Microsoft Purview 客戶加密箱

注意

Microsoft 365合規性現在稱為 Microsoft Purview,且合規性區域內的解決方案已重新命名。 如需 Microsoft Purview 的詳細資訊,請參閱 部落格公告

本文提供客戶加密箱的部署和設定指引。 客戶加密箱支援存取 Exchange Online、SharePoint Online、商務用 OneDrive 和 Teams 中資料的要求。 若要建議支援其他服務, 請在意見反應入口網站提交要求。

若要查看授權使用者從 Microsoft Purview 供應專案獲益的選項,請參閱安全性&合規性的Microsoft 365授權指導方針

客戶加密箱可確保 Microsoft 在未經明確核准的情況下,無法存取您的內容來執行服務作業。 客戶加密箱會將您帶入 Microsoft 用來確保只有授權要求允許存取您內容的核准工作流程程式。 若要深入瞭解 Microsoft 的工作流程程式,請參閱 特殊許可權存取管理

有時候,Microsoft 工程師會協助針對服務所發生的問題進行疑難排解和修正。 工程師通常會使用 Microsoft 為其服務備妥的大量遙測和偵錯工具來修正問題。 不過,在某些情況下,需要 Microsoft 工程師存取您的內容,以判斷根本原因並修正問題。 客戶加密箱會要求工程師向您要求存取權,作為核准工作流程的最後一個步驟。 這可讓您選擇核准或拒絕貴組織的要求,並提供內容的直接存取控制。

客戶加密箱概觀影片

客戶加密箱工作流程

這些步驟概述 Microsoft 工程師啟動客戶加密箱要求時的一般工作流程:

  1. 組織人員在使用 Microsoft 365 信箱遇到問題。

  2. 使用者進行一些疑難排解之後,無法修正問題,並在 Microsoft 支援服務開啟支援要求。

  3. Microsoft 支援工程師會檢閱服務要求,並判斷需要存取組織的租使用者來修復問題。

  4. Microsoft 支援工程師會登入客戶加密箱要求工具,提出資料存取要求,其中包含組織的租用戶名稱、服務要求編號,以及工程師需要存取資料的預估時間。

  5. 在 Microsoft 支援服務經理核准要求之後,客戶加密箱會傳送有關 Microsoft 待處理存取要求的電子郵件給組織指定的核准者。

    客戶加密箱電子郵件通知的範例。

    在 Microsoft 365 系統管理中心 中獲指派客戶加密箱存取核准者系統管理員角色的任何人都可以核准客戶加密箱要求。

  6. 核准者登入Microsoft 365 系統管理中心並核准要求。 此步驟會搜尋稽核記錄,以觸發建立可用的稽核記錄。 如需詳細資訊,請 參閱稽核客戶加密箱要求

    如果客戶拒絕要求,或未在 12 小時內核准要求,則要求會過期,且不會授與 Microsoft 工程師存取權。

    重要

    Microsoft 不會在客戶加密箱電子郵件通知中包含任何連結,要求您登入Office 365。

  7. 在組織的核准者核准要求之後,Microsoft 工程師會收到核准訊息、登入租使用者,並修正客戶的問題。 Microsoft 工程師有修正問題所要求的工期,問題修正之後權限會自動撤銷。

注意

Microsoft 工程師執行的所有動作會記錄在稽核記錄中。 您可以搜尋並檢閱這些稽核記錄。

開啟或關閉客戶加密箱要求

您可以在 Microsoft 365 系統管理中心開啟客戶加密箱控制項。 當您開啟客戶加密箱時,Microsoft 必須先取得貴組織的核准,才能存取任何租使用者的內容。

  1. 使用已指派全域管理員或 客戶加密箱存取核准者 角色的工作或學校帳戶,移至 https://admin.microsoft.com 並登入。

  2. 選擇 設定 > Org 設定 > Security & Privacy]

