Защищенное хранилище Microsoft Purview

  • Статья

В этой статье содержатся рекомендации по развертыванию и настройке для клиентского хранилища. Защищенное хранилище поддерживает запросы на доступ к данным в Exchange Online, SharePoint, OneDrive, Teams, Microsoft Copilot для Microsoft 365 и Windows 365. Чтобы порекомендовать поддержку для других служб, отправьте запрос на портале отзывов.

Чтобы ознакомиться с вариантами лицензирования пользователей, чтобы воспользоваться преимуществами предложений Microsoft Purview, ознакомьтесь с руководством по лицензированию Microsoft 365 по обеспечению безопасности & соответствия требованиям.

Защищенное хранилище гарантирует, что корпорация Майкрософт не сможет получить доступ к вашему содержимому для выполнения служебных операций без вашего явного одобрения. Защищенное хранилище приводит вас к процессу утверждения, который корпорация Майкрософт использует для обеспечения доступа к вашему содержимому только авторизованным запросам. Дополнительные сведения о процессе рабочего процесса Майкрософт см. в статье Управление привилегированным доступом.

Иногда инженеры Майкрософт помогают устранять неполадки, возникающие в службе. Как правило, инженеры устраняют проблемы с помощью обширных средств телеметрии и отладки, которые корпорация Майкрософт использует для своих служб. Однако в некоторых случаях требуется, чтобы инженер Корпорации Майкрософт мог получить доступ к вашему содержимому, чтобы определить первопричину и устранить проблему. Клиентская блокировка требует, чтобы инженер запросит у вас доступ в качестве заключительного шага в рабочем процессе утверждения. Это позволяет утвердить или отклонить запрос для вашей организации, а также обеспечить прямой доступ к содержимому.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Обзор защищенного хранилища клиента

Рабочий процесс для защищенного хранилища

Ниже описан типичный рабочий процесс, когда инженер Майкрософт запускает запрос на блокировку клиента:

  1. Сотрудник организации испытывает проблему с почтовым ящиком Microsoft 365.

  2. Пользователь диагностирует проблему, но не может устранить ее, поэтому отправляет запрос в службу поддержки Майкрософт.

  3. Инженер службы поддержки Майкрософт проверяет запрос на обслуживание и определяет необходимость доступа к клиенту организации для устранения проблемы.

  4. Инженер службы поддержки Майкрософт входит в средство запроса "Защищенное хранилище" и выполняет запрос на доступ к данным, который включает имя клиента организации, номер запроса на обслуживание, ожидаемое время начала доступа (начинается сразу после утверждения, если не указано), предполагаемое время, в течение которых инженеру требуется доступ к данным, и служба, для которую выполняется запрос.

  5. Когда менеджер службы поддержки Майкрософт утвердит запрос, защищенное хранилище по электронной почте отправляет сотруднику организации, ответственному за утверждение, уведомление о запросе доступа от Майкрософт, ожидающем рассмотрения.

    Пример уведомления о почтовом ящике клиента.

    Любой пользователь, которому назначена роль администратора утверждающего доступ к защищенному хранилищу в Центр администрирования Microsoft 365, может утверждать запросы на блокировку клиента.

  6. Утверждающий входит в Центр администрирования Microsoft 365 и утверждает запрос. При этом создается запись аудита, которую можно найти с помощью поиска по журналу аудита. Дополнительные сведения см. в разделе Аудит запросов на блокировку клиентов.

    Если клиент отклоняет запрос или не утверждает запрос в течение 12 часов, срок действия запроса истекает, и инженеру Майкрософт не предоставляется доступ.

    Важно!

    Корпорация Майкрософт не включает ссылки в защищенное хранилище Уведомления по электронной почте требует входа в Office 365.

  7. После утверждения запроса утверждающий из организации инженер Майкрософт получает сообщение об утверждении, входит в клиент и устраняет проблему клиента. Доступ предоставляется инженерам Майкрософт на указанное время, по истечении которого он автоматически аннулируется.

Примечание.

Все действия, выполняемые инженером Майкрософт, регистрируются в журнале аудита. Вы можете найти и просмотреть эти записи аудита.

Включение или отключение запросов на блокировку клиента

Включить элементы управления "Защищенное хранилище" можно в Центре администрирования Microsoft 365. При включении клиентской блокировки корпорация Майкрософт должна получить одобрение вашей организации перед доступом к любому содержимому вашего клиента.

  1. Используя рабочую или учебную учетную запись, у которого назначена роль глобального администратора или утверждающего доступа к защищенному хранилищу, перейдите на страницу https://admin.microsoft.com и выполните вход.

