Microsoft Purview 客户密码箱
本文提供客户密码箱的部署和配置指南。 客户密码箱支持访问 Exchange Online、SharePoint、OneDrive、Teams 和 Windows 365 中的数据的请求。 此外,客户密码箱通过可用于Exchange Online的支持涵盖所有智能 Microsoft 365 Copilot 副驾驶®交互。 若要推荐对其他服务的支持,请在 反馈门户中提交请求。
若要查看授权用户从 Microsoft Purview 产品/服务中受益的选项,请参阅 Microsoft 365 安全 & 合规性许可指南。
客户密码箱可确保未经你的明确批准,Microsoft无法访问你的内容来执行服务操作。 客户密码箱可让你进入Microsoft使用的审批工作流流程,以确保只有经过授权的请求才允许访问你的内容。 若要详细了解Microsoft的工作流过程,请参阅 特权访问管理。
有时,Microsoft工程师可帮助排查和修复服务出现的问题。 通常,工程师使用大量遥测和调试工具修复问题,Microsoft已为其服务提供。 但是,在某些情况下,需要Microsoft工程师访问内容,以确定根本原因并解决问题。 客户密码箱要求工程师请求你进行访问权限,这是审批工作流中的最后一步。 这使你可以选择批准或拒绝组织的请求,并提供对内容的直接访问控制。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
客户密码箱概述视频
客户密码箱工作流
以下步骤概述了Microsoft工程师启动客户密码箱请求时的典型工作流:
组织中的某人在其 Microsoft 365 邮箱中遇到了问题。
当用户排除了问题但无法解决后,就会向 Microsoft 支持部门打开支持请求。
Microsoft支持工程师评审服务请求,并确定需要访问组织的租户来修复问题。
Microsoft支持工程师登录到客户密码箱请求工具,并发出数据访问请求,其中包括组织的租户名称、服务请求编号、预计的访问开始时间 (在审批后立即启动(如果未指定) 、工程师需要访问数据的估计时间以及请求所针对的服务)。
在 Microsoft 支持部门经理批准该请求后,客户密码箱会向组织中指定的批准者发送一封关于 Microsoft 的未决访问请求电子邮件通知。
在 Microsoft 365 管理中心 中分配有客户密码箱访问审批者管理员角色的任何人都可以批准客户密码箱请求。
审批者登录到Microsoft 365 管理中心并批准请求。 此步骤会触发创建审核记录,可通过搜索审核日志获得该审核记录。 有关详细信息,请参阅 审核客户密码箱请求。
如果客户拒绝请求或未在 12 小时内批准请求,则请求将过期,并且不会向Microsoft工程师授予访问权限。
重要
Microsoft不包含客户密码箱中的任何链接,电子邮件通知要求你登录到Office 365。
在组织的审批者批准请求后,Microsoft工程师会收到批准消息,登录到租户,并修复客户的问题。 Microsoft 工程师对修复这个问题有要求期限,之后访问将自动撤销。
注意
Microsoft 工程师执行的所有操作都会记录在审计日志中。 你可以搜索和查看这些审核记录。
打开或关闭客户密码箱请求
你可以在 Microsoft 365 管理中心中启用客户密码箱控件。 打开客户密码箱后,Microsoft必须先获得组织的批准,然后才能访问租户的任何内容。
使用分配有全局管理员或 客户密码箱访问审批者 角色的工作或学校帐户,转到 https://admin.microsoft.com 并登录。
选择 “设置”>“组织设置”“>安全 & 隐私”。
选择“ 安全 & 隐私”,然后在左侧列中选择“ 客户密码箱 ”。 选中 “需要批准所有数据访问请求 ”复选框,并保存更改以启用该功能。
批准或拒绝客户密码箱请求
使用分配有全局管理员或 客户密码箱访问审批者 角色的工作或学校帐户,转到 https://admin.microsoft.com 并登录。
选择 “支持 > 客户密码箱请求”。
将显示客户密码箱请求列表。
选择客户密码箱请求,然后选择 “批准” 或“ 拒绝”。
此时会显示有关客户密码箱请求审批的确认消息。
注意
使用 Set-AccessToCustomerDataRequest cmdlet 批准、拒绝或取消Microsoft Purview 客户密码箱请求,这些请求控制Microsoft支持工程师对数据的访问。 有关详细信息,请参阅 Set-AccessToCustomerDataRequest。