  3. 取 [安全性&隱私權],然後選取左欄中的 [ 客戶加密箱 ]。 核取 [ 要求核准所有資料存取要求 ] 核取方塊,並儲存變更以開啟功能。

    Require approval for Customer Lockbox

核准或拒絕客戶加密箱要求

  1. 使用已指派全域管理員或 客戶加密箱存取核准者 角色的工作或學校帳戶,移至 https://admin.microsoft.com 並登入。

  2. 選擇 [支援>客戶加密箱要求]

    按一下 [支援],然後按一下 [客戶加密箱要求]。

    隨即顯示客戶加密箱要求的清單。

    客戶加密箱要求的清單。

  3. 選取客戶加密箱要求,然後選擇 [ 核准 ] 或 [ 拒絕]

    核准客戶加密箱要求。

    關於客戶加密箱要求核准的確認訊息隨即顯示。

    拒絕客戶加密箱要求。

注意

使用 Set-AccessToCustomerDataRequest Cmdlet 來核准、拒絕或取消 Microsoft Purview 客戶加密箱要求,以控制 Microsoft 支援工程師對資料的存取。 如需詳細資訊,請參閱 Set-AccessToCustomerDataRequest

稽核客戶加密箱要求

對應至客戶加密箱要求的稽核記錄會記錄在Microsoft 365稽核記錄中。 您可以使用 Microsoft Purview 合規性入口網站中的 稽核記錄搜尋工具 來存取這些記錄。 與接受或拒絕客戶加密箱要求相關的動作,以及 Microsoft 工程師在核准存取要求時 (執行的動作) 也會記錄在稽核記錄中。 您可以搜尋並檢閱這些稽核記錄。

您必須先採取一些步驟來設定稽核記錄,包括指派許可權來搜尋稽核記錄,才能使用稽核記錄來追蹤客戶加密箱的要求。 如需詳細資訊, 請參閱設定 Microsoft Purview Audit (Standard) 。 完成設定之後,請使用下列步驟來建立稽核記錄搜尋查詢,以傳回與客戶加密箱相關的稽核記錄:

  1. 移至https://compliance.microsoft.com

  2. 使用已獲指派適當許可權來搜尋稽核記錄的帳戶登入。

  3. 在合規性中心的左窗格中,選擇 [ 稽核]

    [稽核**] 頁面上的**[搜尋] 索引標籤隨即顯示。

    稽核記錄搜尋頁面。

  4. 設定下列搜尋準則:

    1. 開始日期結束日期。 選取日期和時間範圍,以顯示該期間內已發生的事件。

    2. 活動。 將此欄位保留空白,讓搜尋傳回所有活動的稽核記錄。 若要傳回與客戶加密箱要求相關的任何稽核記錄,以及 Microsoft 工程師所執行的對應活動,這是必要的。

    3. 使用者。 將此欄位保留空白。

    4. 檔案、資料夾或網站。 將此欄位保留空白。

  5. 按一下 [搜尋] 以使用您的搜尋準則執行搜尋。

    搜尋結果會在幾分鐘後顯示。 在搜尋完成之前,會將更多搜尋結果新增至頁面。

  6. 按一下 [ 活動] 資料 行中的標頭,根據 [ 活動 ] 資料行中的值,依字母順序排序結果。

  7. 向下捲動並尋找活動 為 Set-AccessToCustomerDataRequest 的稽核記錄。 此活動的記錄與貴組織中的核准者核准或拒絕客戶加密箱要求有關。

  8. 或者,按一下 [ 使用者 ] 資料行中的標頭,使用 [ 使用者 ] 資料行中的值,依字母順序排序結果。 尋找 Microsoft 操作員 的值,指出 Microsoft 工程師為了回應已核准的客戶加密箱要求而執行的活動。 [ 活動 ] 資料行會顯示工程師所執行的動作。

