次の方法で共有

Power Platform および Dynamics 365 のカスタマー ロックボックスを使用した顧客データへの安全なアクセス

  • [アーティクル]

担当者(サブプロセッサーを含む)が実行するほとんどの操作、サポート、およびトラブルシューティングでは、顧客データにアクセスする必要はありません。 Microsoft Power Platform カスタマー ロックボックスにより、あまりないことですが、顧客データへのデータ アクセスが必要な場合に、顧客がデータ アクセス要求を確認および承認 (または拒否) するインターフェースを提供します。 これは、顧客が開始したサポート チケットや、によって特定された問題など、エンジニアが顧客データにアクセスする必要がある場合に使用されます Microsoft 。 Microsoft

この記事では、カスタマー ロックボックスを有効にする方法、およびロックボックス要求の開始、追跡、および後で行う確認および監査のための保存方法について説明します。

注意

カスタマー ロックボックスは、パブリック クラウドと米国政府コミュニティ クラウド (GCC)、 GCC High、国防総省 (DoD) のリージョンで利用できます。

まとめ

テナント内のデータ ソースに対してカスタマー ロックボックスを有効にすることができます。 カスタマー ロックボックスを有効にすると、マネージド環境 でアクティブ化された環境に対してのみポリシーが適用されます。 Power Platform 管理者はロックボックス ポリシーを有効にできます。

詳細については、ロックボックス ポリシーを有効にするを参照してください。

まれに、 Microsoft が Power Platform ( Dataverseなど) 内に保存されている顧客データにアクセスしようとする場合、承認のためにロックボックス リクエストが Power Platform 管理者に送信されます。 詳細については、ロックボックス要求を確認するにアクセスしてください。

ロックボックス要求に対するすべての更新は記録され、監査ログとして組織が利用できるようになります。 詳細については、ロックボックス要求を監査するにアクセスしてください。

Power Platform と Dynamics 365 のアプリケーションとサービスは、顧客データをいくつかの Azure ストレージ テクノロジに格納します。 環境に対してカスタマー ロックボックスをオンにすると、ストレージの種類に関係なく、それぞれの環境に関連付けられている顧客データはロックボックス ポリシーにより保護されます。

注意

  • 現在、ロックボックス ポリシーを有効にすると適用されるアプリケーションとサービスは、 Power Apps ( Power Apps の カード を除く)、 AI Builder、 Power Pages、 Power Automate、 Microsoft Copilot Studio (GPT AI機能とAgent Builderを除く)、 Dataverse、Customer Insights、顧客サービス、コミュニティ、ガイド、接続されたスペース、財務 (ライフサイクル サービスを除く)、プロジェクト運用 (ライフサイクル サービスを除く)、サプライ チェーン 管理 (ライフサイクル サービスを除く)、およびマーケティング アプリの 応答 機能領域です。
  • Azure OpenAI Serviceを利用した機能は、特定の機能の製品ドキュメントにロックボックスが適用されると記載されていない限り、ロックボックス ポリシーの適用から除外されます。
  • Nuance 会話型 IVR は、特定の機能の製品ドキュメントにロックボックスが適用されると記載されていない限り、ロックボックス ポリシーの適用から除外されます。
  • メーカーウェルカムコンテンツ は、ロックボックスポリシーの適用から除外されます。
  • Web サイトから Lucene.NET 検索を無効にし、Dataverse 検索に移動してカスタマー ロックボックスを使用できるようにする必要があります。 詳細: Lucene.NET 検索を使用したポータル検索は非推奨です

ワークフロー

  1. 組織に問題が発生し、 Microsoft Power Platform サポートにサポート リクエストを送信します。 Microsoft あるいは、 Microsoft 問題をプロアクティブに特定し(たとえば、プロアクティブ通知がトリガーされる)、 Microsoftによって開始されたイベントを開いて、根本原因を調査し、軽減または修正します。

  2. A Microsoft オペレーター はサポート リクエスト/イベントを確認し、標準ツールとテレメトリを使用して問題のトラブルシューティングを試みます。 さらなるトラブルシューティングのために顧客データへのアクセスが必要な場合、ロックボックス ポリシーが有効かどうかに関係なく、エンジニアが顧客データへのアクセスに関する内部承認プロセスをトリガーします。 Microsoft