审核客户密码箱请求
对应于客户密码箱请求的审核记录记录记录在 Microsoft 365 审核日志中。 可以使用Microsoft Purview 合规门户中的审核日志搜索工具来访问这些日志。 与接受或拒绝客户密码箱请求相关的操作以及Microsoft工程师执行的操作 (访问请求获得批准时) 也会记录在审核日志中。 你可以搜索和查看这些审核记录。
在审核日志中搜索与客户密码箱请求相关的活动
在使用审核日志跟踪客户密码箱请求之前,需要执行一些步骤来设置审核日志记录,包括分配搜索审核日志的权限。 有关详细信息,请参阅 审核解决方案入门。 完成设置后,使用以下步骤创建审核日志搜索查询,以返回与客户密码箱相关的审核记录:
使用已分配有搜索审核日志的适当权限的帐户登录。
在合规中心的左窗格中,选择“ 审核”。
将显示“审核”页上的“搜索”选项卡。
配置以下搜索条件:
开始日期 和 结束日期。 选择日期和时间范围,以显示在这段时间内发生的事件。
活动。 将此字段留空,以便搜索返回所有活动的审核记录。 这是返回与客户密码箱请求和由Microsoft工程师执行的相应活动相关的任何审核记录所必需的。
用户。 将此字段留空。
文件、文件夹或网站。 将此字段留空。
单击“搜索”以使用搜索条件运行搜索。
几分钟后会显示搜索结果。 在搜索完成之前,会向页面添加更多搜索结果。
单击 “活动 ”列中的标头,根据 “活动 ”列中的值按字母顺序对结果进行排序。
向下滚动并查找具有 Set-AccessToCustomerDataRequest 活动的审核记录。 此活动的记录与组织中批准或拒绝客户密码箱请求的审批者相关。
或者,单击 “用户 ”列中的标头,使用“ 用户 ”列中的值按字母顺序对结果进行排序。 查找 Microsoft 操作员的值,该值指示Microsoft工程师为响应批准的客户密码箱请求而执行的活动。 “ 活动” 列显示工程师执行的操作。
在结果列表中,单击审核记录以显示它。
导出审核日志搜索结果
还可以将审核日志搜索结果导出到 CSV 文件,然后在 Excel 中打开该文件以使用筛选和排序功能,以便更轻松地查找和查看与客户密码箱访问请求相关的审核记录。
若要导出审核记录,请使用前面的步骤搜索审核日志。 搜索完成后,选择搜索结果页顶部的“ 导出 > 下载所有结果 ”。 导出过程完成后,可以将 CSV 文件下载到本地计算机。 有关更详细的说明,请参阅 导出、配置和查看审核日志记录。
下载文件后,可以在 Excel 中打开它,然后根据 “操作” 列进行筛选,以显示 Set-AccessToCustomerDataRequest 活动的审核记录。 还可以根据 UserIds 列 (使用值 Microsoft Operator) 来显示Microsoft工程师执行的活动的审核记录。
注意
在 CSV 文件中查看审核记录时,其他信息包含在 AuditData 列中。 此列中的信息包含在 JSON 对象中,该对象包含配置为用逗号分隔 的 property:value 对的多个属性。 可以使用 Excel Power Query 编辑器中的 JSON 转换功能将 AuditData 列中 JSON 对象中的每个属性拆分为多个列,以便每个属性都有自己的列。 这样可以更轻松地解释此信息。 有关详细说明,请参阅使用 Power Query 编辑器设置导出的审核日志的格式。
使用 PowerShell 搜索和导出审核记录
在 Microsoft Purview 合规门户 中使用审核搜索工具的替代方法是在 PowerShell Exchange Online 中运行 Search-UnifiedAuditLog cmdlet。 使用 PowerShell 的一个优点是可以专门搜索与客户密码箱请求相关的Microsoft工程师执行的 Set-AccessToCustomerDataRequest 活动或活动。
连接到 Exchange Online PowerShell 后,运行以下命令之一。 将占位符替换为特定日期范围。
搜索 Set-AccessToCustomerDataRequest
活动
Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest
搜索Microsoft工程师执行的活动
Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"
