Accedere in modo sicuro ai dati dei clienti utilizzando Customer Lockbox in Power Platform e Dynamics 365

La maggior parte delle operazioni, del supporto e della risoluzione dei problemi eseguiti dal personale (inclusi i sub-responsabili) non richiedono l'accesso ai dati dei clienti. Microsoft Con Power Platform Customer Lockbox forniamo un'interfaccia affinché i clienti rivedano e approvino (o rifiutino) le richieste di accesso ai dati nelle rare occasioni in cui è necessario l'accesso ai dati dei clienti. Viene utilizzato nei casi in cui un tecnico deve accedere ai dati del cliente, sia tramite risposta, sia tramite un ticket di supporto avviato dal cliente o un problema identificato da Microsoft . Microsoft

Questo articolo illustra come abilitare Customer Lockbox e come le richieste di archivio protetto vengono avviate, tracciate e archiviate per revisioni e controlli successivi.

Nota

Customer Lockbox è disponibile nei cloud pubblici e nelle regioni US Government Community Cloud (GCC), GCC High e Department of Defense (DoD).

Riepilogo

Puoi abilitare Customer Lockbox per le tue origini dati all'interno del tuo tenant. L'abilitazione di Customer Lockbox applicherà il criterio solo per gli ambienti attivati per Ambienti gestiti. Power Platform Gli amministratori possono abilitare il criterio lockbox.

Per ulteriori informazioni, vai ad Abilitare il criterio dell'archivio protetto.

Nei rari casi in cui Microsoft si tenta di accedere ai dati del cliente archiviati in Power Platform (ad esempio, Dataverse), viene inviata una richiesta di lockbox agli Power Platform amministratori per l'approvazione. Per ulteriori informazioni, vai a Esaminare una richiesta di archivio protetto.

Tutti gli aggiornamenti a una richiesta di archivio protetto vengono registrati e resi disponibili all'organizzazione come log di controllo. Per ulteriori informazioni, vai a Controllare le richieste di archivio protetto.

Le applicazioni e i servizi Power Platform e Dynamics 365 archiviano i dati dei clienti in diverse tecnologie di archiviazione di Azure. Quando si abilita Customer Lockbox per un ambiente, i dati dei clienti associati al rispettivo ambiente sono protetti dal criterio Lockbox, indipendentemente dal tipo di archiviazione.

Nota

  • Attualmente, le applicazioni e i servizi in cui la policy lockbox verrà applicata una volta abilitata sono Power Apps (esclusi Schede per Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (escluse le funzionalità di GPT AI e Agent Builder), Dataverse, Customer Insights, servizio clienti, Communities, Guide, Connected Spaces, Finance (tranne Lifecycle Services), Project Operations (tranne Lifecycle Services), catena di approvvigionamento Management (tranne Lifecycle Services) e l'area delle funzionalità marketing in tempo reale dell'app Marketing.
  • Le funzionalità fornite dal servizio Azure OpenAI sono escluse dall'applicazione dei criteri Lockbox a meno che la documentazione del prodotto per una determinata funzionalità indichi che si applica Lockbox.
  • Nuance Conversational IVR è escluso dall'applicazione dei criteri Lockbox a meno che la documentazione del prodotto per una determinata funzionalità indichi che si applica Lockbox.
  • I contenuti di benvenuto del produttore sono esclusi dall'applicazione delle policy di Lockbox.
  • Devi disabilitare la ricerca Lucene.NET dal tuo sito web e passare alla ricerca di Dataverse per poter utilizzare Customer Lockbox. Ulteriori informazioni: La ricerca nei portali utilizzando la ricerca Lucene.NET è obsoleta.

Workflow

  1. La tua organizzazione ha un problema con Microsoft Power Platform e apre una richiesta di supporto con Microsoft Supporto. In alternativa, Microsoft identifica proattivamente un problema (ad esempio, viene attivata una notifica proattiva) e viene aperto un evento avviato da Microsoft per indagare e mitigare o correggere la causa principale.

  2. A Microsoft operatore esamina la richiesta/evento di supporto e tenta di risolvere il problema utilizzando strumenti standard e telemetria. Se è necessario l'accesso ai dati del cliente per un'ulteriore risoluzione dei problemi, un tecnico avvia un processo di approvazione interno per l'accesso ai dati del cliente, indipendentemente dal fatto che la policy lockbox sia abilitata o meno. Microsoft

  3. Inoltre, viene generata una richiesta di archivio protetto se il rispettivo archivio dati è associato a un ambiente protetto in base all'abilitazione del criterio di archivio protetto. Viene inviata una notifica via e-mail agli approvatori designati (Power Platform amministratori) in merito alla richiesta di accesso ai dati in sospeso da Microsoft.

