Sicherer Zugriff auf Kundendaten mit Customer Lockbox in Power Platform und Dynamics 365

  • Artikel

Für die meisten Vorgänge, den Support und die Problembehandlung, die von Microsoft-Mitarbeitern (einschließlich Unterauftragnehmern) durchgeführt werden, ist kein Zugriff auf Kundendaten erforderlich. Mit der Power Platform Kunden-Lockbox stellen wir eine Schnittstelle zur Verfügung, über die Kunden Datenzugriffsanforderungen in den seltenen Fällen, in denen ein Zugriff auf Kundendaten erforderlich ist, überprüfen und genehmigen (oder ablehnen) können. Es wird in Fällen verwendet, in denen ein Microsoft-Techniker auf Kundendaten zugreifen muss, sei es wegen eines vom Kunden initiierten Supporttickets oder eines von Microsoft identifizierten Problems.

In diesem Artikel wird beschrieben, wie die Kunden-Lockbox aktiviert wird und wie Lockbox-Anforderungen initiiert, nachverfolgt und für spätere Überprüfungen und Überwachungen gespeichert werden.

Anmerkung

Kunden-Lockbox ist in öffentlichen Clouds und in den Regionen US Government Community Cloud (GCC), GCC High und Department of Defense (DoD) verfügbar.

Übersicht

Sie können die Kunden-Lockbox für Ihre Datenquellen in Ihrem Mandanten aktivieren. Durch die Aktivierung der Kunden-Lockbox wird die Richtlinie nur für Umgebungen durchgesetzt, die für Verwaltete Umgebungen aktiviert sind. Globale Administratoren und Power Platform Administratoren können die Lockbox-Richtlinie aktivieren.

Weitere Informationen finden Sie unter Die Lockbox-Richtlinie aktivieren.

In den seltenen Fällen, in denen Microsoft versucht, auf Kundendaten zuzugreifen, die in Power Platform (zum Beispiel Dataverse) gespeichert sind, wird eine Lockbox-Anforderung an die globalen Administratoren und Power Platform Administratoren zur Genehmigung gesendet. Weitere Informationen finden Sie unter Eine Lockbox-Anforderung überprüfen.

Alle Aktualisierungen einer Lockbox-Anforderung werden aufgezeichnet und Ihrer Organisation als Überwachungsprotokolle zur Verfügung gestellt. Weitere Informationen finden Sie unter Lockbox-Anforderungen überwachen.

Power Platform und Dynamics 365 Anwendungen und Services speichern Kundendaten in verschiedenen Azure Speichertechnologien. Wenn Sie die Kunden-Lockbox für eine Umgebung aktivieren, werden Kundendaten, die der jeweiligen Umgebung zugeordnet sind, unabhängig vom Speichertyp durch die Lockbox-Richtlinie geschützt.

Notiz

  • Derzeit sind die Anwendungen und Dienste, bei denen die Lockbox-Richtlinie nach der Aktivierung durchgesetzt wird, Power Apps (außer Karten für Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (ohne GPT-KI-Features), Dataverse, Customer Insights, Customer Services, Communities, Guides, Connected Spaces, Finance (außer Lifecycle Services), Project Operations (außer Lifecycle Services), Supply Chain Management (außer Lifecycle Services) und der Bereich der Echtzeit-Marketingfunktionen der Marketing App.
  • Von Azure OpenAI Service bereitgestellte Funktionen sind von der Lockbox-Richtliniendurchsetzung ausgeschlossen, es sei denn, in der Produktdokumentation für eine bestimmte Funktion steht, dass Lockbox gilt.
  • Die Unterhaltungs-ISA von Nuance ist von der Lockbox-Richtliniendurchsetzung ausgeschlossen, es sei denn, in der Produktdokumentation für ein bestimmtes Feature steht, dass Lockbox gilt.
  • Willkommensinhalt für Erstellende ist von der Durchsetzung der Lockbox-Richtlinien ausgeschlossen.
  • Sie müssen die Lucene.NET-Suche auf Ihrer Website deaktivieren und auf Dataverse Suche umstellen, um Customer Lockbox verwenden zu können. Weitere Informationen: Portale, die die Lucene.NET-Suche verwenden, sind veraltet.

