Accesați în siguranță datele clienților folosind Customer Lockbox în Power Platform și Dynamics 365

  • Articol

Cele mai multe operațiuni, asistență și depanare efectuate de personalul Microsoft (inclusiv subprocesori) nu necesită acces la datele clienților. Cu Customer Lockbox în Power Platform, oferim o interfață în care clienții pot revizui și aproba (sau respinge) solicitările de acces la date în rarele ocazii când este necesar accesul la date la datele clienților. Este utilizat în cazurile în care un inginer Microsoft trebuie să acceseze datele clienților, fie ca răspuns la un tichet de asistență inițiat de client sau la o problemă identificată de Microsoft.

Acest articol arată cum să activați Customer Lockbox și cum sunt inițiate, urmărite și stocate cererile de lockbox pentru revizuiri și auditări ulterioare.

Notă

Customer Lockbox este disponibil în cloud-urile publice și în regiunile US Government Community Cloud (GCC), GCC High și Departamentul de Apărare (DoD).

Rezumat

Puteți activa Customer Lockbox pentru sursele dvs. de date din cadrul entității dvs. găzduite. Activarea Customer Lockbox va aplica politica numai pentru mediile care sunt activate pentru Mediile gestionate. Administratorii globali și administratorii Power Platform pot activa politica lockbox.

Pentru mai multe informații, accesați Activați politica lockbox.

În rarele ocazii când Microsoft încearcă să acceseze datele clienților care sunt stocate în Power Platform (de exemplu, Dataverse), o solicitare lockbox este trimisă administratorilor globali și administratorilor Power Platform pentru aprobare. Pentru mai multe informații, accesați Examinați o solicitare lockbox.

Toate actualizările unei cereri de lockbox sunt înregistrate și puse la dispoziție organizației dvs. sub formă de jurnale de audit. Pentru mai multe informații, accesați Solicitările de audit pentru lockbox.

Power Platform iar aplicațiile și serviciile Dynamics 365 stochează datele clienților în mai multe tehnologii de stocare Azure. Când activați Customer Lockbox pentru un mediu, datele clienților asociate cu mediul respectiv sunt protejate de politica lockbox, indiferent de tipul de stocare.

Notă

  • În prezent, aplicațiile și serviciile în care politica de blocare va fi aplicată odată activată sunt Power Apps (cu excepția cardurilor pentru Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (cu excepția funcțiilor GPT AI), Dataverse, Customer Insights, serviciu pentru relații cu clienții, Comunități, Ghiduri, Spații conectate, Finanțe (cu excepția Ciclului de viață Servicii), Operațiuni de proiect (cu excepția serviciilor ciclului de viață), Managementul lanțului de aprovizionare (cu excepția serviciilor ciclului de viață) și zona de funcții de marketing în timp real a aplicației de marketing.
  • Funcțiile oferite de Azure OpenAI Service sunt excluse din aplicarea politicii Lockbox, cu excepția cazului în care documentația produsului pentru o anumită caracteristică precizează că se aplică Lockbox.
  • Nuance Conversational IVR este exclus din aplicarea politicii Lockbox, cu excepția cazului în care documentația produsului pentru o anumită caracteristică precizează că Lockbox se aplică.
  • Conținutul de bun venit Maker este exclus din aplicarea politicii Lockbox.
  • Trebuie să dezactivați căutarea Lucene.NET de pe site-ul dvs. și să treceți la Dataverse Căutare pentru a putea folosi Caseta de blocare a clienților. Mai multe informații: Căutarea în portaluri folosind căutarea Lucene.NET este învechită.

Workflow

  1. Organizația dvs. are o problemă cu Microsoft Power Platform și deschide o solicitare de asistență către Microsoft Support. Sau Microsoft identifică în mod proactiv o problemă (de exemplu, este declanșată o notificare proactivă) și este deschis un eveniment inițiat de Microsoft pentru a investiga și a atenua sau remedia cauza principală.

  2. Un operator Microsoft examinează solicitarea/evenimentul de asistență și încearcă să depaneze problema folosind instrumente standard și telemetrie. Dacă este necesar accesul la datele clienților pentru depanare ulterioară, un inginer Microsoft declanșează un proces intern de aprobare pentru accesul la datele clienților, indiferent dacă politica lockbox este activată sau nu.

