Condividi tramite


Microsoft Purview Customer Lockbox

Questo articolo fornisce indicazioni per la distribuzione e la configurazione per Customer Lockbox. Customer Lockbox supporta le richieste di accesso ai dati in Exchange Online, SharePoint, OneDrive, Teams e Windows 365. Inoltre, tutte le interazioni Microsoft 365 Copilot sono coperte da Customer Lockbox tramite il supporto disponibile per Exchange Online. Per consigliare il supporto per altri servizi, inviare una richiesta nel portale di feedback.

Per visualizzare le opzioni per concedere in licenza agli utenti i vantaggi offerti dalle offerte di Microsoft Purview, vedere le linee guida sulle licenze di Microsoft 365 per la sicurezza & la conformità.

Customer Lockbox garantisce che Microsoft non possa accedere al contenuto per eseguire operazioni di servizio senza l'approvazione esplicita. Customer Lockbox consente di accedere al processo del flusso di lavoro di approvazione usato da Microsoft per garantire che solo le richieste autorizzate consentano l'accesso al contenuto. Per altre informazioni sul processo del flusso di lavoro di Microsoft, vedere Privileged access management .to learn more about Microsoft's workflow process, see Privileged access management.

Occasionalmente, i tecnici Microsoft aiutano a risolvere e risolvere i problemi che si verificano con il servizio. In genere, i tecnici risolvono i problemi usando i dati di telemetria e gli strumenti di debug completi di Microsoft per i propri servizi. In alcuni casi, tuttavia, un tecnico Microsoft deve accedere al contenuto per determinare la causa radice e risolvere il problema. Customer Lockbox richiede al tecnico di richiedere l'accesso come passaggio finale del flusso di lavoro di approvazione. In questo modo è possibile approvare o rifiutare la richiesta per l'organizzazione e fornire il controllo di accesso diretto al contenuto.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Video di panoramica di Customer Lockbox

Flusso di lavoro di Customer Lockbox

Questi passaggi descrivono il flusso di lavoro tipico quando un tecnico Microsoft avvia una richiesta customer lockbox:

  1. Un utente di un'organizzazione ha un problema con la propria cassetta postale di Microsoft 365.

  2. Dopo che l’utente ha tentato inutilmente di risolvere il problema, viene aperta una richiesta di servizio con il supporto Microsoft.

  3. Un tecnico del supporto tecnico Microsoft esamina la richiesta di servizio e determina la necessità di accedere al tenant dell'organizzazione per risolvere il problema.

  4. Il tecnico del supporto tecnico Microsoft accede allo strumento di richiesta Customer Lockbox ed effettua una richiesta di accesso ai dati che include il nome del tenant dell'organizzazione, il numero di richiesta di servizio, l'ora di inizio prevista dell'accesso (viene avviata immediatamente dopo l'approvazione se non specificato), la quantità stimata di tempo per cui il tecnico deve accedere ai dati e il servizio per cui la richiesta è destinata.

  5. Dopo che un responsabile del supporto Microsoft approva la richiesta, Customer Lockbox invia al responsabile approvazione designato dell'organizzazione una notifica tramite posta elettronica sulla richiesta di accesso in sospeso inviata da Microsoft.

    Esempio di notifica tramite posta elettronica customer lockbox.

    Chiunque abbia il ruolo di amministratore responsabile approvazione accesso Customer Lockbox in interfaccia di amministrazione di Microsoft 365 può approvare le richieste di Customer Lockbox.

  6. Il responsabile approvazione accede al interfaccia di amministrazione di Microsoft 365 e approva la richiesta. Questo passaggio attiva la creazione di un record di controllo disponibile eseguendo una ricerca nel log di audit. Per altre informazioni, vedere Controllo delle richieste di Customer Lockbox.

    Se il cliente rifiuta la richiesta o non approva la richiesta entro 12 ore, la richiesta scade e non viene concesso alcun accesso al tecnico Microsoft.

    Importante

    Microsoft non include collegamenti nelle notifiche di posta elettronica di Customer Lockbox che richiedono l'accesso a Office 365.