    篩選 「Microsoft 操作員」以顯示稽核記錄

  9. 在結果清單中,按一下稽核記錄以顯示它。

匯出稽核記錄搜尋結果

您也可以將稽核記錄搜尋結果匯出至 CSV 檔案,然後在Excel中開啟檔案,以使用篩選和排序功能,讓您更輕鬆地尋找和檢視與客戶加密箱存取要求相關的稽核記錄。

若要匯出稽核記錄,請使用先前的步驟來搜尋稽核記錄。 搜尋完成時,選取 [ 匯出>搜尋結果 頁面頂端的 [下載所有結果]。 匯出程式完成時,您可以將 CSV 檔案下載到本機電腦。 如需詳細指示,請參閱匯出、設定和檢視稽核記錄。

下載檔案之後,您可以在 Excel 中開啟它,然後篩選 Operations 資料 行以顯示 Set-AccessToCustomerDataRequest 活動的稽核記錄。 您也可以使用 Microsoft 操作 ) 值來篩選 UserIds 資料行 (,以顯示 Microsoft 工程師所執行活動的稽核記錄。

注意

檢視 CSV 檔案中的稽核記錄時, AuditData 資料 行中會包含其他資訊。 此資料行中的資訊包含在 JSON 物件中,其中包含多個屬性,這些屬性設定為以逗號分隔的 property:value 組。 您可以使用 Excel 中Power Query 編輯器中的 JSON 轉換功能,將 AuditData 資料行中 JSON 物件中的每個屬性分割成多個資料行,讓每個屬性都有自己的資料行。 這可讓您更輕鬆地解譯這項資訊。 如需詳細指示,請參閱使用Power Query 編輯器格式化匯出的稽核記錄

使用 PowerShell 來搜尋和匯出稽核記錄

在 Microsoft Purview 合規性入口網站中使用稽核搜尋工具的替代方案,是在 Exchange Online PowerShell 中執行Search-UnifiedAuditLog Cmdlet。 使用 PowerShell 的優點之一,是您可以特別搜尋 Set-AccessToCustomerDataRequest 活動,或 Microsoft 工程師與客戶加密箱要求相關的活動。

連線到 Exchange Online PowerShell之後,請執行下列其中一個命令。 將預留位置取代為特定日期範圍。

Set-AccessToCustomerDataRequest搜尋活動

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest

搜尋 Microsoft 工程師所執行的活動

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"

如需詳細資訊和範例,請參閱使用 PowerShell 來搜尋和匯出稽核記錄。

我們也提供了 PowerShell 腳本,可用來搜尋稽核記錄,並將結果匯出至 CSV 檔案。 如需詳細資訊,請 參閱使用 PowerShell 腳本來搜尋稽核記錄

客戶加密箱要求的稽核記錄

當貴組織中的人員核准或拒絕客戶加密箱要求時,稽核記錄會記錄在稽核記錄中,其中包含下列資訊。

稽核記錄屬性 描述
日期 客戶加密箱要求核准或拒絕的日期和時間。
IP 位址 核准者用來核准或拒絕要求之機器的 IP 位址。
使用者 服務帳戶BOXServiceAccount@ [ customerforest.prod.outlook.com ] 。
活動 Set-AccessToCustomerDataRequest;這是當您核准或拒絕客戶加密箱要求時所記錄的稽核活動。
項目 客戶加密箱要求的 Guid

下列螢幕擷取畫面顯示對應至已核准客戶加密箱要求的稽核記錄範例。 如果客戶加密箱要求遭到拒絕,則 參數的 ApprovalDecision 值會是 Deny

已核准客戶加密箱要求的稽核記錄。

Microsoft 工程師所執行動作的稽核記錄

Microsoft 工程師在核准客戶加密箱要求 (且可能導致存取客戶內容) 後執行的動作會在稽核記錄中記錄。這些記錄包含下列資訊。

稽核記錄屬性 描述
日期 執行動作的日期時間。 執行此動作的時間將在客戶加密箱要求核准的 4 小時內。
IP 位址 Microsoft 工程師使用之機器的 IP 位址。
使用者 Microsoft 操作員;此值表示記錄與客戶加密箱要求相關。
活動 Microsoft 工程師執行的活動名稱。
項目 <empty>

常見問題集

客戶加密箱適用哪些Microsoft 365服務?

