Microsoft Purview Customer Lockbox

Cet article fournit des conseils de déploiement et de configuration pour Customer Lockbox. Customer Lockbox prend en charge les demandes d’accès aux données dans Exchange Online, SharePoint, OneDrive, Teams et Windows 365. En outre, toutes les interactions Microsoft 365 Copilot sont couvertes par Customer Lockbox via le support disponible pour Exchange Online. Pour recommander la prise en charge d’autres services, envoyez une demande sur le portail de commentaires.

Pour voir les options de gestion des licences de vos utilisateurs afin de tirer parti des offres Microsoft Purview, consultez le Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité.

Customer Lockbox garantit que Microsoft ne peut pas accéder à votre contenu pour effectuer des opérations de service sans votre approbation explicite. Customer Lockbox vous permet d’accéder au processus de flux de travail d’approbation que Microsoft utilise pour garantir que seules les demandes autorisées autorisent l’accès à votre contenu. Pour en savoir plus sur le processus de flux de travail de Microsoft, consultez Gestion des accès privilégiés.

Parfois, les ingénieurs Microsoft aident à résoudre les problèmes qui surviennent avec le service. En règle générale, les ingénieurs résolvent les problèmes à l’aide des outils de télémétrie et de débogage étendus que Microsoft a mis en place pour ses services. Toutefois, dans certains cas, un ingénieur Microsoft doit accéder à votre contenu pour déterminer la cause racine et résoudre le problème. Customer Lockbox exige que l’ingénieur vous demande l’accès comme dernière étape du flux de travail d’approbation. Cela vous donne la possibilité d’approuver ou de refuser la demande pour votre organization, et de fournir un contrôle d’accès direct à votre contenu.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Vidéo de vue d’ensemble de Customer Lockbox

Flux de travail Customer Lockbox

Ces étapes décrivent le flux de travail classique lorsqu’un ingénieur Microsoft démarre une requête Customer Lockbox :

  1. Une personne d’une organisation rencontre un problème avec sa boîte aux lettres Microsoft 365.

  2. Si l’utilisateur trouve la solution au problème, mais qu’il ne parvient pas à le corriger, il envoie une demande d’assistance au Support Microsoft.

  3. Un ingénieur du support Technique Microsoft examine la demande de service et détermine qu’il est nécessaire d’accéder au locataire de l’organization pour résoudre le problème.

  4. L’ingénieur du support Microsoft se connecte à l’outil de demande Customer Lockbox et effectue une demande d’accès aux données qui inclut le nom du locataire de l’organization, le numéro de demande de service, l’heure de début prévue de l’accès (démarre immédiatement après approbation si elle n’est pas spécifiée), la durée estimée pendant laquelle l’ingénieur doit accéder aux données et le service pour lequel la demande est destinée.

  5. Une fois la demande approuvée par le gestionnaire du support technique Microsoft, Customer Lockbox envoie à l’approbateur désigné dans l’organisation une notification par e-mail concernant la demande d’accès en attente de Microsoft.

    Exemple de notification par e-mail Customer Lockbox.

    Toute personne à qui le rôle d’administrateur d’approbateur d’accès Customer Lockbox est attribué dans Centre d’administration Microsoft 365 peut approuver les demandes Customer Lockbox.

  6. L’approbateur se connecte à l’Centre d’administration Microsoft 365 et approuve la demande. Cette étape déclenche la création d’un enregistrement d’audit disponible en effectuant une recherche dans le journal d’audit. Pour plus d’informations, consultez Audit des requêtes Customer Lockbox.

    Si le client rejette la demande ou n’approuve pas la demande dans les 12 heures, la demande expire et aucun accès n’est accordé à l’ingénieur Microsoft.

    Importante

    Microsoft n’inclut aucun lien dans Customer Lockbox Notifications par e-mail vous obligeant à vous connecter à Office 365.

  7. Une fois que l’approbateur du organization a approuvé la demande, l’ingénieur Microsoft reçoit le message d’approbation, se connecte au locataire et résout le problème du client. Les ingénieurs Microsoft ont la durée demandée pour résoudre le problème après lequel l’accès est automatiquement révoqué.