  7. Dopo che il responsabile approvazione dell'organizzazione ha approvato la richiesta, il tecnico Microsoft riceve il messaggio di approvazione, accede al tenant e corregge il problema del cliente. I tecnici Microsoft mantengono l’accesso per il tempo definito nella richiesta per risolvere il problema, dopo il quale l'accesso viene automaticamente revocato.

Nota

Tutte le azioni eseguite da un tecnico Microsoft vengono registrate log di audit. È possibile cercare ed esaminare questi record di controllo.

Attivare o disattivare le richieste di Customer Lockbox

È possibile attivare i controlli di Customer Lockbox nell'interfaccia di amministrazione di Microsoft 365. Quando si attiva Customer Lockbox, Microsoft deve ottenere l'approvazione dell'organizzazione prima di accedere a qualsiasi contenuto del tenant.

  1. Usando un account aziendale o dell'istituto di istruzione con l'amministratore globale o il ruolo responsabile approvazione accesso Customer Lockbox assegnato, passare a https://admin.microsoft.com e accedere.

  2. Scegliere Impostazioni>Impostazioni organizzazione>Sicurezza & Privacy.

  3. Selezionare Sicurezza & Privacy, quindi Selezionare Customer Lockbox nella colonna a sinistra. Selezionare la casella di controllo Richiedi approvazione per tutte le richieste di accesso ai dati e salvare le modifiche per attivare la funzionalità.

    Require approval for Customer Lockbox

Approvare o rifiutare una richiesta di Customer Lockbox

  1. Usando un account aziendale o dell'istituto di istruzione con l'amministratore globale o il ruolo responsabile approvazione accesso Customer Lockbox assegnato, passare a https://admin.microsoft.com e accedere.

  2. Scegliere Supporto > richieste customer lockbox.

    Fare clic su Supporto, quindi su Richieste customer lockbox.

    Viene visualizzato un elenco di richieste Customer Lockbox.

    Elenco delle richieste di Customer Lockbox.

  3. Selezionare una richiesta Customer Lockbox e quindi scegliere Approva o Nega.

    Approvare le richieste di Customer Lockbox.

    Viene visualizzato un messaggio di conferma relativo all'approvazione della richiesta Customer Lockbox.

    Negare le richieste di Customer Lockbox.

Nota

Usare il cmdlet Set-AccessToCustomerDataRequest per approvare, negare o annullare le richieste di Microsoft Purview Customer Lockbox che controllano l'accesso ai dati da parte dei tecnici del supporto tecnico Microsoft. Per altre informazioni, vedere Set-AccessToCustomerDataRequest.

Controllare le richieste di Customer Lockbox

I record di controllo che corrispondono alle richieste di Customer Lockbox vengono registrati nel log di controllo di Microsoft 365. È possibile accedere a questi log usando lo strumento di ricerca dei log di controllo nella Portale di conformità di Microsoft Purview. Anche le azioni relative all'accettazione o alla negazione di una richiesta customer lockbox e le azioni eseguite dai tecnici Microsoft (quando le richieste di accesso vengono approvate) vengono registrate nel log di controllo. È possibile cercare ed esaminare questi record di controllo.

Prima di poter usare il log di controllo per tenere traccia delle richieste per Customer Lockbox, è necessario eseguire alcuni passaggi per configurare la registrazione di controllo, inclusa l'assegnazione delle autorizzazioni per la ricerca nel log di controllo. Per altre informazioni, vedere Introduzione alle soluzioni di controllo. Dopo aver completato l'installazione, seguire questa procedura per creare una query di ricerca del log di controllo per restituire i record di controllo correlati a Customer Lockbox:

  1. Vai a https://compliance.microsoft.com.

  2. Accedere usando un account a cui sono state assegnate le autorizzazioni appropriate per la ricerca nel log di controllo.

  3. Nel riquadro sinistro del Centro conformità scegliere Controlla.

    Viene visualizzata la scheda Cerca nella pagina Controllo .

    Pagina di ricerca del log di controllo.

  4. Configurare i criteri di ricerca seguenti:

    1. Data di inizio e data di fine. Selezionare un intervallo di date e ore per visualizzare gli eventi che si sono verificati in quel periodo.

