Sistema de Proteção de Dados do Cliente do Microsoft Purview

Este artigo fornece diretrizes de implantação e configuração para o Sistema de Proteção de Dados do Cliente. O Sistema de Proteção de Dados do Cliente dá suporte a solicitações para acessar dados Exchange Online, SharePoint Online, OneDrive for Business e Teams. Para recomendar suporte para outros serviços, envie uma solicitação no Portal de Comentários.

Para ver as opções de licenciamento de seus usuários para se beneficiar das ofertas do Microsoft Purview, consulte as diretrizes de licenciamento do Microsoft 365 para conformidade & segurança.

O Sistema de Proteção de Dados do Cliente garante que a Microsoft não possa acessar seu conteúdo para realizar operações de serviço sem sua aprovação explícita. O Sistema de Proteção de Dados do Cliente coloca você no processo de fluxo de trabalho de aprovação que a Microsoft usa para garantir que somente solicitações autorizadas permitam o acesso ao seu conteúdo. Para saber mais sobre o processo de fluxo de trabalho da Microsoft, consulte Gerenciamento de acesso privilegiado.

Ocasionalmente, os engenheiros da Microsoft ajudam a solucionar e corrigir problemas que surgem com o serviço. Normalmente, os engenheiros corrigem problemas usando amplas ferramentas de telemetria e depuração que a Microsoft tem em vigor para seus serviços. No entanto, alguns casos exigem que um engenheiro da Microsoft acesse seu conteúdo para determinar a causa raiz e corrigir o problema. O Sistema de Proteção de Dados do Cliente exige que o engenheiro solicite acesso a você como uma etapa final no fluxo de trabalho de aprovação. Isso oferece a opção de aprovar ou negar a solicitação para sua organização e fornecer controle de acesso direto ao seu conteúdo.

Vídeo de visão geral do Sistema de Proteção de Dados do Cliente

Fluxo de trabalho do Sistema de Proteção de Dados do Cliente

Estas etapas descrevem o fluxo de trabalho típico quando um engenheiro da Microsoft inicia uma solicitação do Sistema de Proteção de Dados do Cliente:

  1. Uma pessoa de uma organização tem um problema com a caixa de correio do Microsoft 365.

  2. Depois de tentar solucionar o problema, mas não conseguir, será aberta uma solicitação de suporte junto à Microsoft.

  3. Um engenheiro de suporte da Microsoft revisa a solicitação de serviço e determina a necessidade de acessar o locatário da organização para reparar o problema.

  4. O engenheiro de Suporte da Microsoft entra na ferramenta de solicitação do Sistema de Proteção de Dados do Cliente e faz uma solicitação de acesso aos dados que inclui o nome do locatário da organização, o número da solicitação de serviço e o tempo estimado que o engenheiro precisará para acessar os dados.

  5. Depois que um gerente de Suporte da Microsoft aprovar a solicitação, o Sistema de Proteção de Dados do Cliente enviará ao aprovador designado na organização uma notificação por email sobre a solicitação de acesso pendente da Microsoft.

    Exemplo de uma notificação por email do Sistema de Proteção de Dados do Cliente.

    Qualquer pessoa que tenha a função de administrador de acesso do Sistema de Proteção de Dados do Cliente no Centro de administração do Microsoft 365 pode aprovar solicitações do Sistema de Proteção de Dados do Cliente.

  6. O aprovador entra no Centro de administração do Microsoft 365 e aprova a solicitação. Esta etapa aciona a criação de um registro de auditoria disponível pesquisando o log de auditoria. Para obter mais informações, consulte Auditoria de solicitações do Sistema de Proteção de Dados do Cliente.

    Se o cliente rejeitar a solicitação ou não aprovar a solicitação dentro de 12 horas, a solicitação expirará e nenhum acesso será concedido ao engenheiro da Microsoft.

    Importante

    A Microsoft não inclui links nas notificações por email do Sistema de Proteção de Dados do Cliente que exigem que você entre no Office 365.

  7. Depois que o aprovador da organização aprovar a solicitação, o engenheiro da Microsoft receberá a mensagem de aprovação, entrará no locatário e corrigirá o problema do cliente. Os engenheiros da Microsoft têm o tempo solicitado para corrigir o problema, após o qual o acesso será revogado automaticamente.

