Customer Lockbox i Office 365
Den här artikeln innehåller distributions- och konfigurationsvägledning för Customer Lockbox. Customer Lockbox har stöd för förfrågningar om åtkomst till data Exchange Online, SharePoint Online och OneDrive för företag. Om du vill rekommendera support för andra tjänster skickar du en begäran Office 365 UserVoice.
Om du vill se vilka alternativ som finns för att licensiera dina användare så att de kan dra nytta Microsoft 365 av efterlevnadserbjudanden, se vägledningen för Microsoft 365 för & efterlevnad.
Customer Lockbox säkerställer att Microsoft inte kan komma åt ditt innehåll för att kunna göra tjänståtgärder utan ditt uttryckliga godkännande. Med Customer Lockbox kan du gå in i den arbetsflödesprocess för godkännande som Microsoft använder för att säkerställa att endast behöriga förfrågningar tillåter åtkomst till ditt innehåll. Mer information om Microsofts arbetsflödesprocess finns i Hantering av privilegierad åtkomst i Microsoft 365.
Ibland kan Microsoft-tekniker hjälpa till med felsökning och åtgärda problem som uppstår med tjänsten. Normalt åtgärdar tekniker problem med omfattande telemetri- och felsökningsverktyg som Microsoft har på plats för sina tjänster. I vissa fall krävs dock en Microsoft-tekniker för att få åtkomst till innehållet för att fastställa orsaken och åtgärda problemet. Customer Lockbox kräver att teknikern begär åtkomst från dig som ett sista steg i arbetsflödet för godkännande. Det ger dig möjlighet att godkänna eller neka begäran om din organisation och ge direkt åtkomstkontroll till innehållet.
Video med översikt över Customer Lockbox
Customer Lockbox-arbetsflöde
De här stegen beskriver det vanliga arbetsflödet när en Microsoft-tekniker startar en Customer Lockbox-begäran:
Någon på en organisation får problem med sin egen Microsoft 365 postlåda.
När användaren har felsökt problemet, men inte kan åtgärda det, öppnar de en supportbegäran med Microsoft Support.
En Microsoft-supporttekniker granskar tjänstbegäran och fastställer ett behov av åtkomst till organisationens klientorganisation för att reparera problemet i Exchange Online.
Microsofts supporttekniker loggar in i verktyget för Customer Lockbox-begäran och gör en dataåtkomstbegäran som innehåller organisationens klientnamn, serviceförfrågans nummer och den beräknade tid teknikern behöver åtkomst till data.
När en Microsoft Support Manager godkänt begäran skickar Customer Lockbox ett e-postmeddelande till den utsedda godkännaren till organisationen om den väntande åtkomstbegäran från Microsoft.
Alla som har tilldelats rollen Godkännare av Customer Lockbox-åtkomst i Administrationscenter för Microsoft 365 kan godkänna Customer Lockbox-begäranden.
Godkännaren loggar in på Administrationscenter för Microsoft 365 och godkänner begäran. Det här steget utlöser skapandet av en granskningspost som är tillgänglig genom att söka i granskningsloggen. Mer information finns i Auditing Customer Lockbox-begäranden.
Om kunden avvisar begäran eller inte godkänner den inom 12 timmar upphör den att gälla och ingen åtkomst ges till Microsoft-teknikern.
Viktigt
Microsoft har inga länkar i Customer Lockbox-e-postaviseringar som kräver att du loggar in på Office 365.
När godkännaren från organisationen godkänt begäran får Microsoft-teknikern meddelandet om godkännande, loggar in i klientorganisationen i Exchange Online och åtgärdar kundens problem. Microsoft-tekniker har den begärda varaktigheten för att åtgärda problemet efter vilket åtkomsten automatiskt återkallas.
Anteckning
Alla åtgärder som utförs av en Microsoft-tekniker loggas i granskningsloggen. Du kan söka efter och granska dessa granskningsposter.
Aktivera eller inaktivera Customer Lockbox-begäranden
Du kan aktivera Customer Lockbox-kontroller i Administrationscenter för Microsoft 365. När du aktiverar Customer Lockbox måste Microsoft godkännas av din organisation innan du kan komma åt innehållet i din klientorganisation.
Använd ett arbets- eller skolkonto som har tilldelats rollen som global administratör eller Customer Lockbox-godkännare för åtkomst, gå till https://admin.microsoft.com och logga in.
Välj Inställningar > Organisationssäkerhet Inställningar sekretess & > Sekretess.
Välj Redigera Customer Lockbox > och flytta sedan växlingsknappen till På eller Av för att aktivera eller inaktivera funktionen.