有关详细信息和示例,请参阅 使用 PowerShell 搜索和导出审核日志记录。
我们还提供了一个 PowerShell 脚本,可用于搜索审核日志并将结果导出到 CSV 文件。 有关详细信息,请参阅 使用 PowerShell 脚本搜索审核日志。
客户密码箱请求的审核记录
当组织中的某个人批准或拒绝客户密码箱请求时,审核记录将记录在审核日志中,其中包含以下信息。
审核记录属性 | 描述 |
---|---|
日期 | 批准或拒绝客户密码箱请求的日期和时间。 |
IP 地址 | 审批者用于批准或拒绝请求的计算机的 IP 地址。 |
用户 | 服务帐户BOXServiceAccount@[customerforest].prod.outlook.com。 |
活动 | Set-AccessToCustomerDataRequest;这是批准或拒绝客户密码箱请求时记录的审核活动。 |
项目 | 客户密码箱请求的 Guid |
以下屏幕截图显示了与已批准的客户密码箱请求对应的审核记录示例。 如果客户密码箱请求被拒绝,则 参数Deny
的ApprovalDecision
值为 。
Microsoft 工程师执行的操作的审核记录
客户密码箱请求获得批准后 Microsoft 工程师执行的操作(可能导致访问客户内容)将记录在审核日志中。 这些记录包含以下信息。
审核记录属性 | 描述 |
---|---|
日期 | 执行操作的日期时间。 执行此操作的时间将在客户密码箱请求获得批准后的 4 小时内。 |
IP 地址 | Microsoft 工程师使用的计算机的 IP 地址。 |
用户 | Microsoft运算符;此值指示记录与客户密码箱请求相关。 |
活动 | Microsoft 工程师执行的活动的名称。 |
项目 | <空> |
常见问题解答
客户密码箱适用于哪些Microsoft 365 服务?
Exchange Online、SharePoint Online、OneDrive for Business、Teams 和 Windows 365 目前支持客户密码箱。
客户密码箱是否可供所有客户使用?
客户密码箱包含在 Microsoft 365 或 Office 365 E5 订阅中,可以通过信息保护和合规性或高级合规性加载项订阅添加到其他计划。 对于政府客户,客户密码箱包含在 Microsoft 365 或 Office 365 G5 订阅中。 有关详细信息 ,请参阅计划和定价 。
什么是客户内容?
客户内容是由 Microsoft 365 服务和应用程序的用户创建的数据。 客户内容的示例包括:
电子邮件正文或电子邮件附件
SharePoint 网站内容
SharePoint 文件正文中的信息
Skype for Business演示文稿文件正文
即时消息 (IM) 或语音对话
在 Teams 聊天和 Teams 频道中输入的文本,例如 1:1 聊天、群组聊天、共享频道、私人频道和会议聊天
粘贴到 Teams 聊天线程中的其他数据,例如代码片段、图像、音频和视频消息以及链接
Teams 聊天和 Teams 频道中的应用和机器人数据
Teams 活动源
Teams 会议录制和脚本
语音邮件
发布到 Teams 聊天和 Teams 频道的文件
智能 Microsoft 365 Copilot 副驾驶®交互
客户生成的 Blob 或结构化存储数据(例如 SQL 容器)
客户拥有的安全信息(例如证书、加密密钥和密码)
推理以及所有后续推理(如果保留客户内容)
有关 Office 365 中的客户内容的详细信息,请参阅Office 365信任中心。
当有人请求访问我的内容时,谁会收到通知?
全局管理员和分配了客户密码箱访问审批者管理员角色的任何人都会收到通知。 这些用户也是可以批准客户密码箱请求的相同用户。
谁可以在我的组织中批准或拒绝这些请求?
全局管理员和分配有客户密码箱访问审批者管理员角色的任何人都可以批准客户密码箱请求。 客户在其组织中控制这些角色分配。
如何实现选择加入客户密码箱?
全局管理员可以在Microsoft 365 管理中心中启用和配置客户密码箱。
如果我批准客户密码箱请求,工程师可以执行什么操作?我怎么知道Microsoft工程师做了什么?
批准客户密码箱请求后,Microsoft工程师授予这些必要的权限,以使用预先批准的 cmdlet 访问客户内容。 Microsoft工程师响应客户密码箱请求所执行的操作记录在安全 & 合规中心的审核日志中并可访问。
如何实现知道Microsoft遵循审批流程?
