Microsoft Purview カスタマー ロックボックス
この記事では、Customer Lockbox のデプロイと構成に関するガイダンスを提供します。 カスタマー ロックボックスでは、Exchange Online、SharePoint、OneDrive、Teams、Windows 365内のデータにアクセスするための要求がサポートされています。 さらに、すべてのMicrosoft 365 Copilot操作は、Exchange Onlineで利用可能なサポートを通じてカスタマー ロックボックスによってカバーされます。 他のサービスのサポートを推奨するには、 フィードバック ポータルで要求を送信します。
Microsoft Purview オファリングの恩恵を受けるためにユーザーにライセンスを付与するためのオプションについては、 セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンスを参照してください。
カスタマー ロックボックスを使用すると、明示的な承認なしにサービス操作を実行するために、Microsoft がコンテンツにアクセスできなくなります。 カスタマー ロックボックスは、Microsoft で使用する承認ワークフロー プロセスを導入し、承認された要求のみコンテンツにアクセスできるようにします。 Microsoft のワークフロー プロセスの詳細については、「 特権アクセス管理」を参照してください。
場合によっては、Microsoft エンジニアがサービスで発生する問題のトラブルシューティングと修正に役立ちます。 通常、エンジニアは、Microsoft がサービスに用意している広範なテレメトリとデバッグ ツールを使用して問題を修正します。 ただし、場合によっては、Microsoft エンジニアがコンテンツにアクセスして根本原因を特定し、問題を解決する必要があります。 カスタマー ロックボックスでは、エンジニアが承認ワークフローの最後の手順としてユーザーにアクセスを要求する必要があります。 これにより、organizationの要求を承認または拒否したり、コンテンツへの直接アクセス制御を提供したりできます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
カスタマー ロックボックスの概要ビデオ
カスタマー ロックボックスのワークフロー
次の手順では、Microsoft エンジニアがカスタマー ロックボックス要求を開始するときの一般的なワークフローについて説明します。
組織の誰かが Microsoft 365メールボックスで問題を経験しています。
問題のトラブルシューティングを行った後、問題を修正できない場合は、Microsoft サポートにサポート リクエストを開きます。
Microsoft サポート エンジニアがサービス要求を確認し、問題を修復するためにorganizationのテナントにアクセスする必要があるかどうかを判断します。
Microsoft サポート エンジニアは Customer Lockbox 要求ツールにログインし、organizationのテナント名、サービス要求番号、予想されるアクセス開始時刻 (指定されていない場合は承認後すぐに開始)、エンジニアがデータにアクセスする必要がある推定時間、および要求の対象となるサービスを含むデータ アクセス要求を行います。
Microsoft サポート マネージャーが要求を承認した後、カスタマー ロックボックスは、Microsoft からの保留中のアクセス要求に関する電子メール通知を組織内の指定された承認者に送信します。
Microsoft 365 管理センターで Customer Lockbox アクセス承認者管理者ロールが割り当てられているすべてのユーザーは、Customer Lockbox 要求を承認できます。
承認者はMicrosoft 365 管理センターにサインインし、要求を承認します。 この手順では、監査ログの検索によって使用可能な監査レコードの作成が開始されます。 詳細については、「 顧客ロックボックス要求の監査」を参照してください。
顧客が要求を拒否した場合、または 12 時間以内に要求を承認しなかった場合、要求は期限切れになり、Microsoft エンジニアにアクセス権は付与されません。
重要
Microsoft は、Office 365へのサインインを要求するカスタマー ロックボックスの電子メール通知にリンクを含めません。
organizationの承認者が要求を承認すると、Microsoft エンジニアは承認メッセージを受け取り、テナントにログインし、顧客の問題を修正します。 Microsoft のエンジニアには問題を修正する要求期間があり、その後、アクセスは自動的に取り消されます。
注:
Microsoft のエンジニアによって実行されるすべての操作は、監査ログに記録されます。 これらの監査レコードを検索して確認することができます。
カスタマー ロックボックス要求のオンとオフを切り替える
Microsoft 365 管理センターで、カスタマー ロックボックス コントロールを有効にできます。 Customer Lockbox をオンにすると、Microsoft はテナントのコンテンツにアクセスする前に、organizationの承認を取得する必要があります。
グローバル管理者または Customer Lockbox アクセス承認者 ロールが割り当てられている職場または学校アカウントを使用して、 https://admin.microsoft.com に移動してサインインします。
