Блокировка клиента в Office 365

В этой статье содержится руководство по развертыванию и настройке для клиентского lockbox. Защищенное хранилище поддерживает запросы на доступ к данным в Exchange Online, SharePoint Online и OneDrive для бизнеса. Чтобы рекомендовать поддержку для других служб, отправьте запрос в Office 365 UserVoice.

Чтобы узнать о вариантах лицензирования пользователей, Microsoft 365 предложений по обеспечению соответствия требованиям, см. в Microsoft 365 руководства по & безопасности.

Блокировка клиента гарантирует, что Корпорация Майкрософт не может получить доступ к содержимому для операций по обслуживанию без вашего явного утверждения. Lockbox клиента приводит вас к процессу рабочего процесса утверждения, который Корпорация Майкрософт использует для обеспечения доступа к контенту только авторизованным запросам. Дополнительные информацию о процессе рабочего процесса Корпорации Майкрософт см. в Microsoft 365.

Иногда инженеры Майкрософт помогают устранять неполадки и устранять проблемы, возникающие в службе. Обычно инженеры устраняют проблемы с помощью обширных средств телеметрии и отладки, которые microsoft имеет для своих служб. Однако в некоторых случаях инженеру Корпорации Майкрософт требуется доступ к содержимому для определения первопричины и устранения проблемы. Клиент lockbox требует, чтобы инженер запрашивал у вас доступ в качестве последнего шага в рабочий процесс утверждения. Это дает вам возможность утверждать или отказывать в запросе для организации, а также предоставлять контроль прямого доступа к контенту.

Обзор видео блокировки клиента

Рабочий процесс в защищенном хранилище

В этих действиях описывается типичный рабочий процесс, когда инженер Майкрософт запускает запрос на блокировку клиента:

  1. Сотрудник организации испытывает проблему с почтовым ящиком Microsoft 365.

  2. Пользователь диагностирует проблему, но не может устранить ее, поэтому отправляет запрос в службу поддержки Майкрософт.

  3. Инженер службы поддержки Майкрософт изучает запрос на обслуживание и приходит к выводу, что ему необходим доступ к клиенту организации, чтобы устранить проблему в Exchange Online.

  4. Инженер службы поддержки Майкрософт входит в средство отправки запросов к защищенному хранилищу и отправляет запрос на доступ к данным, в котором указывает название клиента, номер запроса на обслуживание и предполагаемое время, в течение которого инженеру потребуется доступ к данным.

  5. Когда менеджер службы поддержки Майкрософт утвердит запрос, защищенное хранилище по электронной почте отправляет сотруднику организации, ответственному за утверждение, уведомление о запросе доступа от Майкрософт, ожидающем рассмотрения.

    Пример уведомления электронной почты lockbox клиента.

    Любой, кому назначена роль администратора блокировки доступа клиента в Центр администрирования Microsoft 365 может утверждать запросы на блокировку клиента.

  6. Утвердитель впишется в Центр администрирования Microsoft 365 и утвердит запрос. При этом создается запись аудита, которую можно найти с помощью поиска по журналу аудита. Дополнительные сведения см. в сообщении аудита запросов на блокировку клиентского ящика.

    Если клиент отклоняет запрос или не утверждает запрос в течение 12 часов, срок действия запроса истекает, и инженеру Корпорации Майкрософт доступ не предоставляется.

    Важно!

    Корпорация Майкрософт не включает ссылки в уведомления электронной почты lockbox клиента, требующие войти в Office 365.

  7. Когда сотрудник организации, ответственный за утверждение, одобрит запрос, инженер Майкрософт получит сообщение об утверждении, войдет в клиент Exchange Online и устранит проблему пользователя. Доступ предоставляется инженерам Майкрософт на указанное время, по истечении которого он автоматически аннулируется.

Примечание

Все действия, выполняемые инженером Майкрософт, регистрируются в журнале аудита. Вы можете найти и просмотреть эти записи аудита.

Включить или отключить запросы на блокировку клиента

Включить элементы управления "Защищенное хранилище" можно в Центре администрирования Microsoft 365. При включите блокировку клиента, корпорация Майкрософт должна получить одобрение организации перед доступом к любому контенту клиента.

  1. Использование учетной записи для работы или школы, на которую назначена роль глобального администратора или утверждения доступа к клиентской блокировке, перейдите к нему и https://admin.microsoft.com войдите.

  2. Выберите Параметры > орг Параметры безопасности & > конфиденциальности.

  3. Выберите службу & конфиденциальности, а затем выберите блокировку клиента в левом столбце. Проверьте необходимые утверждения для всех запросов доступа к данным и сохраните изменения, чтобы включить функцию.