  3. さらに、それぞれのデータ ストアがロックボックス ポリシーの有効化に従って保護された環境に関連付けられている場合、ロックボックス要求が生成されます。 指定された承認者 (Power Platform 管理者) に、 Microsoft からの保留中のデータ アクセス要求に関する電子メール通知が送信されます。

    重要

    ロックボックスのリクエストが顧客によって承認されるまで、エンジニアは調査を進めることができません。 Microsoft これにより、サポート チケットへの対処が遅れたり、機能停止が長期になる可能性があります。 Power Platform 管理センターで電子メールの通知やロックボックス要求を監視し、サービス中断を避けるためにタイムリーに応答するようにします。

    ロックボックス要求のサンプル。

  4. 承認者は Power Platform 管理センターにサインインし、要求を承認します。 リクエストが4日以内に拒否されるか承認されない場合、リクエストは期限切れとなり、エンジニアにはアクセスが許可されません。 Microsoft

  5. 組織の承認者がリクエストを承認すると、 Microsoft エンジニアは最初に要求された昇格された権限を取得し、問題を修正します。 Microsoft エンジニアには問題を解決するために定められた時間(8時間)が与えられ、その時間が過ぎるとアクセスは自動的に取り消されます。

ロックボックス ポリシーを有効にする

Power Platform 管理者は、 Power Platform 管理センター でロックボックス ポリシーを作成または更新できます。 テナント レベル ポリシーを有効にすると、マネージド環境 でアクティブ化された環境に対してのみ適用されます。 すべてのデータ ソースとすべての環境に対してカスタマー ロックボックスが実装されるまでに、最大 24 時間ほどかかる場合があります。

  1. Power Platform 管理センターにサインインします。

  2. テナント設定ページを使用して、テナント レベルの設定を確認および管理します。 テナント レベルの設定を表示するには、Microsoft Power Platform サイトの右上隅にある 歯車 アイコン (歯車アイコン。) を選択して、左側のナビゲーション ウィンドウで Power Platform の設定>設定>テナント設定 を選択します。

  3. カスタマー ロックボックス有効 に設定します。

    ロックボックス ポリシーをオンにする。

ロックボックス要求を確認する

  1. Power Platform 管理センターにサインインします。

  2. ポリシー>カスタマー ロックボックス を選択します。

  3. 要求の詳細を確認します。

    フィールド 説明
    サポート要求 ID ロックボックス要求に関連付けられているサポート チケットの ID。 リクエストが Microsoftによって開始された内部アラートの結果である場合、値は「Microsoft initiated」になります。
    Environment データ アクセスが要求されている環境の表示名。
    状態 ロックボックスの要求の状態。
    • 必要なアクション: 顧客からの承認待ち
    • 期限切れ: 顧客からの承認が得られていません
    • 承認済み: 顧客によって承認済み
    • 拒否: 顧客によって拒否されました
    要求済み エンジニアが顧客の 環境 内の顧客データへのアクセスを要求した時刻。 Microsoft
    要求の有効期限 顧客がロックボックス要求を承認する必要がある時刻。 この時刻までに承認されない場合、要求の状態が期限切れに変わります。
    アクセス期間 要求者が顧客データにアクセスする時間の長さ。 この値は既定で 8 時間であり、変更することはできません。
    アクセスの有効期限 アクセスが許可された場合、エンジニアが顧客データにアクセスできる期間はこの期間までとなります。 Microsoft

  4. ロックボックス要求を選択してから、承認また拒否を選択します。

    ロックボックス要求の承認または拒否

    注意

    過去 28 日間に発生したロックボックス要求は、最近テーブルに表示されます。

    要求が承認されると、8 時間のアクセス期間全体にわたって要求を取り消すことはできません。

ロックボックス要求の監査

警告

このセクションで説明されているロックボックス監査イベントのスキーマは非推奨であり、2024 年 7 月以降は利用できなくなります。 アクティビティ カテゴリ: ロックボックス操作 で利用可能な新しいスキーマを使用して、カスタマー ロックボックス イベントを監査できます。

