Office 365 のカスタマーロックボックスCustomer Lockbox in Office 365

この記事では、お客様のロックボックスの展開と構成に関するガイダンスを示します。This article provides deployment and configuration guidance for Customer Lockbox. Customer ロックボックスは、Exchange Online、SharePoint Online、OneDrive for business のデータにアクセスするための要求をサポートしています。Customer Lockbox supports requests to access data in Exchange Online, SharePoint Online, and OneDrive for Business. 他のサービスのサポートを推奨するには、 Office 365 UserVoiceで要求を送信してください。To recommend support for other services, please submit a request at Office 365 UserVoice.

Microsoft 365 のコンプライアンスの提供 (2020 年4月1日現在) を利用してユーザーにライセンスを付与するためのオプションを確認するには、「 microsoft 365 ライセンスガイダンス (セキュリティ & 法令遵守」を参照してください。To see the options for licensing your users to benefit from Microsoft 365 compliance offerings, including this one, as of April 1, 2020, see the Microsoft 365 licensing guidance for security & compliance.

カスタマーロックボックスを使用すると、明示的な承認なしにサービス操作を実行するために、Microsoft がコンテンツにアクセスできなくなります。Customer Lockbox ensures that Microsoft cannot access your content to perform a service operation without your explicit approval. お客様のロックボックスによって、コンテンツにアクセスする要求の承認ワークフローに入ります。Customer Lockbox brings you into the approval workflow for requests to access your content.

Microsoft のエンジニアは、サポートプロセスでお客様から報告された問題のトラブルシューティングと修正に役立つ場合があります。Occasionally, Microsoft engineers help troubleshoot and fix customer reported issues in the support process. 通常、問題は広範なテレメトリおよびデバッグツールによって Microsoft がサービスに適用されています。Usually, issues are fixed through extensive telemetry and debugging tools Microsoft has in place for its services. ただし、場合によっては、Microsoft のエンジニアにお客様のコンテンツにアクセスして、根本的な原因を特定し、問題を修正する必要があります。However, some cases require a Microsoft engineer to access customer content to determine the root cause and fix the issue. カスタマー ロックボックスでは、承認ワークフローの最終ステップとして、エンジニアが顧客にアクセス要求を行う必要があります。Customer Lockbox requires the engineer to request access from the customer as a final step in the approval workflow. これにより、組織はこれらの要求を承認または拒否し、顧客への直接アクセスコントロールを提供することができます。This gives organizations the option to approve or deny these requests, and provide direct-access control to the customer.

顧客ロックボックスの概要ビデオCustomer Lockbox overview video

カスタマー ロックボックスのワークフローCustomer Lockbox workflow

次の手順では、Microsoft のエンジニアがカスタマーロックボックス要求を開始するときの一般的なワークフローの概要を示します。The following steps outline the typical workflow when a Microsoft engineer initiates a Customer Lockbox request:

  1. 組織内の誰かが Microsoft 365 メールボックスで問題を経験している。Someone at an organization experiences an issue with their Microsoft 365 mailbox.

  2. ユーザーが問題のトラブルシューティングを行った後、問題を修正できない場合は、Microsoft サポートにサポートリクエストを開きます。After the user troubleshoots the issue, but can't fix it, they open a support request with Microsoft Support.

  3. Microsoft サポートエンジニアがサービス要求を確認し、Exchange Online の問題を修復するために組織のテナントにアクセスする必要があるかどうかを判断します。A Microsoft support engineer reviews the service request and determines a need to access the organization's tenant to repair the issue in Exchange Online.

  4. Microsoft サポートエンジニアは、カスタマーロックボックス要求ツールにログインして、組織のテナント名、サービス要求番号、およびエンジニアリングがデータにアクセスする予想時間を含むデータアクセス要求を行います。The Microsoft support engineer logs into the Customer Lockbox request tool and makes a data access request that includes the organization's tenant name, service request number, and the estimated time the engineer needs access to the data.