  2. Выберите Параметры>Организации Параметры>Безопасность & Конфиденциальность.

  3. Выберите Безопасность & конфиденциальность, а затем в левом столбце выберите Защищенное хранилище клиента . Установите флажок Требовать утверждения для всех запросов на доступ к данным и сохраните изменения, чтобы включить эту функцию.

    Require approval for Customer Lockbox

Одобрение и отклонение запроса на доступ к защищенному хранилищу

  1. Используя рабочую или учебную учетную запись, у которого назначена роль глобального администратора или утверждающего доступа к защищенному хранилищу, перейдите на страницу https://admin.microsoft.com и выполните вход.

  2. Выберите Запросы на блокировку для клиентов в службе поддержки>.

    Нажмите кнопку Поддержка, а затем — Запросы на блокировку клиента.

    Отобразится список запросов к защищенному хранилищу.

    Список запросов на блокировку клиента.

  3. Выберите запрос на блокировку клиента, а затем выберите Утвердить или Отклонить.

    Утвердить запросы на блокировку клиента.

    Появится сообщение с подтверждением об утверждении запроса на блокировку клиента.

    Запретить запросы на блокировку клиента.

Примечание.

Используйте командлет Set-AccessToCustomerDataRequest для утверждения, отклонения или отмены запросов на блокировку клиентов Microsoft Purview, которые управляют доступом к вашим данным инженерами службы поддержки Майкрософт. Дополнительные сведения см. в разделе Set-AccessToCustomerDataRequest.

Аудит запросов на доступ к защищенному хранилищу

Записи аудита, соответствующие запросам защищенного хранилища клиентов, регистрируются в журнале аудита Microsoft 365. Доступ к этим журналам можно получить с помощью средства поиска по журналам аудита в Портал соответствия требованиям Microsoft Purview. Действия, связанные с принятием или отклонением запроса на блокировку клиента, и действия, выполняемые инженерами Майкрософт (при утверждении запросов на доступ), также регистрируются в журнале аудита. Вы можете найти и просмотреть эти записи аудита.

Прежде чем вы сможете использовать журнал аудита для отслеживания запросов к защищенному хранилищу клиента, необходимо выполнить некоторые действия, чтобы настроить ведение журнала аудита, включая назначение разрешений на поиск в журнале аудита. Дополнительные сведения см. в статье Начало работы с решениями аудита. Завершив настройку, выполните следующие действия, чтобы создать поисковый запрос журнала аудита для возврата записей аудита, связанных с хранилищем клиента:

  1. Перейдите по адресу https://compliance.microsoft.com.

  2. Войдите с помощью учетной записи, которая получила соответствующие разрешения для поиска в журнале аудита.

  3. В левой области Центра соответствия требованиям выберите Аудит.

    Отобразится вкладка Поиск на странице Аудит.

    Страница поиска по журналам аудита.

  4. Настройте указанные ниже условия.

    1. Дата начала и дата окончания. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период.

    2. Действия. Оставьте это поле пустым, чтобы поиск возвращал записи аудита для всех действий. Это необходимо для возврата всех записей аудита, связанных с запросами на блокировку клиента и соответствующими действиями, выполняемыми инженерами Майкрософт.

    3. Пользователи. Оставьте это поле пустым.

    4. Файл, папка или сайт. Оставьте это поле пустым.

  5. Чтобы выполнить поиск по указанным условиям, нажмите кнопку Поиск.

    Результаты поиска отображаются через несколько секунд. Дополнительные результаты поиска будут добавлены на страницу до завершения поиска.

  6. Щелкните заголовок в столбце Действие , чтобы отсортировать результаты в алфавитном порядке по значениям в столбце Действие .

  7. Прокрутите вниз и найдите записи аудита с действием Set-AccessToCustomerDataRequest. Записи с этим действием связаны с утверждением в вашей организации, утверждающим или отклоняющим запрос на блокировку клиента.

  8. Кроме того, щелкните заголовок в столбце Пользователь , чтобы отсортировать результаты в алфавитном порядке, используя значения в столбце Пользователь . Найдите значение Оператора Майкрософт, которое указывает на действия, выполняемые инженером Майкрософт в ответ на утвержденный запрос на блокировку клиента. В столбце Действие отображается действие, выполненное инженером.

    Фильтрация по оператору Майкрософт для отображения записей аудита

  9. В списке результатов щелкните запись аудита, чтобы отобразить ее.

