共用方式為

使用 Power Platform 和 Dynamics 365 中的客戶加密箱安全存取客戶資料

  • 發行項

由 Microsoft 人員 (包括子處理商) 執行的大多數操作、支援和故障排除不需要訪問客戶數據。 藉由 Power Platform 客戶加密箱,我們為客戶提供了一個介面,以便在需要對對客戶資料進行資料存取的極少數情況下審查和核准 (或拒絕) 資料存取要求。 它用於工程師需要訪問客戶數據的情況 Microsoft ,無論是回覆客戶發起的支援票證還是由客戶發現的問題 Microsoft。

本文介紹如何啟用客戶加密箱以及如何啟動、追蹤和儲存加密箱要求,以供日後審查和核准。

注意

客戶加密箱可在公用雲端、US Government Community Cloud (GCC)、GCC High 和 Department of Defense (DoD) 區域中使用。

綜合

您可以為租用戶內的資料來源啟用客戶加密箱。 啟用客戶加密箱只會對受控環境 所啟用的環境強制執行原則。 Power Platform 管理員可以啟用密碼箱策略。

如需詳細資訊,請移至啟用加密箱原則

在極少數情況下,當 Microsoft 嘗試訪問存儲在 Power Platform 其中的客戶數據時 (例如), Dataverse將向管理員發送 Power Platform 密碼箱請求以供審批。 如需詳細資訊,請移至檢閱加密箱要求

加密箱要求的所有更新都會記錄下來,並作為稽核記錄提供給您的組織。 如需更多資訊,請前往稽核加密箱要求

Power Platform 和 Dynamics 365 應用程式與服務使用數種 Azure 儲存體技術來儲存客戶資料。 當您為環境打開 [客戶加密箱] 時,與各自環境相關聯的客戶資料會受到加密箱原則的保護,無論儲存類型如何。

Note

  • 目前,啟用密碼箱策略后將強制執行密碼箱策略的應用程式和服務包括 Power Apps (不包括 GPT AI 功能和代理生成器卡片 Power Apps)、 AI Builder Power Pages Power Automate Microsoft Copilot Studio DataverseCustomer Insights、客戶服務、社區、指南、連接空間、財務 (Lifecycle Services 除外)、Project Operations (Lifecycle Services 除外) 供應鏈 Management (Lifecycle Services 除外) 和 Marketing 應用程式的即時行銷功能區域。
  • 由 Azure OpenAI 服務提供的功能不參與加密箱原則強制執行,除非指定功能的產品文件聲明加密箱適用。
  • Nuance Conversational IVR 不參與 Lockbox 策略執行,除非給定功能的產品文件聲明 Lockbox 適用。
  • 製作者歡迎內容 被排除在密碼箱策略實施之外。
  • 您必須從您的網站停用 Lucene.NET 搜尋,並移動到 Dataverse 搜尋,才能使用客戶加密箱。 其他資訊:使用 Lucene.NET 搜尋的入口網站搜尋已被取代

Workflow

  1. 您的組織有問題 Microsoft Power Platform ,並向 Support 提交支援請求 Microsoft 。 或者, Microsoft 主動識別問題 (例如,觸發主動通知),並打開 a Microsoft 發起的事件以調查和緩解或修復根本原因。

  2. 答 Microsoft 操作員查看支援請求/事件,並嘗試使用標準工具和遙測來解決問題。 如果需要訪問客戶數據以進行進一步的故障排除,工程師會 Microsoft 觸發訪問客戶數據的內部審批流程,無論是否啟用密碼箱策略。

  3. 此外,如果各自的資料存放區與根據加密箱原則啟用所保護的環境相關,就會產生加密箱要求。 將向指定的審批者 (Power Platform 管理員) 發送一封電子郵件通知,告知其 Microsoft待處理的數據訪問請求。

    重要

    在客戶批准密碼箱請求之前, Microsoft 工程師將無法繼續進行調查。 這可能會造成因處理支援票證或長時間停機造成的延遲。 請確認您在 Power Platform 系統管理中心監控電子郵件通知和/或加密箱要求,並及時回應以避免服務中斷。

    加密箱要求範例。

  4. 核准人登入 Power Platform 系統管理中心並核准要求。 如果請求在 4 天內被拒絕或未獲得批准,則請求將過期,並且不會向 Microsoft 工程師授予任何訪問許可權。

  5. 在組織的審批者批准請求后, Microsoft 工程師將獲得最初請求的提升許可權並修復您的問題。 Microsoft 工程師有一定的時間 (8 小時) 來解決問題,之後,訪問許可權將自動撤銷。

啟用加密箱原則

Power Platform 管理員可以在 Power Platform 系統管理中心中創建或更新密碼箱策略。 啟用租用戶層級原則只會套用至受控環境 所啟用的環境。 使用客戶加密箱執行所有資料來源和所有環境最多可能需要 24 小時。

  1. 登入 Power Platform 系統管理中心

  2. 使用 [租用戶設定] 頁面來檢閱和管理租用戶層級的設定。 若要檢視租用戶層級設定,請選取 Microsoft Power Platform 網站右上角的齒輪圖示 (齒輪圖示。),然後選取左側導覽窗格中的 Power Platform 設定>設定>租用戶設定

