Безопасный доступ к данным клиентов с помощью защищенного хранилища в Power Platform и Dynamics 365

Большинство операций, поддержки и устранения неполадок, выполняемых Microsoft персоналом (включая субподрядчиков), не требуют доступа к данным клиентов. Защищенное хранилище Power Platform предоставляет интерфейс, позволяющий клиентам просматривать и утверждать (или отклонять) запросы на доступ к данным в тех редких случаях, когда доступ к данным клиентов необходим. Он используется в случаях, когда инженеру необходимо получить доступ к данным клиента, будь то ответ для обращения в службу поддержки, инициированного клиентом, или для решения проблемы, выявленной Microsoft . Microsoft

В этой статье рассказывается, как включить защищенное хранилище и как запросы, касающиеся защищенного хранилища, инициируются, отслеживаются и сохраняются для последующей проверки и аудита.

Заметка

Защищенное хранилище доступно в общедоступных облаках, а также в облаках сообщества правительства США (GCC), GCC High и в регионах Министерства обороны (DoD).

Сводка

Вы можете включить защищенное хранилище для источников данных в своем клиенте. При включении защищенного хранилища политика будет применяться только к средам, которые активированы для управляемых сред. Power Platform администраторы могут включить политику защищенного хранилища.

Для получения дополнительной информации перейдите к разделу Включение политики защищенного хранилища.

В редких случаях, когда Microsoft пытаются получить доступ к данным клиентов, хранящимся в Power Platform (например, Dataverse), запрос на защищенное хранилище отправляется Power Platform администраторам для одобрения. Для получения дополнительной информации перейдите к разделу Просмотр запросов защищенного хранилища.

Все события, касающиеся запроса защищенного хранилища, записываются и предоставляются вашей организации в виде журналов аудита. Для получения дополнительной информации перейдите к разделу Аудит запросов защищенного хранилища.

Приложения и службы Power Platform и Dynamics 365 хранят данные клиентов, используя несколько разных технологических решений службы хранилища Azure. При включении защищенного хранилища для какой-либо среды данные клиентов, связанные с соответствующей средой, подпадают под защиту политикой защищенного хранилища независимо от типа хранилища.

Заметка

  • В настоящее время приложения и службы, в которых политика lockbox будет применяться после включения, включают в себя: Power Apps (исключая Карточки для Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (исключая функции GPT AI и Agent Builder), Dataverse, Customer Insights, обслуживание клиентов, Сообщества, Руководства, Подключенные пространства, Финансы (кроме служб жизненного цикла), Операции над проектами (кроме служб жизненного цикла), цепочка поставок Управление (кроме служб жизненного цикла) и область функций маркетинг в реальном времени приложения Marketing.
  • Функции, реализованные на базе службы Azure OpenAI, исключаются из применения политики Lockbox, если только в документации продукта для данной функции не указано, что применяется Lockbox.
  • Nuance Conversational IVR исключается из применения политики защищенного хранилища, если только в документации продукта для данной функции не указано, что применяется защищенное хранилище.
  • Приветственный контент Maker исключен из сферы применения политики Lockbox.
  • Вы должны запретить поиск Lucene.NET на своем сайте и перейти на поиск Dataverse, чтобы иметь возможность использовать защищенное хранилище. Дополнительная информация: Поиск на порталах с использованием поиска Lucene.NET не рекомендуется.

Рабочий процесс

  1. У вашей организации возникла проблема с Microsoft Power Platform , и вы отправляете запрос в Microsoft службу поддержки. В качестве альтернативы Microsoft проактивно выявляется проблема (например, запускается проактивное уведомление), и Microsoftинициированное событие открывается для расследования и устранения или устранения первопричины.

  2. Оператор Microsoft рассматривает запрос/событие в службу поддержки и пытается устранить проблему, используя стандартные инструменты и телеметрию. Если для дальнейшего устранения неполадок необходим доступ к данным клиента, Microsoft инженер запускает внутренний процесс утверждения доступа к данным клиента, независимо от того, включена ли политика защищенного хранилища или нет.