    Require approval for Customer Lockbox

Одобрение и отклонение запроса на доступ к защищенному хранилищу

  1. Использование учетной записи для работы или школы, на которую назначена роль глобального администратора или утверждения доступа к клиентской блокировке, перейдите к нему и https://admin.microsoft.com войдите.

  2. Выберите службы > клиентский блокировок запросов.

    Нажмите кнопку Поддержка, а затем нажмите запросы на блокировку клиентского ящика.

    Список отображает запросы на блокировку клиентов.

    Список запросов на блокировку клиентов.

  3. Выберите запрос на блокировку клиента, а затем выберите Утверждение или отказ.

    Утверждение запросов на блокировку клиента.

    Сообщение подтверждения об утверждении отображаемого запроса lockbox клиента.

    Запретить запросы на блокировку клиента.

Примечание

Командлет Set-AccessToCustomerDataRequest используется для утверждения, отклонения или отмены запросов на доступ к защищенному хранилищу в Microsoft 365 и предоставления доступа к данным специалистам службы поддержки Майкрософт. Дополнительные сведения см. в дополнительных сведениях в set-AccessToCustomerDataRequest.

Аудит запросов на доступ к защищенному хранилищу

Записи аудита, соответствующие запросам блокировки клиентов, регистрируются в журнале аудита. Доступ к этим журналам можно получить с помощью средства поиска журналов аудита в Центре & соответствия требованиям. Действия, связанные с принятием или отказом в запросе на блокировку клиента и действиями, выполняемыми инженерами Майкрософт (при одобрении запросов на доступ), также регистрируются в журнале аудита. Вы можете найти и просмотреть эти записи аудита.

Чтобы можно было использовать журнал аудита для отслеживания запросов к защищенному хранилищу, необходимо выполнить несколько действий и настроить функцию ведения журнала аудита. Дополнительные сведения см. в журнале аудитаЦентра & безопасности. После завершения настройки используйте эти действия для создания запроса на поиск журнала аудита для возврата записей аудита, связанных с клиентской блокировкой:

  1. Перейдите к & безопасности.

  2. Выполните вход с помощью учетной записи вашей организации или учебного заведения.

  3. В левой области центра & безопасности выберите поиск & журнала > аудита.

    Отображается страница поиска журнала аудита.

    Страница поиска журнала аудита.

  4. Настройте указанные ниже условия.

    1. Действия . Оставьте это поле пустым, чтобы поиск возвращал записи аудита для всех действий. Это необходимо для возврата записей аудита, связанных с запросами на блокировку клиентов и соответствующей деятельностью, выполняемой инженерами Майкрософт.

    2. Дата начала и дата окончания . Выберите дату и диапазон времени для отображения событий, произошедших в течение этого периода.

    3. Пользователи . Оставьте это поле пустым.

    4. Файл, папка или сайт — оставьте это поле пустым.

  5. Чтобы выполнить поиск по указанным условиям, нажмите кнопку Поиск.

    Результаты поиска загружаются, и через несколько минут они отображаются в статье Результаты на странице поиска журнала аудита.

  6. Нажмите кнопку Фильтр результатов на странице результатов поиска и сделайте одно из следующих вещей:

    • Отображение записей аудита, связанных с одобрением в организации, одобряя или отказывая в запросе на блокировку клиента: В поле под столбцом Activity введите Set-AccessToCustomerDataRequest.

    • Отображение записей аудита, связанных с выполнением инженером Майкрософт действий в ответ на утвержденный запрос блокировки клиента: В поле под столбцом Пользователя введите Microsoft Operator. Столбец Activity отображает действия, выполняемые инженером.

      Фильтр на "Microsoft Operator" для отображения записей аудита

  7. В списке результатов нажмите запись аудита, чтобы отобразить ее.

Запись аудита для запроса на доступ к защищенному хранилищу

Когда человек в организации одобряет или отказано в запросе на блокировку клиента, запись аудита регистрируется в журнале аудита. Эта запись содержит следующие сведения.

Свойство записи аудита Описание
Date Дата и время одобрения или отклонения запроса на доступ к защищенному хранилищу.
IP-адрес IP-адрес компьютера, используемого утверждающий для одобрения или отклонения запроса.
Пользователь Учетная запись BOXServiceAccount@ [ customerforest ] .prod.outlook.com.
Действие Set-AccessToCustomerDataRequest; это действие аудита, которое регистрируется при одобрении или отклонении запроса на доступ к защищенному хранилищу.
Item Guid запроса lockbox клиента

На следующем скриншоте показан пример записи журнала аудита, соответствующей утвержденному запросу на блокировку клиента. Если запрос на блокировку клиента был отклонен, значение параметра ApprovalDecision будет отказано.