  5. Microsoft サポート マネージャーが要求を承認した後、カスタマー ロックボックスは、Microsoft からの保留中のアクセス要求に関する電子メール通知を組織内の指定された承認者に送信します。After a Microsoft Support manager approves the request, Customer Lockbox sends the designated approver at the organization an email notification about the pending access request from Microsoft.

    顧客のロックボックス電子メール通知の例

    Microsoft 365 管理センターで カスタマーロックボックスアクセス承認 者の役割を割り当てられたすべてのユーザーは、顧客ロックボックス要求を承認できます。Anyone who is assigned the Customer Lockbox access approver admin role in Microsoft 365 admin center can approve Customer Lockbox requests.

  6. 承認者は、Microsoft 365 管理センターにサインインし、要求を承認します。The approver signs in to the Microsoft 365 admin center and approves the request. この手順では、監査ログの検索によって使用可能な監査レコードの作成が開始されます。This step triggers the creation of an audit record available by searching the audit log. 詳細については、「 顧客ロックボックス要求の監査」を参照してください。For more information, see Auditing Customer Lockbox requests.

    顧客が要求を拒否した場合、または要求を12時間以内に承認しなかった場合、要求は有効期限が切れ、Microsoft のエンジニアにはアクセス権が付与されません。If the customer rejects the request or doesn't approve the request within 12 hours, the request expires and no access is granted to the Microsoft engineer.

    重要

    Microsoft では、Office 365 にサインインする必要がある、カスタマーロックボックスの電子メール通知にリンクは含まれていません。Microsoft does not include any links in Customer Lockbox email notifications requiring you to sign in to Office 365.

  7. 組織からの承認者が要求を承認した後、Microsoft エンジニアは承認メッセージを受信し、Exchange Online のテナントにログインして、お客様の問題を修正します。After the approver from the organization approves the request, the Microsoft engineer receives the approval message, logs into the tenant in Exchange Online, and fixes the customer's issue. Microsoft のエンジニアは、要求された期間に、アクセスが自動的に取り消される前に問題を修正します。Microsoft engineers have the requested duration to fix the issue after which the access is automatically revoked.

注意

Microsoft のエンジニアによって実行されるすべての操作は、監査ログに記録されます。All actions performed by a Microsoft engineer are logged in the audit log. これらの監査レコードを検索して確認することができます。You can search for and review these audit records.

カスタマーロックボックス要求を有効または無効にするTurn Customer Lockbox requests on or off

Microsoft 365 管理センターで、カスタマー ロックボックス コントロールを有効にできます。You can turn on Customer Lockbox controls in the Microsoft 365 admin center. カスタマーロックボックスをオンにすると、テナントのコンテンツにアクセスする前に、Microsoft は組織の承認を取得する必要があります。When you turn on Customer Lockbox, Microsoft must obtain your organization's approval before accessing any of your tenant's content.

  1. グローバル管理者または [ カスタマーロックボックス] [アクセス承認 ] 役割が割り当てられている職場または学校のアカウントを使用して、に移動 https://admin.microsoft.com し、サインインします。Using a work or school account that has either the global administrator or the Customer Lockbox access approver role assigned, go to https://admin.microsoft.com and sign in.

  2. [ 組織設定 > 設定 ] を選択します。Choose Settings > Org Settings .

  3. [ セキュリティ & プライバシー ] [ > カスタマーロックボックス の > 編集 ] を選択 On し、トグルをオンまたは オフ にして、機能をオンまたはオフにします。Select Security & Privacy > Customer Lockbox > Edit , and then move the toggle to On or Off to turn the feature on or off.

    Require approval for Customer Lockbox

カスタマー ロックボックス要求を承認または拒否するApprove or deny a Customer Lockbox request

  1. グローバル管理者または [ カスタマーロックボックス] [アクセス承認 ] 役割が割り当てられている職場または学校のアカウントを使用して、に移動 https://admin.microsoft.com し、サインインします。Using a work or school account that has either the global administrator or the Customer Lockbox access approver role assigned, go to https://admin.microsoft.com and sign in.

