次の方法で共有

Power Platform と Dynamics 365 のカスタマー ロックボックスを使用して顧客データに安全にアクセスする

Microsoft のスタッフ (代わりの処理者を含む) が実行する操作、サポート、およびトラブルシューティングの多くは、顧客データにアクセスする必要がありません。 Power Platform Customer Lockbox を使用することで、お客様は、Microsoft が顧客データにアクセスする必要があるまれな場合に、データ アクセス要求を確認および承認 (または拒否) できます。 顧客が開始したサポート チケットや Microsoft によって特定された問題に応答して、Microsoft エンジニアがお客様のデータにアクセスする必要がある場合に使用します。

この記事では、カスタマー ロックボックスを有効にする方法、およびロックボックス要求の開始、追跡、および後で行う確認および監査のための保存方法について説明します。

注意

カスタマー ロックボックスは、パブリック クラウドおよび米国政府コミュニティクラウド (GCC)、GCC High、国防総省 (DoD) リージョンで利用可能です。

まとめ

テナント内のデータ ソースに対してカスタマー ロックボックスを有効にすることができます。 カスタマー ロックボックスを有効にすると、マネージド環境が有効になっている環境に対してのみポリシーが適用されます。 Power Platform 管理者はロックボックスのポリシーを有効にできます。

詳細については、「 ロックボックス ポリシーを有効にする」を参照してください。

あまりないことですが、Microsoft が Power Platform に保存されている顧客データにアクセスしようとする場合 (Dataverse など)、承認のためにロックボックス要求がグローバル管理者と Power Platform 管理者に送信されます。 詳細については、「 ロックボックス要求の確認」を参照してください。

ロックボックス要求に対するすべての更新は記録され、監査ログとして組織が利用できるようになります。 詳細については、「 ロックボックス要求の監査」を参照してください。

Power Platform および Dynamics 365 アプリケーションとサービスは、いくつかのAzureストレージ テクノロジに顧客データを格納します。 環境に対してカスタマー ロックボックスをオンにすると、ストレージの種類に関係なく、それぞれの環境に関連付けられている顧客データはロックボックス ポリシーにより保護されます。

注意

  • 現在、ロックボックス ポリシーが有効になると適用されるアプリケーションとサービスは、Power Apps (Power Apps カードを除く)、AI Builder、Power Pages、Power Automate、Microsoft Copilot Studio、Dataverse、Customer Insights、Customer Service、Sales (会話インテリジェンスを除く)、コミュニティ、ガイド、Connected Spaces、財務 (ライフサイクル サービスを除く)、Project Operations (ライフサイクル サービスを除く)、サプライ チェーン管理 (ライフサイクル サービスを除く)、およびリアルタイム マーケティング機能領域マーケティング アプリ。
  • Azure OpenAI Serviceによって強化された機能は、該当する機能の製品ドキュメントでロックボックスが適用されると明示されていない限り、ロックボックス ポリシーの対象から除外されます。
  • Nuance 会話型 IVR は、特定の機能の製品ドキュメントにロックボックスが適用されると記載されていない限り、ロックボックス ポリシーの適用から除外されます。
  • メーカー ウェルカム コンテンツ は、ロックボックス ポリシーの適用から除外されます。
  • Lucene.NET 検索をウェブサイトから無効にし、Dataverse Search に移行してカスタマー ロックボックスを利用できるようにする必要があります。 詳細については、「Lucene.NET 検索を使用したポータル検索は廃止されました」をご参照ください。

Workflow

  1. 組織でMicrosoft Power Platformに問題があり、Microsoft サポートでサポート 要求を開きます。 また、Microsoft が問題を事前に特定し (プロアクティブな通知がトリガーされるなど)、Microsoft が開始したイベントを開いて、根本原因の調査、軽減または修正を行います。

  2. Microsoft オペレーターは、サポート要求またはイベントを確認し、標準のツールとテレメトリを使用して問題のトラブルシューティングを試みます。 さらにトラブルシューティングを行うためにオペレーターが顧客データにアクセスする必要がある場合、Microsoft のエンジニアは、ロックボックス ポリシーが有効になっているかどうかに関係なく、顧客データにアクセスするための内部承認プロセスを開始します。