Remarque

Chaque action effectuée par un ingénieur Microsoft est enregistrée dans le journal d’audit. Vous pouvez rechercher et consulter ces enregistrements d’audit.

Activer ou désactiver les demandes Customer Lockbox

Vous pouvez activer les contrôles Customer Lockbox dans le Centre d’administration Microsoft 365. Lorsque vous activez Customer Lockbox, Microsoft doit obtenir l’approbation de votre organization avant d’accéder au contenu de votre locataire.

  1. À l’aide d’un compte professionnel ou scolaire auquel le rôle d’approbateur d’accès Administrateur général ou Customer Lockbox est attribué, accédez à https://admin.microsoft.com et connectez-vous.

  2. Choisissez Paramètres Paramètres>De l’organisation Sécurité>& Confidentialité.

  3. Sélectionnez Sécurité & Confidentialité, puis Sélectionnez Customer Lockbox dans la colonne de gauche. Cochez la case Exiger l’approbation pour toutes les demandes d’accès aux données et enregistrez les modifications pour activer la fonctionnalité.

    Require approval for Customer Lockbox

Approuver ou refuser une demande d’accès au Customer Lockbox

  1. À l’aide d’un compte professionnel ou scolaire auquel le rôle d’approbateur d’accès Administrateur général ou Customer Lockbox est attribué, accédez à https://admin.microsoft.com et connectez-vous.

  2. Choisissez Demandes de support > customer lockbox.

    Cliquez sur Support, puis sur Demandes customer Lockbox.

    Une liste de demandes Customer Lockbox s’affiche.

    Liste des demandes Customer Lockbox.

  3. Sélectionnez une demande Customer Lockbox, puis choisissez Approuver ou Refuser.

    Approuver les demandes Customer Lockbox.

    Un message de confirmation sur l’approbation de la demande Customer Lockbox s’affiche.

    Refuser les demandes Customer Lockbox.

Remarque

Utilisez l’applet de commande Set-AccessToCustomerDataRequest pour approuver, refuser ou annuler les demandes microsoft Purview Customer Lockbox qui contrôlent l’accès à vos données par les ingénieurs du support technique Microsoft. Pour plus d’informations, consultez Set-AccessToCustomerDataRequest.

Audit des demandes d’accès au Customer Lockbox

Les enregistrements d’audit qui correspondent aux demandes Customer Lockbox sont enregistrés dans le journal d’audit Microsoft 365. Vous pouvez accéder à ces journaux à l’aide de l’outil de recherche dans les journaux d’audit dans le portail de conformité Microsoft Purview. Les actions liées à l’acceptation ou au refus d’une demande Customer Lockbox et les actions effectuées par les ingénieurs Microsoft (lorsque les demandes d’accès sont approuvées) sont également enregistrées dans le journal d’audit. Vous pouvez rechercher et consulter ces enregistrements d’audit.

Avant de pouvoir utiliser le journal d’audit pour suivre les demandes de Customer Lockbox, vous devez effectuer certaines étapes pour configurer la journalisation d’audit, notamment l’attribution d’autorisations pour rechercher dans le journal d’audit. Pour plus d’informations, consultez Prise en main des solutions d’audit. Une fois que vous avez terminé la configuration, procédez comme suit pour créer une requête de recherche dans les journaux d’audit afin de retourner les enregistrements d’audit liés à Customer Lockbox :

  1. Accédez à https://compliance.microsoft.com.

  2. Connectez-vous à l’aide d’un compte auquel les autorisations appropriées ont été attribuées pour rechercher dans le journal d’audit.

  3. Dans le volet gauche du centre de conformité, choisissez Auditer.

    L’onglet Recherche de la page Audit s’affiche.

    Page de recherche dans le journal d’audit.

  4. Configurez les critères de recherche suivants :

    1. Date de début et date de fin. Sélectionnez une plage de dates et d’heures pour afficher les événements survenus pendant cette période.

    2. Activités. Laissez ce champ vide afin que la recherche retourne des enregistrements d’audit pour toutes les activités. Cela est nécessaire pour retourner tous les enregistrements d’audit liés aux demandes Customer Lockbox et à l’activité correspondante effectuée par les ingénieurs Microsoft.

