Sistema de Proteção de Dados do Cliente do Microsoft Purview
Este artigo fornece diretrizes de implantação e configuração para o Customer Lockbox. O Customer Lockbox dá suporte a solicitações para acessar dados em Exchange Online, SharePoint, OneDrive, Teams, Microsoft Copilot para Microsoft 365 e Windows 365. Para recomendar suporte para outros serviços, envie uma solicitação no Portal de Comentários.
Para ver as opções para licenciar seus usuários para se beneficiar das ofertas do Microsoft Purview, confira as diretrizes de licenciamento do Microsoft 365 para segurança & conformidade.
O Customer Lockbox garante que a Microsoft não possa acessar seu conteúdo para fazer operações de serviço sem sua aprovação explícita. O Customer Lockbox traz você para o processo de fluxo de trabalho de aprovação que a Microsoft usa para garantir que apenas solicitações autorizadas permitam acesso ao seu conteúdo. Para saber mais sobre o processo de fluxo de trabalho da Microsoft, consulte Gerenciamento de acesso privilegiado.
Ocasionalmente, os engenheiros da Microsoft ajudam a solucionar problemas que surgem com o serviço. Normalmente, os engenheiros corriem problemas usando extensas ferramentas de telemetria e depuração que a Microsoft tem em vigor para seus serviços. No entanto, alguns casos exigem que um engenheiro da Microsoft acesse seu conteúdo para determinar a causa raiz e corrigir o problema. O Customer Lockbox exige que o engenheiro solicite acesso de você como uma etapa final no fluxo de trabalho de aprovação. Isso oferece a opção de aprovar ou negar a solicitação para sua organização e fornecer controle de acesso direto ao seu conteúdo.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Vídeo de visão geral da Caixa de Bloqueio do Cliente
Fluxo de trabalho do Sistema de Proteção de Dados do Cliente
Estas etapas descrevem o fluxo de trabalho típico quando um engenheiro da Microsoft inicia uma solicitação de Caixa de Bloqueio do Cliente:
Uma pessoa de uma organização tem um problema com a caixa de correio do Microsoft 365.
Depois de tentar solucionar o problema, mas não conseguir, será aberta uma solicitação de suporte junto à Microsoft.
Um engenheiro de suporte da Microsoft examina a solicitação de serviço e determina a necessidade de acessar o locatário da organização para reparar o problema.
O engenheiro de suporte da Microsoft faz logon na ferramenta de solicitação do Customer Lockbox e faz uma solicitação de acesso de dados que inclui o nome do locatário da organização, o número da solicitação de serviço, a hora de início esperada do acesso (inicia imediatamente após a aprovação, se não especificado), o tempo estimado para o qual o engenheiro precisa de acesso aos dados e o serviço para o qual a solicitação é solicitada.
Depois que um gerente de Suporte da Microsoft aprovar a solicitação, o Sistema de Proteção de Dados do Cliente enviará ao aprovador designado na organização uma notificação por email sobre a solicitação de acesso pendente da Microsoft.
Qualquer pessoa que tenha a função de administrador do aprovador de acesso da Caixa de Bloqueio do Cliente no Centro de administração do Microsoft 365 pode aprovar solicitações de Caixa de Bloqueio do Cliente.
O aprovador entra no Centro de administração do Microsoft 365 e aprova a solicitação. Esta etapa aciona a criação de um registro de auditoria disponível pesquisando o log de auditoria. Para obter mais informações, consulte Auditing Customer Lockbox requests.
Se o cliente rejeitar a solicitação ou não aprovar a solicitação dentro de 12 horas, a solicitação expirará e nenhum acesso será concedido ao engenheiro da Microsoft.
Importante
A Microsoft não inclui links no Customer Lockbox notificações por email exigindo que você entre no Office 365.
Depois que o aprovador da organização aprova a solicitação, o engenheiro da Microsoft recebe a mensagem de aprovação, faz logon no locatário e corrige o problema do cliente. Os engenheiros da Microsoft têm o tempo solicitado para corrigir o problema, após o qual o acesso será revogado automaticamente.