    2. Attività. Lasciare vuoto questo campo in modo che la ricerca restituisca i record di controllo per tutte le attività. Ciò è necessario per restituire eventuali record di controllo correlati alle richieste di Customer Lockbox e alle attività corrispondenti eseguite dai tecnici Microsoft.

    3. Utenti. Lasciare vuoto questo campo.

    4. File, cartella o sito. Lasciare vuoto questo campo.

  5. Fare clic su Cerca per eseguire la ricerca usando i criteri di ricerca.

    I risultati della ricerca vengono visualizzati dopo alcuni istanti. Altri risultati della ricerca verranno aggiunti alla pagina fino al completamento della ricerca.

  6. Fare clic sull'intestazione nella colonna Attività per ordinare i risultati in ordine alfabetico in base ai valori nella colonna Attività .

  7. Scorrere verso il basso e cercare i record di controllo con un'attività Set-AccessToCustomerDataRequest. I record con questa attività sono correlati a un responsabile approvazione nell'organizzazione che approva o nega una richiesta customer lockbox.

  8. In alternativa, fare clic sull'intestazione nella colonna Utente per ordinare i risultati in ordine alfabetico usando i valori nella colonna Utente . Cercare il valore di Operatore Microsoft, che indica le attività eseguite da un tecnico Microsoft in risposta a una richiesta di Customer Lockbox approvata. Nella colonna Attività viene visualizzata l'azione eseguita dal tecnico.

    Filtrare in base a

  9. Nell'elenco dei risultati fare clic su un record di controllo per visualizzarlo.

Esportare i risultati della ricerca nel log di controllo

È anche possibile esportare i risultati della ricerca del log di controllo in un file CSV e quindi aprire il file in Excel per usare le funzionalità di filtro e ordinamento per semplificare la ricerca e la visualizzazione dei record di controllo correlati a una richiesta di accesso a Customer Lockbox.

Per esportare i record di controllo, usare i passaggi precedenti per eseguire ricerche nel log di controllo. Al termine della ricerca, selezionare Esporta > Scarica tutti i risultati nella parte superiore della pagina dei risultati della ricerca. Al termine del processo di esportazione, è possibile scaricare il file CSV nel computer locale. Per istruzioni più dettagliate, vedere Esportare, configurare e visualizzare i record del log di controllo.

Dopo aver scaricato il file, è possibile aprirlo in Excel e quindi filtrare la colonna Operazioni per visualizzare i record di controllo per le attività Set-AccessToCustomerDataRequest . È anche possibile filtrare in base alla colonna UserIds (usando il valore Operatore Microsoft) per visualizzare i record di controllo per le attività eseguite dai tecnici Microsoft.

Nota

Quando si visualizzano record di controllo nel file CSV, nella colonna AuditData sono contenute informazioni aggiuntive. Le informazioni contenute in questa colonna sono contenute in un oggetto JSON, che contiene più proprietà configurate come coppie proprietà:valore separate da virgole. È possibile usare la funzionalità di trasformazione JSON nel editor di Power Query in Excel per suddividere ogni proprietà nell'oggetto JSON nella colonna AuditData in più colonne in modo che ogni proprietà abbia una propria colonna. In questo modo è più semplice interpretare queste informazioni. Per istruzioni dettagliate, vedere Formattare il log di controllo esportato usando il editor di Power Query.

Usare PowerShell per cercare ed esportare record di controllo

Un'alternativa all'uso dello strumento di ricerca di controllo nel Portale di conformità di Microsoft Purview consiste nell'eseguire il cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell. Un vantaggio dell'uso di PowerShell è la possibilità di cercare in modo specifico le attività Set-AccessToCustomerDataRequest o le attività eseguite dai tecnici Microsoft correlate a una richiesta di Customer Lockbox.

Dopo aver eseguito la connessione a Exchange Online PowerShell, eseguire uno dei comandi seguenti. Sostituire i segnaposto con un intervallo di date specifico.

Cercare le Set-AccessToCustomerDataRequest attività

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest

Cercare le attività eseguite dai tecnici Microsoft

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"

Per altre informazioni ed esempi, vedere Usare PowerShell per cercare ed esportare i record del log di controllo.