[設定>Org 設定>セキュリティ & プライバシー] を選択します。
[ セキュリティ & プライバシー] を選択し、左側の列で [ Customer Lockbox ] を選択します。 [ すべてのデータ アクセス要求に対して承認を要求する ] チェック ボックスをオンにし、変更を保存して機能を有効にします。
カスタマー ロックボックス要求を承認または拒否する
グローバル管理者または Customer Lockbox アクセス承認者 ロールが割り当てられている職場または学校アカウントを使用して、 https://admin.microsoft.com に移動してサインインします。
[ カスタマー ロックボックス要求 > サポート] を選択します。
顧客ロックボックス要求の一覧が表示されます。
顧客ロックボックス要求を選択し、[ 承認 ] または [ 拒否] を選択します。
カスタマー ロックボックス要求の承認に関する確認メッセージが表示されます。
注:
Set-AccessToCustomerDataRequest コマンドレットを使用して、Microsoft サポート エンジニアによるデータへのアクセスを制御する Microsoft Purview Customer Lockbox 要求を承認、拒否、または取り消します。 詳細については、「 Set-AccessToCustomerDataRequest」を参照してください。
カスタマー ロックボックス要求を監査する
Customer Lockbox 要求に対応する監査レコードは、Microsoft 365 監査ログに記録されます。 これらのログには、Microsoft Purview コンプライアンス ポータルの監査ログ検索ツールを使用してアクセスできます。 顧客ロックボックス要求の受け入れまたは拒否に関連するアクションと、Microsoft エンジニアが実行したアクション (アクセス要求が承認された場合) も監査ログに記録されます。 これらの監査レコードを検索して確認することができます。
監査ログで、Customer Lockbox 要求に関連するアクティビティを検索します
監査ログを使用して Customer Lockbox の要求を追跡する前に、監査ログを検索するためのアクセス許可の割り当てなど、監査ログの設定に必要な手順がいくつかあります。 詳細については、「 監査ソリューションの概要」を参照してください。 セットアップが完了したら、次の手順を使用して監査ログ検索クエリを作成し、Customer Lockbox に関連する監査レコードを返します。
監査ログを検索するための適切なアクセス許可が割り当てられているアカウントを使用してサインインします。
コンプライアンス センターの左側のウィンドウで、[監査] を選択 します。
[監査] ページの [検索] タブが表示されます。
次の検索条件を設定します。
開始日 と 終了日。 日付と時間の範囲を選択し、その期間内に発生したイベントを表示します。
[アクティビティ]。 検索によってすべてのアクティビティの監査レコードが返されるようにするには、このフィールドを空白のままにします。 これは、Microsoft エンジニアによって実行されたカスタマー ロックボックス要求と対応するアクティビティに関連するすべての監査レコードを返すために必要です。
ユーザー。 このフィードは空白のままにしておきます。
ファイル、フォルダ、またはサイト。 このフィードは空白のままにしておきます。
[検索] をクリックして、設定した検索条件で検索を実行します。
検索結果は、しばらくすると表示されます。 検索が完了するまで、さらに検索結果がページに追加されます。
[アクティビティ] 列のヘッダーをクリックして、[アクティビティ] 列の値に基づいて結果をアルファベット順に並べ替えます。
下にスクロールし、 Set-AccessToCustomerDataRequest のアクティビティを含む監査レコードを探します。 このアクティビティを含むレコードは、顧客ロックボックス要求を承認または拒否するorganizationの承認者に関連します。
または、[ ユーザー ] 列のヘッダーをクリックして、 User 列の値を使用して結果をアルファベット順に並べ替えます。 Microsoft オペレーターの値を探します。これは、承認されたカスタマー ロックボックス要求に応答して Microsoft エンジニアが実行したアクティビティを示します。 [ アクティビティ] 列には、エンジニアによって実行されたアクションが表示されます。
結果の一覧で、監査レコードをクリックして表示します。
監査ログの検索結果をエクスポートする
また、監査ログの検索結果を CSV ファイルにエクスポートし、Excel でファイルを開いて、フィルター処理と並べ替え機能を使用して、Customer Lockbox アクセス要求に関連する監査レコードを簡単に見つけて表示することもできます。
監査レコードをエクスポートするには、前の手順を使用して監査ログを検索します。 検索が完了したら、[エクスポート] を選択>検索結果ページの上部にあるすべての結果をダウンロードします。 エクスポート プロセスが完了したら、CSV ファイルをローカル コンピューターにダウンロードできます。 詳細な手順については、「 監査ログ レコードのエクスポート、構成、および表示」を参照してください。