Godkänna eller neka en Customer Lockbox-begäran
Använd ett arbets- eller skolkonto som har tilldelats rollen som global administratör eller Customer Lockbox-godkännare för åtkomst, gå till https://admin.microsoft.com och logga in.
Välj Support > Customer Lockbox-begäranden.
En lista med Customer Lockbox-begäranden visas.
Välj en Customer Lockbox-begäran och välj sedan Godkänn eller Neka.
Ett bekräftelsemeddelande om att Customer Lockbox-begäran har godkänts visas.
Anteckning
Använd Set-AccessToCustomerDataRequest-cmdleten för att godkänna, neka eller avbryta Microsoft 365 Customer Lockbox-begäranden som Microsofts supporttekniker kan ge åtkomst till dina data. Mer information finns i Set-AccessToCustomerDataRequest.
Granska Customer Lockbox-begäranden
Granskningsposter som motsvarar Customer Lockbox-begäranden loggas i granskningsloggen. Du kan komma åt dessa loggar med hjälp av verktyget för granskningsloggsökning i Säkerhets- & Efterlevnadscenter. Åtgärder som är relaterade till att acceptera eller neka en Customer Lockbox-begäran och åtgärder som utförs av Microsoft-tekniker (när åtkomstbegäranden godkänns) loggas också i granskningsloggen. Du kan söka efter och granska dessa granskningsposter.
Söka i granskningsloggen efter aktivitet relaterad till Customer Lockbox-begäranden
Innan du kan använda granskningsloggen för att spåra förfrågningar för Customer Lockbox finns det några åtgärder du måste vidta för att konfigurera granskningsloggning. Mer information finns i Söka i granskningsloggen i Säkerhets- & Kompatibilitetscenter. När du har slutfört konfigurationen kan du använda de här stegen för att skapa en granskningsloggsökningsfråga för att returnera granskningsposter som är relaterade till Customer Lockbox:
Gå till Säkerhet & efterlevnad.
Logga in med ditt arbets- eller skolkonto.
I den vänstra rutan i säkerhets- & säkerhets- och efterlevnadscenter väljer du Sökning & > granskningsloggsökning.
Sidan Granskningsloggsökning visas.
Konfigurera följande sökvillkor:
Aktiviteter – Lämna det här fältet tomt så att sökningen returnerar granskningsposter för alla aktiviteter. Detta är nödvändigt för att returnera alla granskningsposter som är relaterade till Customer Lockbox-begäranden och motsvarande aktivitet som utförts av Microsoft-tekniker.
Startdatum och Slutdatum – Välj ett datum- och tidsintervall för att visa händelser som inträffat inom den perioden.
Användare – Lämna fältet tomt.
Fil, mapp eller webbplats – Lämna fältet tomt.
Klicka på Sök för att köra sökningen med dina sökvillkor.
Sökresultaten läses in och efter en liten stund visas de under Resultat på sidan Granskningsloggsökning.
Klicka på Filtrera resultat på sidan med sökresultat och gör något av följande:
Om du vill visa granskningsposter som är relaterade till en godkännare i organisationen som godkänner eller nekar en Customer Lockbox-begäran: Skriv Set-AccessToCustomerDataRequest i rutan under kolumnen Aktivitet.
Om du vill visa granskningsposter som är relaterade till en Microsoft-tekniker som utför åtgärder som svar på en godkänd Customer Lockbox-begäran: I rutan under användarkolumnen skriver du Microsoft-operator. I kolumnen Aktivitet visas åtgärden som utförts av teknikern.
Klicka på en granskningspost i resultatlistan för att visa den.
Granskningspost för en Customer Lockbox-åtkomstbegäran
När en person i organisationen godkänner eller nekar en Customer Lockbox-begäran loggas en granskningspost i granskningsloggen. Den här posten innehåller följande information.
| Egenskapen Granskningspost | Beskrivning |
|---|---|
| Datum | Datum och tid då Customer Lockbox-begäran godkänts eller nekats. |
| IP-adress | IP-adressen för den dator som godkännaren använde för att godkänna eller neka en begäran. |
| Användare | Tjänstkontot utgör BOXServiceAccount@ [ ] .prod.outlook.com. |
| Aktivitet | Set-AccessToCustomerDataRequest; detta är granskningsaktiviteten som loggas när du godkänner eller nekar en Customer Lockbox-begäran. |
| Objekt | Guid för Customer Lockbox-begäran |
Följande skärmbild visar ett exempel på en granskningsloggpost som motsvarar en godkänd Customer Lockbox-begäran. Om en Customer Lockbox-begäran nekades är värdet för parametern ApprovalDecision Neka.
Tips
Om du vill visa mer detaljerad information i en granskningspost klickar du på Mer information.
