Del via

Få sikker adgang til kundedata ved hjælp af kundelockbox i Power Platform og Dynamics 365

  • Artikel

De fleste handlinger, support og fejlfinding, der udføres af Microsoft personale (herunder underdatabehandlere), kræver ikke adgang til kundedata. Med Power Platform-kundelockbox'en giver vi en grænseflade, hvor kunder kan gennemse og godkende (eller afvise) anmodninger om dataadgang i de sjældne tilfælde, hvor der er behov for dataadgang til kundedata. Det bruges i tilfælde, hvor en Microsoft tekniker har brug for at få adgang til kundedata, uanset om det er som svar på en kundeinitieret supportbillet eller et problem, der er identificeret af Microsoft.

I denne artikel beskrives, hvordan du kan aktivere kundelockbox'en, og hvordan lockboxanmodninger initieres, spores og gemmes til senere gennemgang og overvågning.

Bemærk

Kundelockbox er tilgængelig i offentlig cloud og US Government Community Cloud (GCC), GCC High og DoD-områder (forsvarsministerium).

Opsamling

Du kan aktivere kundelockbox for dine datakilder i lejeren. Når du aktiverer kundelockbox, gennemtvinges politikken kun for miljøer, der er aktiveret for administrerede miljøer. Power Platform Administratorer kan aktivere Lockbox-politikken.

Du kan finde flere oplysninger ved at gå til Aktivere lockbox-politikken.

I de sjældne tilfælde, hvor Microsoft der f.eks. Power Platform . gøres forsøg på at få adgang til kundedata, der er gemt i Dataverse, sendes der en lockbox-anmodning til administratorerne Power Platform til godkendelse. Du kan finde flere oplysninger ved at gå til Gennemse en lockbox-anmodning.

Alle opdateringer af en lockbox-anmodning registreres og gøres tilgængelige for din organisation som overvågningslogfiler. Du kan finde flere oplysninger ved at gå til Overvåge lockbox-anmodninger.

Power Platform og Dynamics 365-programmer og -tjenester gemmer kundedata i flere Azure-lagerteknologier. Når du slår kundelockbox til for et miljø, beskyttes de kundedata, der er knyttet til det pågældende miljø, af lockbox-politikken, uanset lagertypen.

Bemærk

  • I øjeblikket er de applikationer og tjenester, hvor lockbox-politikken vil blive håndhævet, når den er aktiveret, ( Power Apps undtagen Kort for Power Apps), AI Builder,, Power Pages Power Automate,( Microsoft Copilot Studio undtagen GPT AI-funktioner og Agent Builder), Dataverse, Customer Insights, kundeservice, Communities, Guider, Connected Spaces, Finance (undtagen Lifecycle Services), Project Operations (undtagen Lifecycle Services), forsyningskæde Administration (undtagen Lifecycle Services) og funktionsområdet realtidsmarketing i Marketing-appen.
  • Funktioner, der drives af Azure OpenAI Service, er ikke medtaget i håndhævelsen af Lockbox-politikken, medmindre produktdokumentationen for en bestemt funktion siger, at Lockbox er gældende.
  • ISR for Nuance-samtale er ikke medtaget i håndhævelsen af Lockbox-politikken, medmindre produktdokumentationen for en bestemt funktion siger, at Lockbox er gældende.
  • Udviklervelkomstindhold er udelukket fra håndhævelse af Lockbox-politik.
  • Du skal deaktivere Lucene.NET fra dit websted og gå til Søg i Dataverse for at kunne bruge kundelockbox. Flere oplysninger: Portalsøgning med Lucene.NET-søgning er udfaset.

Arbejdsflow

  1. Din organisation har et problem med Microsoft Power Platform og åbner en supportanmodning hos Microsoft support. Alternativt Microsoft identificerer proaktivt et problem (f.eks. udløses en proaktiv meddelelse), og en Microsoft initieret hændelse åbnes for at undersøge og afhjælpe eller rette rodårsagen.

  2. En Microsoft operatør gennemgår supportanmodningen/hændelsen og forsøger at foretage fejlfinding af problemet ved hjælp af standardværktøjer og telemetri. Hvis der er behov for adgang til kundedata til yderligere fejlfinding, udløser en Microsoft tekniker en intern godkendelsesproces for adgang til kundedata, uanset om lockbox-politikken er aktiveret eller ej.