  3. 客戶加密箱設定為啟用

    開啟加密箱原則。

檢閱加密箱要求

  1. 登入 Power Platform 系統管理中心

  2. 選取原則>客戶加密箱

  3. 檢閱要求詳細資料。

    欄位 描述
    支援要求識別碼 與加密箱要求相關的支援票證識別碼。 如果請求是 Microsoft initiated internal alert 的結果,則該值將為“Microsoft initiated”。
    Environment 要求資料存取之環境的顯示名稱。
    狀態 加密箱要求的狀態。
    • 所需操作:等待客戶的批准
    • 已過期:未收到客戶的批准
    • Approved:由客戶批准
    • Denied:客戶拒絕
    已要求 工程師請求訪問客戶環境中的客戶數據的時間 Microsoft 。
    要求到期 客戶需要核准加密箱要求的時間。 如果在此時間內未經過核准,則要求的狀態將變更為已到期
    存取時段 要求者要存取客戶資料的時間長度。 此值預設為 8 小時,且無法變更。
    存取權到期 如果授予訪問許可權,則這是工程師有權訪問客戶數據的時間 Microsoft 。

  4. 選取加密箱要求,然後選取核准拒絕

    核准或拒絕加密箱要求

    注意

    過去 28 天內發生的加密箱要求會顯示在最近資料表格中。

    要求經過核准後,在整個 8 小時存取期間的持續時間內都不能被撤銷。

稽核加密箱要求

警告

本章節中記錄的加密箱稽核事件架構已棄用,從 2024 年 7 月開始將不再可用。 您可以使用 活動類別:加密箱作業 提供的新架構稽核客戶加密箱事件

與接受、拒絕或到期加密箱要求相關的作業會自動記錄在 Microsoft 365 Defender 中。

Microsoft 365 Defender 頁面。

稽核追衝包括每個加密箱要求的這些及其他欄位:

  • 要求的唯一識別碼
  • 要求的建立時間
  • 組織識別碼
  • 使用者 ID (執行請求操作員的唯一識別碼 Microsoft )
  • 要求狀態
  • 關聯的支持票證識別碼
  • 要求的到期時間
  • 資料存取到期時間
  • 環境識別碼
  • 要求理由

Microsoft 365 Audit 索引標籤可讓管理員搜尋與加密箱工作階段相關的事件。 查看 Power Platform 加密箱類別以了解 Power Platform 相關加密箱事件。

選取 Power Platform 加密箱類別。

管理員可以根據篩選準則,直接匯出結果集。

客戶加密箱會產生兩種類型的稽核紀錄:

  1. 由 Microsoft 正在創建、過期或訪問會話結束時的密碼箱請求啟動並與之對應的日誌。 這組審核日誌不對應於特定的使用者 ID,因為操作是由 Microsoft.
  2. 由使用者動作發起的紀錄,例如當使用者核准或拒絕加密箱要求時。 如果執行這些作業的使用者未取得 E5 授權指派,則紀錄會被過濾掉,且不會顯示在稽核記錄中。

根據預設,稽核記錄會保留一年。 您必須有 10 年稽核日記保留附加元件授權,才能將稽核紀錄保留 10 年。 如需稽核記錄保留的詳細資料,請參閱稽核 (進階)

客戶加密箱的授權需求

客戶加密箱原則只會在為受控環境啟用的環境中執行。 受管理的環境是作為一項權利包含在獨立的 Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages 和 Dynamics 365 授權中,提供進階使用權利。 若要進一步瞭解受管理環境授權,請參閱授權Microsoft Power Platform 授權概觀

此外,存取 Microsoft Power Platform 和 Dynamics 365 的客戶加密箱,還要求強制執行加密箱原則所在環境中的使用者必須有下列任何一個訂閱:

  • Microsoft 365 或 Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 合規性
  • Microsoft 365 F5 安全性與合規性
  • Microsoft 365 A5/E5/F5/G5 測試人員風險管理
  • Microsoft 365 A5/E5/F5/G5 資訊保護和治理深入了解適當的授權。

排除項目

  • 下列工程支援案例將不會觸發加密箱要求:

    • 標準作業程序之外的緊急情況,例如需要立即注意以在意外或不可預測的情況下恢復或恢復服務的重大服務中斷。 這類「緊急」事件很少見,且在大部分的情況下,不需要存取客戶資料即可解決。

    • Microsoft 工程師在故障排除過程中訪問底層平臺,並無意中接觸到客戶數據。 這種案例很少會讓您存取有意義的客戶資料量。

  • 客戶加密箱要求也不會由外部對資料的法律要求觸發。 有關詳細資訊,請參閱信任中心中 Microsoft 有關政府數據請求的討論

  • 客戶加密箱不適用於 Copilot AI 功能共用的客戶資料存取和手動審查。 客戶加密箱將所有範圍內的資料保持啟用狀態。

已知問題

  • 已啟用客戶加密箱時,不支援租用戶對租用戶的遷移。 您必須停用客戶加密箱,才能將環境移至另一個租用戶。 完成移轉後,您可以重新啟用客戶加密箱。