Granskningspost för en åtgärd som utförs av en Microsoft-tekniker
De åtgärder som utförs av en Microsoft-tekniker efter att en Customer Lockbox-begäran har godkänts (och som kan resultera i åtkomst till kundinnehåll) loggas i granskningsloggen. Dessa poster innehåller följande information.
| Egenskapen Granskningspost | Beskrivning |
|---|---|
| Datum | Datum när åtgärden utfördes. Observera att tiden som åtgärden utfördes kommer att ske inom 4 timmar från det att Customer Lockbox-begäran godkänts. |
| IP-adress | IP-adressen för den Microsoft-tekniker som används. |
| Användare | Microsoft-operator; det här värdet anger att den här posten är relaterad till en Customer Lockbox-begäran. |
| Aktivitet | Namn på aktiviteten som utförts av Microsoft-teknikern. |
| Objekt | <empty> |
Vanliga frågor och svar
Vilka Microsoft 365 tjänster gäller Customer Lockbox för?
Customer Lockbox stöds för närvarande i Exchange Online, SharePoint Online och OneDrive för företag.
Är Customer Lockbox tillgängligt för alla kunder?
Customer Lockbox ingår i Microsoft 365- eller Office 365 E5-prenumerationer och kan läggas till i andra abonnemang med en prenumeration på informationsskydd och efterlevnad eller en tilläggsprenumeration på Avancerad efterlevnad. Mer information finns i Abonnemang och priser.
Vad är kundinnehåll?
Kundinnehåll är data som skapas av användare Microsoft 365 tjänster och program. Exempel på kundinnehåll är:
E-post, brödtext och e-postbilagor
SharePoint webbplatsinnehåll
Information i brödtexten i en SharePoint fil
Skype för företag brödtext i presentationsfilen
Snabbmeddelanden och röstkonversationer
Kundgenererade blob-data eller strukturerade lagringsdata (till exempel SQL behållare)
Kundägd säkerhetsinformation (till exempel certifikat, krypteringsnycklar och lösenord)
Slutledningar och alla efterföljande slutledningar, om kundinnehållet finns kvar
Mer information om kundinnehåll i Office 365 finns i Office 365 Säkerhetscenter.
Vem meddelas när det finns en begäran om åtkomst till mitt innehåll?
Globala administratörer och alla som har tilldelats rollen godkännare för Customer Lockbox-åtkomst meddelas. Det här är också samma användare som kan godkänna Customer Lockbox-begäranden.
Vem kan godkänna eller avvisa dessa förfrågningar i min organisation?
Globala administratörer och alla som har tilldelats rollen godkännare av Customer Lockbox-åtkomst kan godkänna Customer Lockbox-begäranden. Kunder styr de här rolltilldelningarna i sina organisationer.
Hur anmäler jag mig till Customer Lockbox?
En global administratör kan aktivera och konfigurera Customer Lockbox i Microsoft 365 eller Administrationscenter för Microsoft 365.
Vad kan teknikern göra och hur vet jag vad Microsoft-teknikern gjorde om jag godkänner en Customer Lockbox-begäran?
När du godkänt en Customer Lockbox-begäran gav Microsoft-teknikern dessa behörigheter för att få åtkomst till kundinnehåll genom att använda förgodkända cmdlets. Åtgärder som vidtas av Microsoft-tekniker som svar på Customer Lockbox-begäranden loggas och är tillgängliga i granskningsloggen i säkerhets- & efterlevnadscenter.
Hur vet jag att Microsoft följer godkännandeprocessen?
Du kan korsreferenser till meddelanden om e-postgodkännande som skickas till administratörer och godkännare i din organisation med historiken för Customer Lockbox-begäran i Administrationscenter för Microsoft 365.
Customer Lockbox ingår i den senaste granskningsrapporten för SOC 1 SSAE 16. Du hittar mer information i de senaste rapporterna på Microsoft Service Trust Portal.
Kan Microsoft ändra listan över godkännare för min klientorganisation? Om inte, hur förhindras det?
Endast en global administratör i organisationen kan ange vem som kan godkänna Customer Lockbox-begäranden. Det innebär att endast medlemmar i gruppen Global administratör i gruppen Azure Active Directory ange vem som kan godkänna begäran. Medlemskap i gruppen Global administratör i Azure Active Directory hanteras endast av organisationen.
Vad händer om jag behöver mer information om en begäran om innehållsåtkomst för att godkänna den?
Varje Customer Lockbox-begäran innehåller Microsoft 365 för din servicebegäran. Du kan kontakta Microsoft Support och hänvisa till det här servicenumret för att få mer information om begäran.
