Del via

Få sikker adgang til kundedata ved hjælp af Customer Lockbox i Power Platform og Dynamics 365

De fleste handlinger, support og fejlfinding, der udføres af Microsoft-medarbejdere (herunder underprocessorer), kræver ikke adgang til kundedata. Ved hjælp af Power Platform Customer Lockbox kan kunderne gennemse og godkende (eller afvise) anmodninger om dataadgang i sjældne tilfælde, hvor Microsoft har brug for adgang til kundedata. Brug den i de tilfælde, hvor en Microsoft-tekniker skal have adgang til kundedata, uanset om det er som svar på en kundeinitieret supportanmodning eller et problem, der er identificeret af Microsoft.

I denne artikel beskrives, hvordan du kan aktivere kundelockbox'en, og hvordan lockboxanmodninger initieres, spores og gemmes til senere gennemgang og overvågning.

Bemærk

Kundelockbox er tilgængelig i offentlig cloud og US Government Community Cloud (GCC), GCC High og DoD-områder (forsvarsministerium).

Opsamling

Du kan aktivere kundelockbox for dine datakilder i lejeren. Aktivering af Customer Lockbox gennemtvinger kun politikken for miljøer, der er aktiveret for administrerede miljøer. Power Platform-administratorer kan aktivere lockbox-politikken.

Du kan få flere oplysninger under Aktivér låsekassepolitikken.

I de sjældne tilfælde, hvor Microsoft forsøger at få adgang til kundedata , der er gemt i Power Platform(f.eks. Dataverse), sendes der en lockbox-anmodning til Power Platform-administratorer til godkendelse. Du kan få flere oplysninger under Gennemse en anmodning om låsekasse.

Alle opdateringer af en lockbox-anmodning registreres og gøres tilgængelige for din organisation som overvågningslogfiler. Du kan få flere oplysninger under Overvåg anmodninger om låsekasse.

Power Platform og Dynamics 365 programmer og tjenester gemmer kundedata i flere Azure lagringsteknologier. Når du slår kundelockbox til for et miljø, beskyttes de kundedata, der er knyttet til det pågældende miljø, af lockbox-politikken, uanset lagertypen.

Bemærk

  • I øjeblikket er de programmer og tjenester, hvor låsekassepolitikken gennemtvinges, når den er aktiveret, Power Apps (undtagen Kort til Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Service, Sales (undtagen samtaleintelligens), Communities, Guides, Connected Spaces, Finance (undtagen livscyklustjenester), Project Operations (undtagen livscyklustjenester), Supply Chain Management (undtagen livscyklustjenester) og marketingfunktionsområdet i realtid i Marketingapp.
  • Funktioner, der leveres af Azure OpenAI Service, er udelukket fra håndhævelsen af Lockbox-politikken, medmindre produktdokumentationen for en given funktion angiver, at Lockbox gælder.
  • Nuance Samtale-IVR er udelukket fra håndhævelse af Lockbox-politikken, medmindre produktdokumentationen for en given funktion angiver, at Lockbox gælder.
  • Velkomstindhold til Maker er ikke inkluderet i håndhævelsen af Lockbox-politikken.
  • Du skal deaktivere Lucene.NET søge fra dit websted og flytte til Dataverse Search for at kunne bruge Customer Lockbox. Du kan finde flere oplysninger under Portals-søgning ved hjælp af Lucene.NET søgning frarådes.

Workflow

  1. Din organisation har problemer med Microsoft Power Platform og åbner en supportanmodning med Microsoft Support. Alternativt identificerer Microsoft proaktivt et problem (der udløses f.eks. en proaktiv meddelelse), og en hændelse, der er startet af Microsoft, åbnes for at undersøge og afhjælpe eller løse rodårsagen.

  2. En Microsoft-operatør gennemser supportanmodningen eller -hændelsen og forsøger at foretage fejlfinding af problemet ved hjælp af standardværktøjer og telemetri. Hvis operatoren har brug for adgang til kundedata til yderligere fejlfinding, starter en Microsoft-tekniker en intern godkendelsesproces for at få adgang til kundedata, uanset om låsekassepolitikken er aktiveret.

