使用 Power Platform 和 Dynamics 365 中的客戶加密箱安全存取客戶資料

  • 發行項

Microsoft 人員 (包括轉包處理者) 執行的大多數作業、支援和疑難排解不需要存取客戶資料。 藉由 Power Platform 客戶加密箱,我們為客戶提供了一個介面,以便在需要對對客戶資料進行資料存取的極少數情況下審查和核准 (或拒絕) 資料存取要求。 它用於 Microsoft 工程師需要需要存取客戶資料的情況,無論是回應客戶發起的支援憑證還是 Microsoft 所識別的問題。

本文介紹如何啟用客戶加密箱以及如何啟動、追蹤和儲存加密箱要求,以供日後審查和核准。

注意

客戶加密箱可在公用雲端、US Government Community Cloud (GCC)、GCC High 和 Department of Defense (DoD) 區域中使用。

綜合

您可以為租用戶內的資料來源啟用客戶加密箱。 啟用客戶加密箱只會對受控環境 所啟用的環境強制執行原則。 全域管理員和 Power Platform 管理員可以啟用加密箱原則。

如需詳細資訊,請移至啟用加密箱原則

在極少數情況下,當 Microsoft 嘗試存取儲存在 Power Platform 中的客戶資料 (例如 Dataverse) 時,會向全域管理員和 Power Platform 管理員傳送加密箱要求以供核准。 如需詳細資訊,請移至檢閱加密箱要求

加密箱要求的所有更新都會記錄下來,並作為稽核記錄提供給您的組織。 如需更多資訊,請前往稽核加密箱要求

Power Platform 和 Dynamics 365 應用程式與服務使用數種 Azure 儲存體技術來儲存客戶資料。 當您為環境打開 [客戶加密箱] 時,與各自環境相關聯的客戶資料會受到加密箱原則的保護,無論儲存類型如何。

Note

  • 目前,啟用後即強制執行加密箱原則的應用程式與服務是 Power Apps (不包括 Power Apps 適用的卡片)、AI Builder、Power Pages、Power Automate、Microsoft Copilot Studio (不包括 GPT AI 功能)、Dataverse、Customer Insights、Communities、Guides、Connected Spaces、Finance (Lifecycle Services 除外)、Project Operations (Lifecycle Services 除外)、Supply Chain Management (Lifecycle Services 除外) 以及 Marketing 應用程式的即時行銷功能區域。
  • 由 Azure OpenAI 服務提供的功能不參與加密箱原則強制執行,除非指定功能的產品文件聲明加密箱適用。
  • Nuance Conversational IVR 不參與 Lockbox 策略執行,除非給定功能的產品文件聲明 Lockbox 適用。
  • 製作者歡迎內容已從加密箱原則實施中排除。
  • 您必須從您的網站停用 Lucene.NET 搜尋,並移動到 Dataverse 搜尋,才能使用客戶加密箱。 其他資訊:使用 Lucene.NET 搜尋的入口網站搜尋已被取代

Workflow

  1. 您的組織存在 Microsoft Power Platform 問題,請透過 Microsoft 支援服務打開支援要求。 或者,Microsoft 主動識別問題 (例如,觸發主動通知),並打開 Microsoft 發起的事件以調查並緩解或修正根本原因。

  2. Microsoft 操作員會查看支援要求/事件,並嘗試使用標準工具和遙測來疑難排解問題。 如果需要存取客戶資料以進行進一步的疑難排解,Microsoft 工程師會觸發內部核准程式來存取客戶資料,無論是否已啟用加密箱原則。

  3. 此外,如果各自的資料存放區與根據加密箱原則啟用所保護的環境相關,就會產生加密箱要求。 有關來自 Microsoft 的待處理資料存取要求的電子郵件通知將發送給指定的核准者 (全域管理員和 Power Platform 管理員)。

    重要

    在加密箱要求獲得客戶核准前,Microsoft 工程師將無法繼續調查。 這可能會造成因處理支援票證或長時間停機造成的延遲。 請確認您在 Power Platform 系統管理中心監控電子郵件通知和/或加密箱要求,並及時回應以避免服務中斷。

    加密箱要求範例。

  4. 核准人登入 Power Platform 系統管理中心並核准要求。 如果要求在四天內遭拒絕或未獲核准,則要求會到期且無法將存取權授與 Microsoft 工程師。

  5. 當組織的核准者核准要求後,Microsoft 工程師會獲得最初要求的提升權限,並修正您的問題。 Microsoft 工程師有固定的時間 (8 小時) 來修正問題,此後存取權就會自動撤銷。

啟用加密箱原則

全域管理員或 Power Platform 管理員可以在 Power Platform 系統管理中心建立或更新加密箱原則。 啟用租用戶層級原則只會套用至受控環境 所啟用的環境。 使用客戶加密箱執行所有資料來源和所有環境最多可能需要 24 小時。

  1. 登入 Power Platform 系統管理中心

  2. 使用 [租用戶設定] 頁面來檢閱和管理租用戶層級的設定。 若要檢視租用戶層級設定,請選取 Microsoft Power Platform 網站右上角的齒輪圖示 (齒輪圖示。),然後選取左側導覽窗格中的 Power Platform 設定>設定>租用戶設定