  3. Derudover oprettes der en lockbox-forespørgsel, hvis det pågældende datalager er knyttet til et miljø, der er beskyttet i henhold til håndhævelse af lockbox-politikken. Der sendes en mailmeddelelse til de udpegede godkendere (Power Platform administratorer) om den afventende anmodning om dataadgang fra Microsoft.

    Vigtigt!

    Teknikeren Microsoft kan ikke fortsætte med sin undersøgelse, før lockbox-anmodningen er godkendt af kunden. Det kan medføre forsinkelser i håndteringen af supportanmodningen eller længere behandlingstider. Sørg for, at du overvåger mailmeddelelser og/eller lockbox-anmodninger i Power Platform Administration, og at du svarer inden for rimelig tid for at undgå, at tjenesten afbrydes.

    Et eksempel på en lockbox-anmodning.

  4. Godkenderen logger på Power Platform Administration og godkender anmodningen. Hvis anmodningen afvises eller ikke godkendes inden for fire dage, udløber den, og teknikeren Microsoft får ingen adgang.

  5. Når godkenderen fra din organisation har godkendt anmodningen, henter teknikeren Microsoft de udvidede tilladelser, der oprindeligt blev anmodet om, og løser problemet. Microsoft Ingeniører har en bestemt tid - 8 timer - til at løse problemet, hvorefter adgangen automatisk tilbagekaldes.

Aktivér lockbox-politikken

Power Platform Administratorer kan oprette eller opdatere Lockbox-politikken i Power Platform Administration. Når du aktiverer politik på lejerniveau , gælder den kun for miljøer, der er aktiveret for administrerede miljøer. Det kan tage op til 24 timer, før alle datakilder og alle miljøer er implementeret med kundelockbox.

  1. Log på Power Platform Administration.

  2. Brug siden Lejerindstillinger til at gennemse og administrere indstillinger på lejerniveau. Hvis du vil have vist indstillinger på lejerniveau, skal du vælge tandhjulsikonet (Tandhjulsikon.) i øverste højre hjørne af Microsoft Power Platform webstedet og vælge Power Platform indstillinger>Indstillinger>Lejerindstillinger i navigationsruden til venstre.

  3. Angiv Kundelockbox til Aktivér.

    Aktivér lockbox-politikken.

Gennemse en lockbox-anmodning

  1. Log på Power Platform Administration.

  2. Vælg Politikker>Kundelockbox.

  3. Gennemse detaljerne i anmodningen.

    Felt Beskrivelse
    Supportanmodnings-id Id'et for den supportanmodning, der er knyttet til lockbox-anmodningen. Hvis anmodningen er et resultat af Microsoft en initieret intern besked, vil værdien blive "Microsoft initieret".
    Environment Det viste navn på miljøet, hvor der anmodes om dataadgang.
    Status Status for lockbox-anmodningen.
    • Handling nødvendig: Afventer godkendelse fra kunden
    • Udløbet: Ingen godkendelse modtaget fra kunden
    • Godkendt: Godkendt af kunden
    • Afvist: Afvist af kunden
    Anmodet Det tidspunkt, hvor teknikeren anmodede Microsoft om adgang til kundedata i kundens miljø.
    Udløb af anmodning Det tidspunkt, hvor kunden senest skal godkende lockbox-anmodningen. Status for anmodningen ændres til Udløbet, hvis der ikke er givet godkendelse på dette tidspunkt.
    Adgangsperiode Varighed, som anmoderen ønsker at få adgang til kundedata. Denne værdi er som standard otte timer og kan ikke ændres.
    Adgangsudløb Hvis der gives adgang, er det det tidspunkt, hvor teknikeren Microsoft har adgang til kundedata.

  4. Vælg en lockbox-anmodning, og vælg derefter Godkend eller Afvis.

    Godkende eller afvise lockbox-anmodninger

    Bemærk

    De lockbox-anmodninger, der er opstået inden for de seneste 28 dage, vises i tabellen Seneste.

    Når en anmodning er godkendt, kan den ikke kaldes tilbage i hele adgangsperioden på 8 timer.

Overvåg lockbox-anmodninger

Advarsel!

Det skema, der er dokumenteret i dette afsnit for overvågningshændelser i lockbox, udfases og vil ikke være tilgængeligt fra juli 2024. Du kan overvåge kunde lockbox-hændelser ved hjælp af det nye skema, der er tilgængeligt i -aktivitetskategorien: Lockbox-handlinger.

