本文提供客戶加密箱的部署和設定指引。 客戶加密箱支援存取 Exchange Online、SharePoint、OneDrive、Teams 和 Windows 365 中數據的要求。 此外,客戶加密箱會透過 Exchange Online 可用的支援涵蓋所有 Microsoft 365 Copilot 互動。 若要建議其他服務的支援,請在 意見反應入口網站提交要求。
若要查看授權使用者以受益於Microsoft Purview 供應專案的選項,請參閱安全性 & 合規性的 Microsoft 365 授權指引。
客戶加密箱可確保 Microsoft 無法在未經您明確核准的情況下存取您的內容來執行服務作業。 客戶加密箱會將您帶入 Microsoft 用來確保只有授權要求才允許存取您的內容的核准工作流程。 若要深入瞭解 Microsoft 的工作流程,請參閱 特殊許可權存取管理。
有時,Microsoft 工程師會協助疑難排解並修正服務所產生的問題。 通常,工程師會使用 Microsoft 為其服務準備的廣泛遙測和偵錯工具來修正問題。 但是,在某些情況下,需要 Microsoft 工程師存取您的內容,以確定根本原因並解決問題。 客戶加密箱需要工程師要求您存取,作為核准工作流程的最後一個步驟。 這可讓您選擇核准或拒絕組織的要求,並提供內容的直接存取控制。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
客戶加密箱概觀影片
客戶加密箱工作流程
這些步驟概述 Microsoft 工程師啟動客戶加密箱要求時的一般工作流程:
組織人員在使用 Microsoft 365 信箱遇到問題。
使用者進行一些疑難排解之後,無法修正問題,並在 Microsoft 支援服務開啟支援要求。
Microsoft 支援工程師會檢閱服務要求,並判斷是否需要存取組織的租用戶來修復問題。
Microsoft支援工程師會登入客戶加密箱要求工具,並提出數據存取要求,其中包括組織的租用戶名稱、服務要求號碼、預期的存取開始時間 (如果未指定,則會在核准後立即開始) 、工程師需要存取數據的預估時間量,以及要求所針對的服務。
在 Microsoft 支援服務經理核准要求之後,客戶加密箱會傳送有關 Microsoft 待處理存取要求的電子郵件給組織指定的核准者。
在 Microsoft 365 系統管理中心中獲指派客戶加密箱存取核准者系統管理員角色的任何人都可以核准客戶加密箱要求。
核准者會登入 Microsoft 365 系統管理中心,並核准要求。 此步驟會搜尋稽核記錄,以觸發建立可用的稽核記錄。 如需詳細資訊,請參閱 稽核客戶加密箱要求。
如果客戶拒絕要求或未在 12 小時內核准要求,則要求會過期,而且不會授與 Microsoft 工程師任何存取權。
重要事項
Microsoft 不會在客戶加密箱電子郵件通知中包含任何需要您登入 Office 365 的連結。
組織的核准者核准要求之後,Microsoft 工程師會收到核准訊息、登入租用戶,並修正客戶的問題。 Microsoft 工程師有修正問題所要求的工期,問題修正之後權限會自動撤銷。
注意事項
Microsoft 工程師執行的所有動作會記錄在稽核記錄中。 您可以搜尋並檢閱這些稽核記錄。
開啟或關閉客戶加密箱要求
您可以在 Microsoft 365 系統管理中心開啟客戶加密箱控制項。 當您開啟客戶密碼箱時,Microsoft 必須先取得貴組織的核准,才能存取任何租使用者的內容。
使用已指派全域系統管理員或 客戶加密箱存取核准者 角色的公司或學校帳戶,移至 並 https://admin.microsoft.com 登入。
選擇 設定>組織設定> 安全& 隱私。
選取 [安全性] & [隱私權],然後選取左欄中的 [客戶加密箱]。 核取 [所有資料存取要求都需要核准 ] 核取方塊,然後儲存變更以開啟該功能。
核准或拒絕客戶加密箱要求
使用已指派全域系統管理員或 客戶加密箱存取核准者 角色的公司或學校帳戶,移至 並 https://admin.microsoft.com 登入。
選擇 [支援 > 客戶加密箱要求]。
![按一下 [支援],然後按一下 [客戶加密箱要求]。](media/customerlockbox5.png)
客戶加密箱要求的清單隨即顯示。
選取 [客戶加密箱] 要求,然後選擇 [核准] 或 [拒絕]。
隨即顯示核准客戶加密箱要求的確認訊息。
注意事項
使用 Set-AccessToCustomerDataRequest Cmdlet 來核准、拒絕或取消Microsoft Purview 客戶加密箱要求,以控制Microsoft支援工程師對您數據的存取。 如需詳細資訊,請參閱 Set-AccessToCustomerDataRequest。