  3. 客戶加密箱設定為啟用

    開啟加密箱原則。

檢閱加密箱要求

  1. 登入 Power Platform 系統管理中心

  2. 選取原則>客戶加密箱

  3. 檢閱要求詳細資料。

    欄位 描述
    支援要求識別碼 與加密箱要求相關的支援票證識別碼。 如果要求是 Microsoft 發起的內部警示結果,則該值將為「Microsoft 發起」。
    環境 要求資料存取之環境的顯示名稱。
    狀態 加密箱要求的狀態。
    • 需要採取的動作:待客戶核准
    • 已到期:未收到客戶的核准
    • 已核准:已由客戶核准
    • 已拒絕:客戶已拒絕
    已要求 Microsoft 工程師要求存取客戶環境中客戶資料的時間。
    要求到期 客戶需要核准加密箱要求的時間。 如果在此時間內未經過核准,則要求的狀態將變更為已到期
    存取時段 要求者要存取客戶資料的時間長度。 此值預設為 8 小時,且無法變更。
    存取權到期 如果已授與存取權,則這是 Microsoft 工程師有權存取客戶資料的時間。

  4. 選取加密箱要求,然後選取核准拒絕

    核准或拒絕加密箱要求

    注意

    過去 28 天內發生的加密箱要求會顯示在最近資料表格中。

    要求經過核准後,在整個 8 小時存取期間的持續時間內都不能被撤銷。

稽核加密箱要求

與接受、拒絕或到期加密箱要求相關的作業會自動記錄在 Microsoft 365 Defender 中。

Microsoft 365 Defender 頁面。

稽核追衝包括每個加密箱要求的這些及其他欄位:

  • 要求的唯一識別碼
  • 要求的建立時間
  • 組織識別碼
  • 使用者識別碼 (執行要求的 Microsoft 操作員唯一識別碼)
  • 要求狀態
  • 關聯的支持票證識別碼
  • 要求的到期時間
  • 資料存取到期時間
  • 環境識別碼
  • 要求理由

Microsoft 365 Audit 索引標籤可讓管理員搜尋與加密箱工作階段相關的事件。 查看 Power Platform 加密箱類別以了解 Power Platform 相關加密箱事件。

選取 Power Platform 加密箱類別。

管理員可以根據篩選準則,直接匯出結果集。

加密箱稽核搜尋結果。

客戶加密箱會產生兩種類型的稽核紀錄:

  1. 由 Microsoft 發起的紀錄,且對應至要建立、過期或存取工作階段結束的加密箱要求。 這組稽核紀錄並不符合特定的使用者識別碼,因為這些動作是由 Microsoft 發起的。
  2. 由使用者動作發起的紀錄,例如當使用者核准或拒絕加密箱要求時。 如果執行這些作業的使用者未取得 E5 授權指派,則紀錄會被過濾掉,且不會顯示在稽核記錄中。

根據預設,稽核記錄會保留一年。 您必須有 10 年稽核日記保留附加元件授權,才能將稽核紀錄保留 10 年。 如需稽核記錄保留的詳細資料,請參閱稽核 (進階)

客戶加密箱的授權需求

客戶加密箱原則只會在為受控環境啟用的環境中執行。 受管理的環境是作為一項權利包含在獨立的 Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages 和 Dynamics 365 授權中,提供進階使用權利。 若要進一步瞭解受管理環境授權,請參閱授權Microsoft Power Platform 授權概觀

此外,存取 Microsoft Power Platform 和 Dynamics 365 的客戶加密箱,還要求強制執行加密箱原則所在環境中的使用者必須有下列任何一個訂閱:

  • Microsoft 365 或 Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 合規性
  • Microsoft 365 F5 安全性與合規性
  • Microsoft 365 A5/E5/F5/G5 測試人員風險管理
  • Microsoft 365 A5/E5/F5/G5 資訊保護和治理深入了解適當的授權。

排除項目

  • 下列工程支援案例將不會觸發加密箱要求:

    • 標準作業程序之外的緊急情況,例如需要立即注意以在意外或不可預測的情況下恢復或恢復服務的重大服務中斷。 這類「緊急」事件很少見,且在大部分的情況下,不需要存取客戶資料即可解決。

    • Microsoft 工程師會將基礎平台存取為疑難排解的一部分,並無意中接觸客戶資料。 這種案例很少會讓您存取有意義的客戶資料量。

  • 客戶加密箱要求也不會由外部對資料的法律要求觸發。 如需詳細資訊,請參考 Microsoft 信任中心中有關政府要求資料的討論。

  • 客戶加密箱不適用於 Copilot AI 功能共用的客戶資料存取和手動審查。 客戶加密箱將所有範圍內的資料保持啟用狀態。

已知問題

  • 已啟用客戶加密箱時,不支援租用戶對租用戶的遷移。 您必須停用客戶加密箱,才能將環境移至另一個租用戶。 完成移轉後,您可以重新啟用客戶加密箱。