可以使用Microsoft 365 管理中心中的客户密码箱请求历史记录交叉引用发送给组织中的管理员和审批者的电子邮件审批通知。
客户密码箱包含在最新的 SOC 1 SSAE 16 审核报告中。 有关更多详细信息,可以在 Microsoft服务信任门户中找到最新报告。
Microsoft是否可以修改租户的审批者列表? 如果没有,如何防止它?
只有组织中的全局管理员可以指定谁可以批准客户密码箱请求。 这意味着只有Microsoft Entra ID中全局管理员组的成员才能指定谁可以批准请求。 Microsoft Entra ID 中全局管理员组的成员身份仅由组织管理。
如果我需要有关内容访问请求的详细信息来批准该请求,该怎么办?
每个客户密码箱请求都包含Microsoft 365 服务请求编号。 可以联系Microsoft 支持部门并引用此服务号码以获取有关请求的详细信息。
客户密码箱请求获得批准后,权限的有效期有多长?
目前,授予 Microsoft 工程师的访问权限的最长期限为 4 小时。 Microsoft 工程师也可请求较短的期限。
如何获取所有客户密码箱请求的历史记录?
所有客户密码箱请求都在Microsoft 365 管理中心中查看。
如何实现将内容访问请求与相关审核日志相关联?
合规中心活动源包含客户密码箱的日志活动。 客户可以根据收到的电子邮件请求从活动源交叉引用客户密码箱日志活动。
当客户不响应客户密码箱请求时,会发生什么情况?
客户密码箱请求的默认持续时间为 12 小时。 如果在 12 小时内未响应请求,请求将过期。
当客户拒绝客户密码箱请求时,Microsoft该怎么办?
如果客户拒绝客户密码箱请求,则不会访问客户内容。 如果组织中的用户继续遇到需要Microsoft访问客户内容才能解决问题的服务问题,则服务问题可能仍然存在,Microsoft将通知用户此问题。
每当请求获得批准时,如何实现设置警报?
没有内置选项可向管理员发出警报。 但是,管理员可以使用 Microsoft Defender for Cloud Apps 设置警报。
客户密码箱是否防止来自执法机构或其他第三方的数据请求?
不正确。 Microsoft认真对待第三方客户数据请求。 作为云服务提供商,Microsoft始终主张客户数据的隐私。 如果我们收到传票,Microsoft始终尝试将第三方重定向到客户以获取信息。 (阅读 Brad Smith 的博客: 保护客户数据免受政府窥探) 。 我们会定期发布有关Microsoft收到的执法请求 的详细信息 。
有关详细信息,请参阅有关第三方数据请求的Microsoft信任中心和联机服务条款中的“客户数据披露”部分。
Microsoft如何确保其员工无法长期访问Office 365应用程序中的客户内容?
Microsoft通过访问控制系统和侦探措施实施广泛的预防措施,以识别和处理规避这些访问控制系统的企图。 Microsoft 365 遵循最小特权和实时访问原则。 因此,没有Microsoft人员有权持续访问客户内容。 如果授予权限,则其持续时间有限。
Microsoft 365 使用名为 “密码箱” 的访问控制系统来处理授予在服务中执行操作和管理功能的权限请求。 操作员必须使用密码箱请求访问客户内容,然后要求第二个人对请求执行操作 (例如,在授予访问权限之前) 批准该请求。 第二个人不能是请求者,必须指定该人员来批准对客户内容的访问权限。 仅当请求获得批准时,操作员才会获得对客户内容的临时访问权限。 提升期到期后,密码箱将撤销访问权限。
有关Microsoft一般安全做法的更多详细信息,请参阅 联机服务条款 。
在什么情况下,Microsoft工程师需要访问我的内容?
Microsoft工程师需要访问客户内容的最常见情况是客户提出需要访问权限才能进行故障排除的支持请求。 Microsoft 365 的一个基本原则是,该服务无需Microsoft访问客户内容。 Microsoft执行的所有服务操作几乎都是完全自动化的,并且人工参与受到高度控制和抽象化,远离客户内容。 Microsoft 365 的目标是,在客户批准特定Microsoft访问请求之前,不需要访问客户内容来支持该服务。
我已经认为我的数据在 Microsoft 云中是安全的,那么为什么我需要客户密码箱呢?
客户密码箱通过为客户提供对服务操作的显式访问授权,提供额外的控制层。 通过演示显式数据访问授权的流程,客户密码箱还帮助客户履行某些合规性义务,例如 HIPAA 和 FEDRAMP。