Observação

Todas as ações realizadas por um engenheiro da Microsoft são registradas no log de auditoria. Você pode pesquisar e analisar esses registros de auditoria.

Ativar ou desativar solicitações do Sistema de Proteção de Dados do Cliente

Você pode ativar os controles do Sistema de Proteção de Dados do Cliente no Centro de administração do Microsoft 365. Quando você ativa o Sistema de Proteção de Dados do Cliente, a Microsoft deve obter a aprovação da sua organização antes de acessar qualquer conteúdo do seu locatário.

  1. Usando uma conta corporativa ou de estudante que tenha a função de aprovador de acesso do Sistema de Proteção de Dados do Cliente ou administrador global atribuída, https://admin.microsoft.com acesse e entre.

  2. Escolha Configurações de > Segurança da Organização > & Privacidade.

  3. Selecione Segurança & Privacidade e, em seguida, selecione Sistema de Proteção de Dados do Cliente na coluna à esquerda. Marque a caixa de seleção Exigir aprovação para todas as solicitações de acesso a dados e salve as alterações para ativar o recurso.

    Require approval for Customer Lockbox

Aprovar ou negar uma solicitação de Proteção de Dados do Cliente

  1. Usando uma conta corporativa ou de estudante que tenha a função de aprovador de acesso do Sistema de Proteção de Dados do Cliente ou administrador global atribuída, https://admin.microsoft.com acesse e entre.

  2. Escolha Suporte para > do Sistema de Proteção de Dados do Cliente.

    Clique em Suporte e clique em Solicitações do Sistema de Proteção de Dados do Cliente.

    Uma lista de solicitações do Sistema de Proteção de Dados do Cliente é exibida.

    Lista de solicitações do Sistema de Proteção de Dados do Cliente.

  3. Selecione uma solicitação do Sistema de Proteção de Dados do Cliente e escolha Aprovar ou Negar.

    Aprovar solicitações do Sistema de Proteção de Dados do Cliente.

    Uma mensagem de confirmação sobre a aprovação da solicitação do Sistema de Proteção de Dados do Cliente é exibida.

    Negar solicitações do Sistema de Proteção de Dados do Cliente.

Observação

Use o cmdlet Set-AccessToCustomerDataRequest para aprovar, negar ou cancelar solicitações do Sistema de Proteção de Dados do Cliente do Microsoft Purview que controlam o acesso aos seus dados pelos engenheiros de suporte da Microsoft. Para obter mais informações, consulte Set-AccessToCustomerDataRequest.

Auditoria de solicitações de Proteção de Dados do Cliente

Os registros de auditoria que correspondem às solicitações do Sistema de Proteção de Dados do Cliente são registrados no log de auditoria do Microsoft 365. Você pode acessar esses logs usando a ferramenta de pesquisa de log de auditoria no portal de conformidade do Microsoft Purview. Ações relacionadas a aceitar ou negar uma solicitação do Sistema de Proteção de Dados do Cliente e ações executadas por engenheiros da Microsoft (quando as solicitações de acesso são aprovadas) também são registradas no log de auditoria. Você pode pesquisar e analisar esses registros de auditoria.

Antes de usar o log de auditoria para rastrear solicitações para o Sistema de Proteção de Dados do Cliente, há algumas etapas que você precisa executar para configurar o log de auditoria, incluindo a atribuição de permissões para pesquisar o log de auditoria. Para obter mais informações, consulte Configurar Auditoria do Microsoft Purview (Standard). Depois de concluir a configuração, use estas etapas para criar uma consulta de pesquisa de log de auditoria para retornar registros de auditoria relacionados ao Sistema de Proteção de Dados do Cliente:

  1. Saiba mais em https://compliance.microsoft.com.

  2. Entre usando uma conta que tenha sido atribuída às permissões apropriadas para pesquisar o log de auditoria.

  3. No painel esquerdo do centro de conformidade, escolha Auditoria.

    A guia Pesquisar na página Auditoria é exibida.

    Página de pesquisa de log de auditoria.

  4. Configure os seguintes critérios de pesquisa:

    1. Data de início e data de término. Selecione um intervalo de datas e horas para exibir os eventos ocorridos durante esse período.