    Importante

    L'ingegnere non potrà procedere con le indagini finché la richiesta di lockbox non sarà approvata dal cliente. Microsoft Ciò potrebbe causare ritardi nell'affrontare il ticket di supporto o interruzioni prolungate. Assicurati di monitorare le notifiche e-mail e/o le richieste di archivio protetto nell'interfaccia di amministrazione dell'interfaccia di amministrazione di Power Platform e rispondere in modo tempestivo per evitare interruzioni del servizio.

    Un esempio di richiesta di archivio protetto.

  4. L'approvatore accede all'interfaccia di amministrazione di Power Platform e approva la richiesta. Se la richiesta viene respinta o non approvata entro quattro giorni, scade e all'ingegnere non viene concesso alcun accesso. Microsoft

  5. Dopo che l'approvatore della tua organizzazione approva la richiesta, l'ingegnere ottiene le autorizzazioni elevate inizialmente richieste e risolve il problema. Microsoft Microsoft Gli ingegneri hanno a disposizione un lasso di tempo stabilito (8 ore) per risolvere il problema, dopodiché l'accesso viene automaticamente revocato.

Abilita il criterio dell'archivio protetto

Power Platform gli amministratori possono creare o aggiornare il criterio del lockbox in Power Platform interfaccia di amministrazione. L'abilitazione del criterio a livello di tenant si applicherà solo agli ambienti attivati per Ambienti gestiti. Potrebbero essere necessarie fino a 24 ore prima che tutte le origini dati e tutti gli ambienti vengano implementati con Customer Lockbox.

  1. Accedi all'interfaccia di amministrazione di Power Platform.

  2. Utilizza la pagina Impostazioni tenant per esaminare e gestire le impostazioni a livello di tenant. Per visualizzare le impostazioni a livello di tenant, seleziona l'icona Ingranaggio (Icona a forma di ingranaggio.) nell'angolo in alto a destra del sito Microsoft Power Platform e seleziona Impostazioni Power Platform>Impostazioni>Impostazioni tenant nel riquadro di navigazione a sinistra.

  3. Imposta Customer Lockbox su Abilita.

    Abilitare i criteri dell'archivio protetto.

Esaminare una richiesta di archivio protetto

  1. Accedi all'interfaccia di amministrazione di Power Platform.

  2. Seleziona Criteri>Customer Lockbox.

  3. Esamina i dettagli della richiesta.

    Campo Description
    ID richiesta di supporto L'ID del ticket di supporto associato alla richiesta di archivio protetto. Se la richiesta è il risultato di un avviso interno avviato da Microsoft, il valore sarà "Microsoft avviato".
    Environment Il nome visualizzato dell'ambiente in cui viene richiesto l'accesso ai dati.
    Stato Lo stato della richiesta di archivio protetto.
    • Azione necessaria: In attesa di approvazione da parte del cliente
    • Scaduto: Nessuna approvazione ricevuta dal cliente
    • Approvato: Approvato dal cliente
    • Negato: Negato dal cliente
    Richiesto Ora in cui l'ingegnere ha richiesto l'accesso ai dati del cliente nel suo ambiente. Microsoft
    Scadenza richiesta Il tempo entro il quale il cliente deve approvare la richiesta di archivio protetto. Lo stato della richiesta cambierà in Scaduto se non viene data alcuna approvazione entro questo momento.
    Periodo di accesso Il periodo di tempo in cui il richiedente desidera accedere ai dati del cliente. Questo valore è predefinito di 8 ore e non può essere modificato.
    Scadenza accesso Se l'accesso viene concesso, questo è il periodo di tempo durante il quale l'ingegnere ha accesso ai dati del cliente. Microsoft
  4. Seleziona una richiesta di archivio protetto, quindi seleziona Approva o Nega.

    Approvazione o rifiuto di richieste di archivio protetto

    Nota

    Le richieste di archivio protetto che si sono verificate negli ultimi 28 giorni vengono visualizzate nella tabella Recenti.

    Una volta approvata una richiesta, non può essere revocata per l'intera durata del periodo di accesso di 8 ore.

Controllo delle richieste di archivio protetto

Avviso

Lo schema documentato in questa sezione per gli eventi di controllo di Lockbox è deprecato e non sarà disponibile a partire da luglio 2024. Puoi controllare gli eventi Customer Lockbox dei clienti utilizzando il nuovo schema disponibile all'indirizzo Categoria di attività: operazioni Lockbox.

