次の方法で共有

Power Platform および Dynamics 365 のカスタマー ロックボックスを使用した顧客データへの安全なアクセス

  • [アーティクル]

Microsoft のスタッフ (代わりの処理者を含む) が実行する操作、サポート、およびトラブルシューティングの多くは、顧客データにアクセスする必要がありません。 Power Platform カスタマー ロックボックスにより、あまりないことですが、顧客データへのデータ アクセスが必要な場合に、顧客がデータ アクセス要求を確認および承認 (または拒否) するインターフェースを提供します。 顧客が開始したサポート チケットまたは Microsoft によって特定された問題に応答する場合、Microsoft のエンジニアが顧客データにアクセスする必要がある場合に使用されます。

この記事では、カスタマー ロックボックスを有効にする方法、およびロックボックス要求の開始、追跡、および後で行う確認および監査のための保存方法について説明します。

注意

カスタマー ロックボックスは、パブリック クラウドと米国政府コミュニティ クラウド (GCC)、 GCC High、国防総省 (DoD) のリージョンで利用できます。

まとめ

テナント内のデータ ソースに対してカスタマー ロックボックスを有効にすることができます。 カスタマー ロックボックスを有効にすると、マネージド環境 でアクティブ化された環境に対してのみポリシーが適用されます。 グローバル管理者と Power Platform 管理者がロックボックス ポリシーを有効にできます。

詳細については、ロックボックス ポリシーを有効にするを参照してください。

あまりないことですが、Microsoft が Power Platform に保存されている顧客データにアクセスしようとする場合 (Dataverse など)、承認のためにロックボックス要求がグローバル管理者と Power Platform 管理者に送信されます。 詳細については、ロックボックス要求を確認するにアクセスしてください。

ロックボックス要求に対するすべての更新は記録され、監査ログとして組織が利用できるようになります。 詳細については、ロックボックス要求を監査するにアクセスしてください。

Power Platform と Dynamics 365 のアプリケーションとサービスは、顧客データをいくつかの Azure ストレージ テクノロジに格納します。 環境に対してカスタマー ロックボックスをオンにすると、ストレージの種類に関係なく、それぞれの環境に関連付けられている顧客データはロックボックス ポリシーにより保護されます。

注意

  • 現在、有効にされるとロックボックス ポリシーが適用されるアプリケーションとサービスは、Power Apps (Power Apps 用カードを除く)、AI Builder、Power Pages、Power Automate、Microsoft Copilot Studio (GPT AI 機能を除く)、Dataverse、Customer Insights、顧客サービス、Communities、Guides、Connected Spaces、Finance (Lifecycle Services を除く)、Project Operations (Lifecycle Services を除く)、Supply Chain Management (Lifecycle Services を除く)、および Marketing アプリのリアルタイム マーケティング機能エリアです。
  • Azure OpenAI Serviceを利用した機能は、特定の機能の製品ドキュメントにロックボックスが適用されると記載されていない限り、ロックボックス ポリシーの適用から除外されます。
  • Nuance 会話型 IVR は、特定の機能の製品ドキュメントにロックボックスが適用されると記載されていない限り、ロックボックス ポリシーの適用から除外されます。
  • メーカー ウェルカム コンテンツ は、ロックボックス ポリシーの適用から除外されます。
  • Web サイトから Lucene.NET 検索を無効にし、Dataverse 検索に移動してカスタマー ロックボックスを使用できるようにする必要があります。 詳細: Lucene.NET 検索を使用したポータル検索は非推奨です

Workflow

  1. 組織に Microsoft Power Platform の問題があり、Microsoft サポートでサポート要求を開きます。 また、Microsoft が問題を事前に特定し (プロアクティブな通知がトリガーされるなど)、Microsoft が開始したイベントを開いて、根本原因の調査、軽減または修正を行います。

