Power Platform および Dynamics 365 のカスタマー ロックボックスを使用した顧客データへの安全なアクセス
Microsoft のスタッフ (代わりの処理者を含む) が実行する操作、サポート、およびトラブルシューティングの多くは、顧客データにアクセスする必要がありません。 Power Platform カスタマー ロックボックスにより、あまりないことですが、顧客データへのデータ アクセスが必要な場合に、顧客がデータ アクセス要求を確認および承認 (または拒否) するインターフェースを提供します。 顧客が開始したサポート チケットまたは Microsoft によって特定された問題に応答する場合、Microsoft のエンジニアが顧客データにアクセスする必要がある場合に使用されます。
この記事では、カスタマー ロックボックスを有効にする方法、およびロックボックス要求の開始、追跡、および後で行う確認および監査のための保存方法について説明します。
注意
カスタマー ロックボックスは、パブリック クラウドと米国政府コミュニティ クラウド (GCC)、 GCC High、国防総省 (DoD) のリージョンで利用できます。
まとめ
テナント内のデータ ソースに対してカスタマー ロックボックスを有効にすることができます。 カスタマー ロックボックスを有効にすると、マネージド環境 でアクティブ化された環境に対してのみポリシーが適用されます。 Power Platform 管理者はロックボックス ポリシーを有効にできます。
詳細については、ロックボックス ポリシーを有効にするを参照してください。
まれに、Microsoftが Power Platform (たとえば、 Dataverse) 内に保存されている顧客データにアクセスしようとする場合、ロックボックス リクエストが Power Platform 管理者に送信され、承認を得ます。 詳細については、ロックボックス要求を確認するにアクセスしてください。
ロックボックス要求に対するすべての更新は記録され、監査ログとして組織が利用できるようになります。 詳細については、ロックボックス要求を監査するにアクセスしてください。
Power Platform と Dynamics 365 のアプリケーションとサービスは、顧客データをいくつかの Azure ストレージ テクノロジに格納します。 環境に対してカスタマー ロックボックスをオンにすると、ストレージの種類に関係なく、それぞれの環境に関連付けられている顧客データはロックボックス ポリシーにより保護されます。
注意
- 現在、ロックボックス ポリシーを有効にすると適用されるアプリケーションとサービスは、 Power Apps ( Power Apps の カード を除く)、 AI Builder、 Power Pages、 Power Automate、 Microsoft Copilot Studio (GPT AI機能と エージェントBuilderを除く)、 Dataverse、Customer Insights、顧客サービス、コミュニティ、ガイド、接続されたスペース、財務 (Lifecycle Servicesを除く)、プロジェクト運用 (Lifecycle Services), サプライ チェーン を除く)、管理 (Lifecycle Servicesを除く)、およびマーケティング アプリの リアルタイム マーケティング 機能領域です。
- Azure OpenAI Serviceを利用した機能は、特定の機能の製品ドキュメントにロックボックスが適用されると記載されていない限り、ロックボックス ポリシーの適用から除外されます。
- Nuance 会話型 IVR は、特定の機能の製品ドキュメントにロックボックスが適用されると記載されていない限り、ロックボックス ポリシーの適用から除外されます。
- メーカーウェルカムコンテンツ は、ロックボックスポリシーの適用から除外されます。
- Web サイトから Lucene.NET 検索を無効にし、Dataverse 検索に移動してカスタマー ロックボックスを使用できるようにする必要があります。 詳細: Lucene.NET 検索を使用したポータル検索は非推奨です。
ワークフロー
組織に Microsoft Power Platform の問題があり、Microsoft サポートでサポート要求を開きます。 また、Microsoft が問題を事前に特定し (プロアクティブな通知がトリガーされるなど)、Microsoft が開始したイベントを開いて、根本原因の調査、軽減または修正を行います。
