm kiểm tra Lockbox.

Customer Lockbox tạo ra hai loại nhật ký kiểm tra:

  1. Nhật ký do Microsoft khởi tạo và tương ứng với yêu cầu hộp khóa được tạo, hết hạn hoặc khi phiên truy cập kết thúc. Bộ nhật ký kiểm tra này không tương ứng với một ID người dùng cụ thể do các hành động được Microsoft khởi xướng.
  2. Nhật ký được bắt đầu bởi hành động của người dùng cuối, chẳng hạn như khi người dùng phê duyệt hoặc từ chối yêu cầu hộp khóa. Nếu người dùng thực hiện các thao tác này không được chỉ định giấy phép E5 thì nhật ký sẽ bị lọc ra và sẽ không hiển thị trong nhật ký kiểm tra.

Theo mặc định, nhật ký kiểm tra được lưu giữ trong thời gian một năm. Bạn cần có giấy phép bổ sung Lưu giữ nhật ký kiểm tra trong 10 năm để lưu giữ hồ sơ kiểm tra trong 10 năm. Xem Kiểm tra (Cao cấp) để biết thêm chi tiết về việc lưu giữ nhật ký kiểm tra.

Yêu cầu cấp phép cho Customer Lockbox

Chính sách Customer Lockbox sẽ chỉ được thực thi trên các môi trường được kích hoạt cho Môi trường được quản lý. Môi trường được quản lý được đưa vào dưới dạng quyền trong các giấy phép độc lập Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages và Dynamics 365 cấp quyền sử dụng cao cấp. Để tìm hiểu thêm về cấp phép Môi trường được quản lý, hãy xem Cấp phépTổng quan về cấp phép cho Microsoft Power Platform.

Ngoài ra, quyền truy cập vào Customer Lockbox cho Microsoft Power Platform và Dynamics 365 yêu cầu người dùng trong các môi trường nơi chính sách Lockbox được thực thi phải có bất kỳ đăng ký nào sau đây:

  • Microsoft 365 hoặc Office 365 A5/E5/G5
  • Microsoft 365 Tuân thủ A5/E5/F5/G5
  • Microsoft 365 F5 Bảo mật & Sự tuân thủ
  • Microsoft 365 A5/E5/F5/G5 Quản lý rủi ro nội bộ
  • Microsoft 365 A5/E5/F5/G5 Bảo vệ và quản trị thông tin Tìm hiểu thêm về các giấy phép hiện hành.

Loại trừ

  • Yêu cầu lockbox không được kích hoạt trong các tình huống hỗ trợ kỹ thuật sau:

    • Các tình huống khẩn cấp nằm ngoài các quy trình vận hành tiêu chuẩn, chẳng hạn như sự cố dịch vụ lớn cần chú ý ngay lập tức để phục hồi hoặc khôi phục dịch vụ trong các trường hợp bất ngờ hoặc không thể đoán trước. Những sự kiện "cấp bách" này rất hiếm gặp và trong hầu hết các trường hợp, không yêu cầu bất kỳ quyền truy cập nào vào dữ liệu khách hàng để giải quyết.

    • Một kỹ sư của Microsoft truy cập vào nền tảng cơ sở trong quá trình khắc phục sự cố và vô tình tiếp xúc với dữ liệu của khách hàng. Rất hiếm khi các tình huống như vậy đòi hỏi quyền truy cập vào lượng dữ liệu khách hàng đáng kể.

  • Yêu cầu Customer Lockbox cũng không được kích hoạt theo yêu cầu pháp lý bên ngoài về dữ liệu. Để biết chi tiết, hãy tham khảo phần thảo luận về các yêu cầu của cơ quan chính phủ đối với dữ liệu trong Trung tâm tin cậy của Microsoft.

  • Hộp khóa khách hàng sẽ không áp dụng cho quyền truy cập và xem xét thủ công dữ liệu khách hàng được chia sẻ cho các tính năng AI copilot. Hộp khóa khách hàng sẽ vẫn được bật cho tất cả dữ liệu trong phạm vi.

Các sự cố đã biết

  • Việc di chuyển giữa các đối tượng thuê không được hỗ trợ khi bật Customer Lockbox. Bạn phải tắt Customer Lockbox để chuyển môi trường sang đối tượng thuê khác. Bạn có thể bật lại Customer Lockbox sau khi quá trình di chuyển hoàn tất.