È stato anche fornito uno script di PowerShell che è possibile usare per eseguire ricerche nel log di controllo ed esportare i risultati in un file CSV. Per altre informazioni, vedere Usare uno script di PowerShell per eseguire ricerche nel log di controllo.

Record di controllo per una richiesta customer lockbox

Quando una persona dell'organizzazione approva o nega una richiesta Customer Lockbox, il record di controllo viene registrato nel log di controllo contiene le informazioni seguenti.

Proprietà del record di controllo Descrizione
Data La data e l'ora in cui la richiesta di Customer Lockbox è stata approvata o rifiutata.
Indirizzo IP L'indirizzo IP del computer utilizzato dal responsabile approvazione per approvare o rifiutare una richiesta.
Utente L'account del servizio BOXServiceAccount@[customerforest].prod.outlook.com.
Attività Set-AccessToCustomerDataRequest; si tratta dell'attività di controllo che viene registrata quando si approva o si rifiuta una richiesta di Customer Lockbox.
Elemento GUID della richiesta Customer Lockbox

Lo screenshot seguente mostra un esempio di record di controllo che corrisponde a una richiesta approvata di Customer Lockbox. Se una richiesta Customer Lockbox è stata negata, il valore del ApprovalDecision parametro sarà Deny.

Record di controllo per una richiesta di Customer Lockbox approvata.

Record di controllo per un'azione eseguita da un tecnico Microsoft

Le azioni eseguite da un tecnico Microsoft dopo l'approvazione di una richiesta di Customer Lockbox (che potrebbe comportare l'accesso ai contenuti del cliente) vengono registrate nel log di audit. I record contengono le seguenti informazioni:

Proprietà del record di controllo Descrizione
Data Data e ora in cui è stata eseguita l'azione. L'ora in cui è stata eseguita questa azione sarà entro 4 ore dall'approvazione della richiesta Customer Lockbox.
Indirizzo IP L'indirizzo IP del tecnico Microsoft del computer utilizzato.
Utente Operatore Microsoft; questo valore indica che il record è correlato a una richiesta Customer Lockbox.
Attività Nome dell'attività eseguita dal tecnico Microsoft.
Elemento <vuoto>

Domande frequenti

A quali servizi di Microsoft 365 si applica Customer Lockbox?

Customer Lockbox è attualmente supportato in Exchange Online, SharePoint Online, OneDrive for Business, Teams e Windows 365.

Customer Lockbox è disponibile per tutti i clienti?

Customer Lockbox è incluso nelle sottoscrizioni di Microsoft 365 o Office 365 E5 e può essere aggiunto ad altri piani con una sottoscrizione Information Protection e conformità o un componente aggiuntivo Conformità avanzata. Per i clienti per enti pubblici, Customer Lockbox è incluso nell'abbonamento a Microsoft 365 o Office 365 G5. Per altre informazioni, vedere Piani e prezzi .

Che cos'è il contenuto del cliente?

Il contenuto del cliente è costituito dai dati creati dagli utenti dei servizi e delle applicazioni di Microsoft 365. Esempi di contenuto personalizzato includono:

  • Corpo dei messaggi di posta elettronica o allegati di posta elettronica

  • Contenuto del sito di SharePoint

  • Informazioni nel corpo di un file di SharePoint

  • Skype for Business corpo del file di presentazione

  • Messaggi istantanei o conversazioni vocali

  • Testo immesso nelle chat di Teams e nei canali di Teams, ad esempio chat 1:1, chat di gruppo, canali condivisi, canali privati e chat di riunione

  • Altri dati incollati nei thread di chat di Teams, ad esempio frammenti di codice, immagini, messaggi audio e video e collegamenti

  • Dati di app e bot nelle chat di Teams e nei canali di Teams

  • Feed attività di Teams

  • Registrazioni e trascrizioni delle riunioni di Teams

  • Messaggi vocali

  • File pubblicati nelle chat di Teams e nei canali di Teams

  • interazioni Microsoft 365 Copilot

  • BLOB o dati di archiviazione strutturati generati dal cliente (ad esempio, contenitori SQL)

  • Informazioni di sicurezza di proprietà del cliente (ad esempio, certificati, chiavi di crittografia e password)

  • Inferenze, e tutte le inferenze successive, se il contenuto del cliente rimane

Per altre informazioni sul contenuto dei clienti in Office 365, vedere il Centro protezione Office 365.