Microsoft のオペレーターは、サポート要求/イベントを確認し、標準のツールとテレメトリを使用して問題のトラブルシューティングを試みます。 さらにトラブルシューティングを行うために顧客データへのアクセスが必要な場合、Microsoft のエンジニアは、ロックボックス ポリシーが有効になっているかどうかに関係なく、顧客データにアクセスするための内部承認プロセスをトリガーします。
さらに、それぞれのデータ ストアがロックボックス ポリシーの有効化に従って保護された環境に関連付けられている場合、ロックボックス要求が生成されます。 Microsoftからの保留中のデータ アクセス要求に関する電子メール通知が、指定された承認者 (Power Platform 管理者) に送信されます。
重要
ロックボックス要求が顧客によって承認されるまで、Microsoft のエンジニアは調査を続行することができません。 これにより、サポート チケットへの対処が遅れたり、機能停止が長期になる可能性があります。 Power Platform 管理センターで電子メールの通知やロックボックス要求を監視し、サービス中断を避けるためにタイムリーに応答するようにします。
承認者は Power Platform 管理センターにサインインし、要求を承認します。 要求が拒否された場合、または 4 日以内に承認されなかった場合、要求は期限切れになり、Microsoft のエンジニアにアクセスは許可されません。
組織の承認者が要求を承認した後、Microsoft のエンジニアは最初に要求された昇格されたアクセス許可を取得し、問題を修正することができます。 Microsoft のエンジニアには、問題を修正するために設定された時間 (8 時間) があり、その後、アクセスは自動的に取り消されます。
ロックボックス ポリシーを有効にする
Power Platform 管理者は、 Power Platform 管理センター でロックボックス ポリシーを作成または更新できます。 テナント レベル ポリシーを有効にすると、マネージド環境 でアクティブ化された環境に対してのみ適用されます。 すべてのデータ ソースとすべての環境に対してカスタマー ロックボックスが実装されるまでに、最大 24 時間ほどかかる場合があります。
Power Platform 管理センターにサインインします。
テナント設定ページを使用して、テナント レベルの設定を確認および管理します。 テナント レベルの設定を表示するには、Microsoft Power Platform サイトの右上隅にある 歯車 アイコン () を選択して、左側のナビゲーション ウィンドウで Power Platform の設定>設定>テナント設定 を選択します。
カスタマー ロックボックス を 有効 に設定します。
ロックボックス要求を確認する
Power Platform 管理センターにサインインします。
ポリシー>カスタマー ロックボックス を選択します。
要求の詳細を確認します。
フィールド 説明 サポート要求 ID ロックボックス要求に関連付けられているサポート チケットの ID。 要求が Microsoft によって開始された内部通知の結果である場合、値は「Microsoft が開始」になります。 環境 データ アクセスが要求されている環境の表示名。 状態 ロックボックスの要求の状態。
- 必要なアクション: 顧客からの承認待ち
- 期限切れ: 顧客からの承認が得られていません
- 承認済み: 顧客によって承認済み
- 拒否: 顧客によって拒否されました
要求済み Microsoft のエンジニアが顧客の環境にある顧客データへのアクセスを要求した時刻。 要求の有効期限 顧客がロックボックス要求を承認する必要がある時刻。 この時刻までに承認されない場合、要求の状態が期限切れに変わります。 アクセス期間 要求者が顧客データにアクセスする時間の長さ。 この値は既定で 8 時間であり、変更することはできません。 アクセスの有効期限 アクセスが許可されている場合、Microsoft のエンジニアはこの時刻まで顧客データにアクセスできます。 ロックボックス要求を選択してから、承認また拒否を選択します。
注意
過去 28 日間に発生したロックボックス要求は、最近テーブルに表示されます。
要求が承認されると、8 時間のアクセス期間全体にわたって要求を取り消すことはできません。
ロックボックス要求の監査
警告
このセクションで説明されているロックボックス監査イベントのスキーマは非推奨であり、2024 年 7 月以降は利用できなくなります。 アクティビティ カテゴリ: ロックボックス操作 で利用可能な新しいスキーマを使用して、カスタマー ロックボックス イベントを監査できます。
ロックボックス要求の承諾、拒否、または有効期限に関連するアクションは、Microsoft 365 Defender に自動的に記録されます。