  3. Hvis det respektive datalager er knyttet til et miljø, der er beskyttet i henhold til låsningsboksens politikaktivering, genererer processen også en lockbox-anmodning. De udpegede godkendere (Power Platform-administratorer) modtager en mailmeddelelse om den ventende anmodning om dataadgang fra Microsoft.

    Vigtigt

    Microsoft-teknikeren kan ikke fortsætte undersøgelsen, før kunden har godkendt lockboxanmodningen. Dette godkendelsestrin kan medføre forsinkelser i håndteringen af supportanmodningen eller længerevarende afbrydelser. Sørg for at overvåge mailmeddelelser og lockboxanmodninger i Power Platform Administration. Svar rettidigt for at undgå afbrydelser i tjenesten.

    Et eksempel på en lockbox-anmodning.

  4. Godkenderen logger på Power Platform Administration og godkender anmodningen. Hvis godkenderen afviser anmodningen eller ikke godkender den inden for fire dage, udløber anmodningen, og Microsoft-teknikeren får ingen adgang.

  5. Når godkenderen fra din organisation har godkendt anmodningen, får Microsoft-tekniker de forhøjede tilladelser, de oprindeligt anmodede om, og løser problemet. Microsofts teknikere har en bestemt mængde tid – otte timer – til at løse problemet, hvorefter adgangen tilbagekaldes automatisk.

Aktivér lockbox-politikken

Power Platform-administratorer kan oprette eller opdatere lockbox-politikken i Power Platform Administration. Aktivering af politikken på lejerniveau gælder kun for miljøer, der er aktiveret for administrerede miljøer. Det kan tage op til 24 timer for alle datakilder og alle miljøer at implementere Customer Lockbox.

  1. Log på Power Platform Administration.
  2. Vælg Administrer i navigationsruden.
  3. Vælg Lejerindstillingeri ruden Administrer.
  4. Vælg Kundelås, og vælg derefter Aktivér.

Gennemse en lockbox-anmodning

  1. Log på Power Platform Administration.

  2. Vælg Sikkerhed i navigationsruden.

  3. Vælg Overholdelse i ruden Sikkerhed.

  4. Overholdelse siden skal du vælge Kundelås.

  5. Gennemse detaljerne i anmodningen.

    Felt Beskrivelse
    Anmodnings-ID Id'et for den supportanmodning, der er knyttet til lockbox-anmodningen. Hvis anmodningen er et resultat af en intern besked, der er startet af Microsoft, er værdien "Microsoft initieret".
    Miljø Det viste navn på miljøet, hvor der anmodes om dataadgang.
    Status Status for lockbox-anmodningen.
    • Handling er påkrævet: Venter på godkendelse fra kunden
    • Udløbet: Der blev ikke modtaget godkendelse fra kunden
    • Godkendt: Godkendt af kunden
    • Afvist: Afvist af kunden
    Anmodet Det tidspunkt, hvor Microsoft-teknikeren anmodede om adgang til kundedata i kundens miljø.
    Anmodningens udløb Det tidspunkt, hvor kunden senest skal godkende lockbox-anmodningen. Status for anmodningen ændres til Udløbet , hvis der ikke er givet nogen godkendelse på dette tidspunkt.
    Adgangsperiode Varighed, som anmoderen ønsker at få adgang til kundedata. Denne værdi er som standard otte timer og kan ikke ændres.
    Adgangsudløb Hvis der tildeles adgang, er det det tidspunkt, Microsoft-teknikerens adgang til kundedataene udløber.

  6. Vælg en lockbox-anmodning, og vælg derefter Godkend eller Afvis.

    Godkende eller afvise lockbox-anmodninger

    Bemærk

    De lockbox-anmodninger, der er opstået inden for de seneste 28 dage, vises i tabellen Seneste.

    Når en anmodning er godkendt, kan den ikke tilbagekaldes i hele adgangsperioden på 8 timer.

Overvåg lockbox-anmodninger

Advarsel!

Det skema, der er dokumenteret i dette afsnit for overvågningshændelser i lockbox, udfases og vil ikke være tilgængeligt fra juli 2024. Du kan overvåge kunde lockbox-hændelser ved hjælp af det nye skema, der er tilgængeligt i -aktivitetskategorien: Lockbox-handlinger.