    3. Utilisateurs. Laissez ce champ vide.

    4. fichier, dossier ou site. Laissez ce champ vide.

  5. Cliquez sur Rechercher pour effectuer la recherche à l’aide de vos critères de recherche.

    Les résultats de la recherche s’affichent après quelques instants. D’autres résultats de recherche seront ajoutés à la page jusqu’à ce que la recherche soit terminée.

  6. Cliquez sur l’en-tête dans la colonne Activité pour trier les résultats par ordre alphabétique en fonction des valeurs de la colonne Activité .

  7. Faites défiler vers le bas et recherchez les enregistrements d’audit avec une activité Set-AccessToCustomerDataRequest. Les enregistrements avec cette activité sont liés à un approbateur dans votre organization l’approbation ou le refus d’une demande Customer Lockbox.

  8. Vous pouvez également cliquer sur l’en-tête dans la colonne Utilisateur pour trier les résultats par ordre alphabétique à l’aide des valeurs de la colonne Utilisateur . Recherchez la valeur de Microsoft Operator, qui indique les activités effectuées par un ingénieur Microsoft en réponse à une demande Customer Lockbox approuvée. La colonne Activité affiche l’action effectuée par l’ingénieur.

    Filtrer sur « Microsoft Operator » pour afficher les enregistrements d’audit

  9. Dans la liste des résultats, cliquez sur un enregistrement d’audit pour l’afficher.

Exporter les résultats de la recherche dans le journal d’audit

Vous pouvez également exporter les résultats de la recherche dans le journal d’audit dans un fichier CSV, puis ouvrir le fichier dans Excel pour utiliser les fonctionnalités de filtrage et de tri afin de faciliter la recherche et l’affichage des enregistrements d’audit liés à une demande d’accès Customer Lockbox.

Pour exporter des enregistrements d’audit, utilisez les étapes précédentes pour effectuer une recherche dans le journal d’audit. Une fois la recherche terminée, sélectionnez Exporter > Télécharger tous les résultats en haut de la page des résultats de la recherche. Une fois le processus d’exportation terminé, vous pouvez télécharger le fichier CSV sur votre ordinateur local. Pour obtenir des instructions plus détaillées, consultez Exporter, configurer et afficher les enregistrements du journal d’audit.

Après avoir téléchargé le fichier, vous pouvez l’ouvrir dans Excel, puis filtrer sur la colonne Opérations pour afficher les enregistrements d’audit pour les activités Set-AccessToCustomerDataRequest . Vous pouvez également filtrer sur la colonne UserIds (à l’aide de la valeur Opérateur Microsoft) pour afficher les enregistrements d’audit des activités effectuées par les ingénieurs Microsoft.

Remarque

Lorsque vous affichez des enregistrements d’audit dans le fichier CSV, des informations supplémentaires sont contenues dans la colonne AuditData . Les informations contenues dans cette colonne sont contenues dans un objet JSON, qui contient plusieurs propriétés configurées en tant que paires propriété :valeur séparées par des virgules. Vous pouvez utiliser la fonctionnalité de transformation JSON dans le Éditeur Power Query dans Excel pour fractionner chaque propriété de l’objet JSON de la colonne AuditData en plusieurs colonnes afin que chaque propriété ait sa propre colonne. Cela facilite l’interprétation de ces informations. Pour obtenir des instructions détaillées, consultez Mettre en forme le journal d’audit exporté à l’aide de la Éditeur Power Query.

Utiliser PowerShell pour rechercher et exporter des enregistrements d’audit

Une alternative à l’utilisation de l’outil de recherche d’audit dans le portail de conformité Microsoft Purview consiste à exécuter l’applet de commande Search-UnifiedAuditLog dans Exchange Online PowerShell. L’un des avantages de l’utilisation de PowerShell est que vous pouvez rechercher spécifiquement des activités Set-AccessToCustomerDataRequest ou des activités effectuées par des ingénieurs Microsoft liées à une requête Customer Lockbox.

Après vous être connecté à Exchange Online PowerShell, exécutez l’une des commandes suivantes. Remplacez les espaces réservés par une plage de dates spécifique.