  3. Кроме того, запрос защищенного хранилища создается, если соответствующее хранилище данных связано со средой, подпадающей под действие включенной политики защищенного хранилища. Уведомление по электронной почте отправляется назначенным утверждающим лицам (Power Platform администраторам) об ожидающем рассмотрения запросе на доступ к данным от Microsoft.

    Важно

    Инженер не сможет продолжить расследование, пока клиент не одобрит запрос на сейф. Microsoft Из-за этого могут возникать задержки в обработке запросов в службу поддержки или длительные простои. Обязательно отслеживайте уведомления, поступающие на электронную почту и/или запросы защищенного хранилища в центре администрирования Power Platform и своевременно реагируйте на них, чтобы избежать перебоев в работе служб.

    Пример запроса защищенного хранилища.

  4. Утверждающий входит в центр администрирования Power Platform и одобряет запрос. Если запрос отклонен или не одобрен в течение четырех дней, он аннулируется, и доступ Microsoft инженеру не предоставляется.

  5. После того как утверждающий из вашей организации одобрит запрос, Microsoft инженер получит изначально запрошенные повышенные права и устранит вашу проблему. Microsoft У инженеров есть определенное время — 8 часов — на устранение проблемы, после чего доступ автоматически аннулируется.

Включение политики защищенного хранилища

Power Platform Администраторы могут создавать или обновлять политику защищенного хранилища в Power Platform центре администрирования. Включение политики на уровне клиента будет применяться только к средам, которые активированы для управляемых сред. Введение в действие защищенного хранилища для всех источников данных и всех сред может занять до 24 часов.

  1. Войдите в в центр администрирования Power Platform.

  2. Используйте страницу настроек клиента для просмотра и управления настройками на уровне клиента. Чтобы просмотреть параметры на уровне клиента, нажмите значок шестеренки (Значок шестеренки.) в правом верхнем углу сайта Microsoft Power Platform и выберите Параметры Power Platform>Параметры>Параметры арендатора на левой панели навигации.

  3. Установите для параметра Защищенное хранилище значение Включить.

    Включение политики защищенного хранилища.

Просмотр запросов защищенного хранилища

  1. Войдите в в центр администрирования Power Platform.

  2. Выберите Политики>Защищенное хранилище.

  3. Просмотрите подробности запроса.

    Поле Описание:
    Идентификатор запроса в службу поддержки Идентификатор запроса в службу поддержки, связанного с запросом защищенного хранилища. Если запрос является результатом внутреннего оповещения, инициированного Microsoft, значение будет «Microsoft initiated».
    Environment Отображаемое имя среды, в которой запрашивается доступ к данным.
    Статус Статус запроса защищенного хранилища.
    • Необходимое действие: Ожидается одобрение от клиента
    • Истек срок действия: Одобрение от клиента не получено
    • Одобрено: Одобрено клиентом
    • Отклонено: Отклонено клиентом
    Время поступления запроса Время, когда Microsoft инженер запросил доступ к данным клиента в среде клиента.
    Срок действия запроса Время, до которого клиент должен утвердить запрос защищенного хранилища. Статус запроса изменится на Время действия истекло, если до этого времени не будет получено одобрение.
    Период доступа Продолжительность времени, в течение которого запрашивающая сторона хочет иметь доступ к данным клиента. Это значение по умолчанию равно 8 часам и не может быть изменено.
    Срок действия доступа Если доступ предоставлен, это время, до которого инженер имеет доступ к данным клиента. Microsoft
  4. Выберите запрос защищенного хранилища, а затем выберите Утвердить или Отклонить.

    Утверждение или отклонение запросов защищенного хранилища

    Заметка

    Запросы защищенного хранилища, поступившие за последние 28 дней, отображаются в таблице Недавние.

    После утверждения запрос не может быть отозван в течение всего периода доступа, составляющего 8 часов.

Аудит запросов защищенного хранилища

Предупреждение

Схема, описанная в этом разделе для событий аудита защищенного хранилища, устарела и не будет доступна начиная с июля 2024 г. Вы можете проводить аудит событий защищенного хранилища, используя новую схему, доступную в разделе Категория действий: операции защищенного хранилища.

Действия, связанные с принятием, отклонением или истечением срока действия запроса на защищенное хранилище, автоматически записываются в Microsoft 365 Defender.