Observação
Todas as ações realizadas por um engenheiro da Microsoft são registradas no log de auditoria. Você pode pesquisar e analisar esses registros de auditoria.
Ativar ou desativar solicitações de caixa de bloqueio do cliente
Você pode ativar os controles do Sistema de Proteção de Dados do Cliente no Centro de administração do Microsoft 365. Ao ativar o Customer Lockbox, a Microsoft deve obter a aprovação da sua organização antes de acessar qualquer conteúdo do locatário.
Usando uma conta corporativa ou de estudante que tenha o administrador global ou a função de aprovação de acesso do Customer Lockbox atribuída, acesse https://admin.microsoft.com e entre.
Escolha Configurações> De segurança deconfigurações> da organização& privacidade.
Selecione Segurança & Privacidade e selecione Caixa de bloqueio do cliente na coluna à esquerda. Verifique a caixa de seleção Exigir aprovação para todas as solicitações de acesso a dados e salve as alterações para ativar o recurso.
Aprovar ou negar uma solicitação de Proteção de Dados do Cliente
Usando uma conta corporativa ou de estudante que tenha o administrador global ou a função de aprovação de acesso do Customer Lockbox atribuída, acesse https://admin.microsoft.com e entre.
Escolha Dar suporte a > solicitações de caixa de bloqueio do cliente.
Uma lista de solicitações de Caixa de Bloqueio do Cliente é exibida.
Selecione uma solicitação de Caixa de Bloqueio do Cliente e, em seguida, escolha Aprovar ou Negar.
Uma mensagem de confirmação sobre a aprovação da solicitação da Caixa de Bloqueio do Cliente é exibida.
Observação
Use o cmdlet Set-AccessToCustomerDataRequest para aprovar, negar ou cancelar solicitações do Microsoft Purview Customer Lockbox que controlam o acesso aos seus dados por engenheiros de suporte da Microsoft. Para obter mais informações, consulte Set-AccessToCustomerDataRequest.
Auditoria de solicitações de Proteção de Dados do Cliente
Os registros de auditoria que correspondem às solicitações do Customer Lockbox são registrados no log de auditoria do Microsoft 365. Você pode acessar esses logs usando a ferramenta de pesquisa de log de auditoria no portal de conformidade do Microsoft Purview. Ações relacionadas à aceitação ou negação de uma solicitação do Customer Lockbox e ações executadas pelos engenheiros da Microsoft (quando as solicitações de acesso são aprovadas) também são registradas no log de auditoria. Você pode pesquisar e analisar esses registros de auditoria.
Pesquisa o log de auditoria para atividades relacionadas às solicitações de Caixa de Bloqueio do Cliente
Antes de usar o log de auditoria para acompanhar as solicitações do Customer Lockbox, há algumas etapas que você precisa tomar para configurar o log de auditoria, incluindo atribuir permissões para pesquisar o log de auditoria. Para obter mais informações, consulte Introdução às soluções de auditoria. Depois de concluir a instalação, use estas etapas para criar uma consulta de pesquisa de log de auditoria para retornar registros de auditoria relacionados ao Customer Lockbox:
Saiba mais em https://compliance.microsoft.com.
Entre usando uma conta que recebeu as permissões apropriadas para pesquisar o log de auditoria.
No painel esquerdo do centro de conformidade, escolha Auditoria.
A guia Pesquisa na página Auditoria é exibida.
Configure os seguintes critérios de pesquisa:
Data de início e data de término. Selecione um intervalo de datas e horas para exibir os eventos ocorridos durante esse período.
Atividades. Deixe esse campo em branco para que a pesquisa retorne registros de auditoria para todas as atividades. Isso é necessário para retornar todos os registros de auditoria relacionados às solicitações do Customer Lockbox e à atividade correspondente executada pelos engenheiros da Microsoft.
Usuários. Deixe este campo em branco.
Arquivo, pasta ou site. Deixe este campo em branco.