  2. [ Support > Customer のロックボックス要求 ] を選択します。Choose Support > Customer Lockbox Requests .

    [サポート] をクリックし、[カスタマーロックボックス要求] をクリックします。

    顧客のロックボックス要求の一覧が表示されます。A list of Customer Lockbox requests displays.

    顧客ロックボックス要求の一覧

  3. 顧客のロックボックス要求を選択し、[ 承認 または 拒否 ] を選択します。Select a Customer Lockbox request, and then choose Approve or Deny .

    カスタマーロックボックス要求を承認または拒否する

    顧客のロックボックス要求の承認に関する確認メッセージが表示されます。A confirmation message about the approval of the Customer Lockbox request displays.

    カスタマーロックボックス要求を承認または拒否する

注意

Set-AccessToCustomerDataRequest コマンドレットを使用して、Microsoft のサポート エンジニアがデータへのアクセスを制限する Microsoft 365 カスタマー ロックボックス要求を承認、拒否、キャンセルします。Use the Set-AccessToCustomerDataRequest cmdlet to approve, deny, or cancel Microsoft 365 customer lockbox requests that control access to your data by Microsoft support engineers. 詳細については、「 AccessToCustomerDataRequest」を参照してください。For more information, see Set-AccessToCustomerDataRequest.

カスタマー ロックボックス要求を監査するAuditing Customer Lockbox requests

顧客のロックボックス要求に対応する監査レコードは、監査ログに記録されます。Audit records that correspond to the Customer Lockbox requests are logged in the audit log. これらのログには、セキュリティ & コンプライアンスセンターの 監査ログ検索ツール を使用してアクセスできます。You can access these logs by using the audit log search tool in the Security & Compliance Center. カスタマーロックボックス要求の承諾または拒否に関連する操作 (アクセス要求が承認された場合) は、監査ログにも記録されます。Actions related to accepting or denying a Customer Lockbox request and actions performed by Microsoft engineers (when access requests are approved) are also logged in the audit log. これらの監査レコードを検索して確認することができます。You can search for and review these audit records.

監査ログを使用してカスタマー ロックボックスの要求を追跡できるようにするには、監査ログを設定するためにいくつかの手順が必要になります。Before you can use the audit log to track requests for Customer Lockbox, there are some steps you need to take to set up audit logging. 詳細については、「 セキュリティ & のコンプライアンスセンターでの監査ログの検索」を参照してください。For more information, see Search the audit log in the Security & Compliance Center. セットアップが完了したら、次の手順を使用して監査ログ検索クエリを作成し、顧客ロックボックスに関連する監査レコードを返します。Once you've completed setup, use these steps to create an audit log search query to return audit records related to Customer Lockbox:

  1. https://protection.office.com に移動します。Go to https://protection.office.com.

  2. 職場または学校のアカウントを使用してサインインします。Sign in using your work or school account.

  3. [セキュリティ & コンプライアンスセンター] の左側のウィンドウで、[ 検索 & 調査 > 監査ログの検索 ] を選択します。In the left pane of the Security & Compliance Center, choose Search & investigation > Audit log search .

    [ 監査ログの検索 ] ページが表示されます。The Audit log search page displays.

    監査ログの検索ページ

  4. 次の検索条件を設定します。Configure the following search criteria:

    1. アクティビティ -検索ですべてのアクティビティの監査レコードが返されるようにするには、このフィールドを空白のままにします。Activities - Leave this field blank so that the search returns audit records for all activities. これは、カスタマーロックボックス要求と、Microsoft のエンジニアによって実行される対応するアクティビティに関連する監査レコードを返すために必要です。This is necessary to return any audit records related to Customer Lockbox requests and corresponding activity performed by Microsoft engineers.

