Share via

Veilig toegang krijgen tot klantgegevens met behulp van Klanten-lockbox in Power Platform en Dynamics 365

  • Artikel

Voor de meeste bewerkingen, ondersteuning en probleemoplossing die worden uitgevoerd door Microsoft-personeel (inclusief subverwerkers) is geen toegang tot klantgegevens vereist. Met Power Platform Klanten-lockbox bieden we een interface voor de klanten voor het beoordelen en goedkeuren (of afwijzen) van gegevenstoegang in het zeldzame geval dat gegevenstoegang tot klantgegevens nodig is. Het wordt gebruikt in gevallen waarin een Microsoft-technicus toegang nodig heeft tot klantgegevens, of dit nu is als reactie op een door de klant geïnitieerd ondersteuningsticket of een door Microsoft vastgesteld probleem.

In dit artikel wordt beschreven hoe u Klanten-lockbox inschakelt en hoe lockbox-aanvragen worden geïnitieerd, gevolgd en opgeslagen voor latere beoordelingen en audits.

Opmerking

Klanten-lockbox is beschikbaar in openbare clouds en regio's van de US Government Community Cloud (GCC), GCC High en het Department of Defense (DoD).

Overzicht

U kunt Klanten-lockbox inschakelen voor uw gegevensbronnen binnen uw tenant. Als Klanten-lockbox wordt ingeschakeld, wordt het beleid alleen afgedwongen voor omgevingen die zijn geactiveerd voor Beheerde omgevingen. Globale beheerders en Power Platform-beheerders kunnen het lockbox-beleid inschakelen.

Ga naar Het lockbox-beleid inschakelen voor meer informatie.

In het zeldzame geval dat Microsoft probeert toegang te krijgen tot klantgegevens die zijn opgeslagen in Power Platform (bijvoorbeeld Dataverse), wordt een lockbox-aanvraag naar de globale beheerders en Power Platform-beheerders verzonden ter goedkeuring. Ga naar Een Lockbox-aanvraag beoordelen voor meer informatie.

Alle updates van een lockbox-aanvraag worden vastgelegd en als auditlogboeken beschikbaar gesteld aan uw organisatie. Ga naar Lockbox-aanvragen controleren voor meer informatie.

Toepassingen en services van Power Platform en Dynamics 365 slaan klantgegevens op in verschillende Azure-opslagtechnologieën. Wanneer u Klanten-lockbox voor een omgeving inschakelt, worden klantgegevens die aan de respectievelijke omgeving zijn gekoppeld, beschermd door het lockbox-beleid, ongeacht het opslagtype.

Opmerking

  • Momenteel zijn de apps en services waarvoor het lockbox-beleid na het inschakelen wordt uitgevoerd, Power Apps (exclusief kaarten voor Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (exclusief GPT AI-functies), Dataverse, Customer Insights, Customer Service, Communities, Guides, Connected Spaces, Finance (behalve Lifecycle Services), project Operations (behalve Lifecycle Services ), Supply Chain Management (behalve Lifecycle Services) en het gebied met real-time marketingfuncties van de Marketing-app.
  • Functies die mogelijk worden gemaakt door de Azure OpenAI Service zijn uitgesloten van de handhaving van het Lockbox-beleid, tenzij in de productdocumentatie voor een bepaalde functie vermeld staat dat Lockbox van toepassing is.
  • Nuance Conversational IVR is uitgesloten van de handhaving van het Lockbox-beleid, tenzij in de productdocumentatie voor een bepaalde functie vermeld staat dat Lockbox van toepassing is.
  • Welkomstinhoud voor maker is uitgesloten van de handhaving van het Lockbox-beleid.
  • Schakel zoeken op Lucene.NET uit op uw website en ga naar Zoeken in Dataverse om Klanten-lockbox te kunnen gebruiken. Meer informatie: Zoeken in portals met Lucene.NET is verouderd.

Workflow

  1. Uw organisatie heeft een probleem met Microsoft Power Platform en opent een ondersteuningsaanvraag bij Microsoft Ondersteuning. Als alternatief identificeert Microsoft een probleem op proactieve wijze (er wordt bijvoorbeeld een proactieve melding geactiveerd) en wordt een door Microsoft geïnitieerde gebeurtenis geopend om de hoofdoorzaak te onderzoeken en te verhelpen of op te lossen.

  2. Een Microsoft-operator beoordeelt de ondersteuningsaanvraag/-gebeurtenis en probeert het probleem op te lossen met behulp van standaardhulpprogramma's en telemetrie. Als toegang tot klantgegevens nodig is voor verdere probleemoplossing, start een Microsoft-technicus een intern goedkeuringsproces voor toegang tot klantgegevens, ongeacht of het lockbox-beleid is ingeschakeld of niet.