Страница Microsoft 365 Defender.

Аудиторское отслеживание для каждого запроса защищенного хранилища включает перечисленные ниже, равно как и некоторые другие поля.

  • Уникальный идентификатор запроса
  • Время создания запроса
  • Идентификатор организации
  • Идентификатор пользователя (уникальный идентификатор Microsoft оператора, выполняющего запрос)
  • Статус запроса
  • Идентификатор связанного запроса в службу поддержки
  • Срок истечения время действия запроса
  • Срок истечения времени доступа к данным
  • Идентификатор среды
  • Обоснование запроса

Вкладка Аудит Microsoft 365 позволяет администраторам искать события, связанные с сеансами защищенного хранилища. Просмотрите категорию Защищенное хранилище Power Platform, чтобы найти события, связанные с защищенным хранилищем Power Platform.

Выберите категорию «Защищенное хранилище Power Platform».

Администраторы могут напрямую экспортировать набор результатов, полученный на основе условий фильтра.

Защищенное хранилище создает два типа журналов аудита:

  1. Журналы, инициированные Microsoft и соответствующие созданию запроса на защищенное хранилище, истечении срока его действия или завершению сеансов доступа. Этот набор журналов аудита не соответствует конкретному идентификатору пользователя, поскольку действия инициируются Microsoft.
  2. Журналы, которые инициируются действиями конечного пользователя, например когда пользователь утверждает или отклоняет запрос защищенного хранилища. Если пользователю, выполняющему эти операции, не назначена лицензия E5, журналы отфильтровываются и не отображаются в журналах аудита.

По умолчанию журналы аудита хранятся в течение одного года. Для хранения записей аудита в течение 10 лет вам потребуется дополнительная лицензия на хранение журналов аудита на 10 лет. Подробнее о хранении журналов аудита см. в статье Аудит (премиум).

Требования к лицензированию для защищенного хранилища

Политика защищенного хранилища будет применяться только в тех средах, которые активированы для управляемых сред. Управляемые среды включены как объем обслуживания в автономные лицензии Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages и Dynamics 365, дающие премиум-права на использование. Дополнительные сведения о лицензировании управляемых сред см. в разделах Лицензирование и Обзор лицензирования для Microsoft Power Platform.

Кроме того, для доступа к защищенному хранилищу для Microsoft Power Platform и Dynamics 365 требуется, чтобы пользователи в средах, где применяется политика защищенного хранилища, владели любой из этих подписок:

  • Microsoft 365 или Office 365 A5/E5/G5
  • Соответствие Microsoft 365 A5/E5/F5/G5
  • Безопасность и соответствие требованиям Microsoft 365 F5
  • Управление внутренними рисками для Microsoft 365 A5/E5/F5/G5
  • Управление информацией и ее защита для Microsoft 365 A5/E5/F5/G5 Подробнее о применимых лицензиях.

Исключения

  • Запросы защищенного хранилища не инициируются в перечисленных ниже сценариях работы технической поддержки.

    • Экстренные ситуации, выходящие за рамки стандартных операционных процедур, например серьезный сбой службы, требующий немедленного вмешательства для возобновления работы или восстановления служб в непредвиденных или непредсказуемых случаях. Такие неотложные события случаются редко и в большинстве случаев не требуют доступа к данным клиентов для разрешения.

    • Инженер получает доступ к базовой платформе в рамках устранения неполадок и непреднамеренно получает доступ к данным клиента. Microsoft Такие сценарии редко приводят к получению доступа к значимым объемам клиентских данных.

  • Запросы защищенного хранилища также не инициируются внешними юридическими запросами на получение данных. Подробную информацию см. в обсуждении запросов государственных органов на предоставление данных в Microsoft Центре доверия.

  • Защищенное хранилище не применяется к доступу и ручному просмотру переданных данных клиентов в отношении функций ИИ в Copilot. Защищенное хранилище останется включенным для всех данных в области.

Известные проблемы

  • Миграция между клиентами не поддерживается, если Защищенное хранилище клиента включено. Вы должны отключить защищенное хранилище клиента, чтобы переместить среду в другой клиент. После завершения переноса вы можете повторно включить защищенное клиентское хранилище.