Запись аудита для утвержденного запроса на блокировку клиента.

Совет

Чтобы отобразить более подробные сведения в записи аудита, щелкните Дополнительные сведения.

Запись аудита для действия, выполненного инженером Майкрософт

Действия, выполняемые инженером Майкрософт после утверждения запроса на доступ к защищенному хранилищу (что может привести к доступу к содержимому клиента), регистрируются в журнале аудита. Эти записи содержат следующие сведения.

Свойство записи аудита Описание
Date Время даты выполнения действия. Обратите внимание, что это действие было выполнено в течение 4 часов после одобрения запроса на доступ к защищенному хранилищу.
IP-адрес IP-адрес компьютера, использованного инженером Майкрософт.
Пользователь Оператор Майкрософт; это значение указывает, что эта запись связана с запросом на доступ к защищенному хранилищу.
Действие Имя действия, выполненного инженером Майкрософт.
Элемент <empty>

Вопросы и ответы

Какие Microsoft 365 службы применяются к lockbox клиента?

Lockbox клиента в настоящее время поддерживается в Exchange Online, SharePoint Online и OneDrive для бизнеса.

Доступен ли lockbox клиента для всех клиентов?

Блокировка клиента включается в Microsoft 365 или Office 365 E5 и может быть добавлена в другие планы с помощью подписки на защиту информации и соответствие требованиям или надстройку Advanced Compliance. Дополнительные сведения см. в "Планы и цены".

Что такое контент клиента?

Содержимое клиента — это данные, созданные пользователями Microsoft 365 и приложений. Ниже приведены примеры контента клиента.

  • Текст или вложения электронного письма

  • Содержимое сайта SharePoint

  • Сведения в тексте файла SharePoint

  • Skype для бизнеса файл презентации

  • Мгновенные сообщения или голосовые беседы

  • Созданные клиентом большие двоичные объекты или структурированные данные хранилищ (например, контейнеры SQL)

  • Принадлежащая клиенту информация для обеспечения безопасности (например, сертификаты, ключи шифрования и пароли)

  • Выводы и все последующие выводы, если содержимое клиента остается

Дополнительные сведения о контенте клиентов в Office 365 см. в Office 365 Центре доверия.

Кто уведомления о запросе на доступ к содержимому?

Глобальные администраторы и все, кому назначена роль администратора администратора для утверждения доступа к клиентской блокировке, уведомлены. Это также те же пользователи, которые могут утверждать запросы на блокировку клиентов.

Кто можете утвердить или отклонить эти запросы в моей организации?

Глобальные администраторы и все, кому назначена роль администратора утверждения доступа к клиентской блокировке, могут утверждать запросы на блокировку клиентов. Клиенты контролируют эти назначения ролей в своих организациях.

Как выбрать блокировку клиента?

Глобальный администратор может включить и настроить блокировку клиента в Microsoft 365 или Центр администрирования Microsoft 365.

Если я одобряю запрос на блокировку клиентов, что может сделать инженер и как узнать, что сделал инженер Майкрософт?

После утверждения запроса на блокировку клиентов инженер Корпорации Майкрософт предоставил эти необходимые привилегии для доступа к содержимому клиента с помощью предварительно утвержденных cmdlets. Действия, предпринятые инженерами Майкрософт в ответ на запросы клиентских lockbox, регистрируются и доступны в журнале аудита в Центре & соответствия требованиям.

Как узнать, что Корпорация Майкрософт следует процедуре утверждения?

Вы можете перекрестно ссылаться на уведомления об утверждении электронной почты, отправленные администраторам и администраторам в вашей организации, с историей запросов на блокировку клиентов в Центр администрирования Microsoft 365.

Lockbox клиента включен в последний отчет аудита SOC 1 SSAE 16. Дополнительные сведения можно найти на портале доверия службы Майкрософт.

Может ли Корпорация Майкрософт изменить список одобрений для моего клиента? Если нет, то как это предотвратить?

Только глобальный администратор в вашей организации может указать, кто может утверждать запросы на блокировку клиентов. Это означает, что только члены группы глобального администратора в Azure Active Directory могут указать, кто может одобрить запрос. Членство в группе глобального администратора в Azure Active Directory управляется только вашей организацией.

Что делать, если мне потребуется больше сведений о запросе на доступ к контенту для его утверждения?

Каждый запрос блокировки клиента содержит номер Microsoft 365 службы. Чтобы получить дополнительные сведения о запросе, можно связаться с службой поддержки Майкрософт и со ссылкой на этот номер службы.