  3. Bovendien wordt een lockbox-verzoek gegenereerd als de respectievelijke gegevensopslag is gekoppeld aan een omgeving die is beveiligd volgens de activering van het lockbox-beleid. Er wordt een e-mailmelding naar de aangewezen goedkeurders verzonden (globale beheerders en Power Platform-beheerders) over de openstaande aanvraag voor toegang tot gegevens van Microsoft.

    Belangrijk

    De Microsoft-technicus kan pas doorgaan met het onderzoek als het lockbox-verzoek is goedgekeurd door de klant. Dit kan vertragingen bij het afhandelen van het ondersteuningsticket of langdurige uitval veroorzaken. Zorg ervoor dat u e-mailmeldingen en/of lockbox-aanvragen controleert in het Power Platform-beheercentrum en tijdig reageert om serviceonderbrekingen te voorkomen.

    Een voorbeeld van een lockbox-aanvraag.

  4. De fiatteur tekent meldt zich aan bij het Power Platform-beheercentrum en keurt de aanvraag goed. Als de aanvraag wordt afgewezen of niet binnen vier dagen wordt goedgekeurd, verloopt deze en wordt er geen toegang verleend aan de Microsoft-technicus.

  5. Nadat de fiatteur van uw organisatie de aanvraag heeft goedgekeurd, verkrijgt de Microsoft-technicus de verhoogde machtigingen die aanvankelijk waren aangevraagd en lost hij uw probleem op. Technici van Microsoft hebben een bepaalde tijd - 8 uur - om het probleem op te lossen, waarna de toegang automatisch wordt ingetrokken.

Het lockbox-beleid inschakelen

Globale beheerders of Power Platform-beheerders kunnen het lockbox-beleid maken of bijwerken in het Power Platform-beheercentrum. Als beleid op tenantniveau wordt ingeschakeld, is het alleen van toepassing op omgevingen die zijn geactiveerd voor Beheerde omgevingen. Het kan tot 24 uur duren voordat alle gegevensbronnen en alle omgevingen zijn geïmplementeerd met Klanten-lockbox.

  1. Meld u aan bij het Power Platform-beheercentrum.

  2. Gebruik de pagina Tenantinstellingen om instellingen op tenantniveau te bekijken en te beheren. Selecteer het tandwielpictogram (Tandwielpictogram.) in de rechterbovenhoek van de Microsoft Power Platform-site om de instellingen op tenantniveau te bekijken en selecteer Power Platform-instellingen>Instellingen>Tenantinstellingen in het navigatievenster aan de linkerkant.

  3. Stel Klanten-lockbox in op Inschakelen.

    Schakel het lockbox-beleid in.

Een Lockbox-aanvraag beoordelen

  1. Meld u aan bij het Power Platform-beheercentrum.

  2. Selecteer Beleid>Klanten-lockbox.

  3. Beoordeel de details van de aanvraag.

    Veld Beschrijving
    Id ondersteuningsaanvraag De id van het ondersteuningsticket dat is gekoppeld aan de lockbox-aanvraag. Als de aanvraag het resultaat is van een door Microsoft geïnitieerde interne waarschuwing, is de waarde 'Door Microsoft geïnitieerd'.
    Omgeving De weergavenaam van de omgeving waarin gegevenstoegang wordt aangevraagd.
    Status De status van de lockbox-aanvraag.
    • Actie vereist: in afwachting van goedkeuring van de klant
    • Verlopen: geen goedkeuring ontvangen van de klant
    • Goedgekeurd: goedgekeurd door de klant
    • Geweigerd: afgewezen door de klant
    Aangevraagd Het tijdstip waarop de Microsoft-technicus toegang heeft gevraagd tot klantgegevens in de omgeving van de klant.
    Verlopen van aanvraag De tijd waarbinnen de klant de lockbox-aanvraag moet goedkeuren. De status van de aanvraag verandert in Verlopen als er op dat moment geen goedkeuring is gegeven.
    Toegangsperiode De tijdsduur dat de aanvrager toegang wil tot klantgegevens. Deze waarde is standaard 8 uur en kan niet worden gewijzigd.
    Verloop van toegang Als toegang wordt verleend, is dit de tijd tot wanneer de Microsoft-technicus toegang heeft tot klantgegevens.

  4. Selecteer een lockbox-aanvraag en selecteer vervolgens Goedkeuren of Weigeren.

    Lockbox-aanvragen goedkeuren of weigeren

    Opmerking

    De lockbox-aanvragen die in de afgelopen 28 dagen hebben plaatsgevonden, worden weergegeven in de tabel Recent.

    Nadat een aanvraag is goedgekeurd, kan deze niet worden ingetrokken voor de volledige duur van de toegangsperiode van 8 uur.

Lockbox-aanvragen controleren

Acties met betrekking tot het accepteren, weigeren of verlopen van een lockbox-aanvraag worden automatisch geregistreerd in Microsoft 365 Defender.