När en Customer Lockbox-begäran godkänns, hur länge är behörigheterna giltiga?
För närvarande är den maximala perioden för åtkomstbehörigheter som beviljats Microsoft-teknikern 4 timmar. Microsoft-teknikern kan också begära en kortare tidsperiod.
Hur får jag en historik över alla Customer Lockbox-begäranden?
Alla Customer Lockbox-begäranden visas i Administrationscenter för Microsoft 365.
Hur korrelerar jag begäranden om innehållsåtkomst till relaterade granskningsloggar?
Aktivitetsfeeden för efterlevnadscenter innehåller loggaktiviteter i Customer Lockbox. Kunder kan korsreferenser för Customer Lockbox-loggaktiviteterna från aktivitetsflödet mot den e-postförfrågan de får.
Vad händer när en kund inte svarar på en Customer Lockbox-begäran?
Customer Lockbox-begäranden varar som standard 12 timmar. Om du inte svarar på en begäran inom 12 timmar förfaller begäran.
Vad gör Microsoft när en kund avvisar en Customer Lockbox-begäran?
Om en kund avvisar en Customer Lockbox-begäran görs ingen åtkomst till kundinnehållet. Om en användare i organisationen fortsätter att ha problem med tjänsten som kräver att Microsoft får åtkomst till kundinnehåll för att lösa problemet kan tjänstproblemet kvarstå och Microsoft informerar användaren om problemet.
Skyddar Customer Lockbox mot dataförfrågningar från myndigheter eller andra tredje parter?
Nej. Microsoft ser allvarligt på förfrågningar från tredje part om kunddata. Microsoft är alltid en molntjänstleverantör för att se till att kunddata är privata. Om vi får en undergrupp försöker Microsoft alltid dirigera om tredje part till kunden för att få informationen. (Läs Brad Smiths blogg: Skydda kunddata från myndigheters snooping). Vi publicerar regelbundet detaljerad information om de förfrågningar om verkställande av lag som Microsoft får.
Mer information finns i Microsoft Trust Center gällande dataförfrågningar från tredje part och avsnittet "Avslöjande av kunddata" i villkoren för onlinetjänster.
Hur ser Microsoft till att en anställd inte har stående åtkomst till kundinnehåll i Office 365 program?
Microsoft implementerar omfattande förebyggande åtgärder genom åtkomstkontrollsystem och åtgärder för att identifiera och åtgärda försök att kringgå dessa åtkomstkontrollsystem. Microsoft 365 med principerna för minsta behörighet och direktåtkomst. Därför har ingen Microsoft-personal kontinuerlig åtkomst till kundinnehåll. Om behörighet beviljas, gäller den under en begränsad tid.
Microsoft 365 använder ett åtkomstkontrollsystem som kallas Lockbox för att bearbeta förfrågningar om behörigheter som ger möjlighet att utföra drift- och administrativa funktioner i tjänsten. En operatör måste begära åtkomst till kundinnehåll med hjälp av Lockbox, vilket innebär att en andra person måste vidta åtgärder för begäran (t.ex. godkänna den) innan åtkomst beviljas. Den andra personen kan inte vara beställare och måste godkänna åtkomst till kundinnehåll. Endast om begäran godkänns får operatören tillfällig åtkomst till kundinnehållet. Efter att ökningsperioden gått ut återkallar Lockbox åtkomsten.
Mer information om Microsofts allmänna säkerhetsmetoder finns i villkoren för onlinetjänster.
Under vilka omständigheter behöver Microsoft-tekniker åtkomst till mitt innehåll?
Det vanligaste scenariot där Microsoft-tekniker behöver åtkomst till kundinnehåll är när kunden gör en supportbegäran som kräver åtkomst för felsökning. En grundprincip i Microsoft 365 är att tjänsten fungerar utan Microsofts åtkomst till kundinnehåll. Nästan alla tjänsteåtgärder som utförs av Microsoft är helt automatiska och den mänskliga engagemanget styrs i mycket hög grad av kundinnehållet. Målet för Microsoft 365 är åtkomst till kundinnehåll för att stödja tjänsten inte behövs förrän kunden godkänt en särskild begäran om Microsoft-åtkomst.
Jag trodde redan att mina data var säkra med Microsoft-molnet, så varför behöver jag Customer Lockbox?
Customer Lockbox ger en extra kontrollnivå genom att ge kunderna möjlighet att ge explicit åtkomstauktorisering för tjänståtgärder. Genom att visa att det finns procedurer för uttrycklig autentisering av dataåtkomst hjälper Customer Lockbox även kunderna att uppfylla vissa efterlevnadsskyldigheter, till exempel HIPAA och FEDRAMP.