Handlinger, der er relateret til accept, afvisning eller udløb af en lockboxanmodning, registreres automatisk i Microsoft 365 Defender.

Microsoft 365 Defender page.

Overvågningssporinger omfatter disse og andre felter for hver enkelt lockbox-anmodning:

  • Entydigt id for anmodningen
  • Tidspunkt for oprettelse af anmodning
  • Organisations-id
  • Bruger-id (entydigt id for den Microsoft-operatør, der udfører anmodningen)
  • Anmodningsstatus
  • Tilknyttet support-ticket-id
  • Udløbstidspunkt for anmodning
  • Udløbstidspunkt for dataadgang
  • Miljø-id
  • Begrundelse for anmodning

Fanen Microsoft 365 Audit gør det muligt for administratorer at søge efter hændelser, der er knyttet til lockboxsessioner. Få vist kategorien Power Platform-lockbox for relaterede Power Platform-lockbox-hændelser.

Vælg kategorien Power Platform-lockbox.

Administratorer kan eksportere resultatsættet direkte baseret på filterkriterierne.

Kundelockbox fremstiller to typer overvågningslogge:

  1. Logge, der startes af Microsoft, og som svarer til den lockbox-anmodning, der oprettes, er udløbet, eller når adgangssessioner slutter. Dette sæt overvågningslogge svarer ikke til et bestemt bruger-id, da handlingerne startes af Microsoft.
  2. Logge, der startes af slutbrugerens handlinger, f.eks. når en bruger godkender eller afviser en lockbox-anmodning. Hvis den bruger, der udfører disse handlinger, ikke har en E5-licens tildelt, filtreres loggene fra og vises ikke i overvågningsloggene.

Overvågningslogge opbevares som standard i et år. Du skal bruge en 10-årig licens til opbevaring af overvågningslog for at kunne bevare overvågningsposter i 10 år. Se Overvågning (Premium) for at få flere oplysninger om opbevaring af overvågningslogge.

Licenskrav til kundelockbox

Customer Lockbox-politikken gennemtvinges kun på miljøer, der er aktiveret for administrerede miljøer. Administrerede miljøer er inkluderet som en rettighed i separate Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages og Dynamics 365 licenser, der giver premium-brugsrettigheder. Du kan få mere at vide om licenser til administreret miljø under Licensing og Licensing oversigt over Microsoft Power Platform.

Derudover kræver adgang til Customer Lockbox for Microsoft Power Platform og Dynamics 365, at brugere i de miljøer, hvor Lockbox-politikken gennemtvinges, skal have et af disse abonnementer:

  • Microsoft 365 eller Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Overholdelse
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 Insider Risk Management
  • Microsoft 365 A5/E5/F5/G5 Information Protection and Governance Learn mere om relevante licenser.

Undtagelser

  • Lockbox-anmodninger udløses ikke i følgende scenarier for teknisk support:

    • Nødscenarier, der falder uden for standardprocedurer for drift, f.eks. et større serviceudfald, der kræver omgående opmærksomhed for at gendanne eller genoprette tjenester i uventede eller uforudsigelige tilfælde. Disse "brudglashændelser" er sjældne og kræver i de fleste tilfælde ikke adgang til kundedata for at løse problemet.

    • En Microsoft-tekniker får adgang til den underliggende platform i forbindelse med fejlfinding og bliver utilsigtet eksponeret for kundedata. Det er sjældent, at sådanne scenarier vil resultere i adgang til meningsfulde mængder af kundedata.

  • Anmodninger om kundelockbox udløses heller ikke af eksterne juridiske krav til data. Du kan finde flere oplysninger under diskussionen om anmodninger om data fra myndigheder i Microsoft Sikkerhedscenter.

  • Customer Lockbox gælder ikke for adgang til og manuel gennemgang af kundedata, der deles for Copilot AI-funktioner. Customer Lockbox forbliver aktiveret for alle data inden for det aktuelle omfang.

Kendte problemer

  • Lejer til lejer-overførsel understøttes ikke, når kundelockbox er aktiveret. Du skal deaktivere Kundelockbox for at flytte et miljø til en anden lejer. Du kan genaktivere Kundelockbox, når overførslen er fuldført.
  • Last updated on