Truy cập dữ liệu khách hàng một cách an toàn bằng cách sử dụng Customer Lockbox trong Power Platform và Dynamics 365

Hầu hết các hoạt động, hỗ trợ và khắc phục sự cố do nhân viên Microsoft thực hiện (bao gồm cả bộ xử lý phụ) đều không yêu cầu truy cập vào dữ liệu khách hàng. Bằng cách sử dụng Power Platform Customer Lockbox, khách hàng có thể xem xét và phê duyệt (hoặc từ chối) yêu cầu truy cập dữ liệu trong trường hợp hiếm hoi khi Microsoft cần quyền truy cập vào dữ liệu khách hàng. Sử dụng nó trong trường hợp kỹ sư của Microsoft cần truy cập dữ liệu khách hàng, cho dù là để phản hồi phiếu hỗ trợ do khách hàng khởi tạo hay sự cố do Microsoft xác định.

Bài viết này đề cập đến cách bật Customer Lockbox và cách các yêu cầu lockbox được bắt đầu, theo dõi và lưu trữ để xem xét cũng như kiểm tra sau này.

Ghi

Customer Lockbox khả dụng trên các đám mây công cộng và Đám mây cộng đồng của Chính phủ Hoa Kỳ (GCC), GCC High và các khu vực Bộ Quốc phòng (DoD).

Tóm tắt

Bạn có thể bật Customer Lockbox cho các nguồn dữ liệu trong đối tượng thuê của mình. Việc bật Customer Lockbox chỉ thực thi chính sách đối với các môi trường được kích hoạt cho Môi trường được quản lý. Power Platform Người quản trị có thể kích hoạt chính sách hộp khóa.

Để biết thêm thông tin, hãy xem Bật chính sách hộp khóa.

Trong trường hợp hiếm hoi khi Microsoft cố gắng truy cập dữ liệu khách hàng được lưu trữ trong Power Platform (ví dụ: Dataverse), yêu cầu hộp khóa sẽ được gửi đến Power Platform người quản trị để phê duyệt. Để biết thêm thông tin, hãy xem Xem lại yêu cầu hộp khóa.

Tất cả các bản cập nhật đối với yêu cầu lockbox được ghi lại và cung cấp cho tổ chức của bạn dưới dạng nhật ký kiểm tra. Để biết thêm thông tin, hãy xem Kiểm tra yêu cầu hộp khóa.

Các ứng dụng và dịch vụ Power Platform và Dynamics 365 lưu trữ dữ liệu khách hàng trong một số công nghệ lưu trữ Azure. Khi bạn bật Customer Lockbox cho một môi trường, dữ liệu khách hàng được liên kết với môi trường tương ứng sẽ được bảo vệ theo chính sách lockbox, bất kể loại bộ nhớ nào.

Ghi

  • Hiện tại, các ứng dụng và dịch vụ mà chính sách hộp khóa được thực thi sau khi được bật là Power Apps (không bao gồm Thẻ cho Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (hộp khóa được định cấu hình không bao gồm dữ liệu được gửi từ Copilot Studio như một phần của nhật ký kiểm tra bảo mật Agent 365), Dataverse, Customer Insights, Customer Service, Sales (ngoại trừ thông tin hội thoại), Cộng đồng, Hướng dẫn, Không gian được kết nối, Tài chính (ngoại trừ Dịch vụ Vòng đời), Hoạt động dự án (ngoại trừ Dịch vụ Vòng đời), Quản lý chuỗi cung ứng (ngoại trừ Dịch vụ Vòng đời) và khu vực tính năng tiếp thị theo thời gian thực của ứng dụng Marketing.
  • Các tính năng do Dịch vụ Azure OpenAI cung cấp bị loại trừ khỏi việc thực thi chính sách hộp khóa trừ khi tài liệu sản phẩm cho một tính năng nhất định nêu rõ rằng hộp khóa được áp dụng.
  • Nuance Conversational IVR bị loại trừ khỏi việc thực thi chính sách hộp khóa trừ khi tài liệu sản phẩm cho một tính năng nhất định nêu rõ rằng hộp khóa được áp dụng.
  • Nội dung chào mừng của Maker không được thực thi chính sách hộp khóa.
  • Cài đặt môi trường Power Platform bị loại trừ khỏi việc thực thi chính sách hộp khóa.
  • Bạn phải tắt tìm kiếm Lucene.NET từ trang web của mình và chuyển sang Tìm kiếm Dataverse để có thể sử dụng Hộp khóa khách hàng. Để biết thêm thông tin, hãy xem Tìm kiếm cổng thông tin bằng Lucene.NET không còn được dùng nữa.