Rechercher Set-AccessToCustomerDataRequest des activités

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest

Rechercher les activités effectuées par les ingénieurs Microsoft

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"

Pour plus d’informations et d’exemples, consultez Utiliser PowerShell pour rechercher et exporter des enregistrements de journal d’audit.

Nous avons également fourni un script PowerShell que vous pouvez utiliser pour rechercher dans le journal d’audit et exporter les résultats dans un fichier CSV. Pour plus d’informations, consultez Utiliser un script PowerShell pour rechercher dans le journal d’audit.

Enregistrement d’audit pour une requête Customer Lockbox

Lorsqu’une personne de votre organization approuve ou refuse une demande Customer Lockbox, l’enregistrement d’audit est enregistré dans le journal d’audit contient les informations suivantes.

Propriété de l’enregistrement d’audit Description
Date La date et heure d’approbation ou de refus de la demande d’accès au Customer Lockbox.
Adresse IP L’adresse IP de l’ordinateur utilisé par l’approbateur pour approuver ou refuser une demande.
Utilisateur Le compte de service BOXServiceAccount@[customerforest].prod.outlook.com.
Activité Set-AccessToCustomerDataRequest :il s’agit de l’activité d’audit enregistrée lorsque vous approuvez ou refusez une demande d’accès au Customer Lockbox.
Élément GUID de la requête Customer Lockbox

La capture d’écran suivante montre un exemple d’enregistrement d’audit qui correspond à une demande Customer Lockbox approuvée. Si une demande Customer Lockbox a été refusée, la valeur du ApprovalDecision paramètre est Deny.

Enregistrement d’audit pour une demande Customer Lockbox approuvée.

L’enregistrement d’audit d’une action effectuée par un ingénieur Microsoft

Les actions exécutées par un ingénieur Microsoft après l’approbation d’une demande d’accès au Customer Lockbox (et susceptible d’entraîner l’accès à du contenu client) sont enregistrées dans le journal d’audit. Ces enregistrements contiennent les informations suivantes.

Propriété de l’enregistrement d’audit Description
Date Date et heure d’exécution de l’action. L’heure d’exécution de cette action sera dans les 4 heures suivant l’approbation de la demande Customer Lockbox.
Adresse IP L’adresse IP de l’ordinateur utilisé par l’ingénieur Microsoft.
Utilisateur Opérateur Microsoft ; cette valeur indique que l’enregistrement est lié à une requête Customer Lockbox.
Activité Le nom de l’activité effectuée par l’ingénieur Microsoft.
Élément <vide>

Foire aux questions

À quels services Microsoft 365 Customer Lockbox s’applique-t-il ?

Customer Lockbox est actuellement pris en charge dans Exchange Online, SharePoint Online, OneDrive Entreprise, Teams et Windows 365.

Customer Lockbox est-il disponible pour tous les clients ?

Customer Lockbox est inclus dans les abonnements Microsoft 365 ou Office 365 E5 et peut être ajouté à d’autres plans avec un Information Protection et conformité ou un abonnement de complément de conformité avancée. Pour les clients du secteur public, Customer Lockbox est inclus avec l’abonnement Microsoft 365 ou Office 365 G5. Pour plus d’informations, consultez Plans et tarifs .

Qu’est-ce que le contenu client ?

Le contenu client est les données créées par les utilisateurs des services et applications Microsoft 365. Les exemples de contenu client sont les suivants :

  • Corps ou pièces jointes d’e-mails

  • Contenu du site SharePoint

  • Informations dans le corps d’un fichier SharePoint

  • Skype Entreprise corps du fichier de présentation

  • Messages instantanés (IM) ou conversations vocales

  • Texte entré dans les conversations Teams et les canaux Teams, par exemple, les conversations 1:1, les conversations de groupe, les canaux partagés, les canaux privés et les conversations de réunion

  • Autres données collées dans des threads de conversation Teams, telles que des extraits de code, des images, des messages audio et vidéo et des liens

  • Données d’application et de bot dans les conversations teams et les canaux Teams

  • Flux d’activité Teams

  • Enregistrements et transcriptions de réunions Teams

  • Messagerie vocale

  • Fichiers publiés dans les conversations Teams et les canaux Teams

  • interactions Microsoft 365 Copilot

  • Blob généré par le client ou données de stockage structurées (par exemple, les conteneurs SQL)

  • Informations de sécurité appartenant au client (par exemple, certificats, clés de chiffrement et mots de passe)

  • Inférences et toutes les inférences suivantes, si le contenu client reste

Pour plus d’informations sur le contenu client dans Office 365, consultez le Centre de gestion de la confidentialité Office 365.