    2. 開始 日と 終了日 -その期間内に発生したイベントを表示する日付と時刻の範囲を選択します。Start date and End date - Select a date and time range to display the events that occurred within that period.

    3. ユーザー -このフィールドは空白のままにします。Users - Leave this field blank.

    4. ファイル、フォルダー、またはサイト - このフィールドは空白のままにします。File, folder, or site - Leave this field blank.

  5. [ 検索 ] をクリックして、設定した検索条件で検索を実行します。Click Search to run the search using your search criteria.

    検索結果が読み込まれ、しばらくすると、[ 監査ログの検索 ] ページの [ 結果 ] の下に表示されます。The search results are loaded, and after a few moments they are displayed under Results on the Audit log search page.

  6. [検索結果] ページで [ 結果のフィルター処理 ] をクリックし、次のいずれかの操作を行います。Click Filter results on the search results page, and do one of the following things:

    • 組織内の承認者に関連する監査レコードを表示するには、顧客のロックボックス要求を承認または拒否します。 [ アクティビティ ] 列の下のボックスに「 AccessToCustomerDataRequest 」と入力します。To display audit records related to an approver in your organization approving or denying a Customer Lockbox request: In the box under the Activity column, type Set-AccessToCustomerDataRequest .

    • Microsoft のエンジニアに関連する監査レコードを表示するには、承認された顧客ロックボックス要求に対する処理を実行します。 [ ユーザー ] 列の下のボックスに、「 Microsoft Operator 」と入力します。To display audit records related to a Microsoft engineer performing actions in response to an approved Customer Lockbox request: In the box under the User column, type Microsoft Operator . [ Activity ] 列には、エンジニアが実行したアクションが表示されます。The Activity column displays the action performed by the engineer.

      監査レコードを表示するには、"Microsoft Operator" のフィルターを適用します。

  7. 結果の一覧で、監査レコードをクリックして表示します。In the list of results, click an audit record to display it.

カスタマー ロックボックス アクセス要求の監査レコードAudit record for a Customer Lockbox access request

組織内のユーザーがカスタマーロックボックス要求を承認または拒否すると、監査ログが監査ログに記録されます。When a person in your organization approves or denies a Customer Lockbox request, an audit record is logged in the audit log. このレコードには、次の情報が含まれています。This record contains the following information.

監査レコードのプロパティAudit record property 説明Description
日付Date カスタマー ロックボックス要求が承認または拒否された日付と時刻。The date and time when the Customer Lockbox request was approved or denied.
IP アドレスIP address 要求を承認または拒否するために使用された承認者のコンピューターの IP アドレス。The IP address of the machine the approver used to approve or deny a request.
ユーザーUser Prod.outlook.com のサービスアカウント BOXServiceAccount@ [ ] 。The service account BOXServiceAccount@[customerforest].prod.outlook.com.
アクティビティActivity Set-AccessToCustomerDataRequest: これは、カスタマー ロックボックス要求を承認または拒否したときにログに記録される監査アクティビティです。Set-AccessToCustomerDataRequest; this is the auditing activity that is logged when you approve or deny a Customer Lockbox request.
アイテムItem 顧客のロックボックス要求の GuidThe Guid of the Customer Lockbox request

次のスクリーンショットは、承認された顧客ロックボックス要求に対応する監査ログレコードの例を示しています。The following screenshot shows an example of an audit log record that corresponds to an approved Customer Lockbox request. 顧客のロックボックス要求が拒否された場合、 Approvaldecision パラメーターの値は Deny になります。If a Customer Lockbox request was denied, then the value of ApprovalDecision parameter would be Deny .

承認された顧客ロックボックス要求の監査レコード

ヒント

監査レコードに詳細情報を表示するには、[ 詳細情報 ] をクリックします。To display more detailed information in an audit record, click More information .