Экспорт результатов поиска в журнале аудита

Вы также можете экспортировать результаты поиска по журналу аудита в CSV-файл, а затем открыть файл в Excel, чтобы использовать возможности фильтрации и сортировки, чтобы упростить поиск и просмотр записей аудита, связанных с запросом на доступ к защищенному хранилищу.

Чтобы экспортировать записи аудита, выполните предыдущие действия для поиска в журнале аудита. После завершения поиска выберите Экспорт > Скачать все результаты в верхней части страницы результатов поиска. После завершения экспорта можно скачать CSV-файл на локальный компьютер. Более подробные инструкции см. в статье Экспорт, настройка и просмотр записей журнала аудита.

Скачав файл, вы можете открыть его в Excel, а затем отфильтровать в столбце Операции записи аудита для действий Set-AccessToCustomerDataRequest . Вы также можете отфильтровать столбец UserIds (используя значение Оператор Майкрософт), чтобы отобразить записи аудита для действий, выполняемых инженерами Майкрософт.

Примечание.

При просмотре записей аудита в CSV-файле дополнительные сведения содержатся в столбце AuditData . Сведения в этом столбце содержатся в объекте JSON, который содержит несколько свойств, настроенных как пары property:value , разделенные запятыми. Функцию преобразования JSON можно использовать в Редактор Power Query в Excel, чтобы разделить каждое свойство объекта JSON в столбце AuditData на несколько столбцов, чтобы каждое свойство было собственным. Это упрощает интерпретацию этой информации. Подробные инструкции см. в разделе Форматирование экспортированного журнала аудита с помощью Редактор Power Query.

Поиск и экспорт записей аудита с помощью PowerShell

Альтернативой использованию средства поиска аудита в Портал соответствия требованиям Microsoft Purview является выполнение командлета Поиск-UnifiedAuditLog в Exchange Online PowerShell. Одним из преимуществ использования PowerShell является то, что вы можете специально искать действия Set-AccessToCustomerDataRequest или действия, выполняемые инженерами Майкрософт, связанные с запросом на блокировку клиента.

После подключения к Exchange Online PowerShell выполните одну из следующих команд. Замените заполнители определенным диапазоном дат.

Поиск для Set-AccessToCustomerDataRequest действий

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest

Поиск для действий, выполняемых инженерами Майкрософт

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"

Дополнительные сведения и примеры см. в статье Использование PowerShell для поиска и экспорта записей журнала аудита.

Мы также предоставили скрипт PowerShell, который можно использовать для поиска в журнале аудита и экспорта результатов в CSV-файл. Дополнительные сведения см. в статье Использование скрипта PowerShell для поиска в журнале аудита.

Запись аудита для запроса на блокировку клиента

Когда сотрудник вашей организации утверждает или отклоняет запрос на блокировку клиента, запись аудита регистрируется в журнале аудита, содержащую следующие сведения.

Свойство записи аудита Описание
Date Дата и время одобрения или отклонения запроса на доступ к защищенному хранилищу.
IP-адрес IP-адрес компьютера, используемого утверждающий для одобрения или отклонения запроса.
Пользователь Учетная запись службы BOXServiceAccount@[customerforest].prod.outlook.com.
Действие Set-AccessToCustomerDataRequest; это действие аудита, которое регистрируется при одобрении или отклонении запроса на доступ к защищенному хранилищу.
Элемент Guid запроса на блокировку клиента

На следующем снимку экрана показан пример записи аудита, которая соответствует утвержденному запросу на блокировку клиента. Если запрос на защищенное хранилище клиента был отклонен, значение параметра будет иметь значение ApprovalDecisionDeny.

Запись аудита для утвержденного запроса на блокировку клиента.

Запись аудита для действия, выполненного инженером Майкрософт

Действия, выполняемые инженером Майкрософт после утверждения запроса на доступ к защищенному хранилищу (что может привести к доступу к содержимому клиента), регистрируются в журнале аудита. Эти записи содержат следующие сведения.

Свойство записи аудита Описание
Date Дата выполнения действия. Время выполнения этого действия будет в течение 4 часов с момента утверждения запроса на блокировку клиента.
IP-адрес IP-адрес компьютера, использованного инженером Майкрософт.
Пользователь Оператор Майкрософт; это значение указывает, что запись связана с запросом на блокировку клиента.
Действие Имя действия, выполненного инженером Майкрософт.
Элемент <Пустой>

Вопросы и ответы

К каким службам Microsoft 365 применяется блокировка клиента?

В настоящее время защищенное хранилище поддерживается в Exchange Online, SharePoint Online, OneDrive для бизнеса, Teams и Windows 365.