Clique em Pesquisar para executar a pesquisa usando seus critérios de pesquisa.
Os resultados da pesquisa são exibidos após alguns momentos. Mais resultados de pesquisa serão adicionados à página até que a pesquisa seja concluída.
Clique no cabeçalho na coluna Atividade para classificar os resultados em ordem alfabética com base nos valores na coluna Atividade .
Role para baixo e procure registros de auditoria com uma atividade de Set-AccessToCustomerDataRequest. Os registros com essa atividade estão relacionados a um aprovador em sua organização aprovando ou negando uma solicitação de Caixa de Bloqueio do Cliente.
Como alternativa, clique no cabeçalho na coluna Usuário para classificar os resultados em ordem alfabética usando os valores na coluna Usuário . Procure o valor do Microsoft Operator, que indica as atividades executadas por um engenheiro da Microsoft em resposta a uma solicitação de Caixa de Bloqueio do Cliente aprovada. A coluna Atividade exibe a ação executada pelo engenheiro.
Na lista de resultados, clique em um registro de auditoria para exibi-lo.
Exportar os resultados da pesquisa de log de auditoria
Você também pode exportar os resultados da pesquisa de log de auditoria para um arquivo CSV e, em seguida, abrir o arquivo no Excel para usar os recursos de filtragem e classificação para facilitar a localização e exibição de registros de auditoria relacionados a uma solicitação de acesso da Caixa de Bloqueio do Cliente.
Para exportar registros de auditoria, use as etapas anteriores para pesquisar o log de auditoria. Quando a pesquisa for concluída, selecione Exportar > Baixar todos os resultados na parte superior da página de resultados da pesquisa. Quando o processo de exportação for concluído, você poderá baixar o arquivo CSV no computador local. Para obter instruções mais detalhadas, consulte Exportar, configurar e exibir registros de log de auditoria.
Depois de baixar o arquivo, você pode abri-lo no Excel e filtrar na coluna Operações para exibir registros de auditoria para atividadesSet-AccessToCustomerDataRequest . Você também pode filtrar na coluna UserIds (usando o valor Microsoft Operator) para exibir registros de auditoria para atividades executadas por engenheiros da Microsoft.
Observação
Ao exibir registros de auditoria no arquivo CSV, informações adicionais são contidas na coluna AuditData . As informações nesta coluna estão contidas em um objeto JSON, que contém várias propriedades configuradas como pares de propriedade:valor separados por vírgulas. Você pode usar o recurso de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade no objeto JSON na coluna AuditData em várias colunas para que cada propriedade tenha sua própria coluna. Isso facilita a interpretação dessas informações. Para obter instruções detalhadas, consulte Formatar o log de auditoria exportado usando o Editor do Power Query.
Usar o PowerShell para pesquisar e exportar registros de auditoria
Uma alternativa para usar a ferramenta de pesquisa de auditoria no portal de conformidade do Microsoft Purview é executar o cmdlet Pesquisa-UnifiedAuditLog no Exchange Online PowerShell. Uma vantagem de usar o PowerShell é que você pode pesquisar especificamente atividades ou atividades set-AccessToCustomerDataRequest executadas por engenheiros da Microsoft relacionados a uma solicitação de Caixa de Bloqueio do Cliente.
Depois de se conectar ao Exchange Online PowerShell, execute um dos seguintes comandos. Substitua os espaços reservados por um intervalo de datas específico.
Pesquisa para Set-AccessToCustomerDataRequest atividades
Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest
Pesquisa para atividades executadas por engenheiros da Microsoft
Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"
Para obter mais informações e exemplos, consulte Usar o PowerShell para pesquisar e exportar registros de log de auditoria.
Também fornecemos um script do PowerShell que você pode usar para pesquisar o log de auditoria e exportar os resultados para um arquivo CSV. Para obter mais informações, consulte Usar um script do PowerShell para pesquisar o log de auditoria.