Chi riceve una notifica quando è presente una richiesta di accesso al contenuto?

Gli amministratori globali e tutti gli utenti a cui è stato assegnato il ruolo di amministratore responsabile approvazione accesso Customer Lockbox ricevono una notifica. Questi sono anche gli stessi utenti che possono approvare le richieste di Customer Lockbox.

Chi può approvare o rifiutare queste richieste nell'organizzazione?

Gli amministratori globali e tutti gli utenti a cui è stato assegnato il ruolo di amministratore responsabile approvazione accesso Customer Lockbox possono approvare le richieste di Customer Lockbox. I clienti controllano queste assegnazioni di ruolo nelle loro organizzazioni.

Ricerca per categorie acconsentire esplicitamente a Customer Lockbox?

Un amministratore globale può abilitare e configurare Customer Lockbox nel interfaccia di amministrazione di Microsoft 365.

Se approvo una richiesta di Customer Lockbox, cosa può fare il tecnico e come posso sapere cosa ha fatto il tecnico Microsoft?

Dopo aver approvato una richiesta customer lockbox, il tecnico Microsoft ha concesso questi privilegi necessari per accedere al contenuto del cliente usando cmdlet pre-approvati. Le azioni eseguite dai tecnici Microsoft in risposta alle richieste di Customer Lockbox vengono registrate e accessibili nel log di controllo nel Centro conformità & sicurezza.

Ricerca per categorie sapere che Microsoft segue il processo di approvazione?

È possibile fare riferimento incrociato alle notifiche di approvazione tramite posta elettronica inviate agli amministratori e ai responsabili approvazione dell'organizzazione con la cronologia delle richieste di Customer Lockbox nel interfaccia di amministrazione di Microsoft 365.

Customer Lockbox è incluso nel report di controllo soc 1 SSAE 16 più recente. Per altri dettagli, è possibile trovare i report più recenti nel portale microsoft service trust.

Microsoft può modificare l'elenco dei responsabili approvazione per il tenant? In caso contrario, come viene impedito?

Solo un amministratore globale dell'organizzazione può specificare chi può approvare le richieste di Customer Lockbox. Ciò significa che solo i membri del gruppo amministratore globale in Microsoft Entra ID possono specificare chi può approvare la richiesta. L'appartenenza al gruppo amministratore globale in Microsoft Entra ID viene gestita solo dall'organizzazione.

Cosa succede se sono necessarie altre informazioni su una richiesta di accesso al contenuto per approvarla?

Ogni richiesta customer lockbox contiene un numero di richiesta di servizio di Microsoft 365. È possibile contattare supporto tecnico Microsoft e fare riferimento a questo numero di servizio per ottenere altre informazioni sulla richiesta.

Quando viene approvata una richiesta Customer Lockbox, per quanto tempo sono valide le autorizzazioni?

Attualmente la durata massima delle autorizzazioni di accesso concesse al tecnico Microsoft è di 4 ore. Il tecnico Microsoft può anche richiedere un periodo più breve.

Come è possibile ottenere una cronologia di tutte le richieste di Customer Lockbox?

Tutte le richieste di Customer Lockbox vengono visualizzate nella interfaccia di amministrazione di Microsoft 365.

Il feed attività del Centro conformità contiene le attività di log di Customer Lockbox. I clienti possono fare riferimento incrociato alle attività di log di Customer Lockbox dal feed attività in base alla richiesta di posta elettronica ricevuta.

Cosa accade quando un cliente non risponde a una richiesta di Customer Lockbox?

Le richieste di Customer Lockbox hanno una durata predefinita di 12 ore. Se non rispondi a una richiesta entro 12 ore, la richiesta scade.

Cosa fa Microsoft quando un cliente rifiuta una richiesta di Customer Lockbox?