Доступно ли клиентское хранилище для всех клиентов?

Защищенное хранилище входит в состав подписок Microsoft 365 или Office 365 E5 и может быть добавлено в другие планы с помощью подписки на Information Protection и соответствие требованиям или надстройку расширенного соответствия требованиям. Дополнительные сведения см. в разделе Планы и цены .

Что такое содержимое клиента?

Содержимое клиента — это данные, созданные пользователями служб и приложений Microsoft 365. Ниже приведены примеры контента клиента.

  • Текст или вложения электронного письма

  • Содержимое сайта SharePoint

  • Сведения в тексте файла SharePoint

  • Skype для бизнеса текст файла презентации

  • Мгновенные сообщения или голосовые беседы

  • Текст, введенный в чатах Teams и каналах Teams, например в чатах 1:1, групповых чатах, общих каналах, частных каналах и чате собраний

  • Другие данные, вставляемые в потоки чата Teams, такие как фрагменты кода, изображения, аудио- и видеосообщения, а также ссылки

  • Данные приложений и ботов в чатах Teams и каналах Teams

  • Веб-канал действий Teams

  • Записи и расшифровки собраний Teams

  • Голосовая почта

  • Файлы, размещенные в чатах и каналах Teams

  • взаимодействие Microsoft Copilot для Microsoft 365

  • Созданные клиентом большие двоичные объекты или структурированные данные хранилищ (например, контейнеры SQL)

  • Принадлежащая клиенту информация для обеспечения безопасности (например, сертификаты, ключи шифрования и пароли)

  • Выводы и все последующие выводы, если содержимое клиента остается

Дополнительные сведения о содержимом клиента в Office 365 см. в центре управления безопасностью Office 365.

Кто получает уведомление о запросе на доступ к моему содержимому?

Глобальные администраторы и все пользователи, которым назначена роль администратора утверждающего доступ к защищенному хранилищу клиента, получают уведомления. Это также те же пользователи, которые могут утверждать запросы на блокировку клиента.

Кто может утвердить или отклонить эти запросы в моей организации?

Глобальные администраторы и любой пользователь, которому назначена роль администратора утверждающего доступ к защищенному хранилищу, могут утверждать запросы на блокировку клиента. Клиенты управляют этими назначениями ролей в своих организациях.

Разделы справки согласиться на доступ к защищенному хранилищу?

Глобальный администратор может включить и настроить защищенное хранилище клиента в Центр администрирования Microsoft 365.

Если я утвержу запрос на блокировку клиента, что может сделать инженер и как узнать, что сделал инженер Майкрософт?

После утверждения запроса на блокировку клиента инженер Майкрософт предоставил эти необходимые привилегии для доступа к содержимому клиента с помощью предварительно утвержденных командлетов. Действия, выполняемые инженерами Майкрософт в ответ на запросы к защищенному хранилищу, регистрируются и доступны в журнале аудита в Центре соответствия требованиям безопасности &.

Разделы справки знаете, что корпорация Майкрософт выполняет процесс утверждения?

Вы можете перекрестно ссылаться на уведомления об утверждении по электронной почте, отправленные администраторам и утверждателям в вашей организации, в журнале запросов к защищенному хранилищу в Центр администрирования Microsoft 365.

Защищенное хранилище клиентов входит в последний отчет об аудите SOC 1 SSAE 16. Дополнительные сведения см. в последних отчетах на портале Microsoft Service Trust Portal.

Может ли корпорация Майкрософт изменить список утверждающих лиц для моего клиента? Если нет, как это предотвратить?

Только глобальный администратор в вашей организации может указать, кто может утверждать запросы на блокировку клиента. Это означает, что только члены группы глобальный администратор в Microsoft Entra ID могут указать, кто может утверждать запрос. Членство в группе глобальный администратор в Microsoft Entra ID управляется только вашей организацией.

Что делать, если мне нужны дополнительные сведения о запросе на доступ к содержимому, чтобы утвердить его?

Каждый запрос на блокировку клиента содержит номер запроса на обслуживание Microsoft 365. Вы можете связаться с служба поддержки Майкрософт и сослаться на этот номер службы, чтобы получить дополнительные сведения о запросе.

Когда запрос на блокировку клиента утверждается, как долго действительны разрешения?

В настоящее время максимальный срок действия разрешений на доступ, предоставляемых инженерам Майкрософт, равен 4 часам. Кроме того, инженер Майкрософт может запросить более короткий период.

Как получить журнал всех запросов на блокировку клиента?