Registro de auditoria para uma solicitação de caixa de bloqueio do cliente
Quando uma pessoa em sua organização aprova ou nega uma solicitação do Customer Lockbox, o registro de auditoria é registrado no log de auditoria contém as informações a seguir.
| Propriedade de registro de auditoria | Descrição |
|---|---|
| Date | A data e a hora em que a solicitação de Proteção de Dados do Cliente foi aprovada ou negada. |
| Endereço IP | O endereço IP do computador usado pelo aprovador para aprovar ou recusar uma solicitação. |
| Usuário | A conta de serviço BOXServiceAccount@[customerforest].prod.outlook.com. |
| Atividade | Set-AccessToCustomerDataRequest: esta é a atividade de auditoria registrada quando você aprova ou nega uma solicitação de Proteção de Dados do Cliente. |
| Item | O Guid da solicitação de caixa de bloqueio do cliente |
A captura de tela a seguir mostra um exemplo de um registro de auditoria que corresponde a uma solicitação de caixa de bloqueio do cliente aprovada. Se uma solicitação de Caixa de Bloqueio do Cliente foi negada, o valor do ApprovalDecision parâmetro seria Deny.
Registro de auditoria para uma ação executada por um engenheiro da Microsoft
As ações executadas por um engenheiro da Microsoft após uma solicitação de Proteção de Dados do Cliente ser aprovada (e que podem resultar em acessar o conteúdo do cliente) são registradas no log de auditoria. Esses registros contêm as seguintes informações.
| Propriedade de registro de auditoria | Descrição |
|---|---|
| Date | Hora da data em que a ação foi executada. O tempo em que essa ação foi executada será dentro de 4 horas após a aprovação da solicitação da Caixa de Bloqueio do Cliente. |
| Endereço IP | O Endereço IP da máquina da Microsoft usada pelo engenheiro. |
| Usuário | Microsoft Operator; esse valor indica que o registro está relacionado a uma solicitação de Caixa de Bloqueio do Cliente. |
| Atividade | Nome da atividade realizada pelo engenheiro da Microsoft. |
| Item | <Vazio> |
Perguntas frequentes
A quais serviços do Microsoft 365 o Cliente Lockbox se aplica?
Atualmente, há suporte para o Customer Lockbox em Exchange Online, SharePoint Online, OneDrive for Business, Teams e Windows 365.
O Customer Lockbox está disponível para todos os clientes?
A Caixa de Bloqueio do Cliente está incluída com as assinaturas do Microsoft 365 ou Office 365 E5 e pode ser adicionada a outros planos com uma assinatura de complemento Proteção de Informações e Conformidade ou de Conformidade Avançada. Consulte Planos e preços para obter mais informações.
O que é conteúdo do cliente?
O conteúdo do cliente são os dados criados pelos usuários dos serviços e aplicativos do Microsoft 365. Exemplos de conteúdo do cliente incluem:
Corpo do e-mail ou anexos de e-mail
Conteúdo do site do Microsoft Office SharePoint Online
Informações no corpo de um arquivo do Microsoft Office SharePoint Online
Skype for Business corpo do arquivo de apresentação
Mensagens instantâneas (IM) ou conversas de voz
Texto inserido em chats do Teams e canais do Teams, por exemplo, chats 1:1, chats em grupo, canais compartilhados, canais privados e chat de reunião
Outros dados colados em threads de chat do Teams, como snippets de código, imagens, mensagens de áudio e vídeo e links
Dados de aplicativo e bot em chats do Teams e canais do Teams
Feed de atividades do Teams
Gravações e transcrições de reunião do Teams
Caixa postal
Arquivos postados em chats do Teams e canais do Teams
Microsoft Copilot para Microsoft 365 interações
Dados de blob gerados pelo cliente ou armazenamento estruturado (por exemplo, Contêiners SQL)
Informações de segurança de propriedade do cliente (por exemplo, certificados, chaves de criptografia e senhas)
Inferências e todas as inferências subsequentes, se o conteúdo do cliente permanecer
Para obter mais informações sobre o conteúdo do cliente no Office 365, consulte o Centro de Confiança Office 365.