Handlinger vedrørende accept, afvisning eller udløb af en lockbox-anmodning registreres automatisk i Microsoft 365 Defender.

Microsoft 365 Defender-side.

Overvågningssporinger omfatter disse og andre felter for hver enkelt lockbox-anmodning:

  • Entydigt id for anmodningen
  • Tidspunkt for oprettelse af anmodning
  • Organisations-id
  • Bruger-id (entydigt id for den Microsoft operatør, der udfører anmodningen)
  • Anmodningsstatus
  • Tilknyttet supportanmodnings-id
  • Udløbstidspunkt for anmodning
  • Udløbstidspunkt for dataadgang
  • Miljø-id
  • Begrundelse for anmodning

Under Microsoft 365-fanen Overvågning kan administratorer søge efter hændelser, der er knyttet til lockbox-sessioner. Få vist kategorien Power Platform-lockbox for relaterede Power Platform-lockbox-hændelser.

Vælg kategorien Power Platform-lockbox.

Administratorer kan eksportere resultatsættet direkte baseret på filterkriterierne.

Kundelockbox fremstiller to typer overvågningslogge:

  1. Logfiler, der startes af Microsoft og svarer til lockbox-anmodninger, der oprettes, udløber, eller når adgangssessioner slutter. Dette sæt overvågningslogge svarer ikke til et bestemt bruger-id, da handlingerne startes af Microsoft.
  2. Logge, der startes af slutbrugerens handlinger, f.eks. når en bruger godkender eller afviser en lockbox-anmodning. Hvis den bruger, der udfører disse handlinger, ikke har fået tildelt en E5-licens, filtreres loggene ud og vises ikke i overvågningslogge.

Overvågningslogge opbevares som standard i et år. Du skal bruge en 10-årig licens til opbevaring af overvågningslog for at kunne bevare overvågningsposter i 10 år. Se Overvågning (Premium) for at få flere oplysninger om opbevaring af overvågningslogge.

Licenskrav til kundelockbox

Kundelockbox-politik håndhæves kun i miljøer, der er aktiveret til administrerede miljøer. Administrerede miljøer er inkluderet som en berettigelse i enkeltstående licenser til Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages og Dynamics 365, der giver premium brugsrettigheder. Du kan få mere at vide om licenser til administreret miljø i Licensering og Licensoversigt for Microsoft Power Platform.

Derudover kræver adgang til kundelockbox for Microsoft Power Platform og Dynamics 365 brugere i de miljøer, hvor lockbox-politikken håndhæves, at have et af disse abonnementer:

  • Microsoft 365 eller Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 overholdelse af angivne standarder
  • Sikkerhed og overholdelse af angivne standarder for Microsoft 365 F5
  • Microsoft 365 A5/E5/F5/G5 Styring af Insider-risiko
  • Microsoft 365 A5/E5/F5/G5 Informationsbeskyttelse og -styring Få mere at vide om relevante licenser.

Undtagelser

  • Lockbox-anmodninger udløses ikke i følgende scenarier for teknisk support:

    • Nødscenarier, der falder uden for standardprocedurer for drift, f.eks. et større serviceudfald, der kræver omgående opmærksomhed for at gendanne eller genoprette tjenester i uventede eller uforudsigelige tilfælde. Disse kritiske hændelser er sjældne og kræver i de fleste tilfælde ikke adgang til kundedata for at blive løst.

    • En Microsoft tekniker får adgang til den underliggende platform som en del af fejlfinding og bliver utilsigtet eksponeret for kundedata. Det er sjældent, at sådanne scenarier vil resultere i adgang til meningsfulde mængder af kundedata.

  • Anmodninger om kundelockbox udløses heller ikke af eksterne juridiske krav til data. Du kan finde flere oplysninger i diskussionen af anmodninger fra myndigheder om data i Center for sikkerhed og Microsoft rettighedsadministration.

  • Customer Lockbox vil ikke gælde for adgang til og manuel gennemgang af kundedata, der deles for Copilot AI-funktioner. Customer Lockbox forbliver aktiveret for alle data i området.

Kendte problemer

  • Lejer til lejer-overførsel understøttes ikke, når kundelockbox er aktiveret. Du skal deaktivere Kundelockbox for at flytte et miljø til en anden lejer. Du kan genaktivere Kundelockbox, når overførslen er fuldført.