Когда запрос lockbox клиента утвержден, как долго допустимы разрешения?

В настоящее время максимальный срок действия разрешений на доступ, предоставляемых инженерам Майкрософт, равен 4 часам. Кроме того, инженер Майкрософт может запросить более короткий период.

Как получить историю всех запросов на блокировку клиентов?

Все запросы lockbox клиента рассматриваются в Центр администрирования Microsoft 365.

Лента действий Центра соответствия требованиям содержит действия журнала lockbox клиента. Клиенты могут перекрестно ссылаться на действия журнала lockbox клиента из ленты действий по запросу электронной почты, который они получают.

Что происходит, если клиент не отвечает на запрос lockbox клиента?

По умолчанию срок действия запросов на доступ к защищенному хранилищу равен 12 часам. Если вы не отвечаете на запрос в течение 12 часов, срок действия запроса истекает.

Что делает Корпорация Майкрософт, если клиент отклоняет запрос на блокировку клиента?

Если клиент отклоняет запрос lockbox клиента, доступ к содержимому клиента не возникает. Если у пользователя в организации по-прежнему сохраняется проблема службы, требующая от Корпорации Майкрософт доступа к содержимому клиента для устранения проблемы, проблема службы может сохраняться, и корпорация Майкрософт сообщит об этом пользователю.

Как настроить оповещения при одобрении запроса?

Нет встроенного варианта оповещения администраторов. Однако администраторы могут настроить оповещения с помощью безопасности облачных приложений Майкрософт.

Защищает ли блокировка клиента от запросов данных от правоохранительных органов или других третьих лиц?

Нет. Корпорация Майкрософт серьезно относится к сторонним запросам на данные клиентов. Корпорация Майкрософт, как поставщик облачных служб, всегда выступает за конфиденциальность данных клиентов. В случае, если мы получаем повестку, Корпорация Майкрософт всегда пытается перенаправить сторонную сторону клиенту для получения информации. (Читайте блог Брэда Смита: Защита данных клиентов от правительственных snooping). Мы периодически публикуем подробные сведения о запросах правоохранительных органов, которые получает Корпорация Майкрософт.

Дополнительные сведения см. в разделе Microsoft Trust Center по запросам сторонних данных и разделу "Раскрытие данных клиентов".

Как корпорация Майкрософт гарантирует, что сотрудник не имеет постоянного доступа к содержимому клиентов в Office 365 приложениях?

Корпорация Майкрософт реализует обширные профилактические меры с помощью систем управления доступом, а также детективные меры по выявлению и устранению попыток обойти эти системы управления доступом. Microsoft 365 работает с принципами наименьших привилегий и простого доступа. Поэтому никакие сотрудники Корпорации Майкрософт не имеют разрешения на доступ к контенту клиента на постоянной основе. Если разрешение выдано, оно будет ограничено.

Microsoft 365 системы управления доступом под названием Lockbox для обработки запросов на разрешения, дающее возможность выполнять операционные и административные функции в службе. Оператор должен запросить доступ к контенту клиента с помощью Lockbox, который затем требует от второго лица принять меры по запросу (например, утвердить его) перед предоставлением доступа. Этот второй человек не может быть запрашивателем и должен быть назначен для утверждения доступа к содержимому клиента. Только в случае утверждения запроса оператор получает временный доступ к контенту клиента. По истечении периода высоты Lockbox отменяет доступ.

Дополнительные сведения об общих практиках безопасности Майкрософт можно найти в термине Online Services Terms.

При каких обстоятельствах инженерам Корпорации Майкрософт необходим доступ к моему содержимому?

Наиболее распространенный сценарий, при котором инженерам Майкрософт требуется доступ к содержимому клиента, — это когда клиент делает запрос на поддержку, требующий доступа для устранения неполадок. Принцип Microsoft 365 заключается в том, что служба работает без доступа Майкрософт к контенту клиента. Почти все операции службы, выполняемые Корпорацией Майкрософт, полностью автоматизированы, а участие людей в них полностью контролируется и абстрагизируется от контента клиента. Целью этого Microsoft 365 является доступ к содержимому клиента для поддержки службы, пока клиент не утвердит конкретный запрос на доступ к Microsoft.

Я уже думал, что мои данные защищены в облаке Майкрософт, поэтому зачем мне нужен клиент lockbox?

Lockbox клиента предоставляет дополнительный уровень управления, предлагая клиентам возможность предоставления явной авторизации доступа для операций службы. Демонстрируя, что для явной авторизации доступа к данным имеются процедуры, клиент lockbox также помогает клиентам выполнять определенные обязательства по соблюдению, такие как HIPAA и FEDRAMP.