  3. それぞれのデータ ストアがロックボックス ポリシーの有効化に従って保護された環境に関連付けられている場合、プロセスはロックボックス要求も生成します。 指定された承認者 (Power Platform 管理者) は、Microsoft からの保留中のデータ アクセス要求に関する電子メール通知を受け取ります。

    重要

    Microsoft エンジニアは、お客様がロックボックス要求を承認するまで調査を続行できません。 この承認手順により、サポート チケットへの対処が遅れたり、長時間の停止が発生したりする可能性があります。 Power Platform 管理センターで電子メール通知とロックボックス要求を監視していることを確認します。 サービスの中断を回避するために、タイムリーに対応します。

    ロックボックス要求のサンプル。

  4. 承認者は Power Platform 管理センターにサインインし、要求を承認します。 承認者が要求を拒否した場合、または 4 日以内に承認しなかった場合、要求は期限切れになり、Microsoft エンジニアはアクセス権を取得しません。

  5. 組織の承認者が要求を承認すると、Microsoft エンジニアは最初に要求した昇格されたアクセス許可を取得し、問題を修正します。 Microsoft のエンジニアには、問題を解決するための一定の時間 (8 時間) があり、その後、アクセスは自動的に取り消されます。

ロックボックス ポリシーを有効にする

Power Platform 管理者は、Power Platform 管理センターでロックボックス ポリシーの作成または更新を行うことができます。 テナント レベルのポリシーを有効にすると、マネージド環境が有効になっている環境のみに適用されます。 すべてのデータ ソースとすべての環境でカスタマー ロックボックスが実装されるまでに最大 24 時間かかることがあります。

  1. Power Platform 管理センター にサインインします。
  2. ナビゲーション ウィンドウで、[管理] を選択 します。
  3. [ 管理] ウィンドウで、[ テナント設定] を選択します。
  4. [カスタマー ロックボックス] を選択し、[有効] を選択します。

ロックボックス要求を確認する

  1. Power Platform 管理センター にサインインします。

  2. ナビゲーション ウィンドウで、セキュリティ を選択します。

  3. [ セキュリティ ] ウィンドウで、[ コンプライアンス] を選択します。

  4. [ コンプライアンス ] ページで、[ カスタマー ロックボックス] を選択します。

  5. 要求の詳細を確認します。

    フィールド Description
    サポート要求 ID ロックボックス要求に関連付けられているサポート チケットの ID。 要求が Microsoft によって開始された内部アラートの結果である場合、値は "Microsoft Initiated" になります。
    Environment データ アクセスが要求されている環境の表示名。
    ステータス ロックボックスの要求の状態。
    • アクションが必要: 顧客からの承認待ち
    • 期限切れ: 顧客からの承認なし
    • 承認済み: 顧客からの承認済み
    • 拒否済み: 顧客による拒否済み
    要求済み Microsoft エンジニアが顧客の環境内の顧客データへのアクセスを要求した時刻。
    要求の有効期限 顧客がロックボックス要求を承認する必要がある時刻。 この時刻までに承認されない場合、要求の状態が期限切れに変わります。
    アクセス期間 要求者が顧客データにアクセスする時間の長さ。 この値は既定で 8 時間であり、変更することはできません。
    アクセスの有効期限 アクセスが許可されている場合、Microsoft のエンジニアはこの時刻まで顧客データにアクセスできます。

  6. ロックボックス要求を選択してから、承認また拒否を選択します。

    ロックボックス要求の承認または拒否ロックボックス要求の承認または拒否

    注意

    過去 28 日間に発生したロックボックス要求は、最近テーブルに表示されます。

    要求が承認されると、8 時間のアクセス期間全体にわたって要求を取り消すことはできません。

ロックボックス要求の監査

警告

このセクションで説明されているロックボックス監査イベントのスキーマは非推奨であり、2024 年 7 月以降は利用できなくなります。 アクティビティ カテゴリ: ロックボックス操作 で利用可能な新しいスキーマを使用して、カスタマー ロックボックス イベントを監査できます。

ロックボックス要求の受け入れ、拒否、または有効期限に関連するアクションは、Microsoft 365 Defenderに自動的に記録されます。

Microsoft 365 Defender page.

