Udostępnij przez

Bezpieczny dostęp do danych klienta za pomocą skrytki klienta w Power Platform i Dynamics 365

Większość operacji, pomocy technicznej i rozwiązywania problemów wykonywanych przez personel firmy Microsoft (w tym podwykonawcy) nie wymaga dostępu do danych klienta. Dzięki skrytce klienta na platformie Power Platform zapewniamy klientom interfejs do przeglądania i zatwierdzania (lub odrzucania) żądań dostępu do danych w rzadkich przypadkach, gdy dostęp do danych klienta jest potrzebny. Informacje te są stosowane w przypadkach, gdy inżynier firmy Microsoft musi uzyskać dostęp do danych klienta: czy to w odpowiedzi na bilet pomocy technicznej zainicjowanej przez klienta, czy na problem zidentyfikowany przez firmę Microsoft.

W tym artykule omówiono, jak włączyć skrytkę klienta i jak żądania skrytki są inicjowane, śledzone i przechowywane do późniejszych przeglądów i audytów.

Uwaga

Usługa Skrytka klienta jest dostępna w chmurze publicznej oraz w usługach regionów US Government Community Cloud (GCC, GCC High) i Department of Defense (DoD).

Podsumowanie

Skrzynkę blokowania klientów można włączyć dla źródeł danych w ramach dzierżawcy. Włączenie skrytki klienta wymusza stosowanie tych zasad tylko dla środowisk, które są aktywowane dla środowisk zarządzanych. Administratorzy platformy Power Platform mogą włączyć zasady skrytki.

Aby uzyskać więcej informacji, przejdź do tematu Włączanie zasad skrzynki odbiorczej.

W rzadkich przypadkach, gdy Microsoft próbuje uzyskać dostęp do danych klientów przechowywanych na platformie Power Platform (na przykład Dataverse), żądanie dotyczące skrytki jest wysyłane do administratorów platformy Power Platform w celu zatwierdzenia. Aby uzyskać więcej informacji, przejdź do Przejrzyj prośbę o skrytkę.

Wszystkie aktualizacje żądania skrzynki odbiorczej są rejestrowane i udostępniane organizacji jako dzienniki inspekcji. Aby uzyskać więcej informacji, przejdź do Kontrola prośby o skrytkę.

Aplikacje Power Platform i Dynamics 365 przechowują dane klientów w kilku technologiach magazynu Azure. Po włączeniu pola Customer Lockbox dla środowiska dane klientów skojarzone z odpowiednim środowiskiem są chronione przez zasady skrzynki odbiorczej, niezależnie od typu magazynu.

Uwaga

  • Obecnie aplikacje i usługi, w których zasady skrytki będą wymuszane po włączeniu, to Power Apps (z wyłączeniem kart dla Power Apps), AI Builder, Power Pages, Power Automate,, Microsoft Copilot Studio, Dataverse Customer Insights, Customer Service, Sales (z wyjątkiem Analiz konwersacji), Communities, Guides, Connected Spaces, Finance (z wyjątkiem Lifecycle Services), Project Operations (z wyjątkiem Lifecycle Services), Supply Chain Management (z wyjątkiem Lifecycle Services) oraz obszar funkcji marketingu w czasie rzeczywistym aplikacji Marketing.
  • Funkcje obsługiwane przez usługę Azure OpenAI Service są wyłączone z funkcji wymuszania zasad Lockbox, chyba że dokumentacja produktu dla danej funkcji stanowi, że stosowana jest funkcja Lockbox.
  • Funkcje obsługiwane przez usługę konwersacji Nuance IVR są wyłączone z wymuszania zasad skrytki, chyba że dokumentacja produktu dla danej funkcji stanowi, że stosowana jest skrytka.
  • Zawartość powitalna dla twórców jest wyłączona z wymuszania zasad skrytki.
  • Należy wyłączyć wyszukiwanie Lucene.NET w witrynie i przejść do wyszukiwania Dataverse, by włączyć Skrytkę klienta. Więcej informacji: Wyszukiwanie w portalach przy użyciu Lucene.NET jest przestarzałe.

Workflow

  1. Organizacja ma problem z pomocą techniczną Microsoft Power Platform i otwiera zgłoszenie pomocy technicznej Microsoft. Firma Microsoft aktywnie identyfikuje problem (na przykład jest wyzwalane aktywne powiadomienie), a zdarzenie zainicjowane przez firmę Microsoft jest otwierane w celu zbadania i zawęzienia lub rozwiązania głównej przyczyny.

  2. Operator firmy Microsoft przegląda żądanie/zdarzenie pomocy technicznej i próbuje rozwiązać ten problem, używając standardowych narzędzi i telemetryi. Jeśli dostęp do danych klienta jest potrzebny do dalszych rozwiązywania problemów, inżynier z firmy Microsoft uruchamia proces wewnętrznego zatwierdzania w celu uzyskania dostępu do danych klienta, niezależnie od tego, czy włączono czy nie włączono zasad blokowania skrzynek.