Quy trình làm việc

  1. Tổ chức của bạn gặp sự cố với Microsoft Power Platform và mở yêu cầu hỗ trợ với Bộ phận hỗ trợ của Microsoft Support. Ngoài ra, Microsoft chủ động xác định sự cố (ví dụ: thông báo chủ động được kích hoạt) và sự kiện do Microsoft khởi tạo được mở để điều tra và giảm thiểu hoặc khắc phục nguyên nhân gốc rễ.

  2. Nhà điều hành Microsoft xem xét yêu cầu hoặc sự kiện hỗ trợ và cố gắng khắc phục sự cố bằng cách sử dụng các công cụ tiêu chuẩn và phép đo từ xa. Nếu người vận hành cần quyền truy cập vào dữ liệu khách hàng để khắc phục sự cố thêm, kỹ sư của Microsoft sẽ bắt đầu quy trình phê duyệt nội bộ để truy cập vào dữ liệu khách hàng, bất kể chính sách hộp khóa có được bật hay không.

  3. Nếu kho dữ liệu tương ứng được liên kết với một môi trường được bảo vệ theo kích hoạt chính sách hộp khóa, quy trình này cũng tạo ra yêu cầu hộp khóa. Người phê duyệt được chỉ định (quản trị viên Power Platform) nhận được thông báo qua email về yêu cầu truy cập dữ liệu đang chờ xử lý từ Microsoft.

    Quan trọng

    Kỹ sư Microsoft không thể tiến hành điều tra cho đến khi khách hàng chấp thuận yêu cầu hộp khóa. Bước phê duyệt này có thể gây ra sự chậm trễ trong việc giải quyết phiếu hỗ trợ hoặc ngừng hoạt động kéo dài. Đảm bảo bạn theo dõi thông báo qua email và yêu cầu hộp khóa trong trung tâm quản trị Power Platform. Phản hồi kịp thời để tránh gián đoạn dịch vụ.

    Yêu cầu hộp khóa mẫu.

  4. Người phê duyệt đăng nhập vào trung tâm quản trị Power Platform và phê duyệt yêu cầu. Nếu người phê duyệt từ chối yêu cầu hoặc không phê duyệt yêu cầu trong vòng bốn ngày, yêu cầu sẽ hết hạn và kỹ sư của Microsoft không có quyền truy cập.

  5. Sau khi người phê duyệt từ tổ chức của bạn phê duyệt yêu cầu, kỹ sư Microsoft sẽ nhận được các quyền nâng cao mà họ yêu cầu ban đầu và khắc phục sự cố của bạn. Các kỹ sư của Microsoft có một khoảng thời gian nhất định - tám giờ - để khắc phục sự cố, sau đó, quyền truy cập sẽ tự động bị thu hồi.

Kích hoạt chính sách lockbox

Power Platform người quản trị có thể tạo hoặc cập nhật chính sách hộp khóa trong Power Platform trung tâm quản trị. Việc bật chính sách cấp độ đối tượng thuê chỉ áp dụng cho các môi trường được kích hoạt cho Môi trường được quản lý. Có thể mất đến 24 giờ để tất cả các nguồn dữ liệu và tất cả các môi trường triển khai Customer Lockbox.

  1. Đăng nhập vào Trung tâm quản trị Power Platform.
  2. Trong ngăn điều hướng, chọn Quản lý.
  3. Trong ngăn Quản lý, chọn Cài đặt đối tượng thuê.
  4. Chọn Hộp khóa khách hàng, sau đó chọn Bật.

Xem xét yêu cầu lockbox

  1. Đăng nhập vào Trung tâm quản trị Power Platform.