Le azioni relative all'accettazione, al rifiuto o alla scadenza di una richiesta di archivio protetto vengono registrate automaticamente inMicrosoft 365 Defender.

Pagina Microsoft 365 Defender.

Le tracce di controllo includono questi e altri campi per ogni richiesta di archivio protetto:

  • Identificatore univoco della richiesta
  • Ora di creazione della richiesta
  • ID organizzazione
  • ID utente (identificativo univoco per l' Microsoft operatore che esegue la richiesta)
  • Stato richiesta
  • ID del ticket di supporto associato
  • Richiesta ora di scadenza
  • Tempo di scadenza dell'accesso ai dati
  • ID ambiente
  • Richiesta giustificazione

La scheda Microsoft 365 Controllo consente agli amministratori di cercare eventi associati alle sessioni di archivio protetto. Visualizza la categoria Archivio protetto di Power Platform per gli eventi di archivio protetto di Power Platform correlati.

Seleziona la categoria dell'archivio protetto di Power Platform.

Gli amministratori possono esportare direttamente il set di risultati in base ai criteri di filtro.

Customer Lockbox produce due tipi di log di controllo:

  1. Registri avviati da Microsoft e corrispondenti alla creazione, alla scadenza o alla fine delle sessioni di accesso della richiesta di lockbox. Questo set di registri di controllo non corrisponde a un ID utente specifico poiché le azioni vengono avviate da Microsoft.
  2. Log avviati dalle azioni dell'utente finale, ad esempio quando un utente approva o rifiuta una richiesta di lockbox. Se l'utente che esegue queste operazioni non dispone di una licenza E5 assegnata, i log vengono filtrati e non verranno visualizzati nei log di controllo.

Per impostazione predefinita, i log di controllo vengono conservati per una durata di un anno. È necessaria una licenza aggiuntiva per la conservazione dei log di controllo per 10 anni per conservare i record di controllo per 10 anni. Vedi Audit (Premium) per maggiori dettagli sulla conservazione dei log di controllo.

Requisiti di licenza per Customer Lockbox

I criteri Customer Lockbox verranno applicati solo ad ambienti attivati per ambienti gestiti. Ambienti gestiti è incluso come diritto in licenze autonome di Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e Dynamics 365 che conferiscono diritti di utilizzo premium. Per ulteriori informazioni sulle licenze degli ambienti gestiti, vedi Licenze e Panoramica delle licenze per Microsoft Power Platform.

Inoltre, l'accesso a Customer Lockbox per Microsoft Power Platform e Dynamics 365 richiede che gli utenti negli ambienti in cui viene applicato il criterio Lockbox dispongano di una di queste sottoscrizioni:

  • Microsoft 365 o Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Sicurezza e conformità di Microsoft 365 F5
  • Gestione dei rischi Insider di Microsoft 365 A5/E5/F5/G5
  • Protezione delle informazioni e governance di Microsoft 365 A5/E5/F5/G5 Ulteriori informazioni sulle licenze applicabili.

Esclusioni

  • Le richieste di archivio protetto non vengono attivate nei seguenti scenari di supporto tecnico:

    • Scenari di emergenza che non rientrano nelle procedure operative standard, come un'interruzione grave del servizio che richiede un'attenzione immediata per ripristinare i servizi in casi imprevisti o imprevedibili. Questi eventi "rottura vetri" sono rari e, nella maggior parte dei casi, non richiedono alcun accesso ai dati dei clienti per essere risolti.

    • Un tecnico accede alla piattaforma sottostante nell'ambito della risoluzione dei problemi e viene inavvertitamente esposto ai dati dei clienti. Microsoft È raro che tali scenari comportino l'accesso a quantità significative di dati sui clienti.

  • Anche le richieste di archivio protetto dei clienti non vengono attivate da richieste legali esterne per i dati. Per maggiori dettagli, fare riferimento alla discussione sulle richieste di dati da parte del governo nel Trust Center Microsoft .

  • Customer Lockbox non si applicherà all'accesso e alla revisione manuale dei dati dei clienti condivisi per le funzionalità di IA di Copilot. Customer Lockbox rimarrà abilitato per tutti i dati nell'ambito.

Problemi noti

  • La migrazione da tenant a tenant non è supportata quando Customer Lockbox è abilitato. È necessario disabilitare Customer Lockbox per spostare un ambiente su un altro tenant. Puoi riattivare Customer Lockbox una volta completata la migrazione.