Se un cliente rifiuta una richiesta customer lockbox, non viene eseguito alcun accesso al contenuto del cliente. Se un utente dell'organizzazione continua a riscontrare un problema di servizio che richiede a Microsoft di accedere al contenuto del cliente per risolvere il problema, il problema del servizio potrebbe essere persistente e Microsoft ne informerà l'utente.

Ricerca per categorie configurare gli avvisi ogni volta che una richiesta è stata approvata?

Non è disponibile alcuna opzione predefinita per avvisare gli amministratori. Tuttavia, gli amministratori possono configurare gli avvisi usando Microsoft Defender for Cloud Apps.

Customer Lockbox protegge dalle richieste di dati da parte delle forze dell'ordine o di altre terze parti?

No. Microsoft prende sul serio le richieste di terze parti per i dati dei clienti. In qualità di provider di servizi cloud, Microsoft sostiene sempre la privacy dei dati dei clienti. Nel caso in cui si ottenga un mandato di comparizione, Microsoft tenta sempre di reindirizzare la terza parte al cliente per ottenere le informazioni. (Leggi il blog di Brad Smith: Proteggere i dati dei clienti dallo spionaggio governativo). Microsoft pubblica periodicamente informazioni dettagliate sulle richieste delle forze dell'ordine ricevute da Microsoft.

Per altre informazioni, vedere il Centro protezione Microsoft relativo alle richieste di dati di terze parti e la sezione "Divulgazione dei dati dei clienti" nelle Condizioni per i servizi online .

In che modo Microsoft garantisce che un membro del personale non abbia accesso permanente ai contenuti dei clienti nelle applicazioni Office 365?

Microsoft implementa misure preventive approfondite tramite sistemi di controllo di accesso e misure investigative per identificare e risolvere i tentativi di aggirare questi sistemi di controllo di accesso. Microsoft 365 opera con i principi dei privilegi minimi e dell'accesso JIT. Pertanto, nessun personale Microsoft ha l'autorizzazione ad accedere ai contenuti dei clienti in modo continuativo. Se viene concessa l'autorizzazione, l'autorizzazione ha una durata limitata.

Microsoft 365 usa un sistema di controllo di accesso denominato Lockbox per elaborare le richieste di autorizzazioni che concedono la possibilità di eseguire funzioni operative e amministrative all'interno del servizio. Un operatore deve richiedere l'accesso al contenuto del cliente tramite Lockbox, che richiede quindi a una seconda persona di intervenire sulla richiesta (ad esempio, approvarla) prima di concedere l'accesso. La seconda persona non può essere il richiedente e deve essere designata per approvare l'accesso al contenuto del cliente. Solo se la richiesta è approvata, l'operatore acquisisce l'accesso temporaneo al contenuto del cliente. Dopo la scadenza del periodo di elevazione, Lockbox revoca l'accesso.

Per altre informazioni sulle procedure di sicurezza generali di Microsoft, vedere le Condizioni per i servizi online .

In quali circostanze i tecnici Microsoft hanno bisogno di accedere ai contenuti?

Lo scenario più comune in cui i tecnici Microsoft devono accedere al contenuto del cliente è quando il cliente effettua una richiesta di supporto che richiede l'accesso per la risoluzione dei problemi. Un principio fondamentale di Microsoft 365 è che il servizio opera senza l'accesso di Microsoft al contenuto del cliente. Quasi tutte le operazioni di servizio eseguite da Microsoft sono completamente automatizzate e il coinvolgimento umano è altamente controllato e astratto dal contenuto dei clienti. L'obiettivo di Microsoft 365 è l'accesso al contenuto del cliente per supportare il servizio solo quando il cliente non approva una richiesta specifica per l'accesso Microsoft.

Ho già pensato che i miei dati fossero sicuri con il cloud Microsoft, quindi perché ho bisogno di Customer Lockbox?

Customer Lockbox offre un ulteriore livello di controllo offrendo ai clienti la possibilità di concedere l'autorizzazione di accesso esplicita per le operazioni del servizio. Dimostrando che sono in atto procedure per l'autorizzazione esplicita all'accesso ai dati, Customer Lockbox aiuta anche i clienti a rispettare determinati obblighi di conformità, ad esempio HIPAA e FEDRAMP.