  2. Trong ngăn điều hướng, chọn Bảo mật.

  3. Trong ngăn Bảo mật , chọn Tuân thủ.

  4. Trên trang Tuân thủ , chọn Hộp khóa khách hàng.

  5. Xem xét chi tiết yêu cầu.

    Trường Sự miêu tả
    ID yêu cầu hỗ trợ ID của phiếu hỗ trợ được liên kết với yêu cầu lockbox. Nếu yêu cầu là kết quả của cảnh báo nội bộ do Microsoft khởi tạo, giá trị là "Microsoft khởi tạo".
    Môi trường Tên hiển thị của môi trường nơi quyền truy cập dữ liệu đang được yêu cầu.
    Trạng thái Trạng thái của yêu cầu lockbox.
    • Hành động cần thực hiện: Đang chờ sự chấp thuận từ khách hàng
    • Đã hết hạn: Không nhận được sự chấp thuận từ khách hàng
    • Đã duyệt: Đã được khách hàng chấp thuận
    • Bị từ chối: Bị khách hàng từ chối
    Đã yêu cầu Thời điểm kỹ sư Microsoft yêu cầu quyền truy cập vào dữ liệu khách hàng trong môi trường của khách hàng.
    Hạn yêu cầu Thời điểm mà khách hàng cần phê duyệt yêu cầu lockbox. Trạng thái của yêu cầu sẽ thay đổi thành Đã hết hạn nếu không có sự chấp thuận nào được đưa ra vào thời điểm này.
    Thời gian truy cập Khoảng thời gian người yêu cầu muốn truy cập dữ liệu khách hàng. Giá trị này theo mặc định là 8 giờ và không thể thay đổi.
    Hạn truy cập Nếu quyền truy cập được cấp, đây là thời gian cho đến khi kỹ sư của Microsoft có quyền truy cập vào dữ liệu khách hàng.

  6. Chọn một yêu cầu lockbox rồi chọn Phê duyệt hoặc Từ chối.

    Chấp thuận hoặc từ chối yêu cầu hộp khóa

    Ghi

    Các yêu cầu lockbox đã diễn ra trong 28 ngày qua được hiển thị trong bảng Gần đây.

    Một khi yêu cầu được chấp thuận, yêu cầu đó không thể bị thu hồi trong toàn bộ thời gian truy cập là 8 giờ.

Kiểm tra yêu cầu lockbox

Cảnh báo

Sơ đồ được ghi lại trong phần này dành cho các sự kiện kiểm tra hộp khóa đã lỗi thời và sẽ không khả dụng kể từ tháng 7 năm 2024. Bạn có thể kiểm tra các sự kiện Hộp khóa khách hàng bằng cách sử dụng lược đồ mới có tại Danh mục hoạt động: Hoạt động Hộp khóa.

Các hành động liên quan đến việc chấp nhận, từ chối hoặc hết hạn yêu cầu hộp khóa được ghi lại tự động trong Microsoft 365 Defender.

Microsoft 365 Defender trang.

Dấu vết kiểm tra bao gồm các trường này và các trường khác cho mỗi yêu cầu lockbox:

  • Mã định danh duy nhất của yêu cầu
  • Thời gian tạo yêu cầu
  • ID tổ chức
  • ID người dùng (mã định danh duy nhất cho thao tác viên Microsoft thực hiện yêu cầu)
  • Trạng thái yêu cầu
  • ID phiếu hỗ trợ được liên kết
  • Thời gian hết hạn yêu cầu
  • Thời gian hết hạn quyền truy cập dữ liệu
  • ID môi trường
  • Lý do yêu cầu

Tab Microsoft 365 Audit cho phép quản trị viên tìm kiếm các sự kiện liên quan đến phiên hộp khóa. Xem danh mục Power Platform Lockbox để biết các sự kiện lockbox liên quan đến Power Platform.

Chọn danh mục hộp khóa Power Platform .

Quản trị viên có thể xuất trực tiếp bộ kết quả dựa trên tiêu chí lọc.

