Säker åtkomst till kunddata med Customer Lockbox i Power Platform och Dynamics 365

  • Artikel

De flesta åtgärder, support och felsökning som utförs av Microsoft personal (inklusive underbiträden) kräver inte åtkomst till kunddata. Med Power Platform Customer Lockbox, vi tillhandahåller ett gränssnitt för kunderna att granska och godkänna (eller avvisa) begäranden om dataåtkomst i det sällsynta tillfället då dataåtkomst till kunddata behövs. Den används i fall där en Microsoft tekniker behöver komma åt kunddata, oavsett om det är svaret på ett kundinitierat supportärende eller ett problem som identifierats av Microsoft.

Den här artikeln handlar om hur du aktiverar Customer Lockbox och hur säker databas-förfrågningar startas, spåras och lagras för senare granskningar och revisioner.

Kommentar

Customer Lockbox är tillgänglig i offentliga moln och GCC (Government Community Cloud, GCC) GCC High samt i regioner för försvarsdepartementet (DoD).

Sammanfattning

Du kan aktivera Customer Lockbox för dina datakällor i klientorganisationen. Om du aktiverar Customer Lockbox tillämpas principen endast för miljöer som har aktiverats för hanterade miljöer. Power Platform Administratörer kan aktivera principen för säker databas.

Mer information finns i Aktivera säker databas-principen.

I de sällsynta fall då Microsoft försök att komma åt kunddata som lagras i Power Platform (till exempel Dataverse) skickas en begäran om säker databas till administratörerna Power Platform för godkännande. För mer information, gå till Granska en säker databas-begäran.

Alla uppdateringar av en säker databas-begäran registreras och görs tillgängliga för organisationen som granskningsloggar. För mer information, gå till Granska säker databas-begäran.

Power Platform och Dynamics 365-program och -tjänster lagrar kunddata i flera Azure-lagringstekniker. När du aktiverar Customer Lockbox för en miljö skyddas kunddata som är associerade med respektive miljö av databs-principen, oavsett lagringstyp.

Kommentar

  • För närvarande är Power Apps de program och tjänster där lockbox-policyn kommer att tillämpas när den har aktiverats (exklusive kort för Power Apps), AI Builder, Power Pages, Power Automate,( Microsoft Copilot Studio exklusive GPT AI-funktioner och Agent Builder), Dataverse, Customer Insights, kundtjänst, Communities, Guider, Anslutna utrymmen, Finance (förutom Lifecycle Services), Project Operations (förutom Lifecycle Services), försörjningskedja Hantering (förutom Lifecycle Services) och funktionsområdet för marknadsföring i realtid i Marketing-appen.
  • Funktioner som används av Azure OpenAI Service är inte tillgängliga i Lockbox-policyn såvida det inte finns produktdokumentation för en viss funktion som säger att Lockbox är tillämplig.
  • Nuance konversations-IVR är inte tillgängliga i Lockbox-policyn såvida det inte finns produktdokumentation för en viss funktion som säger att Lockbox är tillämplig.
  • Skapares välkomstinnehåll är undantaget från tillämpning av Lockbox-policyn.
  • Du måste inaktivera Lucene.NET genom att söka på webbplatsen och flytta Dataverse till Sök för att kunna använda Customer Lockbox. Mer information: Portalsökning med Lucene.NET är inaktuell.

Workflow

  1. Din organisation har problem med Microsoft Power Platform och öppnar en supportbegäran med Microsoft supporten. Alternativt Microsoft identifierar du proaktivt ett problem (till exempel om ett proaktivt meddelande utlöses) och en Microsoft initierad händelse öppnas för att undersöka och åtgärda eller åtgärda grundorsaken.

  2. En Microsoft operatör granskar supportbegäran/händelsen och försöker felsöka problemet med hjälp av standardverktyg och telemetri. Om åtkomst till kunddata behövs för ytterligare felsökning utlöser en Microsoft tekniker en intern godkännandeprocess för åtkomst till kunddata, oavsett om lockbox-principen är aktiverad eller inte.