  3. În plus, este generată o solicitare de lockbox dacă respectivul depozit de date este asociat cu un mediu protejat conform politicii de activare a lockboxului. O notificare prin e-mail este trimisă aprobatorilor desemnați (administratori globali și administratori Power Platform) despre solicitarea de acces la date în așteptare de la Microsoft.

    Important

    Inginerul Microsoft nu va putea continua cu investigația până când solicitarea de blocare nu este aprobată de client. Acest lucru ar putea cauza întârzieri în abordarea tichetului de asistență sau întreruperi prelungite. Asigurați-vă că monitorizați notificările prin e-mail și/sau solicitările de blocare în centrul de administrare Power Platform și răspundeți în timp util pentru a evita întreruperile serviciului.

    Un exemplu de solicitare de cutie de blocare.

  4. Aprobatorul se conectează la centrul de administrare Power Platform și aprobă solicitarea. Dacă cererea este respinsă sau nu este aprobată în termen de patru zile, aceasta expiră și nu i se acordă acces inginerului Microsoft.

  5. După ce aprobatorul din organizația dvs. aprobă solicitarea, inginerul Microsoft obține permisiunile ridicate care au fost solicitate inițial și vă remediază problema. Inginerii Microsoft au o anumită perioadă de timp - 8 ore - pentru a remedia problema, după care accesul este revocat automat.

Activați politica lockbox

Administratorii globali sau administratorii Power Platform pot crea sau actualiza politica lockbox în centrul de administrare Power Platform. Activarea politicii la nivel de chiriaș se va aplica numai mediilor care sunt activate pentru Medii gestionate. Poate dura până la 24 de ore pentru ca toate sursele de date și toate mediile să fie implementate cu Customer Lockbox.

  1. Conectați-vă la Centrul de administrare Power Platform.

  2. Utilizați pagina Setări entitate găzduită pentru a revizui și gestiona setările la nivel de entitate găzduită. Pentru a vedea setările la nivel de chiriaș, selectați pictograma roată (Pictograma roată dințată.) din colțul din dreapta sus al Microsoft Power Platform site-ului și selectați Power Platform setări>Setări>Setări chiriași în panoul de navigare din stânga.

  3. Setați Cutie de blocare pentru client la Activați.

    Activați politica de blocare.

Examinați o solicitare lockbox

  1. Conectați-vă la Centrul de administrare Power Platform.

  2. Selectați Politici>Customer Lockbox.

  3. Examinați detaliile solicitării.

    Câmp Descriere
    ID solicitare de asistență ID-ul tichetului de asistență asociat cu cererea lockbox. Dacă solicitarea este rezultatul unei alerte interne inițiate de Microsoft, valoarea va fi „inițiată de Microsoft”.
    Mediu Numele afișat al mediului în care este solicitat accesul la date.
    Status Starea solicitării lockbox.
    • Acțiune necesară: în așteptarea aprobării din partea clientului
    • Expirat: nu a primit nicio aprobare de la client
    • Aprobat: Aprobat de client
    • Refuzat: refuzat de client
    Solicitat Momentul la care inginerul Microsoft a solicitat acces la datele clienților din mediul clientului.
    Expirare solicitare Ora până la care clientul trebuie să aprobe cererea de lockbox. Starea solicitării se va schimba în Expirată dacă nu se acordă aprobare până la această oră.
    Perioadă de acces Perioada de timp în care solicitantul dorește să acceseze datele clienților. Această valoare este implicit de 8 ore și nu poate fi modificată.
    Expirare acces Dacă accesul este acordat, aceasta este ora până la care inginerul Microsoft are acces la datele clienților.

  4. Selectați o solicitare lockbox, apoi selectați Aprobați sau Refuzați.

    Aprobați sau respingeți cererile de blocare

    Notă

    Solicitările din caseta lockbox care au apărut în ultimele 28 de zile sunt afișate în tabelul Recente.

    După ce o solicitare este aprobată, ea nu poate fi revocată pe întreaga durată a perioadei de acces, de 8 ore.

Solicitări de audit lockbox

Acțiunile legate de acceptarea, respingerea sau expirarea unei cereri de lockbox sunt înregistrate automat în Microsoft 365 Defender.

Microsoft 365 Pagina de apărător.