Exchange Online、SharePoint Online、商務用 OneDrive 和 Teams 目前支援客戶加密箱。

客戶加密箱是否可供所有客戶使用?

客戶加密箱隨附于Microsoft 365或Office 365 E5訂用帳戶,並可新增至具有資訊保護與合規性或進階合規性附加元件訂用帳戶的其他方案。 如需詳細資訊,請參閱 方案和定價

什麼是客戶內容?

客戶內容是由Microsoft 365服務和應用程式的使用者所建立的資料。 客戶內容的範例包括:

  • 電子郵件本文或電子郵件附件

  • SharePoint 網站內容

  • SharePoint 本文中的資訊

  • 商務用 Skype簡報檔案本文

  • 立即訊息 (IM) 或語音交談

  • 輸入Teams聊天和Teams頻道的文字,例如 1:1 聊天、群組聊天、共用頻道、私人頻道和會議聊天

  • 貼入Teams聊天對話的其他資料,例如程式碼片段、影像、音訊和視訊訊息,以及連結

  • Teams聊天和Teams頻道中的應用程式和 Bot 資料

  • Teams活動摘要

  • Teams會議錄製和文字記錄

  • 語音信箱

  • 張貼到Teams聊天和Teams頻道的檔案

  • 客戶產生的 Blob 或結構化儲存體資料 (例如 SQL 容器)

  • 客戶擁有的安全性資訊 (例如憑證、加密金鑰和密碼)

  • 如果客戶內容仍保留,則為推斷和所有後續推斷

如需Office 365中客戶內容的詳細資訊,請參閱 Office 365 信任中心。

當有存取我內容的要求時,神秘會收到通知?

系統管理員和任何獲指派客戶加密箱存取核准者系統管理員角色的人員都會收到通知。 這些也是可以核准客戶加密箱要求的相同使用者。

神秘可以在我的組織中核准或拒絕這些要求嗎?

全域系統管理員和指派客戶加密箱存取核准者系統管理員角色的任何人都可以核准客戶加密箱要求。 客戶在其組織中控制這些角色指派。

如何?加入客戶加密箱?

全域管理員可以在Microsoft 365 系統管理中心中啟用和設定客戶加密箱。

如果我核准客戶加密箱要求,工程師可以做什麼,以及如何知道 Microsoft 工程師做了什麼?

核准客戶加密箱要求之後,Microsoft 工程師會授與這些必要許可權,以使用預先核准的 Cmdlet 來存取客戶內容。 Microsoft 工程師為了回應客戶加密箱要求所採取的動作,會記錄並可在安全性&合規性中心的稽核記錄中存取。

如何?知道 Microsoft 遵循核准程式嗎?

您可以使用Microsoft 365 系統管理中心中的客戶加密箱要求歷程記錄,交叉參考傳送給組織中系統管理員和核准者的電子郵件核准通知。

客戶加密箱包含在最新的 SOC 1 SSAE 16 稽核報告中。 如需詳細資訊,您可以在 Microsoft 服務信任入口網站中找到最新的報告。

Microsoft 可以修改我租使用者的核准者清單嗎? 如果沒有,該如何防止?

只有組織中的全域管理員可以指定誰可以核准客戶加密箱要求。 這表示只有 Azure Active Directory 中全域管理員群組的成員可以指定誰可以核准要求。 Azure Active Directory中全域管理員群組的成員資格僅由您的組織管理。

如果我需要內容存取要求的詳細資訊來核准該怎麼辦?

每個客戶加密箱要求都包含Microsoft 365服務要求號碼。 您可以連絡 Microsoft 支援服務並參考此服務號碼,以取得要求的詳細資訊。

當客戶加密箱要求獲得核准時,許可權有效多久?