ファイルをダウンロードした後、Excel でファイルを開き、[ 操作 ] 列でフィルター処理して 、Set-AccessToCustomerDataRequest アクティビティの監査レコードを表示できます。 [ UserIds ] 列 (値 Microsoft Operator を使用) でフィルター処理して、Microsoft エンジニアが実行したアクティビティの監査レコードを表示することもできます。
注:
CSV ファイルで監査レコードを表示する場合、追加情報は AuditData 列に含まれます。 この列の情報は JSON オブジェクトに含まれています。これには、コンマで区切られた property:value ペアとして構成された複数のプロパティが含まれています。 Excel のPower Query エディターの JSON 変換機能を使用して、AuditData 列の JSON オブジェクト内の各プロパティを複数の列に分割して、各プロパティに独自の列を含めることができます。 これにより、この情報を簡単に解釈できます。 詳細については、「Power Query エディターを使用してエクスポートされた監査ログを書式設定する」を参照してください。
PowerShell を使用して監査レコードを検索およびエクスポートする
Microsoft Purview コンプライアンス ポータルで監査検索ツールを使用する代わりに、Exchange Online PowerShell で Search-UnifiedAuditLog コマンドレットを実行することもできます。 PowerShell を使用する利点の 1 つは、顧客ロックボックス要求に関連する Microsoft エンジニアによって実行される Set-AccessToCustomerDataRequest アクティビティまたはアクティビティを特に検索できることです。
PowerShell Exchange Onlineに接続したら、次のいずれかのコマンドを実行します。 プレースホルダーを特定の日付範囲に置き換えます。
Set-AccessToCustomerDataRequest
アクティビティを検索する
Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest
Microsoft エンジニアが実行したアクティビティを検索する
Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"
詳細と例については、「 PowerShell を使用して監査ログ レコードを検索およびエクスポートする」を参照してください。
また、監査ログを検索し、結果を CSV ファイルにエクスポートするために使用できる PowerShell スクリプトも用意されています。 詳細については、「 PowerShell スクリプトを使用して監査ログを検索する」を参照してください。
顧客ロックボックス要求の監査レコード
organizationのユーザーが Customer Lockbox 要求を承認または拒否すると、監査レコードが監査ログに記録され、次の情報が含まれます。
監査レコードのプロパティ | 説明 |
---|---|
日付 | カスタマー ロックボックス要求が承認または拒否された日付と時刻。 |
IP アドレス | 要求を承認または拒否するために使用された承認者のコンピューターの IP アドレス。 |
ユーザー | サービス アカウント BOXServiceAccount@ [customerforest].prod.outlook.com。 |
アクティビティ | Set-AccessToCustomerDataRequest: これは、カスタマー ロックボックス要求を承認または拒否したときにログに記録される監査アクティビティです。 |
アイテム | Customer Lockbox 要求の Guid |
次のスクリーンショットは、承認された Customer Lockbox 要求に対応する監査レコードの例を示しています。 Customer Lockbox 要求が拒否された場合、パラメーターの値ApprovalDecision
Deny
されます。
Microsoft のエンジニアによって実行されたアクションの監査レコード
カスタマー ロックボックス要求が承認された後 Microsoft のエンジニアが実行するアクション (顧客コンテンツへのアクセスにつながる可能性があります) は、監査ログに記録されます。 これらのレコードには、次の情報が含まれています。
監査レコードのプロパティ | 説明 |
---|---|
Date | アクションが実行された日時。 このアクションが実行された時間は、カスタマー ロックボックス要求が承認されてから 4 時間以内になります。 |
IP アドレス | Microsoft のエンジニア使用したコンピューターの IP アドレス。 |
ユーザー | Microsoft オペレーター。この値は、レコードが Customer Lockbox 要求に関連することを示します。 |
アクティビティ | Microsoft のエンジニアが実行したアクティビティの名前。 |
項目 | <空> |
よく寄せられる質問
カスタマー ロックボックスはどの Microsoft 365 サービスに適用されますか?
カスタマー ロックボックスは現在、Exchange Online、SharePoint Online、OneDrive for Business、Teams、Windows 365でサポートされています。
Customer Lockbox はすべての顧客が利用できますか?