    2. Atividades, atividades. Deixe esse campo em branco para que a pesquisa retorne registros de auditoria para todas as atividades. Isso é necessário para retornar todos os registros de auditoria relacionados às solicitações do Sistema de Proteção de Dados do Cliente e à atividade correspondente executada pelos engenheiros da Microsoft.

    3. Usuários. Deixe este campo em branco.

    4. Arquivo, pasta ou site. Deixe este campo em branco.

  5. Clique em Pesquisar para executar a pesquisa usando seus critérios de pesquisa.

    Os resultados da pesquisa são exibidos após alguns instantes. Mais resultados da pesquisa serão adicionados à página até que a pesquisa seja concluída.

  6. Clique no cabeçalho na coluna Atividade para classificar os resultados em ordem alfabética com base nos valores na coluna Atividade.

  7. Role para baixo e procure registros de auditoria com uma atividade de Set-AccessToCustomerDataRequest. Os registros com essa atividade estão relacionados a um aprovador em sua organização aprovando ou negando uma solicitação do Sistema de Proteção de Dados do Cliente.

  8. Como alternativa, clique no cabeçalho na coluna Usuário para classificar os resultados em ordem alfabética usando os valores na coluna Usuário. Procure o valor do Operador da Microsoft, que indica as atividades executadas por um engenheiro da Microsoft em resposta a uma solicitação do Sistema de Proteção de Dados do Cliente aprovada. A coluna Atividade exibe a ação executada pelo engenheiro.

    Filtrar em "Operador da Microsoft" para exibir registros de auditoria

  9. Na lista de resultados, clique em um registro de auditoria para exibi-lo.

Exportar os resultados da pesquisa de log de auditoria

Você também pode exportar os resultados da pesquisa de log de auditoria para um arquivo CSV e, em seguida, abrir o arquivo no Excel para usar os recursos de filtragem e classificação para facilitar a localização e exibição de registros de auditoria relacionados a uma solicitação de acesso do Sistema de Proteção de Dados do Cliente.

Para exportar registros de auditoria, use as etapas anteriores para pesquisar o log de auditoria. Quando a pesquisa for concluída, selecione Exportar > Baixar todos os resultados na parte superior da página de resultados da pesquisa. Quando o processo de exportação for concluído, você poderá baixar o arquivo CSV no computador local. Para obter instruções mais detalhadas, consulte Exportar, configurar e exibir registros de log de auditoria.

Depois de baixar o arquivo, você pode abri-lo no Excel e filtrar na coluna Operações para exibir registros de auditoria para atividades Set-AccessToCustomerDataRequest. Você também pode filtrar na coluna UserIds (usando o valor Operador da Microsoft) para exibir registros de auditoria para atividades executadas por engenheiros da Microsoft.

Observação

Ao exibir registros de auditoria no arquivo CSV, informações adicionais estão contidas na coluna AuditData . As informações nesta coluna estão contidas em um objeto JSON, que contém várias propriedades configuradas como pares property:value separados por vírgulas. Você pode usar o recurso de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade no objeto JSON na coluna AuditData em várias colunas para que cada propriedade tenha sua própria coluna. Isso facilita a interpretação dessa informação. Para obter instruções detalhadas, consulte Formatar o log de auditoria exportado usando o Editor do Power Query.

Usar o PowerShell para pesquisar e exportar registros de auditoria

Uma alternativa ao uso da ferramenta de pesquisa de auditoria no portal de conformidade do Microsoft Purview é executar o cmdlet Search-UnifiedAuditLog no Exchange Online PowerShell. Uma vantagem de usar o PowerShell é que você pode pesquisar especificamente atividades ou atividades set-AccessToCustomerDataRequest executadas por engenheiros da Microsoft relacionados a uma solicitação do Sistema de Proteção de Dados do Cliente.

Depois de se conectar ao Exchange Online PowerShell, execute um dos comandos a seguir. Substitua os espaços reservados por um intervalo de datas específico.

Pesquisar atividades Set-AccessToCustomerDataRequest

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest

Pesquisar atividades executadas por engenheiros da Microsoft

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"

Para obter mais informações e exemplos, consulte Usar o PowerShell para pesquisar e exportar registros de log de auditoria.