Microsoft のエンジニアによって実行されたアクションの監査レコードAudit record for an action performed by a Microsoft engineer

カスタマー ロックボックス要求が承認された後 Microsoft のエンジニアが実行するアクション (顧客コンテンツへのアクセスにつながる可能性があります) は、監査ログに記録されます。The actions performed by a Microsoft engineer after a Customer Lockbox request is approved (and that may result in accessing customer content) are logged in the audit log. これらのレコードには、次の情報が含まれています。These records contain the following information.

監査レコードのプロパティAudit record property 説明Description
日付Date アクションが実行された日時。Date time when the action was performed. このアクションが実行された時刻は、カスタマー ロックボックス要求が承認されてから 4 時間以内であることに注意してください。Note that the time that this action was performed will be within 4 hours of when the Customer Lockbox request was approved.
IP アドレスIP address Microsoft のエンジニア使用したコンピューターの IP アドレス。The IP Address of the machine Microsoft engineer used.
ユーザーUser Microsoft のオペレーター。この値は、このレコードがカスタマー ロックボックス要求に関連付けられていることを示します。Microsoft Operator; this value indicates that this record is related to a Customer Lockbox request.
アクティビティActivity Microsoft のエンジニアが実行したアクティビティの名前。Name of the activity performed by the Microsoft engineer.
項目Item <empty>

よく寄せられる質問Frequently asked questions

どの Microsoft 365 サービスが顧客ロックボックスに適用されますか。Which Microsoft 365 services does Customer Lockbox apply to?

お客様のロックボックスは現在、Exchange Online、SharePoint Online、OneDrive for business でサポートされています。Customer Lockbox is currently supported in Exchange Online, SharePoint Online, and OneDrive for Business.

お客様のロックボックスはすべてのお客様が利用できますか?Is Customer Lockbox available to all customers?

カスタマーロックボックスは、Microsoft 365 または Office 365 E5 サブスクリプションに含まれており、情報の保護とコンプライアンス、または高度なコンプライアンスアドオンサブスクリプションを使用して他のプランに追加できます。Customer Lockbox is included with the Microsoft 365 or Office 365 E5 subscriptions and can be added to other plans with an Information Protection and Compliance or an Advanced Compliance add-on subscription. 詳細については 、「プランと価格 」を参照してください。Please see Plans and pricing for more information.

顧客コンテンツとはWhat is customer content?

顧客コンテンツは、Microsoft 365 のサービスとアプリケーションのユーザーによって作成されたデータです。Customer content is the data created by users of Microsoft 365 services and applications. 顧客コンテンツの例は次のとおりです。Examples of customer content include:

  • 電子メール本文またはメールの添付ファイルEmail body or email attachments

  • SharePoint サイトのコンテンツSharePoint site contents

  • SharePoint ファイルの本文に含まれる情報Information in the body of a SharePoint file

  • Skype for Business プレゼンテーションファイルの本文Skype for Business presentation file body

  • インスタント メッセージ (IM) または音声会話Instant messages (IM) or voice conversations

  • 顧客が生成した blob または構造化ストレージ データ (SQL コンテナーなど)Customer-generated blob or structured storage data (for example, SQL Containers)

  • 顧客が所有するセキュリティ情報 (証明書、暗号化キー、パスワードなど)Customer-owned security information (for example, certificates, encryption keys, and passwords)

  • お客様のコンテンツが残っている場合の推論、以降のすべての推論Inferences, and all subsequent inferences, if customer content remains

Office 365 の顧客コンテンツの詳細については、「 office 365 のセキュリティセンター」を参照してください。For additional information about customer content in Office 365, see the Office 365 Trust Center.

自分のコンテンツへのアクセスを要求された場合、だれに通知されますか。Who is notified when there is a request to access my content?

グローバル管理者と、カスタマーロックボックスアクセス許可管理者役割に割り当てられているユーザーに通知します。Global administrators and anyone assigned the Customer Lockbox access approver admin role are notified. これらのユーザーは、顧客のロックボックス要求の承認を行うこともできます。These are also the same users who can approve for Customer Lockbox requests.