監査トレースには、各ロックボックス要求のこれらのフィールドやその他のフィールドが含まれます。
- 要求の一意の識別子
- 要求作成時刻
- 組織 ID
- ユーザー ID (要求を実行する Microsoft のオペレーターの一意の識別子)
- 要求の状態
- 関連付けられたサポート チケット ID
- 要求の有効期限
- データ アクセスの有効期限
- 環境 ID
- 要求の妥当性
Microsoft 365 監査タブにより、管理者はロックボックス セッションに関連するイベントを検索することができます。 ロックボックス イベントに関連付けられている Power Platform の Power Platform ロックボックス カテゴリを表示します。
管理者は、フィルター条件に基づいて結果セットを直接エクスポートすることができます。
カスタマー ロックボックスは、次の 2 種類の監査ログを生成します:
- Microsoft によって開始され、ロックボックス要求の作成中、期限切れ、またはアクセス セッション終了時に対応するログ。 アクションは Microsoft によって開始されるため、この監査ログのセットは特定のユーザー ID に対応しません。
- ユーザーがロックボックス要求を承認または拒否したときなど、エンド ユーザーのアクションによって開始されるログ。 これらの操作を実行するユーザーに E5 ライセンスが割り当てられていない場合、ログはフィルタリングされて、監査ログに表示されません。
デフォルトでは、監査ログは 1 年間保存されます。 監査記録を 10 年間保持するには、10 年間の監査ログ保持アドオン ライセンスが必要です。 監査ログの保持の詳細については、監査 (Premium) を参照してください。
カスタマー ロックボックスのライセンス要件
カスタマー ロックボックス ポリシーは、マネージド環境に対してアクティブ化された環境にのみ適用されます。 マネージド環境は、スタンドアロン版 Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages、およびプレミアム利用権を付与した Dynamics 365 ライセンスにエンタイトルメントとして含まれています。 マネージド環境ライセンスの詳細については、ライセンスとMicrosoft Power Platform のライセンスの概要を参照してください。
さらに、Microsoft Power Platform および Dynamics 365 のカスタマー ロックボックスにアクセスするには、ロックボックス ポリシーが適用されている環境のユーザーに次のサブスクリプションが必要です:
- Microsoft 365 または Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 Compliance
- Microsoft 365 F5 Security & Compliance
- Microsoft 365 A5/E5/F5/G5 インサイダー リスク管理ユーザー
- Microsoft 365 A5/E5/F5/G5 Information Protection とガバナンス、 適用されるライセンスの 詳細情報。
除外
次のエンジニアリング サポートのシナリオでは、ロックボックス要求はトリガーされません。
予期しないまたは予測できない場合にサービスを回復または復元するのに早急な対応を必要とする大規模なサービス停止など、標準の運用手順外の緊急事態。 これら緊急のイベントはまれであり、ほとんどの場合、解決するために顧客データにアクセスする必要はありません。
Microsoft エンジニアは、トラブルシューティングの一環として基盤となるプラットフォームにアクセスし、謝って顧客データにさらされています。 このようなシナリオにより、意味のある顧客データ量にアクセスできることはめったにありません。
カスタマー ロックボックス要求は、データに対する外部の法的要求によってトリガーされることもありません。 詳細については、Microsoft セキュリティ センターの政府によるデータ要求に関する説明を参照してください。
カスタマー ロックボックスは、Copilot AI 機能で共有される顧客データへのアクセス許可や手動レビューには適用されません。 カスタマー ロックボックスは、範囲内のすべてのデータに対して有効なままになります。
既知の問題
- テナントからテナントへの移行は、カスタマー ロックボックスが有効になっている場合、サポートされません。 環境を別のテナントに移動するには、カスタマー ロックボックスを無効にする必要があります。 移行が完了したら、カスタマー ロックボックスを再度有効にすることができます。