  3. Dessutom skapas en säker databas-begäran om respektive datalager är associerad med en miljö som är skyddad enligt funktionen för säker databas-princip. Ett e-postmeddelande skickas till de utsedda godkännarna (Power Platform administratörerna) om den väntande begäran om dataåtkomst från Microsoft.

    Viktigt

    Teknikern Microsoft kommer inte att kunna fortsätta med sin undersökning förrän begäran om låsboxen har godkänts av kunden. Detta kan orsaka förseningar i fråga om supportbiljetten eller förfallna avbrott. Se till att du övervakar e-postmeddelanden och/eller säker databas-begäran i Power Platform administrationscentret och svarar vid rätt tidpunkt för att undvika avbrott i tjänsten.

    En exempel på en säker databas-begäran.

  4. Godkännaren loggar in i Power Platform administrationscentret och godkänner förfrågan. Om begäran avvisas eller inte godkänns inom fyra dagar upphör den att gälla och ingen åtkomst beviljas teknikern Microsoft .

  5. När godkännaren från din organisation har godkänt begäran får teknikern Microsoft de utökade behörigheter som ursprungligen begärdes och åtgärdar problemet. Microsoft Tekniker har en viss tid - 8 timmar - för att åtgärda problemet, varefter åtkomsten återkallas automatiskt.

Aktivera säker databas-principen

Power Platform Administratörer kan skapa eller uppdatera Lockbox-principen i Power Platform administrationscentret. Aktivering av policyn på klientorganisationsnivå gäller endast för miljöer som är aktiverade för hanterade miljöer. Det kan ta upp till 24 timmar innan alla datakällor och alla miljöer kan implementeras med Customer Lockbox.

  1. Logga in på Power Platform administratörscenter.

  2. Gå till inställningssidan för klientorganisation om du vill granska och hantera inställningar på klientorganisationsnivå. Om du vill visa inställningar på klientorganisationsnivå, välj ikonen kugghjul (Kugghjulsikon.) i det övre högra hörnet av skärm Microsoft Power Platform webbplats och välj Power Platform-installation>Inställningar>Klientorganisationsinställningar i det vänstra navigeringsfönstret.

  3. Ange Customer Lockbox till Aktivera.

    Aktivera princip för säker databas.

Begäranden om säker databas

  1. Logga in på Power Platform administratörscenter.

  2. Välj Principer>Customer Lockbox.

  3. Granska begärandeinformationen.

    Fält Beskrivning
    ID för supportbegäran ID för supportbiljetten som är kopplad till säker databas-förfrågan. Om begäran är ett resultat av Microsoft en initierad intern avisering kommer värdet att "Microsoft initieras".
    Environment Den visningsnamn miljön där dataåtkomst begärs.
    Status Status för säker databas-begäran.
    • Åtgärd som krävs: Väntar på godkännande från kunden
    • Förfallen: Inget godkännande har mottagits från kunden
    • Godkänd: Godkänd av kunden
    • Nekad: Nekad av kunden
    Begärd Den tidpunkt då teknikern Microsoft begärde åtkomst till kunddata i kundens miljö.
    Giltighet för begäran Den tid då kunden måste godkänna säker databas-begäran. Statusen för begäran kommer att ändras till Förfallen om inget godkännande ges vid den här tiden.
    Åtkomstperiod Den tid som beställaren vill ha åtkomst till kunddata. Det här värdet är som standard 8 timmar och kan inte ändras.
    Giltighet för åtkomst Om åtkomst beviljas är detta den tid fram till vilken teknikern Microsoft har tillgång till kunddata.

  4. Välj en säker databas-begäran och välj sedan Godkänn eller Neka.

    Godkänn eller avvisa säker databas-förfrågningar

    Kommentar

    De säker databas-förfrågningar som har inträffat under de senaste 28 dagarna visas i tabellen Senaste.

    När en förfrågan har godkänts kan den inte upphävas under hela åtkomsttidens varaktighet på åtta timmar.

Granska begäranden om säker databas

Varning

Schemat som dokumenteras i detta avsnitt för granskningshändelser för säker databas är inaktuell och kommer inte att vara tillgängligt från och med juli 2024. Du kan granska händelser för säker databas med hjälp av det nya schemat tillgängligt i Aktivitetskategorin: åtgärder för säker databas.