Workflow

  1. Ihre Organisation hat ein Problem mit Microsoft Power Platform und öffnet eine Supportanfrage beim Microsoft Support. Alternativ identifiziert Microsoft proaktiv ein Problem (z. B. wird eine proaktive Benachrichtigung ausgelöst) und ein von Microsoft initiiertes Ereignis wird geöffnet, um die Grundursache zu untersuchen und einzudämmen oder zu beheben.

  2. Ein Microsoft-Operator überprüft die Supportanfrage/das Ereignis und versucht, das Problem mithilfe von Standardtools und Telemetrie zu beheben. Wenn für die weitere Problembehandlung Zugriff auf Kundendaten erforderlich ist, löst ein Microsoft-Techniker einen internen Genehmigungsprozess für den Zugriff auf Kundendaten aus, unabhängig davon, ob die Lockbox-Richtlinie aktiviert ist oder nicht.

  3. Darüber hinaus wird eine Lockbox-Anforderung generiert, wenn die entsprechende Datenspeicher einer Umgebung zugeordnet ist, die gemäß der Aktivierung der Lockbox-Richtlinie geschützt ist. Eine E-Mail-Benachrichtigung über die ausstehende Datenzugriffsanforderung von Microsoft wird an die designierten Genehmiger (globale Administratoren und Power Platform Administratoren) gesendet.

    Wichtig

    Der Microsoft-Techniker kann seine Untersuchung erst fortsetzen, wenn die Lockbox-Anforderung vom Kunden genehmigt wurde. Dies kann zu Verzögerungen bei der Bearbeitung des Supporttickets oder längeren Ausfällen führen. Stellen Sie sicher, dass Sie E-Mail-Benachrichtigungen und/oder Lockbox-Anforderungen im Power Platform Admin Center überwachen, und reagieren Sie rechtzeitig, um Dienstunterbrechungen zu vermeiden.

    Beispiel einer Lockbox-Anforderung.

  4. Der Genehmiger meldet sich im Power Platform Admin Center an und genehmigt die Anfrage. Wird der Antrag abgelehnt oder nicht innerhalb von vier Tagen genehmigt, verfällt er, und der Microsoft Engineer erhält keinen Zugriff.

  5. Nachdem die genehmigende Person Ihrer Organisation die Anforderung genehmigt hat, erhält der Microsoft-Techniker die ursprünglich angeforderten zusätzlichen Berechtigungen und behebt Ihr Problem. Microsoft-Techniker steht eine festgelegte Zeit zur Verfügung – 8 Stunden –, um das Problem zu beheben. Danach wird der Zugriff automatisch widerrufen.

Die Lockbox-Richtlinie aktivieren

Globale Administratoren bzw. Power Platform Administratoren können die Lockbox-Richtlinie im Power Platform Admin Center erstellen oder aktualisieren. Die Aktivierung der Richtlinie für die Mandantenebene gilt nur für Umgebungen, die für Verwaltete Umgebungen aktiviert sind. Es kann bis zu 24 Stunden dauern, bis alle Datenquellen und alle Umgebungen bei der Kunden-Lockbox implementiert sind.

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. Verwenden Sie die Seite „Mandanteneinstellungen“, um Einstellungen auf Mandantenebene zu überprüfen und zu verwalten. Um die Einstellungen auf Mandantenebene anzuzeigen, wählen Sie das Symbol Gear (Zahnrad-Symbol) in der oberen rechten Ecke der Seite Microsoft Power Platform und wählen Sie Power Platform Einstellungen>Einstellungen>Mietereinstellungen im linken Navigationsbereich.

