Klanten lockbox in Office 365
Dit artikel bevat implementatie- en configuratie-richtlijnen voor Customer Lockbox. Customer Lockbox ondersteunt aanvragen voor toegang tot gegevens in Exchange Online, SharePoint Online en OneDrive voor Bedrijven. Als u ondersteuning voor andere services wilt aanbevelen, dient u een aanvraag in Office 365 UserVoice.
Als u de opties wilt bekijken voor het verlenen van licenties aan uw gebruikers om te profiteren van Microsoft 365 nalevingsaanbiedingen, bekijkt u Microsoft 365 richtlijnen voor beveiligings- & naleving.
Customer Lockbox zorgt ervoor dat Microsoft geen toegang heeft tot uw inhoud om servicebewerkingen uit te voeren zonder uw expliciete goedkeuring. Customer Lockbox brengt u in het goedkeuringsproces dat Microsoft gebruikt om ervoor te zorgen dat alleen geautoriseerde aanvragen toegang tot uw inhoud verlenen. Zie Privileged access management in Microsoft 365 voor meer informatie over het werkstroomproces van Microsoft.
Af en toe helpen Microsoft-technici bij het oplossen van problemen die zich voordoen met de service. Meestal lossen technici problemen op met behulp van uitgebreide telemetrie- en foutopsporingshulpmiddelen die Microsoft voor haar services heeft. In sommige gevallen moet een Microsoft-technicus echter toegang hebben tot uw inhoud om de hoofdoorzaak te bepalen en het probleem op te lossen. Klantvergrendeling vereist dat de technicus toegang van u aanvraagt als laatste stap in de goedkeuringswerkstroom. Dit biedt u de optie om de aanvraag voor uw organisatie goed te keuren of te weigeren en direct toegangsbeheer te bieden voor uw inhoud.
Overzichtsvideo klantenvergrendeling
Werkstroom Klantenvergrendeling
In deze stappen wordt de gebruikelijke werkstroom beschreven wanneer een Microsoft-technicus een aanvraag voor klantenvergrendeling start:
Iemand bij een organisatie ervaart een probleem met zijn Microsoft 365 postvak.
Nadat de gebruiker het probleem heeft opgelost, maar het probleem niet kan oplossen, wordt er een ondersteuningsaanvraag geopend met Microsoft Support.
Een ondersteuningsmedewerker van Microsoft controleert de serviceaanvraag en bepaalt of u toegang moet krijgen tot de tenant van de organisatie om het probleem in de Exchange Online.
De ondersteuningstechnicus van Microsoft meldt zich aan bij het aanvraagprogramma Customer Lockbox en doet een aanvraag voor gegevenstoegang met de tenantnaam van de organisatie, het serviceaanvraagnummer en de geschatte tijd dat de technicus toegang nodig heeft tot de gegevens.
Nadat een Microsoft Support Manager de aanvraag heeft goedgekeurd, stuurt Customer Lockbox de aangewezen goedkeurder bij de organisatie een e-mailmelding over de in behandeling zijnde toegangsaanvraag van Microsoft.
Iedereen die de rol van beheerder van Customer Lockbox Access heeft toegewezen in Microsoft 365-beheercentrum kan klantvergrendelingsaanvragen goedkeuren.
De goedkeurder meldt zich aan bij de Microsoft 365-beheercentrum en keurt de aanvraag goed. Met deze stap wordt een auditrecord gemaakt die beschikbaar is door in het auditlogboek te zoeken. Zie Aanvragen voor klantenvergrendeling controleren voor meer informatie.
Als de klant de aanvraag binnen 12 uur weigert of de aanvraag niet goedkeurt, verloopt de aanvraag en wordt er geen toegang verleend aan de Microsoft-engineer.
Belangrijk
Microsoft bevat geen koppelingen in e-mailmeldingen in het Klantenvergrendelingsvak waarvoor u zich moet aanmelden bij Office 365.
Nadat de goedkeurder van de organisatie de aanvraag heeft goedgekeurd, ontvangt de Microsoft-engineer het goedkeuringsbericht, meldt hij zich aan bij de tenant in Exchange Online en lost het probleem van de klant op. Microsoft-technici hebben de gevraagde duur om het probleem op te lossen waarna de toegang automatisch wordt ingetrokken.