Pagina Microsoft 365 Defender.

Audit-traceringen omvatten deze en andere velden voor elke lockbox-aanvraag:

  • Unieke id voor de aanvraag
  • Aanmaaktijd van aanvraag
  • Organisatie-id
  • Gebruikers-id (unieke identificatie voor de Microsoft-operator die de aanvraag uitvoert)
  • Aanvraagstatus
  • Id van gekoppeld ondersteuningsticket
  • Verlooptijd van aanvraag
  • Verlooptijd voor gegevenstoegang
  • Omgevings-id
  • Reden voor aanvraag

Het tabblad Audit van Microsoft 365 stelt beheerders in staat om gebeurtenissen te zoeken die verband houden met lockbox-sessies. Bekijk de categorie Power Platform Lockbox voor aan Power Platform gerelateerde lockbox-gebeurtenissen.

Selecteer de categorie Power Platform-lockbox.

Beheerders kunnen de resultatenset direct exporteren op basis van de filtercriteria.

Zoekresultaten voor Lockbox-controle.

Klanten-lockbox produceert twee typen auditlogboeken:

  1. Logboeken die worden geïnitieerd door Microsoft en overeenkomen met het maken of verlopen van een lockbox-aanvraag of het beëindigen van toegangssessies. Deze set auditlogboeken komt niet overeen met een specifieke gebruikers-id, aangezien de acties worden geïnitieerd door Microsoft.
  2. Logboeken die worden geïnitieerd door acties van eindgebruikers, zoals wanneer een gebruiker een lockbox-aanvraag goedkeurt of weigert. Als aan de gebruiker die deze bewerkingen uitvoert geen E5-licentie is toegewezen, worden de logboeken uitgefilterd en worden ze niet weergegeven in de auditlogboeken.

De auditlogs worden standaard één jaar lang bewaard. U hebt een invoegtoepassingslicentie voor het bewaren van auditlogboeken voor 10 jaar nodig om auditrecords 10 jaar te kunnen bewaren. Zie Audit (Premium) voor meer informatie over het bewaren van auditlogboeken.

Licentievereisten voor Klanten-lockbox

Het beleid voor Klanten-lockbox wordt alleen toegepast op omgevingen waarvoor beheerde omgevingen zijn geactiveerd. Beheerde omgevingen is opgenomen als een recht in zelfstandige Power Apps-, Power Automate-, Microsoft Copilot Studio-, Power Pages- en Dynamics 365-licenties die premium gebruiksrechten bieden. Zie Licenties en Licentieoverzicht voor Microsoft Power Platform voor meer informatie over licenties voor beheerde omgevingen.

Bovendien vereist toegang tot Klanten-lockbox voor Microsoft Power Platform en Dynamics 365 dat gebruikers in de omgevingen waar het Lockbox-beleid wordt afgedwongen een van deze abonnementen hebben:

  • Microsoft 365 of Office 365 A5/E5/G5
  • Naleving van Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 Beveiliging en naleving
  • Microsoft 365 A5/E5/F5/G5 Beheer van insiderrisico's
  • Microsoft 365 A5/E5/F5/G5 Informatiebescherming en beheer Meer informatie over toepasselijke licenties.

Uitsluitingen

  • Er worden geen Lockbox-aanvragen geactiveerd in de volgende technische ondersteuningsscenario's:

    • Noodscenario's die buiten de standaard operationele procedures vallen, zoals een grote servicestoring die onmiddellijke aandacht vereist om services te herstellen of opnieuw te activeren in onverwachte of onvoorspelbare gevallen. Dergelijke noodgevallen zijn zeldzaam en vereisen in de meeste gevallen geen toegang tot klantgegevens om op te lossen.

    • Een Microsoft-technicus heeft toegang tot het onderliggende platform als onderdeel van het oplossen van problemen en wordt onbedoeld blootgesteld aan klantgegevens. Het komt zelden voor dat dergelijke scenario's leiden tot toegang tot betekenisvolle hoeveelheden klantgegevens.

  • Klanten-lockbox-aanvragen worden ook niet geactiveerd door externe wettelijke eisen voor gegevens. Zie de bespreking van overheidsaanvragen voor gegevens in het Microsoft Vertrouwenscentrum voor details.

  • Klanten-lockbox is niet van toepassing op de toegang tot en handmatige beoordeling van klantgegevens die worden gedeeld voor Copilot AI-functies. Klanten-lockbox blijft ingeschakeld voor alle gegevens binnen het bereik.

Bekende problemen

  • Migratie van tenant naar tenant wordt niet ondersteund wanneer Klanten-lockbox is ingeschakeld. U moet Klanten-lockbox uitschakelen om een omgeving naar een andere tenant te verplaatsen. U kunt Klanten lockbox opnieuw inschakelen zodra de migratie is voltooid.