稽核客戶加密箱要求
對應至客戶加密箱要求的稽核記錄會記錄在 Microsoft 365 稽核記錄中。 您可以使用 Microsoft Purview 入口網站中的 稽核記錄搜尋工具 來存取這些記錄。 與接受或拒絕客戶加密箱要求相關的動作,以及Microsoft工程師執行的動作 (當存取要求核准時,也會記錄在稽核記錄中) 。 您可以搜尋並檢閱這些稽核記錄。
在稽核記錄中搜尋與客戶加密箱要求相關的活動
在您可以使用稽核記錄來追蹤客戶加密箱的要求之前,您必須先採取一些步驟來設定稽核記錄,包括指派搜尋稽核記錄的許可權。 如需詳細資訊,請參閱開始使用 稽核解決方案。 完成設定之後,請使用下列步驟來建立稽核記錄搜尋查詢,以傳回與客戶加密箱相關的稽核記錄:
使用已獲指派適當權限的帳戶登入,以搜尋稽核記錄。
在合規性的左窗格中,選擇 [稽核]。
「稽核」頁面上的「搜尋」標籤隨即顯示。
設定下列搜尋準則:
開始日期 和 結束日期。 選取日期和時間範圍,以顯示該期間內已發生的事件。
活動。 將此欄位保留空白,以便搜尋傳回所有活動的審核記錄。 這是傳回與客戶加密箱要求相關的任何稽核記錄,以及 Microsoft 工程師所執行的對應活動。
使用者。 將此欄位保留空白。
檔案、資料夾或網站。 將此欄位保留空白。
按一下 [搜尋] 以使用您的搜尋準則執行搜尋。
片刻之後會顯示搜尋結果。 更多搜尋結果將新增至頁面,直到搜尋完成為止。
按一下 「活動」 欄中的標頭,以根據 「活動」 欄中的值,依字母順序排序結果。
向下捲動並尋找活動為 Set-AccessToCustomerDataRequest 的稽核記錄。 具有此活動的記錄與組織中核准或拒絕客戶加密箱要求的核准者相關。
或者,按一下 「使用者 」欄中的標頭,以使用 「使用者 」欄中的值,依字母順序排序結果。 尋找 Microsoft 操作員的值,指出 Microsoft 工程師為回應已核准的客戶加密箱要求而執行的活動。 「 活動」 欄會顯示工程師所執行的動作。
在結果清單中,按一下稽核記錄以顯示它。
匯出稽核記錄搜尋結果
您也可以將稽核記錄搜尋結果匯出至 CSV 檔案,然後在 Excel 中開啟檔案,以使用篩選和排序功能,讓您更輕鬆地尋找和檢視與客戶加密箱存取要求相關的稽核記錄。
若要匯出稽核記錄,請使用上述步驟來搜尋稽核記錄。 搜尋完成後,選取搜尋結果頁面頂端的 匯出 > 下載所有結果 。 匯出程序完成後,您可以將 CSV 檔案下載到本機電腦。 如需更詳細的指示,請參閱 匯出、設定及檢視稽核記錄記錄。
下載檔案之後,您可以在 Excel 中開啟它,然後篩選 [作業] 資料行,以顯示 Set-AccessToCustomerDataRequest 活動的稽核記錄。 您也可以使用「運算子) 」值 (篩選「使用者 ID」直欄Microsoft以顯示Microsoft工程師所執行活動的稽核記錄。
注意事項
檢視 CSV 檔案中的稽核記錄時,其他資訊會包含在 AuditData 直欄中。 此直欄中的資訊包含在 JSON 物件中,其中包含多個內容,這些內容配置為以逗點分隔的 屬性:值 配對。 您可以使用 Excel 中 Power Query 編輯器中的 JSON 轉換功能,將 AuditData 資料行中 JSON 物件中的每個屬性分割成多個資料行,讓每個資料都有自己的資料行。 這使得解釋此資訊變得更加容易。 如需詳細指示,請參閱使用 Power Query 編輯器格式化匯出的稽核記錄。
使用 PowerShell 搜尋和匯出稽核記錄
在 Microsoft Purview 入口網站中使用稽核搜尋工具的替代方案是在 Exchange Online PowerShell 中執行 Search-UnifiedAuditLog Cmdlet。 使用 PowerShell 的其中一個優點是,您可以特別搜尋 Set-AccessToCustomerDataRequest 活動,或 Microsoft 工程師與客戶加密箱要求相關的活動。
連線到 Exchange Online PowerShell 之後,請執行下列其中一個命令。 將預留位置取代為特定日期範圍。
搜尋 Set-AccessToCustomerDataRequest 活動
Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest
搜尋 Microsoft 工程師所執行的活動
Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"