Notitie
Alle acties die door een Microsoft-technicus worden uitgevoerd, worden geregistreerd in het auditlogboek. U kunt deze auditrecords zoeken en controleren.
Klantenvergrendelingsverzoeken in- of uitschakelen
U kunt de besturingselementen voor klantenvergrendeling in de Microsoft 365-beheercentrum. Wanneer u Customer Lockbox in- of uitstijt, moet Microsoft de goedkeuring van uw organisatie verkrijgen voordat u toegang krijgt tot de inhoud van uw tenant.
Ga naar en meld u aan met een werk- of schoolaccount dat is toegewezen aan de globale beheerder of de rol van de klantverbinder voor toegang tot Het postvak https://admin.microsoft.com IN.
Kies Instellingen > Organisatie Instellingen Beveiliging & > Privacy.
Selecteer Klantvergrendeling bewerken en verplaats de schakelknop naar Aan of Uit om de functie in of > uit te schakelen.
Een aanvraag voor klantenvergrendeling goedkeuren of weigeren
Ga naar en meld u aan met een werk- of schoolaccount dat is toegewezen aan de globale beheerder of de rol van de klantverbinder voor toegang tot Het postvak https://admin.microsoft.com IN.
Kies Ondersteuning voor > Klantenvergrendelingsverzoeken.
Er wordt een lijst met klantvergrendelingsaanvragen weergegeven.
Selecteer een klantvergrendelingsaanvraag en kies goedkeuren of Weigeren.
Er wordt een bevestigingsbericht weergegeven over de goedkeuring van de aanvraag voor het Klantenvergrendelingsvak.
Notitie
Gebruik de Set-AccessToCustomerDataRequest cmdlet voor het goedkeuren, weigeren of annuleren van Microsoft 365 klantenvergrendelingsverzoeken die de toegang tot uw gegevens bepalen door ondersteuningstechnici van Microsoft. Zie Set-AccessToCustomerDataRequestvoor meer informatie.
Aanvragen voor klantenvergrendeling controleren
Auditrecords die overeenkomen met de aanvragen voor Klantenvergrendeling worden geregistreerd in het auditlogboek. U kunt deze logboeken openen met behulp van het zoekprogramma voor auditlogboeken in & compliancecentrum. Acties met betrekking tot het accepteren of weigeren van een aanvraag voor het Klantenvergrendelingsvak en acties die worden uitgevoerd door Microsoft-technici (wanneer toegangsaanvragen worden goedgekeurd) worden ook geregistreerd in het auditlogboek. U kunt deze auditrecords zoeken en controleren.
In het auditlogboek zoeken naar activiteiten met betrekking tot klantvergrendelingsaanvragen
Voordat u het auditlogboek kunt gebruiken om aanvragen voor Klantenvergrendeling bij te houden, moet u enkele stappen uitvoeren om auditlogboekregistratie in te stellen. Zie Het auditlogboek doorzoeken in het beveiligings- & compliancecentrum voor meer informatie. Nadat u de installatie hebt voltooid, gebruikt u deze stappen om een zoekquery voor auditlogboek te maken om auditrecords met betrekking tot Customer Lockbox te retourneren:
Ga naar Beveiligings- & naleving.
Meld u aan met uw werk- of schoolaccount.
Kies in het linkerdeelvenster van & compliancecentrum de optie Zoeken & zoeken in het > auditlogboek.
De zoekpagina Auditlogboek wordt weergegeven.
Configureer de volgende zoekcriteria:
Activiteiten: Laat dit veld leeg zodat de zoekopdracht auditrecords retourneert voor alle activiteiten. Dit is nodig om controlerecords te retourneren die betrekking hebben op aanvragen voor Klantenvergrendeling en bijbehorende activiteiten die door Microsoft-technici zijn uitgevoerd.
Begindatum en einddatum: selecteer een datum en tijdbereik om de gebeurtenissen weer te geven die binnen die periode hebben plaatsgevonden.
Gebruikers: laat dit veld leeg.
Bestand, map of site: laat dit veld leeg.
Klik op Zoeken om de zoekopdracht met uw zoekcriteria uit te voeren.
De zoekresultaten worden geladen en na enkele ogenblikken worden ze weergegeven onder Resultaten op de zoekpagina auditlogboek.
Klik op Resultaten filteren op de pagina met zoekresultaten en ga op een van de volgende dingen te werk:
Als u auditrecords wilt weergeven die betrekking hebben op een goedkeurder in uw organisatie, waarmee u een aanvraag voor klantenvergrendeling goedkeurt of weigert: Typ Set-AccessToCustomerDataRequest in het vak onder de kolom Activiteit.
Als u auditrecords wilt weergeven die betrekking hebben op een Microsoft-technicus die acties uitwerkt in reactie op een goedgekeurde aanvraag voor klantenvergrendeling: Typ Microsoft Operator in het vak onder de kolom Gebruiker. In de kolom Activiteit wordt de actie weergegeven die door de technicus is uitgevoerd.
Klik in de lijst met resultaten op een auditrecord om deze weer te geven.
Auditrecord voor een toegangsaanvraag voor Klantenvergrendeling
Wanneer een persoon in uw organisatie een aanvraag voor het Klantenvergrendelingsvak goedkeurt of ontkent, wordt er een auditrecord geregistreerd in het auditlogboek. Deze record bevat de volgende informatie.
| De eigenschap Auditrecord | Omschrijving |
|---|---|
| Datum | De datum en tijd waarop de aanvraag voor het Klantenvergrendelingsvak is goedgekeurd of geweigerd. |
| IP-adres | Het IP-adres van de computer die de goedkeurder heeft gebruikt om een aanvraag goed te keuren of te weigeren. |
| Gebruiker | Het serviceaccount BOXServiceAccount@ [ customerforest ] .prod.outlook.com. |
| Activiteit | Set-AccessToCustomerDataRequest; Dit is de controleactiviteit die wordt geregistreerd wanneer u een aanvraag voor klantenvergrendeling goedkeurt of weigert. |
| Item | De Guid van de aanvraag voor het klantenvergrendelingsvak |
In de volgende schermafbeelding ziet u een voorbeeld van een auditlogboekrecord die overeenkomt met een goedgekeurde aanvraag voor klantenvergrendeling. Als een klantvergrendelingsaanvraag is geweigerd, is de waarde van de parameter ApprovalDecision Weigeren.
Tip
Als u meer gedetailleerde informatie wilt weergeven in een auditrecord, klikt u op Meer informatie.
Auditrecord voor een actie uitgevoerd door een Microsoft-engineer
De acties die door een Microsoft-technicus worden uitgevoerd nadat een aanvraag voor klantenvergrendeling is goedgekeurd (en die kunnen leiden tot toegang tot klantinhoud) worden geregistreerd in het auditlogboek. Deze records bevatten de volgende informatie.
| De eigenschap Auditrecord | Omschrijving |
|---|---|
| Datum | Datum waarop de actie is uitgevoerd. Houd er rekening mee dat de tijd dat deze actie is uitgevoerd binnen 4 uur na de goedkeuring van de aanvraag voor het Klantenvergrendelingsvak is uitgevoerd. |
| IP-adres | Het IP-adres van de computer die Door Microsoft is gebruikt. |
| Gebruiker | Microsoft Operator; deze waarde geeft aan dat deze record is gerelateerd aan een aanvraag voor klantenvergrendeling. |
| Activiteit | Naam van de activiteit die is uitgevoerd door de Microsoft-engineer. |
| Item | <empty> |
Veelgestelde vragen
Op Microsoft 365 services is Customer Lockbox van toepassing?
Customer Lockbox wordt momenteel ondersteund in Exchange Online, SharePoint Online en OneDrive voor Bedrijven.
Is Customer Lockbox beschikbaar voor alle klanten?
Customer Lockbox is opgenomen in de Microsoft 365- of Office 365 E5-abonnementen en kan worden toegevoegd aan andere abonnementen met een invoegabonnement voor informatiebescherming en compliance of een advanced compliance-invoegabonnement. Zie Abonnementen en prijzen voor meer informatie.
Wat is klantinhoud?
Klantinhoud is de gegevens die zijn gemaakt door gebruikers van Microsoft 365 services en toepassingen. Voorbeelden van klantinhoud zijn:
E-mailbijlagen of e-mailbijlagen
SharePoint site-inhoud
Informatie in de body van een SharePoint bestand
Skype voor Bedrijven de bestandsindeling van de presentatie
Chatberichten (chatberichten) of spraakgesprekken
Klant gegenereerde blob- of gestructureerde opslaggegevens (bijvoorbeeld SQL Containers)
Beveiligingsgegevens van klanten (bijvoorbeeld certificaten, versleutelingssleutels en wachtwoorden)
Gevolgtrekkingen en alle daaropvolgende gevolgtrekkingen, als klantinhoud blijft bestaan
Zie het vertrouwenscentrum Office 365 voor meer informatie Office 365 klantinhoud in Office 365.
Wie wordt een melding ontvangen wanneer er een verzoek is om toegang te krijgen tot mijn inhoud?
Globale beheerders en iedereen die de rol klantvergrendeling voor toegangstoegang heeft toegewezen, wordt op de hoogte gesteld. Dit zijn ook dezelfde gebruikers die aanvragen voor Klantenvergrendeling kunnen goedkeuren.
Wie kan ik deze aanvragen in mijn organisatie goedkeuren of weigeren?
Globale beheerders en iedereen die de rol klantvergrendeling voor toegangstoegang heeft toegewezen, kan aanvragen voor Klantenvergrendeling goedkeuren. Klanten bepalen deze roltoewijzingen in hun organisatie.
Hoe kan ik me bij Customer Lockbox aan?
Een globale beheerder kan het postvak Klantvergrendeling inschakelen en configureren in Microsoft 365 of Microsoft 365-beheercentrum.
Als ik een aanvraag voor klantenvergrendeling goedkeur, wat kan de technicus dan doen en hoe weet ik wat de Microsoft-engineer heeft gedaan?
Nadat u een klantvergrendelingsaanvraag hebt goedgekeurd, heeft de Microsoft-engineer deze benodigde bevoegdheden verleend voor toegang tot klantinhoud met behulp van vooraf goedgekeurde cmdlets. Acties die door Microsoft-technici zijn uitgevoerd in reactie op aanvragen voor klantenvergrendeling, worden geregistreerd en toegankelijk in het auditlogboek in het beveiligings- & Compliancecentrum.
Hoe weet ik of Microsoft het goedkeuringsproces volgt?
U kunt de e-mailgoedkeuringsmeldingen die naar beheerders en goedkeurders in uw organisatie zijn verzonden, kruisen met de aanvraaggeschiedenis klantvergrendeling in de Microsoft 365-beheercentrum.
Customer Lockbox is opgenomen in het meest recente SOC 1 SSAE 16-auditrapport. Voor meer informatie vindt u de meest recente rapporten in de Microsoft Service Trust Portal.
Kan Microsoft de lijst met goedkeurders voor mijn tenant wijzigen? Zo niet, hoe wordt dit voorkomen?
Alleen een globale beheerder in uw organisatie kan opgeven wie klantvergrendelingsaanvragen kan goedkeuren. Dat betekent dat alleen de leden van de groep globale beheerders in Azure Active Directory kunnen opgeven wie de aanvraag kan goedkeuren. Lidmaatschap van de groep Globale beheerder in Azure Active Directory wordt alleen beheerd door uw organisatie.
Wat moet ik doen als ik meer informatie nodig heb over een aanvraag voor inhoudstoegang om het goed te keuren?
Elke klantvergrendelingsaanvraag bevat een Microsoft 365 serviceaanvraagnummer. U kunt contact opnemen met Microsoft Support en naar dit servicenummer verwijzen voor meer informatie over de aanvraag.
Wanneer een aanvraag voor klantenvergrendeling is goedgekeurd, hoe lang zijn de machtigingen geldig?
Momenteel is de maximumperiode voor de toegangsmachtigingen die aan de Microsoft-engineer zijn verleend, 4 uur. De Microsoft-engineer kan ook een kortere periode aanvragen.
Hoe kan ik een geschiedenis krijgen van alle klantvergrendelingsaanvragen?
Alle klantvergrendelingsaanvragen worden in de Microsoft 365-beheercentrum.
Hoe correleer ik de aanvragen voor inhoudstoegang met de gerelateerde auditlogboeken?
De compliancecentrumactiviteitsfeed bevat logboekactiviteiten van Customer Lockbox. Klanten kunnen de logboekactiviteiten van Customer Lockbox uit de activiteitsfeed kruisen aan de e-mailaanvraag die ze ontvangen.
Wat gebeurt er als een klant niet reageert op een klantvergrendelingsaanvraag?
Klantenvergrendelingsaanvragen hebben een standaardduur van 12 uur. Als u niet binnen 12 uur op een aanvraag reageert, verloopt de aanvraag.
Wat doet Microsoft als een klant een aanvraag voor klantenvergrendeling weigert?
Als een klant een aanvraag voor klantenvergrendeling weigert, vindt er geen toegang tot klantinhoud plaats. Als een gebruiker in uw organisatie nog steeds te maken krijgt met een serviceprobleem waarbij Microsoft toegang heeft tot klantinhoud om het probleem op te lossen, kan het serviceprobleem zich voordoen en zal Microsoft de gebruiker hiervan op de hoogte stellen.
Beschermt Customer Lockbox zich tegen gegevensaanvragen van rechtshandhavingsinstanties of andere derden?
Nee. Microsoft neemt verzoeken van derden voor klantgegevens serieus. Als cloudserviceprovider is Microsoft altijd voorstander van de privacy van klantgegevens. In het geval we een dagvaarding krijgen, probeert Microsoft altijd de derde partij om te leiden naar de klant om de informatie te verkrijgen. (Lees Brad Smith's blog: Bescherm klantgegevens tegen overheidsinkijkers). We publiceren regelmatig gedetailleerde informatie over de verzoeken om de wetshandhaving die Microsoft ontvangt.
Zie het Microsoft Trust Center met betrekking tot gegevensaanvragen van derden en de sectie 'Openbaarmaking van klantgegevens' in de Voorwaarden voor onlineservices voor meer informatie.
Hoe zorgt Microsoft ervoor dat een lid van zijn personeel geen permanente toegang heeft tot klantinhoud in Office 365 toepassingen?
Microsoft implementeert uitgebreide, preventieve maatregelen via toegangscontrolesystemen en maatregelen om pogingen om deze toegangscontrolesystemen te omzeilen te identificeren en aan te pakken. Microsoft 365 werkt met de principes van de minste bevoegdheden en just-in-time toegang. Daarom hebben geen microsoft-medewerkers toestemming om doorlopend toegang te krijgen tot klantinhoud. Als er toestemming wordt verleend, is dit voor een beperkte duur.
Microsoft 365 een toegangsbesturingselementsysteem genaamd Lockbox gebruikt om aanvragen voor machtigingen te verwerken die de mogelijkheid bieden om operationele en beheerfuncties binnen de service uit te voeren. Een operator moet toegang tot klantinhoud aanvragen met Lockbox, waarna een tweede persoon actie moet ondernemen op de aanvraag (bijvoorbeeld goedkeuren) voordat toegang wordt verleend. Die tweede persoon kan de aanvraaggever niet zijn en moet worden aangewezen om toegang tot klantinhoud goed te keuren. Alleen als de aanvraag is goedgekeurd, krijgt de operator tijdelijke toegang tot klantinhoud. Nadat de hoogteperiode is verlopen, wordt de toegang ingetrokken door Lockbox.
Raadpleeg de Voorwaarden voor onlineservices voor meer informatie over algemene beveiligingspraktijken van Microsoft.
In welke omstandigheden hebben Microsoft-technici toegang nodig tot mijn inhoud?
Het meest voorkomende scenario waarbij Microsoft-technici toegang tot klantinhoud nodig hebben, is wanneer de klant een ondersteuningsaanvraag indient die toegang vereist voor probleemoplossing. Een basisprincipe van Microsoft 365 is dat de service werkt zonder microsoft-toegang tot klantinhoud. Bijna alle servicebewerkingen die door Microsoft worden uitgevoerd, zijn volledig geautomatiseerd en de betrokkenheid van mensen wordt sterk gecontroleerd en verwijderd van klantinhoud. Het doel voor Microsoft 365 is toegang tot klantinhoud ter ondersteuning van de service is pas nodig als de klant een specifieke aanvraag voor Microsoft-toegang goedkeurt.
Ik dacht al dat mijn gegevens veilig waren met de Microsoft-cloud, dus waarom heb ik Customer Lockbox nodig?
Customer Lockbox biedt een extra controlelaag door klanten de mogelijkheid te bieden expliciete toegang te verlenen voor servicebewerkingen. Door aan te tonen dat er procedures zijn voor expliciete machtiging voor gegevenstoegang, helpt Customer Lockbox klanten ook om te voldoen aan bepaalde nalevingsverplichtingen, zoals HIPAA en FEDRAMP.