Também fornecemos um script do PowerShell que você pode usar para pesquisar o log de auditoria e exportar os resultados para um arquivo CSV. Para obter mais informações, consulte Usar um script do PowerShell para pesquisar o log de auditoria.

Registro de auditoria para uma solicitação do Sistema de Proteção de Dados do Cliente

Quando uma pessoa em sua organização aprova ou nega uma solicitação do Sistema de Proteção de Dados do Cliente, o registro de auditoria é registrado no log de auditoria e contém as informações a seguir.

Propriedade de registro de auditoria Descrição
Date A data e a hora em que a solicitação de Proteção de Dados do Cliente foi aprovada ou negada.
Endereço IP O endereço IP do computador usado pelo aprovador para aprovar ou recusar uma solicitação.
Usuário A conta de serviço BOXServiceAccount@[customerforest.prod.outlook.com].
Atividade Set-AccessToCustomerDataRequest: esta é a atividade de auditoria registrada quando você aprova ou nega uma solicitação de Proteção de Dados do Cliente.
Item O GUID da solicitação do Sistema de Proteção de Dados do Cliente

A captura de tela a seguir mostra um exemplo de um registro de auditoria que corresponde a uma solicitação do Sistema de Proteção de Dados do Cliente aprovada. Se uma solicitação do Sistema de Proteção de Dados do Cliente tiver sido negada, o valor do ApprovalDecision parâmetro será Deny.

Registro de auditoria para uma solicitação do Sistema de Proteção de Dados do Cliente aprovada.

Registro de auditoria para uma ação executada por um engenheiro da Microsoft

As ações executadas por um engenheiro da Microsoft após uma solicitação de Proteção de Dados do Cliente ser aprovada (e que podem resultar em acessar o conteúdo do cliente) são registradas no log de auditoria. Esses registros contêm as seguintes informações.

Propriedade de registro de auditoria Descrição
Date Data e hora em que a ação foi executada. A hora em que essa ação foi executada será dentro de 4 horas após a aprovação da solicitação do Sistema de Proteção de Dados do Cliente.
Endereço IP O Endereço IP da máquina da Microsoft usada pelo engenheiro.
Usuário Operador da Microsoft; esse valor indica que o registro está relacionado a uma solicitação do Sistema de Proteção de Dados do Cliente.
Atividade Nome da atividade realizada pelo engenheiro da Microsoft.
Item <empty>

Perguntas frequentes

A quais serviços do Microsoft 365 o Sistema de Proteção de Dados do Cliente se aplica?

Atualmente, há suporte para o Sistema de Proteção de Dados Exchange Online, SharePoint Online, OneDrive for Business e Teams.

O Sistema de Proteção de Dados do Cliente está disponível para todos os clientes?

O Sistema de Proteção de Dados do Cliente está incluído nas assinaturas do Microsoft 365 ou Office 365 E5 e pode ser adicionado a outros planos com um Proteção de Informações e Conformidade ou uma assinatura de complemento de Conformidade Avançada. Consulte Planos e preços para obter mais informações.

O que é conteúdo do cliente?

O conteúdo do cliente são os dados criados pelos usuários dos serviços e aplicativos do Microsoft 365. Exemplos de conteúdo do cliente incluem:

  • Corpo do e-mail ou anexos de e-mail

  • Conteúdo do site do Microsoft Office SharePoint Online

  • Informações no corpo de um arquivo do Microsoft Office SharePoint Online

  • Skype for Business do arquivo de apresentação

  • Mensagens instantâneas (IM) ou conversas de voz

  • Texto inserido em chats do Teams e canais do Teams, por exemplo, chats 1:1, chats em grupo, canais compartilhados, canais privados e chat de reunião

  • Outros dados colados em threads de chat do Teams, como snippets de código, imagens, mensagens de áudio e vídeo e links

  • Dados de aplicativo e bot em chats do Teams e canais do Teams

  • Feed de atividades do Teams

  • Gravações e transcrições de reuniões do Teams

  • Caixa postal

  • Arquivos postados em chats do Teams e canais do Teams

  • Dados de blob gerados pelo cliente ou armazenamento estruturado (por exemplo, Contêiners SQL)

  • Informações de segurança de propriedade do cliente (por exemplo, certificados, chaves de criptografia e senhas)

  • Inferências e todas as inferências subsequentes, se o conteúdo do cliente permanecer

Para obter mais informações sobre o conteúdo do cliente Office 365, consulte a Office 365 Trust Center.