Trasajele de audit includ aceste câmpuri și altele, pentru fiecare solicitare de lockbox:

  • Identificator unic pentru solicitare
  • Ora creării solicitării
  • ID organizație
  • ID utilizator (identificator unic pentru operatorul Microsoft care efectuează solicitarea)
  • Stare solicitare
  • ID-ul tichetului de asistență asociat
  • Ora de expirare a solicitării
  • Ora de expirare a accesului la date
  • ID mediu
  • Justificarea solicitării

Fila Microsoft 365 Audit permite administratorilor să caute evenimente asociate cu sesiunile lockbox. Vizualizați categoria Power Platform Lockbox pentru evenimente Power Platform legate de lockbox.

Selectați categoria Power Platform cutie de blocare.

Administratorii pot exporta direct setul de rezultate pe baza criteriilor de filtrare.

Rezultatele căutării auditului Lockbox.

Customer Lockbox produce două tipuri de jurnale de audit:

  1. Jurnalele care sunt inițiate de Microsoft și corespund cererii de blocare care sunt create, au expirat sau când sesiunile de acces se termină. Acest set de jurnale de audit nu corespunde unui ID de utilizator specific, deoarece acțiunile sunt inițiate de Microsoft.
  2. Jurnalele care sunt inițiate de acțiuni ale utilizatorului final, cum ar fi atunci când un utilizator aprobă sau respinge o solicitare de blocare. Dacă utilizatorul care efectuează aceste operațiuni nu are o licență E5 atribuită, jurnalele sunt filtrate și nu vor apărea în jurnalele de audit.

În mod implicit, jurnalele de audit sunt păstrate pe o durată de un an. Aveți nevoie de o licență suplimentară de 10 ani pentru păstrarea jurnalului de audit pentru a păstra înregistrările de audit timp de 10 ani. Consultați Audit (Premium) pentru mai multe detalii despre păstrarea jurnalelor de audit.

Cerințe de licențiere pentru Customer Lockbox

Politica Customer Lockbox va fi aplicată numai pe mediile care sunt activate pentru mediile gestionate. Mediile gestionate este inclusă ca drept în licențele autonome Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages și Dynamics 365 care oferă drepturi de utilizare premium. Pentru a afla mai multe despre licențele pentru Mediu gestionat, consultați Licențiere și Prezentare generală privind licențele pentru Microsoft Power Platform.

În plus, accesul la Customer Lockbox pentru Microsoft Power Platform și Dynamics 365 necesită ca utilizatorii din mediile în care este aplicată politica Lockbox să aibă oricare dintre aceste abonamente:

  • Microsoft 365 sau Office 365 A5/E5/G5
  • Microsoft 365 Conformitate A5/E5/F5/G5
  • Microsoft 365 F5 Securitate & Conformitate
  • Microsoft 365 A5/E5/F5/G5 Managementul riscurilor din interior
  • Microsoft 365 A5/E5/F5/G5 Protecția și guvernarea informațiilor Aflați mai multe despre licențele aplicabile.

Excluderi

  • Solicitările lockbox nu sunt declanșate în următoarele scenarii de asistență tehnică:

    • Scenarii de urgență care nu se încadrează în procedurile standard de operare, cum ar fi o întrerupere majoră a serviciului care necesită o atenție imediată pentru recuperarea sau restabilirea serviciilor în cazuri neașteptate sau imprevizibile. Aceste evenimente „de urgență” sunt rare și, în majoritatea cazurilor, nu necesită acces la datele clienților pentru a fi rezolvate.

    • Un inginer Microsoft accesează platforma de bază ca parte a depanării și este expus din neatenție la datele clienților. Este rar ca astfel de scenarii să ducă la accesarea unor cantități semnificative de date despre clienți.

  • De asemenea, solicitările Customer Lockbox ale clienților nu sunt declanșate de solicitări legale externe pentru date. Pentru detalii, consultați discuția despre solicitările guvernamentale de date din Microsoft Trust Center.

  • Customer Lockbox nu se va aplica accesului și revizuirii manuale a datelor clienților partajate pentru funcțiile Copilot AI. Caseta de blocare a clienților va rămâne activată pentru toate datele din domeniu.

Probleme cunoscute

  • Migrarea de la o entitate găzduită la alta nu este acceptată atunci când este activat Customer Lockbox. Trebuie să dezactivați Customer Lockbox pentru a muta un mediu în altă entitate găzduită. Puteți reactiva Customer Lockbox odată ce migrarea este finalizată.