カスタマー ロックボックスは Microsoft 365 または Office 365 E5 サブスクリプションに含まれており、Information Protectionとコンプライアンスまたは高度なコンプライアンス アドオン サブスクリプションを使用して他のプランに追加できます。 政府機関のお客様の場合、カスタマー ロックボックスは Microsoft 365 または Office 365 G5 サブスクリプションに含まれています。 詳細については、「 プランと価格 」を参照してください。
顧客コンテンツとは
顧客コンテンツは、Microsoft 365 サービスとアプリケーションのユーザーによって作成されたデータです。 顧客コンテンツの例は次のとおりです。
電子メール本文またはメールの添付ファイル
SharePoint サイトのコンテンツ
SharePoint ファイルの本文に含まれる情報
プレゼンテーション ファイル本文Skype for Business
インスタント メッセージ (IM) または音声会話
Teams チャットと Teams チャネルで入力されたテキスト (1:1 チャット、グループ チャット、共有チャネル、プライベート チャネル、会議チャットなど)
コード スニペット、画像、オーディオおよびビデオ メッセージ、リンクなど、Teams チャット スレッドに貼り付けたその他のデータ
Teams チャットと Teams チャネルのアプリとボットのデータ
Teams アクティビティ フィード
Teams 会議の記録とトランスクリプト
ボイスメール
Teams チャットと Teams チャネルに投稿されたファイル
Microsoft 365 Copilot操作
顧客が生成した blob または構造化ストレージ データ (SQL コンテナーなど)
顧客が所有するセキュリティ情報 (証明書、暗号化キー、パスワードなど)
顧客のコンテンツが残っている場合は、推論と後続のすべての推論
Office 365の顧客コンテンツの詳細については、Office 365 セキュリティ センターに関するページを参照してください。
自分のコンテンツにアクセスする要求がある場合、誰に通知されますか?
グローバル管理者と、カスタマー ロックボックス アクセス承認者管理者ロールが割り当てられているすべてのユーザーに通知されます。 これらは、Customer Lockbox 要求に対して承認できるユーザーと同じです。
organizationでこれらの要求を承認または拒否できるのは誰ですか?
グローバル管理者とカスタマー ロックボックス アクセス承認者管理者ロールが割り当てられているすべてのユーザーは、カスタマー ロックボックス要求を承認できます。 お客様は、組織でこれらのロールの割り当てを制御します。
カスタマー ロックボックス操作方法オプトインしますか?
グローバル管理者は、Microsoft 365 管理センターで Customer Lockbox を有効にして構成できます。
カスタマー ロックボックス要求を承認した場合、エンジニアは何を実行でき、Microsoft エンジニアが何をしたかを知る方法を教えてください。
カスタマー ロックボックス要求を承認すると、Microsoft エンジニアは、事前に承認されたコマンドレットを使用して顧客コンテンツにアクセスするために必要なこれらの特権を付与しました。 カスタマー ロックボックス要求に応答して Microsoft エンジニアが実行したアクションは、セキュリティ & コンプライアンス センターの監査ログに記録され、アクセスできます。
microsoft が承認プロセスに従っていることを操作方法知っていますか?
Microsoft 365 管理センターの Customer Lockbox 要求履歴を使用して、organizationの管理者と承認者に送信された電子メール承認通知を相互参照できます。
顧客ロックボックスは、 最新の SOC 1 SSAE 16 監査レポートに含まれています。 詳細については、 Microsoft Service Trust Portal で最新のレポートを確認できます。
Microsoft はテナントの承認者の一覧を変更できますか? そうでない場合は、どのように防止されますか?
カスタマー ロックボックス要求を承認できるユーザーを指定できるのは、organizationのグローバル管理者のみです。 つまり、Microsoft Entra IDのグローバル管理者 グループのメンバーのみが、要求を承認できるユーザーを指定できます。 Microsoft Entra IDのグローバル管理者 グループのメンバーシップは、organizationによってのみ管理されます。
コンテンツ アクセス要求の承認に関する詳細情報が必要な場合はどうすればよいですか?
各顧客ロックボックス要求には、Microsoft 365 サービス要求番号が含まれています。 Microsoft サポートに連絡し、このサービス番号を参照して、要求に関する詳細情報を取得できます。
Customer Lockbox 要求が承認されると、アクセス許可はどのくらいの期間有効ですか?
現在、Microsoft のエンジニアに付与されるアクセス許可の最長期間は 4 時間です。 Microsoft のエンジニアは、より短い期間を要求することもできます。
カスタマー ロックボックスのすべての要求の履歴を取得するにはどうすればよいですか?
すべての顧客ロックボックス要求は、Microsoft 365 管理センターに表示されます。
操作方法コンテンツ アクセス要求を関連する監査ログに関連付けますか?