Quem é notificado quando há uma solicitação para acessar meu conteúdo?

Administradores globais e qualquer pessoa atribuída à função de administrador do aprovador de acesso do Sistema de Proteção de Dados do Cliente são notificados. Esses também são os mesmos usuários que podem aprovar as solicitações do Sistema de Proteção de Dados do Cliente.

Quem pode aprovar ou rejeitar essas solicitações em minha organização?

Administradores globais e qualquer pessoa atribuída à função de administrador do aprovador de acesso do Sistema de Proteção de Dados do Cliente pode aprovar solicitações do Sistema de Proteção de Dados do Cliente. Os clientes controlam essas atribuições de função em suas organizações.

Como fazer aceitar o Sistema de Proteção de Dados do Cliente?

Um administrador global pode habilitar e configurar o Sistema de Proteção de Dados do Cliente no Centro de administração do Microsoft 365.

Se eu aprovar uma solicitação do Sistema de Proteção de Dados do Cliente, o que o engenheiro poderá fazer e como saberei o que o engenheiro da Microsoft fez?

Depois de aprovar uma solicitação do Sistema de Proteção de Dados do Cliente, o engenheiro da Microsoft concedeu esses privilégios necessários para acessar o conteúdo do cliente usando cmdlets pré-aprovados. As ações executadas pelos engenheiros da Microsoft em resposta às solicitações do Sistema de Proteção de Dados do Cliente são registradas e acessíveis no log de auditoria no Centro de Conformidade & Segurança.

Como fazer sabe que a Microsoft segue o processo de aprovação?

Você pode fazer referência cruzada às notificações de aprovação de email enviadas aos administradores e aprovadores em sua organização com o histórico de solicitações do Sistema de Proteção de Dados do Cliente no Centro de administração do Microsoft 365.

O Sistema de Proteção de Dados do Cliente está incluído no relatório de auditoria mais recente do SOC 1 SSAE 16. Para obter mais detalhes, você pode encontrar os relatórios mais recentes no Portal de Confiança do Serviço da Microsoft.

A Microsoft pode modificar a lista de aprovadores para meu locatário? Caso contrário, como ela é impedida?

Somente um administrador global em sua organização pode especificar quem pode aprovar solicitações do Sistema de Proteção de Dados do Cliente. Isso significa que somente os membros do grupo Administrador global no Azure Active Directory podem especificar quem pode aprovar a solicitação. A associação do Administrador global no Azure Active Directory é gerenciada apenas pela sua organização.

E se eu precisar de mais informações sobre uma solicitação de acesso de conteúdo para aprová-la?

Cada solicitação do Sistema de Proteção de Dados do Cliente contém um número de solicitação de serviço do Microsoft 365. Você pode entrar em Suporte da Microsoft e fazer referência a esse número de serviço para obter mais informações sobre a solicitação.

Quando uma solicitação do Sistema de Proteção de Dados do Cliente é aprovada, por quanto tempo as permissões são válidas?

Atualmente, o período máximo para as permissões de acesso concedidas ao engenheiro da Microsoft é de 4 horas. O engenheiro da Microsoft também pode solicitar um período mais curto.

Como obter um histórico de todas as solicitações do Sistema de Proteção de Dados do Cliente?

Todas as solicitações do Sistema de Proteção de Dados do Cliente são exibidas no Centro de administração do Microsoft 365.

O Feed de Atividades do Centro de Conformidade contém atividades de log do Sistema de Proteção de Dados do Cliente. Os clientes podem fazer referência cruzada às atividades de log do Sistema de Proteção de Dados do Cliente do feed de atividades em relação à solicitação de email recebida.

O que acontece quando um cliente não responde a uma solicitação do Sistema de Proteção de Dados do Cliente?

As solicitações de Sistema de Proteção de Dados do Cliente têm uma duração padrão de 12 horas. Se você não responder a uma solicitação dentro de 12 horas, a solicitação expirará.