  3. Ponadto żądanie skrzynki odbiorczej jest generowane, jeśli odpowiedni magazyn danych jest skojarzony ze środowiskiem chronionym zgodnie z włączeniem zasad skrzynki odbiorczej. Do wyznaczonych osób zatwierdzających (administratorów platformy Power Platform) zostanie wysłane powiadomienie e-mail o oczekującym żądaniu dostępu do danych od Microsoft.

    Ważne

    Inżynier firmy Microsoft nie będzie mógł kontynuować czynności w śledztwie do momentu zatwierdzenia żądania skrzynki odbiorczej przez klienta. Może to spowodować opóźnienia w adresie biletu pomocy technicznej lub spowodować uszkodzenie. Należy monitorować powiadomienia pocztą e-mail i/lub żądania skrzynki odbiorczej w centrum administracyjnym platformy Power Platform i w sposób terminowy odpowiadać, aby uniknąć przerw w pracy z usługami.

    Przykładowe żądanie skrzynki odbiorczej.

  4. Osoba zatwierdzająca podpisuje się w centrum administracyjnym platformy Power Platform i zatwierdza żądanie. Jeśli żądanie zostanie odrzucone lub nie zostanie zatwierdzone w ciągu czterech dni, wygaśnie i inżynierowi firmy Microsoft nie zostanie przyznany żaden dostęp.

  5. Po zatwierdzeniu żądania przez organizację inżynier firmy Microsoft uzyskuje wstępnie wymagane uprawnienia i rozwiązuje problem. Inżynierowie firmy Microsoft mają ustawiony czas — 8 godzin — na rozwiązanie problemu. Po czym dostęp do niego jest automatycznie cofany.

Włączanie zasad blokowania

Administratorzy globalni Power Platform mogą tworzyć i aktualizować zasady blokowania skrytek w centrum administracyjnym Power Platform. Włączenie zasad na poziomie dzierżawcy ma zastosowanie tylko do środowisk, które są aktywowane dla środowisk zarządzanych. Wdrożenie wszystkich źródeł danych i wszystkich środowisk z Customer Lockbox może zająć do 24 godzin.

  1. Zaloguj się do centrum administracyjnego Power Platform.
  2. W okienku nawigacji wybierz pozycję Zarządzaj.
  3. W panelu Zarządzania wybierz pozycję Ustawienia dzierżawy.
  4. Wybierz pozycję Skrytka klienta, a następnie wybierz pozycję Włącz.

Przejrzyj prośbę o skrytkę

  1. Zaloguj się do centrum administracyjnego Power Platform.

  2. W okienku nawigacji, wybierz Zabezpieczenia.

  3. W okienku Zabezpieczenia wybierz pozycję Zgodność.

  4. Na stronie Zgodność wybierz pozycję Skrytka klienta.

  5. Przejrzyj szczegóły żądania.

    Pole Description
    Identyfikator żądania pomocy technicznej Identyfikator biletu pomocy technicznej skojarzonego z żądaniem skrzynki odbiorczej. Jeśli żądanie jest wynikiem wewnętrznego alertu zainicjowanego przez Microsoft, wartość to „Inicjowana przez Microsoft”.
    Environment To wyświetlana nazwa środowiska, w którym jest żądany dostęp do danych.
    Stan Stan żądania skrytki.
    • Wymagane działanie: oczekujące na zatwierdzenie przez klienta
    • Wygasły: nie otrzymano zatwierdzeń od klienta
    • Zatwierdzone: zatwierdzone przez klienta
    • Odmowa: odmowa przez klienta
    Zażądano Czas, w którym inżynier firmy Microsoft zażądał dostępu do danych klienta w środowisku klienta.
    Wygaśnięcie żądania Czas, w którym klient musi zatwierdzić żądanie skrzynki odbiorczej. Stan żądania zmienia się na Wygasły, jeśli w tym czasie nie zostanie wykonane żadne zatwierdzenie.
    Okres dostępu Czas, przez który żądanie chce uzyskać dostęp do danych klienta. Ta wartość wynosi domyślnie 8 godzin i nie można jej zmienić.
    Wygaśnięcie dostępu W przypadku przyznanego dostępu należy zaczekać na uzyskanie przez inżyniera firmy Microsoft dostępu do danych klienta.

  6. Wybierz żądanie skrzynki odbiorczej, a następnie wybierz opcję Zatwierdzanie lub Odmowa.

    Zatwierdzanie i odrzucanie żądań blokowania

    Uwaga

    Żądania skrzynki odbiorczej, które wystąpiły w ciągu ostatnich 28 dni, są wyświetlane w tabeli Ostatnie.

    Po zatwierdzeniu żądania nie można go cofnąć na cały czas trwania 8 godzin.

Kontrola prośby o skrytkę

Ostrzeżenie

Schemat udokumentowany w tej sekcji dla zdarzeń inspekcji skrytki jest przestarzały i nie będzie dostępny od lipca 2024 r. Zdarzenia funkcji Skrytki klienta można inspekcji, korzystając z nowego schematu dostępnego w Kategorii działania: operacje skrytki.