Åtgärder som är relaterade till att acceptera, neka eller förfalla en säker databas-begäran registreras automatiskt i Microsoft 365 Defender.

Microsoft 365 Defender sida.

Granskningsspårning omfattar dessa och andra fält för varje säker databas-begäran:

  • Unik identifierare för begäran
  • Begär skapandetid
  • Organisations-ID
  • Användar-ID (unik identifierare för Microsoft operatören som utför begäran)
  • Status för begäran
  • Tillhörande supportärende-ID
  • Kräv utgångstid
  • Förfallodatum för dataåtkomst
  • Miljö-ID
  • Begär motivering

På fliken Microsoft 365 granska låter administratörer söka efter händelser associerade med säker databas-sessioner. Visa kategorin Power Platform säker databas för Power Platform relaterad säker databas-händelser.

Välj Power Platform säker databas-kategori.

Administratörer kan direkt exportera resultatuppsättningen baserat på filtervillkoren.

Customer Lockbox skapar två typer av granskningsloggar:

  1. Loggar som initieras av Microsoft och motsvarar en säker databas-begäran som skapas, upphör att gälla eller när åtkomstsessionerna avslutas. Den här uppsättningen granskningsloggar motsvarar inte ett specifikt användar-ID eftersom åtgärderna initieras av Microsoft.
  2. Loggar som startas av slutanvändaresåtgärder, till exempel när en användare godkänner eller nekar en begäran om säker databas. Om användaren som utför dessa åtgärder inte har tilldelats en E5-licens filtreras loggarna ut och visas inte i granskningsloggarna.

Som standard bevaras granskningsloggarna med en varaktighet på ett år. Du behöver en tio års licens för lagring av granskningslogg för att bevara granskningsposter i tio år. Se Granska (Premium) för mer information om lagring av granskningsloggar.

Licenskrav för Customer Lockbox

Customer Lockbox-policyn tillämpas endast i miljöer som är aktiverade för hanterade miljöer. Hanterade miljöer ingår som berättigande i fristående Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages och Dynamics 365 licenser som ger förstklassiga användningsrättigheter. Mer information om licenser i hanterad miljö finns i översikten Licensiering och Översikt över licensiering för Microsoft Power Platform.

Åtkomst till Customer Lockbox för Microsoft Power Platform och Dynamics 365 kräver användare i de miljöer där Lockbox-policyn måste ha någon av följande prenumerationer:

  • Microsoft 365 eller Office 365 A5/E5/G5
  • Efterlevnad i Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 säkerhet och efterlevnad
  • Microsoft 365 A5/E5/F5/G5 Hantering av interna risker
  • Microsoft 365 A5/E5/F5/G5 Informationsskydd och informationsstyrning Läs mer om tillämpliga licenser.

Exkluderingar

  • Säker databas-förfrågningar utlöses inte i följande tekniska supportscenarier:

    • Nödsituationer som faller utanför standarddriftsprocedurer, till exempel ett större serviceavbrott som kräver omedelbar uppmärksamhet för att återställa eller återställa tjänster i oväntade eller oförutsägbara fall. De här "avbrottshändelserna" är få och i de flesta fall behöver ingen åtkomst till kunddata åtgärdas.

    • En Microsoft tekniker får åtkomst till den underliggande plattformen som en del av felsökningen och exponeras oavsiktligt för kunddata. Det är sällan som sådana scenarier skulle resultera i åtkomst till meningsfulla kvantiteter kunddata.

  • Customer Lockbox-förfrågningar utlöses inte heller av externa juridiska krav på data. Mer information finns i diskussionen om myndigheters begäranden om data i Microsoft Säkerhetscenter.

  • Customer Lockbox gäller inte för åtkomst och manuell granskning av kunddata som delas för Copilot AI-funktioner. Customer Lockbox förblir aktiverad för alla data i omfattning.

Kända problem

  • Migrering klientorganisation-till-klientorganisation stöds inte när Customer Lockbox har aktiverats. Du måste inaktivera Customer Lockbox för att flytta en miljö till en annan klientorganisation. Du kan återaktivera Customer Lockbox när migreringen är slutförd.