ロックボックス要求の承諾、拒否、または有効期限に関連するアクションは、Microsoft 365 Defender に自動的に記録されます。

Microsoft 365 Defender のページ。

監査トレースには、各ロックボックス要求のこれらのフィールドやその他のフィールドが含まれます。

  • 要求の一意の識別子
  • 要求作成時刻
  • 組織 ID
  • ユーザーID (リクエストを実行する Microsoft オペレーター の一意の識別子)
  • 要求の状態
  • 関連付けられたサポート チケット ID
  • 要求の有効期限
  • データ アクセスの有効期限
  • 環境 ID
  • 要求の妥当性

Microsoft 365 監査タブにより、管理者はロックボックス セッションに関連するイベントを検索することができます。 ロックボックス イベントに関連付けられている Power Platform の Power Platform ロックボックス カテゴリを表示します。

Power Platform ロックボックス カテゴリを選択します。

管理者は、フィルター条件に基づいて結果セットを直接エクスポートすることができます。

カスタマー ロックボックスは、次の 2 種類の監査ログを生成します:

  1. Microsoft によって開始され、ロックボックス要求の作成、期限切れ、またはアクセス セッションの終了に対応するログ。 この監査ログ セットは、アクションが開始されたユーザーIDに対応していません Microsoft。
  2. ユーザーがロックボックス要求を承認または拒否したときなど、エンド ユーザーのアクションによって開始されるログ。 これらの操作を実行するユーザーに E5 ライセンスが割り当てられていない場合、ログはフィルタリングされて、監査ログに表示されません。

デフォルトでは、監査ログは 1 年間保存されます。 監査記録を 10 年間保持するには、10 年間の監査ログ保持アドオン ライセンスが必要です。 監査ログの保持の詳細については、監査 (Premium) を参照してください。

カスタマー ロックボックスのライセンス要件

カスタマー ロックボックス ポリシーは、マネージド環境に対してアクティブ化された環境にのみ適用されます。 マネージド環境は、スタンドアロン版 Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages、およびプレミアム利用権を付与した Dynamics 365 ライセンスにエンタイトルメントとして含まれています。 マネージド環境ライセンスの詳細については、ライセンスMicrosoft Power Platform のライセンスの概要を参照してください。

さらに、Microsoft Power Platform および Dynamics 365 のカスタマー ロックボックスにアクセスするには、ロックボックス ポリシーが適用されている環境のユーザーに次のサブスクリプションが必要です:

  • Microsoft 365 または Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 インサイダー リスク管理ユーザー
  • Microsoft 365 A5/E5/F5/G5 Information Protection とガバナンス、 適用されるライセンスの 詳細情報

除外

  • 次のエンジニアリング サポートのシナリオでは、ロックボックス要求はトリガーされません。

    • 予期しないまたは予測できない場合にサービスを回復または復元するのに早急な対応を必要とする大規模なサービス停止など、標準の運用手順外の緊急事態。 これら緊急のイベントはまれであり、ほとんどの場合、解決するために顧客データにアクセスする必要はありません。

    • エンジニアがトラブルシューティングの一環として基盤となるプラットフォームにアクセスし、誤って顧客データにさらされてしまいます。 Microsoft このようなシナリオにより、意味のある顧客データ量にアクセスできることはめったにありません。

  • カスタマー ロックボックス要求は、データに対する外部の法的要求によってトリガーされることもありません。 詳細については、 Microsoft トラスト センターの政府によるデータ要求に関する説明を参照してください

  • カスタマー ロックボックスは、Copilot AI 機能で共有される顧客データへのアクセス許可や手動レビューには適用されません。 カスタマー ロックボックスは、範囲内のすべてのデータに対して有効なままになります。

既知の問題

  • テナントからテナントへの移行は、カスタマー ロックボックスが有効になっている場合、サポートされません。 環境を別のテナントに移動するには、カスタマー ロックボックスを無効にする必要があります。 移行が完了したら、カスタマー ロックボックスを再度有効にすることができます。