如需詳細資訊和範例,請參閱 使用 PowerShell 搜尋和匯出稽核記錄記錄。
我們也提供 PowerShell 腳本,可用來搜尋稽核記錄,並將結果匯出至 CSV 檔案。 如需詳細資訊,請參閱 使用 PowerShell 腳本來搜尋稽核記錄。
客戶加密箱要求的稽核記錄
當組織中的人員核准或拒絕客戶加密箱要求時,稽核記錄會記錄在稽核記錄中,其中包含下列資訊。
| 稽核記錄屬性 | 描述 |
|---|---|
| 日期 | 客戶加密箱要求核准或拒絕的日期和時間。 |
| IP 位址 | 核准者用來核准或拒絕要求之機器的 IP 位址。 |
| 使用者 | 服務帳戶BOXServiceAccount@[customerforest].prod.outlook.com。 |
| 活動 | Set-AccessToCustomerDataRequest;這是當您核准或拒絕客戶加密箱要求時所記錄的稽核活動。 |
| 項目 | 客戶加密箱要求的 Guid |
下列螢幕快照顯示對應至已核准客戶加密箱要求的稽核記錄範例。 如果客戶加密箱要求遭到拒絕,則參數的 ApprovalDecision 值會是 Deny。
Microsoft 工程師所執行動作的稽核記錄
Microsoft 工程師在核准客戶加密箱要求後執行的動作 (且可能導致存取客戶內容) 會記錄在稽核記錄中。 這些記錄包含下列資訊。
| 稽核記錄屬性 | 描述 |
|---|---|
| 日期 | 執行動作的日期時間。 執行此動作的時間將在核准客戶加密箱要求後的 4 小時內。 |
| IP 位址 | Microsoft 工程師使用之機器的 IP 位址。 |
| 使用者 | Microsoft 運營商;此值表示記錄與客戶加密箱要求相關。 |
| 活動 | Microsoft 工程師執行的活動名稱。 |
| 項目 | <空> |
常見問題集
客戶加密箱適用於哪些 Microsoft 365 服務?
Exchange Online、SharePoint Online、商務用 OneDrive、Teams 和 Windows 365 目前支援客戶加密箱。
客戶密碼箱是否可供所有客戶使用?
客戶加密箱包含在 Microsoft 365 或 Office 365 E5 訂閱中,而且可以新增至具有資訊保護與合規性或進階合規性附加元件訂閱的其他方案。 對於政府客戶,客戶加密箱包含在 Microsoft 365 或 Office 365 G5 訂閱中。 如需詳細資訊,請參閱 方案和定價 。
什麼是客戶內容?
客戶內容是 Microsoft 365 服務和應用程式使用者所建立的資料。 客戶內容的範例包括:
電子郵件本文或電子郵件附件
SharePoint 網站內容
SharePoint 本文中的資訊
商務商務用 Skype 簡報檔案本文
立即訊息 (IM) 或語音交談
在 Teams 聊天和 Teams 頻道中輸入的文字,例如 1:1 聊天、群組聊天、共用頻道、私人頻道和會議聊天
貼到 Teams 聊天線程的其他數據,例如代碼片段、圖像、音頻和視頻消息以及鏈接
Teams 聊天和 Teams 頻道中的應用程式和機器人數據
Teams 活動摘要
Teams 會議錄製和文字記錄
語音信箱
張貼至 Teams 聊天和 Teams 頻道的檔案
Microsoft 365 Copilot 互動
客戶產生的 Blob 或結構化儲存體資料 (例如 SQL 容器)
客戶擁有的安全性資訊 (例如憑證、加密金鑰和密碼)
推論,以及所有後續推論 (如果客戶內容保留)
如需 Office 365 中客戶內容的詳細資訊,請參閱 Office 365 信任中心。
當有人要求存取我的內容時,誰會收到通知?
全域系統管理員和獲指派客戶加密箱存取核准者系統管理員角色的任何人都會收到通知。 這些也是可以核准客戶加密箱要求的相同使用者。
誰可以在我的組織中核准或拒絕這些要求?
全域系統管理員和獲指派客戶加密箱存取核准者系統管理員角色的任何人都可以核准客戶加密箱要求。 客戶控制其組織中的這些角色指派。
如何?選擇加入客戶密碼箱?
全域系統管理員可以在 Microsoft 365 系統管理中心啟用和設定客戶加密箱。
如果我核准客戶加密箱要求,工程師可以執行哪些動作,以及如何知道 Microsoft 工程師執行了哪些動作?
核准客戶加密箱要求之後,Microsoft 工程師會授與這些必要的許可權,以使用預先核准的 Cmdlet 來存取客戶內容。 Microsoft工程師為回應客戶加密箱要求而採取的動作會記錄在安全性 & 合規性中心的稽核記錄中,並可存取。
如何?知道 Microsoft 遵循核准程式?