組織内でこれらの要求を承認または拒否できるユーザーWho can approve or reject these requests in my organization?

グローバル管理者と顧客ロックボックスアクセス許可管理者ロールに割り当てられたユーザーは、顧客ロックボックス要求を承認できます。Global administrators and anyone assigned the Customer Lockbox access approver admin role can approve Customer Lockbox requests. お客様は、組織内でこれらの役割の割り当てを制御します。Customers control these role assignments in their organizations.

お客様のロックボックスにどのように選択しますか?How do I opt in to Customer Lockbox?

グローバル管理者は、Microsoft 365 または Microsoft 365 管理センターでカスタマーロックボックスを有効にして構成することができます。A global administrator can enable and configure Customer Lockbox in the Microsoft 365 or Microsoft 365 admin center.

カスタマーロックボックス要求を承認した場合、エンジニアは何をすることができますか。また、Microsoft のエンジニアが何をしたかを知る方法を教えてください。If I approve a Customer Lockbox request, what can the engineer do and how will I know what the Microsoft engineer did?

カスタマーロックボックス要求を承認した後、Microsoft のエンジニアは、事前承認済みコマンドレットを使用して、お客様のコンテンツにアクセスするためにこれらの必要な権限を付与しました。After you approve a Customer Lockbox request, the Microsoft engineer granted these necessary privileges to access customer content by using pre-approved cmdlets. カスタマーロックボックス要求に対応して Microsoft のエンジニアが実行するアクションは、セキュリティ & コンプライアンスセンターの監査ログでログに記録され、アクセスできます。Actions taken by Microsoft engineers in response to Customer Lockbox requests are logged and accessible in the audit log in the Security & Compliance Center.

Microsoft が承認プロセスに従うことをどのように確認できますか?How do I know that Microsoft follows the approval process?

組織内の管理者および承認者に送信される電子メールの承認通知は、Microsoft 365 管理センターのカスタマーロックボックス要求の履歴と相互参照できます。You can cross-reference the email approval notifications sent to admins and approvers in your organization with the Customer Lockbox request history in the Microsoft 365 admin center.

お客様のロックボックスは、最新の SOC 1 SSAE 16 監査レポートに含まれています。Customer Lockbox is included in the latest SOC 1 SSAE 16 audit report. 詳細については、 Microsoft Service Trust Portalの最新レポートを参照してください。For more details, you can find the latest reports in the Microsoft Service Trust Portal.

Microsoft は、自分のテナントの承認者の一覧を変更できますか?Can Microsoft modify the list of approvers for my tenant? そうでない場合は、どのような方法で回避できますか。If not, how is it prevented?

顧客のロックボックス要求を承認できるユーザーを指定できるのは、組織内のグローバル管理者のみです。Only a global administrator in your organization can specify who can approve Customer Lockbox requests. これは、Azure Active Directory の全体管理者グループのメンバーのみが、要求を承認できるユーザーを指定できることを意味します。That means only the members of the Global administrator group in Azure Active Directory can specify who can approve request. Azure Active Directory の全体管理者グループのメンバーシップは、組織によってのみ管理されます。Membership of the Global administrator group in Azure Active Directory is managed only by your organization.

承認のためにコンテンツアクセス要求に関する詳細情報が必要な場合は、どうすればよいですか?What if I need more information about a content access request to approve it?

各顧客ロックボックス要求には、Microsoft 365 サービス要求番号が含まれています。Each Customer Lockbox request contains a Microsoft 365 service request number. 要求に関する詳細情報を取得するには、Microsoft サポートに連絡して、このサービス番号を参照してください。You can contact Microsoft Support and reference this service number to get more information about the request.

顧客のロックボックス要求が承認されると、アクセス許可はどのくらいの期間有効になりますか。When a Customer Lockbox request is approved, how long are the permissions valid?