  3. Setzen Sie Customer Lockbox auf Aktivieren.

    Die Lockbox-Richtlinie aktivieren.

Eine Lockbox-Anforderung überprüfen

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. Wählen Sie Richtlinien>Kunden-Lockbox.

  3. Überprüfen Sie die Anforderungsdetails.

    Feld Beschreibung
    Supportanfragekennung Die ID des Supporttickets, das der Lockbox-Anforderung zugeordnet ist. Wenn die Anforderung das Ergebnis einer von Microsoft initiierten internen Warnung ist, lautet der Wert „Von Microsoft initiiert“.
    Umgebung Der Anzeigename der Umgebung, in der der Datenzugriff angefordert wird.
    Status Der Status der Lockbox-Anforderung.
    • Aktion erforderlich: Genehmigung durch den Kunden ausstehend
    • Abgelaufen: Keine Genehmigung vom Kunden erhalten
    • Genehmigt: Vom Kunden freigegeben
    • Abgelehnt: Vom Kunden abgelehnt
    Angefordert Der Zeitpunkt, zu dem der Microsoft-Techniker Zugriff auf Kundendaten in der Umgebung des Kunden angefordert hat.
    Ablauf der Anforderung Die Zeit, bis wann der Kunde die Lockbox-Anforderung genehmigen muss. Der Status der Anforderung ändert sich in Abgelaufen, wenn bis zu diesem Zeitpunkt keine Genehmigung vorliegt.
    Zugriffszeitraum Die Zeitspanne, für die der Anforderer auf Kundendaten zugreifen möchte. Dieser Wert beträgt standardmäßig 8 Stunden und kann nicht geändert werden.
    Ablauf des Zugriffs Wenn der Zugriff gewährt wird, ist dies die Zeit, bis zu der der Microsoft-Techniker Zugriff auf Kundendaten hat.

  4. Wählen Sie eine Lockbox-Anforderung und dann Genehmigen oder Ablehnen aus.

    Lockbox-Anforderungen genehmigen oder ablehnen

    Notiz

    Die in den letzten 28 Tagen aufgetretenen Lockbox-Anforderungen werden in der Tabelle Zuletzt verwendet angezeigt.

    Sobald eine Anforderung genehmigt wurde, kann sie für die gesamte Dauer des Zugriffszeitraums von 8 Stunden nicht widerrufen werden.

Lockbox-Anforderungen überwachen

Aktionen im Zusammenhang mit dem Akzeptieren, Ablehnen oder Ablaufen einer Lockbox-Anforderung werden automatisch in Microsoft 365 Defender aufgezeichnet.

Microsoft 365 Defender Seite.

Überwachungsablaufverfolgungen enthalten für jede Lockbox-Anforderung diese und andere Felder:

  • Eindeutiger Bezeichner für die Anforderung
  • Erstellungszeit der Anforderung
  • Organisations-ID
  • Benutzer-ID (eindeutige Kennung für den Microsoft-Operator, der die Anforderung durchführt)
  • Anforderungsstatus
  • ID des dazugehörigen Supporttickets
  • Ablaufzeit der Anforderung
  • Ablaufzeit für den Datenzugriff
  • Umgebungs-ID
  • Begründung der Anforderung

Mit der Registerkarte Microsoft 365 Überwachung können Administratoren nach Ereignissen suchen, die mit Lockbox-Sitzungen verbunden sind. In der Kategorie Power Platform Lockbox finden Sie mit der Power Platform zusammenhängende Lockbox-Ereignisse.

Wählen Sie die Power Platform Lockbox-Kategorie aus.

Administratoren können den Ergebnissatz basierend auf den Filterkriterien direkt exportieren.

Suchergebnisse für die Lockbox-Überwachung.