您可以將傳送給組織中系統管理員和核准者的電子郵件核准通知與 Microsoft 365 系統管理中心中的客戶加密箱要求歷程記錄進行交互參考。
客戶密碼箱包含在最新的 SOC 1 SSAE 16 審計報告中。 如需詳細資訊,您可以在 Microsoft 服務信任入口網站中找到最新報告。
Microsoft 可以修改租用戶的核准者清單嗎? 如果沒有,如何預防?
只有組織中的全域系統管理員可以指定誰可以核准客戶加密箱要求。 這表示只有 Microsoft Entra ID 中全域管理員群組的成員才能指定誰可以核准要求。 Microsoft Entra ID 中全域管理員群組的成員資格僅由您的組織管理。
如果我需要有關內容存取請求的詳細資訊才能核准它,該怎麼辦?
每個客戶加密箱要求都包含 Microsoft 365 服務要求號碼。 您可以連絡 Microsoft 支援服務 並參考此服務號碼,以取得要求的詳細資訊。
核准客戶加密箱要求時,許可權的有效期限是多久?
目前,授予 Microsoft 工程師存取權限的最長期間是 4 小時。 Microsoft 工程師也可以要求較短的期間。
如何取得所有客戶加密箱要求的歷程記錄?
所有客戶加密箱要求都會在 Microsoft 365 系統管理中心檢視。
如何?將內容存取要求與相關稽核記錄建立關聯?
合規性中心活動摘要包含客戶加密箱的記錄活動。 客戶可以從活動摘要中交叉參考客戶加密箱記錄活動,以針對他們收到的電子郵件要求。
當客戶未回應客戶加密箱要求時,會發生什麼事?
客戶加密箱要求的預設持續時間為 12 小時。 如果您未在 12 小時內回應請求,則請求會過期。
當客戶拒絕客戶加密箱要求時,Microsoft 會怎麼做?
如果客戶拒絕客戶加密箱要求,則不會存取客戶內容。 如果組織中的使用者繼續遇到服務問題,需要 Microsoft 存取客戶內容才能解決問題,則服務問題可能會持續存在,而 Microsoft 會通知使用者此情況。
如何?在請求獲得批准時設定警示?
沒有內建選項可提醒管理員。 不過,管理員可以使用Microsoft Defender for Cloud Apps來設定警示。
客戶密碼箱是否防止執法機構或其他第三方的數據請求?
不能。 Microsoft 非常重視第三方對客戶數據的要求。 作為雲端服務供應商,Microsoft 始終倡導客戶資料的隱私權。 如果我們收到傳票,Microsoft 一律會嘗試將第三方重新導向至客戶以取得資訊。 (閱讀 Brad Smith 的部落格: 保護客戶資料免受政府窺探) 。 我們會定期發佈 Microsoft 收到的執法要求的 詳細資訊 。
如需詳細資訊,請參閱有關第三方資料要求的 Microsoft 信任中心 ,以及 Online Services 條款 中的「客戶資料揭露」一節。
Microsoft 如何確保其員工無法長期存取 Office 365 應用程式中的客戶內容?
Microsoft 透過存取控制系統和偵測措施實施廣泛的預防措施,以識別和解決規避這些存取控制系統的嘗試。 Microsoft 365 採用最低權限和即時存取的原則運作。 因此,任何 Microsoft 人員都無權持續存取客戶內容。 如果獲得許可,則期限有限。
Microsoft 365 會使用稱為 Lockbox 的存取控制系統來處理許可權要求,以授與在服務內執行作業和管理功能的能力。 操作員必須使用加密箱要求存取客戶內容,然後需要第二個人對要求採取動作, (例如,在授與存取權之前) 核准要求。 該第二個人不能是請求者,並且必須指定才能批准對客戶內容的訪問。 只有在請求獲得批准時,操作員才能獲得對客戶內容的臨時訪問權限。 提高許可權期間到期之後,加密箱會撤銷存取權。
如需 Microsoft 一般安全性做法的詳細資訊,請參閱 Online Services 條款 。
在什麼情況下,Microsoft 工程師需要存取我的內容?
Microsoft 工程師需要存取客戶內容的最常見案例是客戶提出需要存取才能進行疑難排解的支援要求。 Microsoft 365 的基本原則是,服務會在 Microsoft 存取客戶內容的情況下運作。 Microsoft 執行的幾乎所有服務作業都是完全自動化的,而且人為參與受到高度控制,並從客戶內容中抽象化。 Microsoft 365 的目標是在客戶核准 Microsoft 存取的特定要求之前,不需要存取客戶內容來支援服務。
我已經認為我的數據在 Microsoft 雲中是安全的,那麼為什麼我需要客戶密碼箱?
客戶加密箱可讓客戶為服務作業提供明確的存取授權,藉由提供額外的控制層。 透過證明明確資料存取授權的程式已到位,客戶密碼箱還可以幫助客戶履行某些合規性義務,例如 HIPAA 和 FEDRAMP。