  2. Microsoft のオペレーターは、サポート要求/イベントを確認し、標準のツールとテレメトリを使用して問題のトラブルシューティングを試みます。 さらにトラブルシューティングを行うために顧客データへのアクセスが必要な場合、Microsoft のエンジニアは、ロックボックス ポリシーが有効になっているかどうかに関係なく、顧客データにアクセスするための内部承認プロセスをトリガーします。

  3. さらに、それぞれのデータ ストアがロックボックス ポリシーの有効化に従って保護された環境に関連付けられている場合、ロックボックス要求が生成されます。 保留中の Microsoft からのデータ アクセス要求について、指定された承認者 (グローバル管理者および Power Platform 管理者) に電子メールの通知が送信されます。

    重要

    ロックボックス要求が顧客によって承認されるまで、Microsoft のエンジニアは調査を続行することができません。 これにより、サポート チケットへの対処が遅れたり、機能停止が長期になる可能性があります。 Power Platform 管理センターで電子メールの通知やロックボックス要求を監視し、サービス中断を避けるためにタイムリーに応答するようにします。

    ロックボックス要求のサンプル。

  4. 承認者は Power Platform 管理センターにサインインし、要求を承認します。 要求が拒否された場合、または 4 日以内に承認されなかった場合、要求は期限切れになり、Microsoft のエンジニアにアクセスは許可されません。

  5. 組織の承認者が要求を承認した後、Microsoft のエンジニアは最初に要求された昇格されたアクセス許可を取得し、問題を修正することができます。 Microsoft のエンジニアには、問題を修正するために設定された時間 (8 時間) があり、その後、アクセスは自動的に取り消されます。

ロックボックス ポリシーを有効にする

グローバル管理者または Power Platform 管理者は、Power Platform 管理センターでロックボックス ポリシーの作成または更新を行うことができます。 テナント レベル ポリシーを有効にすると、マネージド環境 でアクティブ化された環境に対してのみ適用されます。 すべてのデータ ソースとすべての環境に対してカスタマー ロックボックスが実装されるまでに、最大 24 時間ほどかかる場合があります。

  1. Power Platform 管理センターにサインインします。

  2. テナント設定ページを使用して、テナント レベルの設定を確認および管理します。 テナント レベルの設定を表示するには、Microsoft Power Platform サイトの右上隅にある 歯車 アイコン (歯車アイコン。) を選択して、左側のナビゲーション ウィンドウで Power Platform の設定>設定>テナント設定 を選択します。

  3. カスタマー ロックボックス有効 に設定します。

    ロックボックス ポリシーをオンにする。

ロックボックス要求を確認する

  1. Power Platform 管理センターにサインインします。

  2. ポリシー>カスタマー ロックボックス を選択します。

  3. 要求の詳細を確認します。

    Field Description
    サポート要求 ID ロックボックス要求に関連付けられているサポート チケットの ID。 要求が Microsoft によって開始された内部通知の結果である場合、値は「Microsoft が開始」になります。
    環境 データ アクセスが要求されている環境の表示名。
    状態 ロックボックスの要求の状態。
    • アクションが必要です: 顧客からの承認待ち
    • 期限切れ: 顧客からの承認なし
    • 承認済み: 顧客からの承認済み
    • 拒否済み: 顧客による拒否済み
    要求済み Microsoft のエンジニアが顧客の環境にある顧客データへのアクセスを要求した時刻。
    要求の有効期限 顧客がロックボックス要求を承認する必要がある時刻。 この時刻までに承認されない場合、要求の状態が期限切れに変わります。
    アクセス期間 要求者が顧客データにアクセスする時間の長さ。 この値は既定で 8 時間であり、変更することはできません。
    アクセスの有効期限 アクセスが許可されている場合、Microsoft のエンジニアはこの時刻まで顧客データにアクセスできます。