コンプライアンス センター アクティビティ フィードには、Customer Lockbox のログ アクティビティが含まれています。 顧客は、受信した電子メール要求に対して、アクティビティ フィードから Customer Lockbox ログ アクティビティを相互参照できます。
顧客がカスタマー ロックボックス要求に応答しなかった場合はどうなりますか?
カスタマー ロックボックス要求の既定の期間は 12 時間です。 12 時間以内に要求に応答しない場合、要求の有効期限が切れます。
お客様がカスタマー ロックボックス要求を拒否した場合、Microsoft は何を行いますか?
顧客がカスタマー ロックボックス要求を拒否した場合、顧客コンテンツへのアクセスは行われません。 organizationのユーザーが引き続きサービスの問題が発生し、問題を解決するために Microsoft が顧客コンテンツにアクセスする必要がある場合は、サービスの問題が解決しない可能性があり、Microsoft はユーザーにこのことを通知します。
要求が承認されるたびにアラートを設定操作方法?
管理者に警告するための組み込みオプションはありません。 ただし、管理者はMicrosoft Defender for Cloud Appsを使用してアラートを設定できます。
Customer Lockbox は、法執行機関やその他の第三者からのデータ要求から保護されますか?
いいえ。 Microsoft では、第三者による顧客データの要求に慎重に対応しています。 クラウド サービス プロバイダーとして、Microsoft は常に顧客データのプライバシーを主張しています。 召喚状が発生した場合、Microsoft は常にサード パーティを顧客にリダイレクトして情報を取得しようとします。 (Brad Smith のブログ「政府機関による監視から顧客データを保護する」を参照してください)。 Microsoft は、Microsoft が受け取る法執行機関の要求に関する 詳細情報 を定期的に公開します。
詳細については、サード パーティのデータ要求に関する Microsoft セキュリティ センター と、 オンライン サービス条項 の「顧客データの開示」セクションを参照してください。
Microsoft では、スタッフのメンバーが、Office 365 アプリケーション内の顧客コンテンツに永続的にアクセスできないようにするにはどうすれば良いでしょうか。
Microsoft では、アクセス制御システムを通じた広範な予防対策と、これらのアクセス制御システムを回避しようとする試みを特定して対処するための探偵対策を実装しています。 Microsoft 365 は、最小限の特権と Just-In-Time アクセスの原則で動作します。 そのため、Microsoft の担当者は、継続的に顧客コンテンツにアクセスする権限を持っていません。 アクセス許可が付与されている場合は、制限された期間です。
Microsoft 365 では 、Lockbox というアクセス制御システムを使用して、サービス内で運用および管理機能を実行する権限を付与するアクセス許可の要求を処理します。 オペレーターは Lockbox を使用して顧客コンテンツへのアクセスを要求する必要があります。これにより、アクセスが許可される前に、2 人目のユーザーが要求に対してアクションを実行する (承認するなど) 必要になります。 その 2 人目のユーザーを要求者にすることはできません。顧客コンテンツへのアクセスを承認するために指定する必要があります。 要求が承認された場合にのみ、オペレーターは顧客コンテンツへの一時的なアクセスを取得します。 昇格期間の有効期限が切れると、Lockbox はアクセスを取り消します。
Microsoft の一般的なセキュリティ プラクティスの詳細については、 オンライン サービス条項 を参照してください。
Microsoft エンジニアはどのような状況で自分のコンテンツにアクセスする必要がありますか?
Microsoft エンジニアが顧客コンテンツにアクセスする必要がある最も一般的なシナリオは、お客様がトラブルシューティングのためにアクセスを必要とするサポート要求を行う場合です。 Microsoft 365 の基本原則は、お客様のコンテンツに Microsoft がアクセスせずにサービスを運営することです。 Microsoft によって実行されるほぼすべてのサービス操作は完全に自動化されており、人間の関与は高度に制御され、顧客コンテンツから抽象化されます。 Microsoft 365 の目標は、お客様が Microsoft アクセスの特定の要求を承認するまで、サービスをサポートするために顧客コンテンツにアクセスする必要はありません。
Microsoft クラウドでデータがセキュリティで保護されていると思ったので、Customer Lockbox が必要な理由は何ですか?
カスタマー ロックボックスは、サービス操作に対して明示的なアクセス承認を付与する機能を顧客に提供することで、追加の制御層を提供します。 Customer Lockbox は、明示的なデータ アクセス承認の手順が実施されていることを示すことで、お客様が HIPAA や FEDRAMP などの特定のコンプライアンス義務を満たすのにも役立ちます。