監査トレースには、各ロックボックス要求のこれらのフィールドやその他のフィールドが含まれます。

  • 要求の一意の識別子
  • 要求作成時刻
  • 組織 ID
  • ユーザー ID (要求を実行する Microsoft のオペレーターの一意の識別子)
  • 要求の状態
  • 関連付けられたサポート チケット ID
  • 要求の有効期限
  • データ アクセスの有効期限
  • 環境 ID
  • 要求の妥当性

Microsoft 365 Audit タブを使用すると、管理者はロックボックス セッションに関連付けられているイベントを検索できます。 Power Platform 関連のロックボックス イベントについては、Power Platform のロックボックス カテゴリを確認してください。

Power Platform ロックボックスのカテゴリを選択します。

管理者は、フィルター条件に基づいて結果セットを直接エクスポートすることができます。

カスタマー ロックボックスは、次の 2 種類の監査ログを生成します:

  1. Microsoft によって開始され、ロックボックス要求の作成中、期限切れ、またはアクセス セッション終了時に対応するログ。 この監査ログのセットは、Microsoft が開始したアクションであるため、特定のユーザー ID には対応していません。
  2. ユーザーがロックボックス要求を承認または拒否したときなど、エンド ユーザーのアクションによって開始されるログ。 これらの操作を実行するユーザーに E5 ライセンスが割り当てられていない場合、ログはフィルターで除外され、監査ログに表示されません。

デフォルトでは、監査ログは 1 年間保存されます。 監査記録を 10 年間保持するには、10 年間の監査ログ保持アドオン ライセンスが必要です。 監査ログの保持の詳細については、監査 (Premium) を参照してください。

カスタマー ロックボックスのライセンス要件

カスタマー ロックボックス ポリシーは、マネージド環境に対してアクティブ化された環境にのみ適用されます。 マネージド環境は、Premium の使用権を付与するスタンドアロン Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages、およびDynamics 365 ライセンスの権利として含まれます。 Managed Environment のライセンスの詳細については、LicensingLicensing の概要 (Microsoft Power Platform) を参照してください。

さらに、Microsoft Power PlatformとDynamics 365のカスタマー ロックボックスにアクセスするには、Lockbox ポリシーが適用されている環境のユーザーに次のいずれかのサブスクリプションが必要です。

  • Microsoft 365または Office 365 A5/E5/G5
  • Microsoft 365 a5/e5/f5/g5 コンプライアンス
  • Microsoft 365 F5 セキュリティとコンプライアンス
  • Microsoft 365 a5/e5/f5/g5 Insider Risk Management
  • Microsoft 365 A5/E5/F5/G5 Information Protectionとガバナンス 該当するライセンスに関する詳細情報

除外

  • 次のエンジニアリング サポートのシナリオでは、ロックボックス要求はトリガーされません。

    • 標準的な運用手順の範囲外となる緊急事態のシナリオには、予期せぬまたは予測不可能な状況において、サービスの復旧または回復を即時対応で必要とする大規模なサービス停止などが該当します。 これらのイベントはまれであるため、ほとんどの場合、解決するために顧客データにアクセスする必要はありません。

    • Microsoft エンジニアは、トラブルシューティングの一環として基盤となるプラットフォームにアクセスし、謝って顧客データにさらされています。 このようなシナリオにより、意味のある顧客データ量にアクセスできることはめったにありません。

  • カスタマー ロックボックス要求は、データに対する外部の法的要求によってトリガーされることもありません。 詳細については、Microsoft セキュリティ センターの政府によるデータ要求に関する説明を参照してください。

  • カスタマー ロックボックスは、Copilot AI 機能用に共有されている顧客データのアクセスと手動レビューには適用されません。 カスタマー ロックボックスは、スコープ内のすべてのデータに対して有効なままとなります。

既知の問題

  • テナントからテナントへの移行は、カスタマー ロックボックスが有効になっている場合、サポートされません。 環境を別のテナントに移動するには、カスタマー ロックボックスを無効にする必要があります。 移行が完了したら、カスタマー ロックボックスを再度有効にすることができます。
  • Last updated on