目前,授與 Microsoft 工程師存取權限的最長期間是 4 小時。Microsoft 工程師也可以要求較短的期間。

如何取得所有客戶加密箱要求的歷程記錄?

所有客戶加密箱要求都會在Microsoft 365 系統管理中心中檢視。

合規性中心活動摘要包含客戶加密箱的記錄活動。 客戶可以根據收到的電子郵件要求,從活動摘要交叉參考客戶加密箱記錄活動。

當客戶未回應客戶加密箱要求時,會發生什麼事?

客戶加密箱要求的預設持續時間為 12 小時。 如果您未在 12 小時內回應要求,要求就會過期。

當客戶拒絕客戶加密箱要求時,Microsoft 會怎麼做?

如果客戶拒絕客戶加密箱要求,則不會存取客戶內容。 如果您組織中的使用者持續遇到需要 Microsoft 存取客戶內容來解決問題的服務問題,則服務問題可能會持續發生,而 Microsoft 會通知使用者有關此問題。

如何?在每次核准要求時設定警示?

沒有內建選項可警示系統管理員。 不過,系統管理員可以使用Microsoft Defender for Cloud Apps來設定警示。

客戶加密箱是否會防止來自執法機關或其他協力廠商的資料要求?

不能。 Microsoft 非常重視客戶資料的協力廠商要求。 身為雲端服務提供者,Microsoft 一律提倡客戶資料的隱私權。 如果我們收到傳票,Microsoft 一律會嘗試將協力廠商重新導向至客戶以取得資訊。 (閱讀 Brad Smith 的部落格: 保護客戶資料不受政府 通知) 。 我們會定期發佈 Microsoft 收到之執法機關要求的 詳細資訊

如需詳細資訊,請參閱關於協力廠商資料要求的 Microsoft 信任中心線上服務條款 中的一節。

Microsoft 如何確保其員工在Office 365應用程式中沒有客戶內容的常設存取權?

Microsoft 會透過存取控制系統實作廣泛的預防措施,並偵測措施來識別並解決規避這些存取控制系統的嘗試。 Microsoft 365使用最低許可權和 Just-In-Time 存取原則來運作。 因此,沒有任何 Microsoft 人員有權持續存取客戶內容。 如果授與許可權,則其持續時間有限。

Microsoft 365使用稱為 Lockbox 的存取控制系統來處理許可權要求,以授與在服務內執行操作和系統管理功能的能力。 操作員必須使用 Lockbox 要求存取客戶內容,然後要求第二個人對要求採取動作 (例如,在授與存取權之前,先核准) 。 該第二個人不能是要求者,而且必須指定以核准客戶內容的存取權。 只有當要求獲得核准時,操作員才會取得客戶內容的暫時存取權。 提高許可權期間到期之後,Lockbox 會撤銷存取權。

如需 Microsoft 一般安全性做法的詳細資訊,請參閱 線上服務 條款。

在哪些情況下,Microsoft 工程師需要存取我的內容?

Microsoft 工程師需要存取客戶內容的最常見案例是客戶提出需要存取權才能進行疑難排解的支援要求。 Microsoft 365的一個基本準則是,服務在沒有 Microsoft 存取客戶內容的情況下運作。 幾乎所有由 Microsoft 執行的服務作業都是完全自動化的,而且人為介入會受到高度控制,並從客戶內容中抽離。 Microsoft 365的目標是在客戶核准特定的 Microsoft 存取要求之前,不需要存取客戶內容來支援服務。

我已認為 Microsoft 雲端的資料是安全的,為什麼我需要客戶加密箱?

客戶加密箱提供額外的控制層,方法是讓客戶能夠為服務作業提供明確的存取授權。 藉由示範明確資料存取授權的程式已就緒,客戶加密箱也可協助客戶符合某些合規性義務,例如 HIPAA 和 FEDRAMP。