現在、Microsoft のエンジニアに付与されるアクセス許可の最長期間は 4 時間です。Currently, the maximum period for the access permissions granted to the Microsoft engineer is 4 hours. Microsoft のエンジニアは、より短い期間を要求することもできます。The Microsoft engineer can also request a shorter period.

すべてのカスタマーロックボックス要求の履歴を取得するにはどうすればよいですか?How can I get a history of all Customer Lockbox requests?

すべてのカスタマーロックボックス要求は、Microsoft 365 管理センターで表示されます。All Customer Lockbox requests are viewed in the Microsoft 365 admin center.

コンプライアンスセンターのアクティビティフィードには、顧客ロックボックスのログアクティビティが含まれています。The Compliance Center Activity Feed contains log activities of Customer Lockbox. 顧客は、受信した電子メール要求に対して、顧客のロックボックスログアクティビティをアクティビティフィードから相互参照できます。Customers can cross-reference the Customer Lockbox log activities from the activity feed against the email request they receive.

お客様がお客様のロックボックス要求に応答しない場合はどうなりますか?What happens when a customer doesn't respond to a Customer Lockbox request?

カスタマー ロックボックス要求の既定の期間は 12 時間です。Customer Lockbox requests have a default duration of 12 hours. 12時間以内に要求に応答しない場合、要求は有効期限が切れます。If you don't respond to a request within 12 hour, the request expires.

顧客が顧客のロックボックス要求を拒否した場合、Microsoft は何を行いますか?What does Microsoft do when a customer rejects a Customer Lockbox request?

顧客が顧客のロックボックス要求を拒否した場合、顧客コンテンツへのアクセスは行われません。If a customer rejects a Customer Lockbox request, no access to customer content occurs. この問題を解決するために Microsoft がお客様のコンテンツにアクセスする必要があるというサービスの問題が組織内のユーザーから引き続き発生する場合、サービスの問題が持続する可能性があり、Microsoft はそのことをユーザーに通知します。If a user in your organization continues to experience a service issue requiring Microsoft to access customer content to resolve the issue, then the service issue might persist and Microsoft will inform the user about this.

カスタマーロックボックスは、法律執行機関または他のサードパーティからのデータ要求に対して保護されるものですか?Does Customer Lockbox protect against data requests from law enforcement agencies or other third parties?

いいえ。No. Microsoft は、お客様のデータに関するサードパーティの要求を真剣に引き受けます。Microsoft takes third-party requests for customer data seriously. クラウドサービスプロバイダーとして、Microsoft はお客様のデータのプライバシーを常に重視しています。As a cloud service provider, Microsoft always advocates for the privacy of customer data. 召喚を受け取った場合、Microsoft は常にお客様に情報を取得するためにサードパーティのリダイレクトを試行します。In the event we get a subpoena, Microsoft always attempts to redirect the third party to the customer to obtain the information. (行政スミスのブログ: 政府からのお客様データの保護)。(Read Brad Smith's blog: Protecting customer data from government snooping). Microsoft が受け取る法的執行機関の要求に関する 詳細情報 を定期的に公開しています。We periodically publish detailed information about the law enforcement requests that Microsoft receives.

詳細については、「オンラインサービス用語」の「サードパーティのデータ要求に関するMicrosoft セキュリティセンター 」と「顧客データの開示」を参照してください。See the Microsoft Trust Center regarding third-party data requests and the "Disclosure of Customer Data" section in the Online Services Terms for more information.

Microsoft では、Office 365 アプリケーションの顧客コンテンツへの継続的なアクセス権を、スタッフのメンバーが持っているかどうかを確認する方法を教えてください。How does Microsoft ensure that a member of its staff doesn't have standing access to customer content in Office 365 applications?