Qui est averti en cas de demande d’accès à mon contenu ?

Les administrateurs généraux et toute personne affectée au rôle d’administrateur d’approbateur d’accès Customer Lockbox sont avertis. Il s’agit également des mêmes utilisateurs qui peuvent approuver les demandes Customer Lockbox.

Qui peut approuver ou rejeter ces demandes dans mon organization ?

Les administrateurs généraux et toute personne affectée au rôle d’administrateur d’approbateur d’accès Customer Lockbox peuvent approuver les demandes Customer Lockbox. Les clients contrôlent ces attributions de rôles dans leur organisation.

Comment faire optez pour Customer Lockbox ?

Un administrateur général peut activer et configurer Customer Lockbox dans le Centre d’administration Microsoft 365.

Si j’approuve une demande Customer Lockbox, que peut faire l’ingénieur et comment savoir ce que l’ingénieur Microsoft a fait ?

Une fois que vous avez approuvé une demande Customer Lockbox, l’ingénieur Microsoft a accordé ces privilèges nécessaires pour accéder au contenu client à l’aide d’applets de commande pré-approuvées. Les actions effectuées par les ingénieurs Microsoft en réponse aux demandes Customer Lockbox sont journalisées et accessibles dans le journal d’audit du Centre de conformité & de sécurité.

Comment faire savez que Microsoft suit le processus d’approbation ?

Vous pouvez faire référence aux notifications d’approbation par e-mail envoyées aux administrateurs et aux approbateurs dans votre organization avec l’historique des demandes Customer Lockbox dans le Centre d’administration Microsoft 365.

Customer Lockbox est inclus dans le dernier rapport d’audit SOC 1 SSAE 16. Pour plus d’informations, vous trouverez les derniers rapports dans le portail d’approbation de service Microsoft.

Microsoft peut-il modifier la liste des approbateurs pour mon locataire ? Si ce n’est pas le cas, comment est-il évité ?

Seul un administrateur général de votre organization peut spécifier qui peut approuver les demandes Customer Lockbox. Cela signifie que seuls les membres du groupe Administrateur général dans Microsoft Entra ID peuvent spécifier qui peut approuver la demande. L’appartenance au groupe Administrateur général dans Microsoft Entra ID est gérée uniquement par votre organization.

Que se passe-t-il si j’ai besoin d’informations supplémentaires sur une demande d’accès au contenu pour l’approuver ?

Chaque demande Customer Lockbox contient un numéro de demande de service Microsoft 365. Vous pouvez contacter Support Microsoft et référencer ce numéro de service pour obtenir plus d’informations sur la demande.

Quand une demande Customer Lockbox est approuvée, combien de temps les autorisations sont-elles valides ?

La durée maximale des autorisations d’accès octroyées à l’ingénieur Microsoft est actuellement de 4 heures. L’ingénieur Microsoft peut également demander une durée plus courte.

Comment puis-je obtenir un historique de toutes les demandes Customer Lockbox ?

Toutes les demandes Customer Lockbox sont consultées dans le Centre d’administration Microsoft 365.

Le flux d’activité du Centre de conformité contient les activités de journal de Customer Lockbox. Les clients peuvent faire référence aux activités du journal Customer Lockbox à partir du flux d’activité par rapport à la demande d’e-mail qu’ils reçoivent.

Que se passe-t-il lorsqu’un client ne répond pas à une requête Customer Lockbox ?

Les demandes d’accès Customer Lockbox ont une durée par défaut de 12 heures. Si vous ne répondez pas à une demande dans un délai de 12 heures, la demande expire.