Все запросы на блокировку клиента отображаются в Центр администрирования Microsoft 365.

Разделы справки сопоставлять запросы на доступ к содержимому с соответствующими журналами аудита?

Веб-канал действий Центра соответствия требованиям содержит действия журнала в защищенном хранилище клиента. Клиенты могут перекрестно ссылаться на действия в журнале защищенного хранилища клиентов из веб-канала действий на полученный запрос электронной почты.

Что происходит, если клиент не отвечает на запрос к защищенному хранилищу?

По умолчанию срок действия запросов на доступ к защищенному хранилищу равен 12 часам. Если вы не ответите на запрос в течение 12 часов, срок действия запроса истекает.

Что делает корпорация Майкрософт, когда клиент отклоняет запрос на доступ к защищенному хранилищу?

Если клиент отклоняет запрос на блокировку клиента, доступ к содержимому клиента не происходит. Если у пользователя в вашей организации по-прежнему возникает проблема со службой, требующая от Корпорации Майкрософт доступа к содержимому клиента для решения проблемы, проблема со службой может сохраниться, и корпорация Майкрософт сообщит об этом пользователю.

Разделы справки настроить оповещения при утверждении запроса?

Встроенная возможность оповещения администраторов отсутствует. Однако администраторы могут настраивать оповещения с помощью Microsoft Defender for Cloud Apps.

Защищает ли клиентская блокировка от запросов данных от правоохранительных органов или других третьих лиц?

Нет. Корпорация Майкрософт серьезно относится к сторонним запросам данных клиентов. Как поставщик облачных служб корпорация Майкрософт всегда выступает за конфиденциальность данных клиентов. В случае получения повестки корпорация Майкрософт всегда пытается перенаправить стороннюю сторону клиенту для получения информации. (Читайте блог Брэда Смита: Защита данных клиентов от государственного слежки). Мы периодически публикуем подробные сведения о запросах правоохранительных органов, получаемых корпорацией Майкрософт.

Дополнительные сведения см. в центре управления безопасностью Майкрософт , посвященном запросам данных сторонних разработчиков, и в разделе "Раскрытие данных клиента" в Условиях использования веб-служб .

Как корпорация Майкрософт гарантирует, что сотрудник не имеет постоянного доступа к содержимому клиентов в Office 365 приложениях?

Корпорация Майкрософт реализует обширные профилактические меры с помощью систем контроля доступа и детективных мер для выявления и устранения попыток обойти эти системы управления доступом. Microsoft 365 работает с принципами минимальных привилегий и JIT-доступа. Таким образом, сотрудники Корпорации Майкрософт не имеют разрешения на доступ к содержимому клиентов на постоянной основе. Если разрешение предоставлено, оно предоставляется на ограниченный срок.

Microsoft 365 использует систему управления доступом под названием Lockbox для обработки запросов на разрешения, которые предоставляют возможность выполнения операционных и административных функций в службе. Оператор должен запросить доступ к содержимому клиента с помощью защищенного ящика, который затем требует, чтобы второй пользователь принял меры по запросу (например, утвердить его) перед предоставлением доступа. Этот второй человек не может быть инициатором запроса и должен быть назначен для утверждения доступа к содержимому клиента. Только если запрос утвержден, оператор получает временный доступ к содержимому клиента. По истечении периода повышения прав блокировка отменяет доступ.

Дополнительные сведения об общих методах безопасности Майкрософт см. в условиях использования веб-служб .

При каких обстоятельствах инженерам Майкрософт требуется доступ к моему содержимому?

Наиболее распространенным сценарием, когда инженерам Майкрософт требуется доступ к содержимому клиента, является запрос на поддержку, требующий доступа для устранения неполадок. Основной принцип Microsoft 365 заключается в том, что служба работает без доступа майкрософт к содержимому клиентов. Почти все операции службы, выполняемые корпорацией Майкрософт, полностью автоматизированы, а участие людей строго контролируется и абстрагируется от содержимого клиента. Цель Microsoft 365 — доступ к содержимому клиента для поддержки службы не требуется, пока клиент не утвердит конкретный запрос на доступ Майкрософт.

Я уже думал, что мои данные защищены с помощью microsoft cloud, так зачем мне нужна блокировка клиента?

Защищенное хранилище обеспечивает дополнительный уровень управления, предлагая клиентам возможность явно авторизации доступа для операций службы. Демонстрируя наличие процедур для явной авторизации доступа к данным, заблокировка клиента также помогает клиентам выполнять определенные обязательства по соответствию, такие как HIPAA и FEDRAMP.