Akcje związane z akceptowaniem, odrzucaniem lub wygaśnięciu żądania skrytki są rejestrowane automatycznie w Microsoft 365 Defender.

Strona Microsoft 365 Defender.

Śledzenie inspekcji obejmuje następujące i inne pola dla każdego żądania skrzynki odbiorczej:

  • Unikalny identyfikator żądania
  • Czas utworzenia żądania
  • Identyfikator organizacji
  • Identyfikator użytkownika (unikatowy identyfikator operatora firmy Microsoft wykonującego żądanie)
  • Stan żądania
  • Powiązany identyfikator zgłoszenia pomocy technicznej
  • Czas wygaśnięcia żądania
  • Czas wygaśnięcia dostępu do danych
  • Identyfikator środowiska
  • Poproś o uzasadnienie

Karta Inspekcja w Microsoft 365 umożliwia administratorom wyszukiwanie zdarzeń skojarzonych z sesjami skrytki. Wyświetlanie kategorii Skrytka Power Platform pokrewnych zdarzeń Power Platform dotyczących skrytki.

Wybierz kategorię skrytki platformy Power Platform.

Administratorzy mogą bezpośrednio eksportować zestaw wyników na podstawie kryteriów filtrowania.

Skrytka klienta tworzy dwa typy dzienników inspekcji:

  1. Dzienniki zainicjowane przez firmę Microsoft i odpowiadające tworzonemu żądaniu skrytki, wygasłemu lub po zakończeniu sesji dostępu. Ten zestaw dzienników inspekcji nie odpowiada określonemu identyfikatorowi użytkownika, ponieważ akcje są inicjowane przez Microsoft.
  2. Dzienniki zainicjowane przez akcje użytkownika końcowego, na przykład kiedy użytkownik zatwierdzi lub odmówi żądaniu skrytki. Jeśli użytkownik, który wykonuje te operacje, nie ma przypisanej licencji E5, dzienniki są odfiltrowywane i nie będą wyświetlane w dziennikach inspekcji.

Domyślnie dzienniki inspekcji są przechowywane przez jeden rok. Do zachowania rekordów inspekcji przez 10 lat jest potrzebna 10-letnia licencja na przechowywanie dzienników inspekcji. Zobacz Inspekcja (Premium), aby uzyskać więcej szczegółowych informacji o przechowywaniu dzienników inspekcji.

Wymagania licencyjne dotyczące Skrytki klienta

Zasady skrytek klientów są wymuszane tylko w środowiskach, w których aktywowano obsługę aplikacji Środowiska zarządzane. Środowiska zarządzane są uwzględniane jako uprawnienie w samodzielnych licencjach Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages i Dynamics 365, które zapewniają prawa do użytkowania w warstwie Premium. Aby dowiedzieć się więcej o licencjonowaniu środowiska zarządzanego, zobacz Licencjonowanie i Przegląd licencjonowania dla Microsoft Power Platform.

Ponadto dostęp do korzystania ze skrytki klienta dla Microsoft Power Platform i Dynamics 365 wymaga, aby użytkownicy w środowiskach, w których wymuszane są zasady skrytki mieli jedną z tych subskrypcji:

  • Microsoft 365 lub Office 365 A5/E5/G5
  • Zgodność Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 — zabezpieczenia i zgodność
  • Zarządzanie ryzykiem wewnętrznym na platformie Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5 — ochrona informacji i nadzór Dowiedz się więcej na temat obowiązujących licencji.

Wykluczenia

  • Żądania skrzynki odbiorczej nie są wyzwalane w następujących scenariuszach pomocy technicznej:

    • Scenariusze, które nie są standardowymi procedurami operacyjnymi, na przykład głównymi awarii usług, które wymagają natychmiastowej uwagi w celu odzyskiwania i przywracania usług w nieoczekiwanych lub nieprzewidywnych przypadkach. Te zdarzenia „tłuczenia szkła” są rzadkie i w większości przypadków nie wymagają dostępu do danych klientów, aby je rozwiązać.

    • Inżynier firmy Microsoft uzyskuje dostęp do podstawowej platformy w ramach rozwiązywania problemów i zostanie przypadkowo wyeksponowany na dane klienta. Zdarza się, że takie scenariusze powinny powodować dostęp do znaczących ilości danych klientów.

  • Żądania usługi Customer Lockbox nie są również wyzwalane przez zewnętrzne wymagania prawne dotyczące danych. Szczegółowe informacje znajdują się w dyskusji na temat żądań ze stronie rządowych dotyczących danych w Centrum zaufania Microsoft.

  • Skrytka klienta nie będzie mieć zastosowania do dostępu i ręcznego przeglądu danych klienta udostępnianych dla funkcji AI Copilot. Skrytka klienta pozostaje włączona dla wszystkich danych w zakresie.

Znane problemy

  • Migracja dzierżawcy z dzierżawą nie jest obsługiwana, gdy jest włączone Pole blokowania klientów. Aby przenieść środowisko do innej dzierżawy, należy wyłączyć funkcję Skrytki klienta. Po zakończeniu migracji można ponownie włączyć pole skrytki klienta.
  • Last updated on