Kunden-Lockbox erstellt zwei Typen von Überwachungsprotokollen:

  1. Protokolle, die von Microsoft initiiert werden und sich auf die Erstellung, den Ablauf oder das Ende von Zugriffssitzungen einer Lockbox-Anforderung beziehen. Dieser Satz von Überwachungsprotokollen entspricht keiner bestimmten Benutzer-ID, da die Aktionen von Microsoft initiiert werden.
  2. Protokolle, die durch Endbenutzeraktionen initiiert werden, beispielsweise wenn ein Benutzer eine Lockbox-Anforderung genehmigt oder ablehnt. Wenn dem Benutzer, der diese Vorgänge ausführt, keine E5-Lizenz zugewiesen ist, werden die Protokolle herausgefiltert und nicht in den Überwachungsprotokollen angezeigt.

Standardmäßig werden die Überwachungsprotokolle für die Dauer eines Jahres aufbewahrt. Sie benötigen eine 10-Jahres-Zusatzlizenz für die Aufbewahrung von Überwachungsprotokollen, um Überwachungsaufzeichnungen 10 Jahre lang aufzubewahren. Weitere Informationen zur Aufbewahrung von Überwachungsprotokollen finden Sie unter Audit (Premium) .

Lizenzierungsanforderungen für Customer Lockbox

Die Kunden-Lockbox-Richtlinie wird nur in Umgebungen durchgesetzt, die für verwaltete Umgebungen aktiviert sind. Verwaltete Umgebung ist als Berechtigung in eigenständigen Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, und Dynamics 365-Lizenzen enthalten, die Premium-Nutzungsrechte gewähren. Weitere Informationen zur Lizenzierung von verwalteten Umgebungen finden Sie unter Lizenzierung und Lizenzübersicht für Microsoft Power Platform.

Darüber hinaus erfordert der Zugriff auf Customer Lockbox for Microsoft Power Platform und Dynamics 365, dass Benutzer in den Umgebungen, in denen die Lockbox-Richtlinie durchgesetzt wird, über eines dieser Abonnements verfügen:

  • Microsoft 365 oder Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 Insider-Risikomanagement
  • Microsoft 365 A5/E5/F5/G5 Information Protection und Governance Erfahren Sie mehr über geltende Lizenzen.

Ausschlüsse

  • Lockbox-Anforderungen werden in den folgenden technischen Supportszenarien nicht ausgelöst:

    • Notfallszenarien, die außerhalb der Standardbetriebsverfahren liegen, z. B. ein größerer Dienstausfall, der in unerwarteten oder unvorhersehbaren Fällen sofortige Aufmerksamkeit erfordert, um Dienste wiederherzustellen. Diese „Notfälle“ sind selten und erfordern in den meisten Fällen zur Behebung keinen Zugriff auf Kundendaten.

    • Ein Microsoft-Techniker greift im Rahmen der Problembehandlung auf die zugrunde liegende Plattform zu und erhält versehentlich Einblick in Kundendaten. Es ist selten, dass solche Szenarien zum Zugriff auf bedeutende Mengen an Kundendaten führen.

  • Kunden-Lockbox-Anforderungen werden auch nicht durch externe gesetzliche Datenanforderungen ausgelöst. Einzelheiten finden Sie in der Besprechung von Datenanforderungen von Behörden im Microsoft Trust Center.

  • Die Kunden-Lockbox gilt nicht für den Zugriff und die manuelle Überprüfung von Kundendaten, die für Copilot-KI-Funktionen freigegeben werden. Die Kunden-Lockbox bleibt für alle im Umfang enthaltenen Daten aktiviert.

Bekannte Probleme

  • Die Migration von Mandant zu Mandant wird nicht unterstützt, wenn die Kunden-Lockbox aktiviert ist. Sie müssen Kunden-Lockbox deaktivieren, um eine Umgebung auf einen anderen Mandanten zu verschieben. Sie können die Kunden-Lockbox nach Abschluss der Migration erneut aktivieren.