Microsoft は、アクセス制御システムを使用して広範な予防措置を実装しており、これらのアクセス制御システムを回避する試みを識別して対処するための検出対策を行います。Microsoft implements extensive preventive measures through access control systems, and detective measures to identify and address attempts to circumvent these access control systems. Microsoft 365 は、最小限の特権とジャストインタイムアクセスの原則を使用して操作します。Microsoft 365 operates with the principles of least privilege and just-in-time access. そのため、Microsoft の担当者は、継続的にお客様のコンテンツにアクセスするためのアクセス許可を持っていません。Therefore, no Microsoft personnel have permission to access customer content on an ongoing basis. アクセス許可が付与されている場合は、期間に制限があります。If permission is granted, it is for a limited duration.

Microsoft 365 は、 ロックボックス と呼ばれるアクセス制御システムを使用して、サービス内で運用および管理機能を実行する機能を付与するアクセス許可に対する要求を処理します。Microsoft 365 uses an access control system called Lockbox to process requests for permissions that grant the ability to perform operational and administrative functions within the service. オペレーターは、ロックボックスを使用してユーザーのコンテンツへのアクセスを要求する必要があります。その後、アクセス許可が付与される前に、要求に対してアクションを実行する (たとえば、承認する) 必要があります。An operator must request access to customer content using Lockbox, which then requires a second person to take action on the request (e.g., approve it) before access is granted. この2番目のユーザーはリクエスターになることができず、顧客コンテンツへのアクセスを承認するように指定する必要があります。That second person can't be the requestor and must be designated to approve access to customer content. 要求が承認された場合にのみ、オペレーターは顧客コンテンツへの一時的なアクセス権を取得します。Only if the request is approved does the operator acquire temporary access to customer content. 昇格期間が過ぎると、ロックボックスはアクセスを取り消します。After the elevation period expires, Lockbox revokes access.

Microsoft の一般的なセキュリティ対策の詳細については、 オンラインサービス の使用条件を参照してください。Please refer to the Online Services Terms for more details about Microsoft general security practices.

Microsoft のエンジニアがコンテンツにアクセスする必要があるのはどのような状況ですか。Under what circumstances do Microsoft engineers need access to my content?

Microsoft のエンジニアがお客様のコンテンツへのアクセスを必要とする最も一般的なシナリオは、お客様がトラブルシューティングのためのアクセス権を必要とするサポート要求を行った場合です。The most common scenario where Microsoft engineers need access customer content is when the customer makes a support request requiring access for troubleshooting. Microsoft 365 の基本原則は、Microsoft がお客様のコンテンツにアクセスしなくてもサービスを運用できることです。A foundational principle of Microsoft 365 is that the service operates without Microsoft access to customer content. Microsoft によって実行されるほとんどすべてのサービス操作は完全に自動化されており、人的関与はユーザーのコンテンツによって高度に制御および抽象化されています。Nearly all service operations performed by Microsoft are fully automated and human involvement is highly controlled and abstracted away from customer content. Microsoft 365 の目標は、お客様が Microsoft access の特定の要求を承認するまで、サービスをサポートするためにお客様のコンテンツにアクセスすることです。The goal for Microsoft 365 is access to customer content to support the service isn't needed until the customer approves a specific request for Microsoft access.

Microsoft クラウドでデータをセキュリティで保護したことが既に考えられていますが、なぜお客様のロックボックスが必要ですか?I already thought my data was secure with the Microsoft cloud, so why do I need Customer Lockbox?

カスタマーロックボックスは、サービス操作の明示的なアクセス承認を提供する機能をお客様に提供することによって、特別な制御層を提供します。Customer Lockbox provides an extra layer of control by offering customers the ability to give explicit access authorization for service operations. 明示的なデータアクセス承認のためにプロシージャが配置されていることを示すことにより、お客様のロックボックスは、顧客が HIPAA、FEDRAMP などの特定のコンプライアンス義務を満たすのを支援します。By demonstrating that procedures are in place for explicit data access authorization, Customer Lockbox also helps customers meet certain compliance obligations such as HIPAA and FEDRAMP.