  4. ロックボックス要求を選択してから、承認また拒否を選択します。

    ロックボックス要求の承認または拒否

    Note

    過去 28 日間に発生したロックボックス要求は、最近テーブルに表示されます。

    要求が承認されると、8 時間のアクセス期間全体にわたって要求を取り消すことはできません。

ロックボックス要求の監査

ロックボックス要求の承諾、拒否、または有効期限に関連するアクションは、Microsoft 365 Defender に自動的に記録されます。

Microsoft 365 Defender のページ。

監査トレースには、各ロックボックス要求のこれらのフィールドやその他のフィールドが含まれます。

  • 要求の一意の識別子
  • 要求作成時刻
  • 組織 ID
  • ユーザー ID (要求を実行する Microsoft のオペレーターの一意の識別子)
  • 要求の状態
  • 関連付けられたサポート チケット ID
  • 要求の有効期限
  • データ アクセスの有効期限
  • 環境 ID
  • 要求の妥当性

Microsoft 365 監査タブにより、管理者はロックボックス セッションに関連するイベントを検索することができます。 ロックボックス イベントに関連付けられている Power Platform の Power Platform ロックボックス カテゴリを表示します。

Power Platform ロックボックス カテゴリを選択します。

管理者は、フィルター条件に基づいて結果セットを直接エクスポートすることができます。

ロックボックス監査の検索結果。

カスタマー ロックボックスは、次の 2 種類の監査ログを生成します:

  1. Microsoft によって開始され、ロックボックス要求の作成中、期限切れ、またはアクセス セッション終了時に対応するログ。 アクションは Microsoft によって開始されるため、この監査ログのセットは特定のユーザー ID に対応しません。
  2. ユーザーがロックボックス要求を承認または拒否したときなど、エンド ユーザーのアクションによって開始されるログ。 これらの操作を実行するユーザーに E5 ライセンスが割り当てられていない場合、ログはフィルタリングされて、監査ログに表示されません。

デフォルトでは、監査ログは 1 年間保存されます。 監査記録を 10 年間保持するには、10 年間の監査ログ保持アドオン ライセンスが必要です。 監査ログの保持の詳細については、監査 (Premium) を参照してください。

カスタマー ロックボックスのライセンス要件

カスタマー ロックボックス ポリシーは、マネージド環境に対してアクティブ化された環境にのみ適用されます。 マネージド環境は、スタンドアロン版 Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages、およびプレミアム利用権を付与した Dynamics 365 ライセンスにエンタイトルメントとして含まれています。 マネージド環境ライセンスの詳細については、ライセンスMicrosoft Power Platform のライセンスの概要を参照してください。

さらに、Microsoft Power Platform および Dynamics 365 のカスタマー ロックボックスにアクセスするには、ロックボックス ポリシーが適用されている環境のユーザーに次のサブスクリプションが必要です:

  • Microsoft 365 または Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 インサイダー リスク管理ユーザー
  • Microsoft 365 A5/E5/F5/G5 Information Protection とガバナンス、 適用されるライセンスの 詳細情報

除外

  • 次のエンジニアリング サポートのシナリオでは、ロックボックス要求はトリガーされません。

    • 予期しないまたは予測できない場合にサービスを回復または復元するのに早急な対応を必要とする大規模なサービス停止など、標準の運用手順外の緊急事態。 これら緊急のイベントはまれであり、ほとんどの場合、解決するために顧客データにアクセスする必要はありません。

    • Microsoft エンジニアは、トラブルシューティングの一環として基盤となるプラットフォームにアクセスし、謝って顧客データにさらされています。 このようなシナリオにより、意味のある顧客データ量にアクセスできることはめったにありません。

  • カスタマー ロックボックス要求は、データに対する外部の法的要求によってトリガーされることもありません。 詳細については、Microsoft セキュリティ センターの政府によるデータ要求に関する説明を参照してください。

  • カスタマー ロックボックスは、Copilot AI 機能で共有される顧客データへのアクセス許可や手動レビューには適用されません。 カスタマー ロックボックスは、範囲内のすべてのデータに対して有効なままになります。

既知の問題

  • テナントからテナントへの移行は、カスタマー ロックボックスが有効になっている場合、サポートされません。 環境を別のテナントに移動するには、カスタマー ロックボックスを無効にする必要があります。 移行が完了したら、カスタマー ロックボックスを再度有効にすることができます。