Quem é notificado quando há uma solicitação para acessar meu conteúdo?
Os administradores globais e qualquer pessoa atribuída à função de administrador do aprovador de acesso do Customer Lockbox são notificados. Esses também são os mesmos usuários que podem aprovar solicitações de Caixa de Bloqueio do Cliente.
Quem pode aprovar ou rejeitar essas solicitações na minha organização?
Administradores globais e qualquer pessoa atribuída à função de administrador do aprovador de acesso do Customer Lockbox pode aprovar solicitações de Caixa de Bloqueio do Cliente. Os clientes controlam essas atribuições de função em suas organizações.
Como fazer optar pelo Customer Lockbox?
Um administrador global pode habilitar e configurar o Customer Lockbox no Centro de administração do Microsoft 365.
Se eu aprovar uma solicitação do Customer Lockbox, o que o engenheiro pode fazer e como saberei o que o engenheiro da Microsoft fez?
Depois de aprovar uma solicitação do Customer Lockbox, o engenheiro da Microsoft concedeu esses privilégios necessários para acessar o conteúdo do cliente usando cmdlets pré-aprovados. As ações executadas pelos engenheiros da Microsoft em resposta às solicitações do Customer Lockbox são registradas e acessíveis no log de auditoria na Central de Conformidade do & de Segurança.
Como fazer sabe que a Microsoft segue o processo de aprovação?
Você pode fazer referência cruzada às notificações de aprovação de email enviadas a administradores e aprovadores em sua organização com o histórico de solicitações do Customer Lockbox no Centro de administração do Microsoft 365.
O Customer Lockbox está incluído no relatório de auditoria do SOC 1 SSAE 16 mais recente. Para obter mais detalhes, você pode encontrar os relatórios mais recentes no Portal de Confiança do Serviço da Microsoft.
A Microsoft pode modificar a lista de aprovadores para meu locatário? Se não, como é evitado?
Somente um administrador global em sua organização pode especificar quem pode aprovar solicitações de Caixa de Bloqueio do Cliente. Isso significa que apenas os membros do grupo Administrador global em Microsoft Entra ID podem especificar quem pode aprovar a solicitação. A associação do grupo Administrador global em Microsoft Entra ID é gerenciada apenas pela sua organização.
E se eu precisar de mais informações sobre uma solicitação de acesso ao conteúdo para aprová-la?
Cada solicitação de Caixa de Bloqueio do Cliente contém um número de solicitação de serviço do Microsoft 365. Você pode entrar em contato com Suporte da Microsoft e fazer referência a esse número de serviço para obter mais informações sobre a solicitação.
Quando uma solicitação de Caixa de Bloqueio do Cliente é aprovada, quanto tempo as permissões são válidas?
Atualmente, o período máximo para as permissões de acesso concedidas ao engenheiro da Microsoft é de quatro horas. O engenheiro da Microsoft também pode solicitar um período mais curto.
Como posso obter um histórico de todas as solicitações de Caixa de Bloqueio do Cliente?
Todas as solicitações de Caixa de Bloqueio do Cliente são exibidas no Centro de administração do Microsoft 365.
Como fazer correlacionar as solicitações de acesso ao conteúdo com os logs de auditoria relacionados?
O Feed de Atividades do Centro de Conformidade contém atividades de log da Caixa de Bloqueio do Cliente. Os clientes podem fazer referência cruzada às atividades de log do Customer Lockbox no feed de atividades em relação à solicitação de email que recebem.
O que acontece quando um cliente não responde a uma solicitação de Caixa de Bloqueio do Cliente?
As solicitações de Sistema de Proteção de Dados do Cliente têm uma duração padrão de 12 horas. Se você não responder a uma solicitação dentro de 12 horas, a solicitação expirará.
O que a Microsoft faz quando um cliente rejeita uma solicitação de Caixa de Bloqueio do Cliente?