Que fait Microsoft lorsqu’un client rejette une demande Customer Lockbox ?

Si un client rejette une demande Customer Lockbox, aucun accès au contenu client n’est effectué. Si un utilisateur de votre organization continue de rencontrer un problème de service obligeAnt Microsoft à accéder au contenu client pour résoudre le problème, le problème de service peut persister et Microsoft en informera l’utilisateur.

Comment faire configurer des alertes chaque fois qu’une demande a été approuvée ?

Il n’existe aucune option intégrée pour alerter les administrateurs. Toutefois, les administrateurs peuvent configurer des alertes à l’aide de Microsoft Defender for Cloud Apps.

Customer Lockbox protège-t-il contre les demandes de données provenant d’organismes d’application de la loi ou d’autres tiers ?

Non. Microsoft prend au sérieux les demandes tierces de données client. En tant que fournisseur de services cloud, Microsoft préconise toujours la confidentialité des données client. Dans le cas où nous obtenons une assignation, Microsoft tente toujours de rediriger le tiers vers le client pour obtenir les informations. (Lisez le blog de Brad Smith : Protecting customer data from government snooping). Nous publions régulièrement des informations détaillées sur les demandes d’application de la loi que Microsoft reçoit.

Pour plus d’informations, consultez le Centre de gestion de la confidentialité Microsoft concernant les demandes de données tierces et la section « Divulgation des données client » dans les Conditions des services en ligne .

Comment Microsoft s’assure-t-il qu’un membre de son personnel n’a pas d’accès permanent au contenu client dans Office 365 applications ?

Microsoft implémente des mesures préventives étendues via des systèmes de contrôle d’accès et des mesures de détection pour identifier et résoudre les tentatives de contournement de ces systèmes de contrôle d’accès. Microsoft 365 fonctionne avec les principes de privilège minimum et d’accès juste-à-temps. Par conséquent, aucun personnel Microsoft n’a l’autorisation d’accéder au contenu client de manière continue. Si l’autorisation est accordée, elle est pour une durée limitée.

Microsoft 365 utilise un système de contrôle d’accès appelé Lockbox pour traiter les demandes d’autorisations qui permettent d’effectuer des fonctions opérationnelles et administratives au sein du service. Un opérateur doit demander l’accès au contenu client à l’aide de Lockbox, ce qui nécessite ensuite qu’une deuxième personne prenne des mesures sur la demande (par exemple, l’approuver) avant que l’accès ne soit accordé. Cette deuxième personne ne peut pas être le demandeur et doit être désignée pour approuver l’accès au contenu du client. Ce n’est que si la demande est approuvée que l’opérateur acquiert un accès temporaire au contenu client. Une fois la période d’élévation expirée, Lockbox révoque l’accès.

Pour plus d’informations sur les pratiques de sécurité générales de Microsoft, reportez-vous aux Conditions des services en ligne .

Dans quelles circonstances les ingénieurs Microsoft ont-ils besoin d’accéder à mon contenu ?

Le scénario le plus courant dans lequel les ingénieurs Microsoft ont besoin d’accéder au contenu client est lorsque le client effectue une demande de support qui nécessite un accès pour la résolution des problèmes. L’un des principes fondamentaux de Microsoft 365 est que le service fonctionne sans accès Microsoft au contenu client. Presque toutes les opérations de service effectuées par Microsoft sont entièrement automatisées et l’implication humaine est hautement contrôlée et abstraite du contenu client. L’objectif de Microsoft 365 est l’accès au contenu client pour prendre en charge le service n’est pas nécessaire tant que le client n’a pas approuvé une demande spécifique d’accès à Microsoft.

Je pensais déjà que mes données étaient sécurisées avec le cloud Microsoft, alors pourquoi ai-je besoin de Customer Lockbox ?

Customer Lockbox fournit une couche de contrôle supplémentaire en offrant aux clients la possibilité d’accorder une autorisation d’accès explicite pour les opérations de service. En démontrant que des procédures sont en place pour l’autorisation d’accès explicite aux données, Customer Lockbox aide également les clients à respecter certaines obligations de conformité telles que HIPAA et FEDRAMP.