Customer Lockbox tạo ra hai loại nhật ký kiểm tra:

  1. Nhật ký do Microsoft khởi tạo và tương ứng với yêu cầu hộp khóa được tạo, hết hạn hoặc khi phiên truy cập kết thúc. Bộ nhật ký kiểm tra này không tương ứng với ID người dùng cụ thể vì các hành động được khởi tạo bởi Microsoft.
  2. Nhật ký được khởi tạo bởi hành động của người dùng cuối, chẳng hạn như khi người dùng chấp thuận hoặc từ chối yêu cầu hộp khóa. Nếu người dùng thực hiện các thao tác này không được cấp giấy phép E5, nhật ký sẽ được lọc ra và không hiển thị trong nhật ký kiểm tra.

Theo mặc định, nhật ký kiểm tra được lưu giữ trong thời hạn một năm. Bạn cần có giấy phép bổ sung Lưu giữ nhật ký kiểm toán trong 10 năm để lưu giữ hồ sơ kiểm toán trong 10 năm. Xem Kiểm toán (Cao cấp) để biết thêm chi tiết về việc lưu giữ nhật ký kiểm toán.

Yêu cầu cấp phép cho Customer Lockbox

Chính sách Customer Lockbox chỉ được áp dụng trên các môi trường được kích hoạt cho Môi trường được quản lý. Môi trường được quản lý được bao gồm dưới dạng quyền trong giấy phép Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages và Dynamics 365 độc lập cung cấp quyền sử dụng cao cấp. Để tìm hiểu thêm về cấp phép Môi trường được quản lý, hãy xem Cấp phépTổng quan về cấp phép cho Microsoft Power Platform.

Ngoài ra, quyền truy cập vào Customer Lockbox cho Microsoft Power Platform và Dynamics 365 yêu cầu người dùng trong môi trường thực thi chính sách Lockbox phải có bất kỳ đăng ký nào sau đây:

  • Microsoft 365 hoặc Office 365 A5/E5/G5
  • Tuân thủ Microsoft 365 A5/E5/F5/G5
  • Bảo mật & Microsoft 365 F5 Tuân thủ
  • Quản lý rủi ro nội bộ Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 Quản trị và Information Protection A5/E5/F5/G5 Tìm hiểu thêm về các giấy phép hiện hành.

Loại trừ

  • Yêu cầu lockbox không được kích hoạt trong các tình huống hỗ trợ kỹ thuật sau:

    • Các tình huống khẩn cấp nằm ngoài các quy trình vận hành tiêu chuẩn, chẳng hạn như sự cố dịch vụ lớn cần chú ý ngay lập tức để phục hồi hoặc khôi phục dịch vụ trong các trường hợp bất ngờ hoặc không thể đoán trước. Những sự kiện "vỡ kính" này rất hiếm và trong hầu hết các trường hợp, không yêu cầu bất kỳ quyền truy cập nào vào dữ liệu khách hàng để giải quyết.

    • Một kỹ sư của Microsoft truy cập vào nền tảng cơ sở trong quá trình khắc phục sự cố và vô tình tiếp xúc với dữ liệu của khách hàng. Rất hiếm khi các tình huống như vậy đòi hỏi quyền truy cập vào lượng dữ liệu khách hàng đáng kể.

  • Yêu cầu Customer Lockbox cũng không được kích hoạt theo yêu cầu pháp lý bên ngoài về dữ liệu. Để biết chi tiết, hãy tham khảo phần thảo luận về các yêu cầu của cơ quan chính phủ đối với dữ liệu trong Trung tâm tin cậy của Microsoft.

  • Customer Lockbox sẽ không áp dụng cho việc truy cập và xem xét thủ công dữ liệu khách hàng được chia sẻ cho các tính năng của Copilot AI. Customer Lockbox vẫn được bật cho tất cả dữ liệu trong phạm vi.

Sự cố đã biết

  • Việc di chuyển giữa các đối tượng thuê không được hỗ trợ khi bật Customer Lockbox. Bạn phải tắt Customer Lockbox để chuyển môi trường sang đối tượng thuê khác. Bạn có thể bật lại Customer Lockbox sau khi quá trình di chuyển hoàn tất.
  • Last updated on