Se um cliente rejeitar uma solicitação de Caixa de Bloqueio do Cliente, não haverá acesso ao conteúdo do cliente. Se um usuário em sua organização continuar enfrentando um problema de serviço que exige que a Microsoft acesse o conteúdo do cliente para resolve o problema, o problema do serviço poderá persistir e a Microsoft informará o usuário sobre isso.
Como fazer configurar alertas sempre que uma solicitação for aprovada?
Não há nenhuma opção interna para alertar os administradores. No entanto, os administradores podem configurar alertas usando Microsoft Defender para Aplicativos de Nuvem.
O Customer Lockbox protege contra solicitações de dados de agências de aplicação da lei ou de outros terceiros?
Não. A Microsoft leva a sério as solicitações de terceiros para dados do cliente. Como provedor de serviços de nuvem, a Microsoft sempre defende a privacidade dos dados do cliente. No caso de obtermos uma intimação, a Microsoft sempre tenta redirecionar o terceiro para o cliente para obter as informações. (Leia o blog de Brad Smith: protegendo dados do cliente contra espionagem governamental). Publicamos periodicamente informações detalhadas sobre as solicitações de aplicação da lei que a Microsoft recebe.
Consulte a seção Centro de Confiança da Microsoft sobre solicitações de dados de terceiros e a seção "Divulgação de Dados do Cliente" nos Termos de Serviços Online para obter mais informações.
Como a Microsoft garante que um membro de sua equipe não tenha acesso permanente ao conteúdo do cliente em aplicativos Office 365?
A Microsoft implementa medidas preventivas extensas por meio de sistemas de controle de acesso e medidas de detetive para identificar e abordar tentativas de burlar esses sistemas de controle de acesso. O Microsoft 365 opera com os princípios de mínimo privilégio e acesso just-in-time. Portanto, nenhum pessoal da Microsoft tem permissão para acessar o conteúdo do cliente continuamente. Se a permissão for concedida, será por uma duração limitada.
O Microsoft 365 usa um sistema de controle de acesso chamado Lockbox para processar solicitações de permissões que concedem a capacidade de executar funções operacionais e administrativas no serviço. Um operador deve solicitar acesso ao conteúdo do cliente usando o Lockbox, o que exige que uma segunda pessoa tome medidas na solicitação (por exemplo, aprove-a) antes que o acesso seja concedido. Essa segunda pessoa não pode ser o solicitante e deve ser designada para aprovar o acesso ao conteúdo do cliente. Somente se a solicitação for aprovada, o operador adquirirá acesso temporário ao conteúdo do cliente. Após a expiração do período de elevação, a Caixa de Bloqueio revoga o acesso.
Consulte os Termos dos Serviços Online para obter mais detalhes sobre as práticas de segurança geral da Microsoft.
Em que circunstâncias os engenheiros da Microsoft precisam de acesso ao meu conteúdo?
O cenário mais comum em que os engenheiros da Microsoft precisam acessar o conteúdo do cliente é quando o cliente faz uma solicitação de suporte que requer acesso para solução de problemas. Um princípio fundamental do Microsoft 365 é que o serviço opera sem acesso da Microsoft ao conteúdo do cliente. Quase todas as operações de serviço executadas pela Microsoft são totalmente automatizadas e o envolvimento humano é altamente controlado e abstraído longe do conteúdo do cliente. A meta do Microsoft 365 é o acesso ao conteúdo do cliente para dar suporte ao serviço até que o cliente aprove uma solicitação específica para acesso à Microsoft.
Eu já achava que meus dados estavam seguros com a nuvem da Microsoft, então por que preciso da caixa de bloqueio do cliente?
O Customer Lockbox fornece uma camada extra de controle oferecendo aos clientes a capacidade de fornecer autorização de acesso explícita para operações de serviço. Ao demonstrar que os procedimentos estão em vigor para autorização explícita de acesso a dados, o Customer Lockbox também ajuda os clientes a cumprir determinadas obrigações de conformidade, como HIPAA e FEDRAMP.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários