Поділитися через

Безпечний доступ до даних клієнтів за допомогою входу Power Platform Customer Lockbox і Dynamics 365

  • Стаття

Для більшості операцій, підтримки та виправлення неполадок, що виконуються персоналом корпорації Майкрософт (включно з субобробниками), не потрібен доступ до даних клієнтів. За допомогою повного контролю доступу на стороні клієнта Power Platform ми надаємо інтерфейс для клієнтів, де вони можуть переглядати та затверджувати (або відхиляти) запити на доступ до даних у рідкісних випадках, коли потрібен доступ до даних клієнтів. Він використовується в тих випадках, коли інженеру Microsoft потрібно отримувати доступ до даних клієнтів незалежно від того, чи це є відповідь на ініційований клієнтом запит у службу підтримки або проблема, виявлена корпорацією Microsoft.

У цій статті описано, як увімкнути повний контроль доступу на стороні клієнта та як ініціюються, відстежуються та зберігаються запити захищеного повного контролю доступу для наступних перевірок і аудитів.

Нотатка

Customer Lockbox доступний у загальнодоступних хмарах і в регіонах Community Cloud уряду США (GCC) GCC High і Міністерства оборони США.

Підсумок

У клієнті можна ввімкнути повний контроль доступу на стороні клієнта для джерел даних. Увімкнення Customer Lockbox застосовуватиме політику лише до середовищ, активованих для керованих середовищ. Power Platform Адміністратори можуть увімкнути політику сейфа.

Щоб отримати додаткові відомості, перейдіть до пункту Увімкнення політики повного контролю доступу.

У рідкісних випадках, коли корпорація Майкрософт намагається отримати доступ до даних клієнтів, які зберігаються всередині Power Platform Dataverse, адміністраторам Power Platform надсилається запит на затвердження. Для отримання додаткових відомостей перейдіть до пункту Розгляд запиту на повний контроль доступу.

Усі оновлення запиту на повний контроль доступу записуються та переносяться в організацію як контрольний журнал. Для отримання додаткових відомостей перейдіть до пункту Запит на повний контроль доступу до відстеження.

Power Platform а програми та служби Dynamics 365 зберігають дані клієнтів у кількох технологіях зберігання даних Azure. Якщо ввімкнути повний контроль доступу на стороні клієнта для середовища, дані клієнтів, зв’язані з відповідним середовищем, захищені політикою повного контролю доступу незалежно від типу сховища.

Нотатка

  • Наразі додатки та служби, до яких буде застосовано політику lockbox після ввімкнення, є Power Apps (за винятком карток для Power Apps), AI Builder Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse Customer Insights, Customer Service, Communities, Guides, Connected Spaces, Finance (крім Lifecycle Services), Project Operations (крім Служб життєвого циклу), Supply Chain Management (крім Служб життєвого циклу) та область маркетингових функцій у реальному часі в програмі Marketing.
  • Функції, що працюють на базі служби Azure OpenAI , виключаються з контролю за дотриманням політики Lockbox, якщо в документації продукту для певної функції не зазначено, що Lockbox застосовується.
  • Nuance Conversational IVR виключається з контролю за дотриманням політики Lockbox, якщо в документації продукту для певної функції не зазначено, що Lockbox застосовується.
  • Контент Maker Welcome виключено з контролю за дотриманням політики Lockbox.
  • Щоб мати змогу використовувати Customer Lockbox, потрібно вимкнути Lucene.NET пошук на своєму веб-сайті та перейти в Dataverse розділ Пошук. Докладніше: Пошук на порталах за допомогою Lucene.NET пошуку вважається застарілим.

Workflow

  1. В організації сталася помилка з Microsoft Power Platform, і ви відкриваєте запит на підтримку в службі підтримки Microsoft. Крім того, корпорація Microsoft проактивно виявляє проблему (наприклад, ініціювала проактивне сповіщення) і відкрито подію, запущену Microsoft, щоб досліджувати й усувати або виправити основну причину.

  2. Оператор Microsoft переглядає запит або подію на підтримку та намагається усунути проблему за допомогою стандартних інструментів і телеметрії. Якщо для подальшого усунення несправностей необхідний доступ до даних клієнтів, інженер Microsoft ініціює процес внутрішнього затвердження доступу до даних клієнтів, незалежно від того, увімкнуто чи ні політику lockbox.

  3. Крім того, запит на повний контроль доступу створюється, якщо відповідне сховище даних пов’язано із середовищем, захищеним згідно з політикою повного контролю доступу. Повідомлення електронною поштою надсилається призначеним затверджувачам (Power Platform адміністраторам) про незавершений запит на доступ до даних від Microsoft.

    Важливо

    Інженер Microsoft не зможе виконати їх дослідження, доки клієнт не затвердить запит на повний контроль доступу. Це може спричинити затримки у звертанні щодо запиту на підтримку або тривалі простої. Переконайтеся, що в центрі адміністрування Power Platform відстежується сповіщення електронною поштою та/або запити на повний контроль доступу і вчасно відповідайте, щоб запобігти перебоям у обслуговуванні.

    Зразок запиту на сейф.

  4. Затверджувач входить до центру адміністрування Power Platform і схвалює запит. Якщо запит відхилено або не схвалено протягом чотирьох днів, він втрачає чинність, і інженеру Microsoft доступ не надається.

  5. Після того, як затверджувач від організації схвалює запит, інженер Microsoft отримує підвищені дозволи, які було запитано і вирішує вашу проблему. Інженери Microsoft мають певний проміжок часу — 8 годин — щоб вирішити проблему, після чого доступ автоматично відкликається.

Увімкнення політики повного контролю доступу

Power Platform Адміністратори можуть створювати або оновлювати політику блокування в Power Platform Центрі адміністрування. Увімкнення політики рівня клієнта застосовуватиметься лише до середовищ, активованих для керованих середовищ. Впровадження всіх джерел даних і всіх середовищ за допомогою повного контролю доступу на стороні клієнта може зайняти до 24 годин.

  1. Увійдіть у центр адміністрування Power Platform.

  2. На сторінці "Параметри осередку" можна переглянути параметри на рівні осередку та керувати ними. Щоб переглянути налаштування на рівні клієнта, виберіть значок шестірні (Піктограма шестірні.) у верхньому правому куті Microsoft Power Platform сайту та виберіть Power Platform Налаштування>>клієнта Налаштування на панелі навігації в лівій частині навігації.

  3. Установіть для параметра Customer Lockbox значення Увімкнути.

    Увімкніть політику сейфа.

Розгляд запиту на повний контроль доступу

  1. Увійдіть у центр адміністрування Power Platform.

  2. Виберіть Policies>Customer Lockbox.

  3. Перегляд відомостей про запит.

    Поле Опис
    Ідентифікатор запиту на підтримку Ідентифікатор запиту на підтримку, зв’язаний із запитом на повний контроль доступу. Якщо запит є результатом внутрішнього оповіщення, що ініціювала корпорація Microsoft, значення буде «Ініційовано Microsoft».
    Середовище Коротке ім’я середовища, в якому надається запит на доступ до даних.
    Статус Стан запиту на повний контроль доступу.
    • Необхідна дія: очікується схвалення від замовника
    • Термін дії минув: схвалення від замовника не отримано
    • Затверджено: Затверджено замовником
    • Відмовлено: Відмовлено замовником
    Запитано Час, коли інженер Microsoft подав запит на доступ до даних клієнтів в середовищі клієнта.
    Термін дії запиту Час, на який клієнт має затвердити запит на повний контроль доступу. Стан запиту буде змінено на «Термін дії минув» якщо цього разу не буде надано жодного схвалення.
    Період доступу Тривалість часу, протягом якого ініціатор запиту хоче отримувати доступ до даних клієнта. Це значення за замовчуванням становить 8 годин, і його не можна змінити.
    Термін дії доступу Якщо доступ надано, це час, до якого інженер Microsoft має доступ до даних клієнта.

  4. Виберіть запит на повний контроль доступу і натисніть кнопку «Затвердити» або «Відхилити».

    Схвалення або відхилення запитів на блокування

    Нотатка

    Запити на повний контроль доступу, що сталися за останні 28 днів, відображаються в таблиці «Останні».

    Після схвалення запиту його не можна відкликати протягом усієї тривалості періоду доступу, що становить 8 годин.

Запити на повний контроль доступу до аудиту

Попередження

Схема, задокументована в цьому розділі для подій аудиту блоку, вважається застарілою та не буде доступною, починаючи з липня 2024 року. Ви можете проводити аудит подій на Customer Lockbox за допомогою нової схеми, доступної в категорії Активність: Операції з блокуванням.

Дії, пов’язані з прийняттям, відхиленням або терміном дії запиту на повний контроль доступу, автоматично записуються в Microsoft 365 Захиснику.

Microsoft 365 Сторінка захисника.

Трасування аудиту містять ці та інші поля для кожного запиту на повний контроль доступу.

  • Унікальний ідентифікатор для запиту
  • Час створення запиту
  • Ідентифікатор організації
  • Ідентифікатор користувача (унікальний ідентифікатор оператора Microsoft, який виконує запит)
  • Стан запиту
  • Пов’язаний ідентифікатор запиту на підтримку
  • Час завершення терміну дії запиту
  • Час завершення терміну дії доступу до даних
  • Ідентифікатор середовища
  • Обґрунтування запиту

Вкладка Microsoft 365 Відстеження дозволяє адміністраторам шукати події, пов'язані з сеансами повного контролю доступу. Перегляд категорії Power Platform Повний контроль доступу для подій, пов'язаних із Power Platform.

Виберіть Power Platform категорію сейфа.

Адміністратори можуть безпосередньо експортувати набір результатів за умовами фільтра.

Customer Lockbox створює два типи журналів аудиту:

  1. Журнали, ініційовані корпорацією Майкрософт і відповідають створенню, терміну дії запиту на блокування або завершенню сеансів доступу. Цей набір журналів аудиту не відповідає конкретному ідентифікатору користувача, оскільки дії ініціює корпорація Майкрософт.
  2. Журнали, які ініціюються діями кінцевого користувача, наприклад, коли користувач схвалює або відхиляє запит на блокування. Якщо користувачеві, який виконує ці операції, не призначено ліцензію E5, журнали відфільтровуються та не відображаються в журналах аудиту.

За замовчуванням журнали аудиту зберігаються протягом одного року. Щоб зберігати аудиторські записи протягом 10 років, потрібна додаткова ліцензія на зберігання аудиторського журналу протягом 10 років. Дивіться розділ Аудит (Преміум)для отримання більш детальної інформації про зберігання аудиторського журналу.

Вимоги до ліцензування Customer Lockbox

Політику повного контролю доступу на стороні клієнта буде застосовано лише в середовищах, активованих як керовані. Керовані середовища включено як право в автономні Power Apps, Power Automate, Microsoft Copilot Studio,, Power Pages та ліцензії Dynamics 365, які надають преміум-права на використання. Докладніше про ліцензування керованого середовища див. тут: Ліцензування і Загальні відомості про ліцензування Microsoft Power Platform.

Крім того, доступ до Customer Lockbox для Microsoft Power Platform та Dynamics 365 вимагає від користувачів у середовищах, де застосовується політика Lockbox, мати будь-яку з цих передплат:

  • Microsoft 365 або Office 365 A5/E5/G5
  • Сумісність із Microsoft 365 A5/E5/F5/G5
  • Безпека й відповідність Microsoft 365 F5
  • Керування внутрішніми ризиками Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5 Захист інформації та керування Дізнайтеся більше про відповідні ліцензії.

Винятки

  • Запити на повний контроль доступу не ініціюються в таких сценаріях інженерної підтримки:

    • Аварійні сценарії, що виходять за межі стандартних операційних процедур, наприклад, серйозний збій служби, що потребує негайного втручання для відновлення або поновлення служб у непередбачених або неочікуваних випадках. Такі непередбачувані події трапляються рідко та в більшості випадків не потребують доступу до даних клієнтів для вирішення.

    • Інженер Microsoft має доступ до основної платформи в рамках усунення несправностей і ненавмисно має доступ до даних клієнтів. Такі сценарії рідко призводять до доступу до великого обсягу даних клієнтів.

  • Запити на повний контроль доступу на стороні клієнта також не ініціюються зовнішніми юридичними вимогами до даних. Докладнішу інформацію див. в обговореннях запитів уряду на отримання даних у Центрі безпеки та конфіденційності Microsoft.

  • Lockbox не застосовуватиметься до доступу та ручного перегляду даних клієнтів, наданих для функцій Copilot AI. Lockbox залишатиметься ввімкненим для всіх даних, що стосуються обсягу.

Відомі проблеми

  • Міграція з клієнта в клієнт не підтримується, якщо увімкнуто повний контроль доступу на стороні клієнта. Щоб перемістити середовище до іншого клієнта, вимкніть повний контроль доступу на стороні клієнта. Після завершення перенесення повний контроль доступу на стороні клієнта можна ввімкнути знову.