O que a Microsoft faz quando um cliente rejeita uma solicitação do Sistema de Proteção de Dados do Cliente?

Se um cliente rejeitar uma solicitação do Sistema de Proteção de Dados do Cliente, nenhum acesso ao conteúdo do cliente ocorrerá. Se um usuário em sua organização continuar a experimentar um problema de serviço que exige que a Microsoft acesse o conteúdo do cliente para resolver o problema, o problema de serviço poderá persistir e a Microsoft informará o usuário sobre isso.

Como fazer configurar alertas sempre que uma solicitação tiver sido aprovada?

Não há nenhuma opção interna para alertar os administradores. No entanto, os administradores podem configurar alertas usando Microsoft Defender para Aplicativos de Nuvem.

O Sistema de Proteção de Dados do Cliente protege contra solicitações de dados de agências de aplicação da lei ou de terceiros?

Não. A Microsoft leva a sério as solicitações de terceiros para dados do cliente. Como provedor de serviços de nuvem, a Microsoft sempre defende a privacidade dos dados do cliente. Caso recebamos uma intimação, a Microsoft sempre tenta redirecionar o terceiro para o cliente para obter as informações. (Leia o blog de Brad Smith: Protegendo os dados do cliente contra espionagem do governo). Publicamos periodicamente informações detalhadas sobre as solicitações de aplicação da lei que a Microsoft recebe.

Consulte a Central de Confiabilidade da Microsoft sobre solicitações de dados de terceiros e a seção "Divulgação de dados do cliente" nos Termos dos Serviços Online para obter mais informações.

Como a Microsoft garante que um membro de sua equipe não tenha acesso permanente ao conteúdo do cliente em Office 365 aplicativos?

A Microsoft implementa medidas preventivas extensivas por meio de sistemas de controle de acesso e medidas de detecção para identificar e resolver tentativas de burlar esses sistemas de controle de acesso. O Microsoft 365 opera com os princípios de privilégios mínimos e acesso just-in-time. Portanto, nenhuma equipe da Microsoft tem permissão para acessar o conteúdo do cliente continuamente. Se a permissão for concedida, ela será por uma duração limitada.

O Microsoft 365 usa um sistema de controle de acesso chamado Lockbox para processar solicitações de permissões que concedem a capacidade de executar funções operacionais e administrativas dentro do serviço. Um operador deve solicitar acesso ao conteúdo do cliente usando o Lockbox, o que exige que uma segunda pessoa execute uma ação na solicitação (por exemplo, aprová-la) antes que o acesso seja concedido. Essa segunda pessoa não pode ser o solicitante e deve ser designada para aprovar o acesso ao conteúdo do cliente. Somente se a solicitação for aprovada, o operador adquirirá acesso temporário ao conteúdo do cliente. Depois que o período de elevação expirar, o Lockbox revoga o acesso.

Consulte os Termos dos Serviços Online para obter mais detalhes sobre as práticas gerais de segurança da Microsoft.

Em quais circunstâncias os engenheiros da Microsoft precisam de acesso ao meu conteúdo?

O cenário mais comum em que os engenheiros da Microsoft precisam acessar o conteúdo do cliente é quando o cliente faz uma solicitação de suporte que requer acesso para solução de problemas. Um princípio fundamental do Microsoft 365 é que o serviço opera sem acesso da Microsoft ao conteúdo do cliente. Quase todas as operações de serviço executadas pela Microsoft são totalmente automatizadas e o envolvimento humano é altamente controlado e abstraído do conteúdo do cliente. A meta do Microsoft 365 é o acesso ao conteúdo do cliente para dar suporte ao serviço não é necessário até que o cliente aprove uma solicitação específica de acesso da Microsoft.

Já pensei que meus dados estavam seguros com a nuvem da Microsoft, então por que preciso do Sistema de Proteção de Dados do Cliente?

O Sistema de Proteção de Dados do Cliente fornece uma camada extra de controle, oferecendo aos clientes a capacidade de fornecer autorização explícita de acesso para operações de serviço. Ao demonstrar que os procedimentos estão em vigor para autorização explícita de acesso a dados, o Sistema de Proteção de Dados do Cliente também ajuda os clientes a cumprir determinadas obrigações de conformidade, como HIPAA e FEDRAMP.