Microsoft Purview 客戶加密箱

本文提供客戶加密箱的部署和設定指引。 客戶加密箱支援存取 Exchange Online、SharePoint Online、商務用 OneDrive、Teams、適用於 Microsoft 365 的 Microsoft Copilot 和 Windows 365 中數據的要求。 若要建議支援其他服務,請在意見 反應入口網站提交要求。

若要查看授權使用者從 Microsoft Purview 供應專案獲益的選項,請參閱 安全性 & 合規性的 Microsoft 365 授權指導方針

客戶加密箱可確保 Microsoft 在未經明確核准的情況下,無法存取您的內容來執行服務作業。 客戶加密箱會將您帶入 Microsoft 用來確保只有授權要求允許存取您內容的核准工作流程程式。 若要深入瞭解 Microsoft 的工作流程程式,請參閱 特殊許可權存取管理

有時候,Microsoft 工程師會協助針對服務所發生的問題進行疑難解答和修正。 工程師通常會使用 Microsoft 為其服務備妥的大量遙測和偵錯工具來修正問題。 不過,在某些情況下,需要 Microsoft 工程師存取您的內容,以判斷根本原因並修正問題。 客戶加密箱會要求工程師向您要求存取權,作為核准工作流程的最後一個步驟。 這可讓您選擇核准或拒絕貴組織的要求,並提供內容的直接訪問控制。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

客戶加密箱概觀影片

客戶加密箱工作流程

這些步驟概述 Microsoft 工程師啟動客戶加密箱要求時的一般工作流程:

  1. 組織人員在使用 Microsoft 365 信箱遇到問題。

  2. 使用者進行一些疑難排解之後,無法修正問題,並在 Microsoft 支援服務開啟支援要求。

  3. Microsoft 支援工程師會檢閱服務要求,並判斷需要存取組織的租用戶來修復問題。

  4. Microsoft 支援工程師會登入客戶加密箱要求工具,並提出數據存取要求,其中包含組織的租使用者名稱、服務要求號碼、預期的存取開始時間 (如果未指定) ,則會在核准後立即啟動、工程師需要存取數據的估計時間量,以及要求所在的服務。

  5. 在 Microsoft 支援服務經理核准要求之後,客戶加密箱會傳送有關 Microsoft 待處理存取要求的電子郵件給組織指定的核准者。

    客戶加密箱電子郵件通知的範例。

    在 Microsoft 365 系統管理中心 中獲指派客戶加密箱存取核准者系統管理員角色的任何人都可以核准客戶加密箱要求。

  6. 核准者登入 Microsoft 365 系統管理中心 並核准要求。 此步驟會搜尋稽核記錄,以觸發建立可用的稽核記錄。 如需詳細資訊,請 參閱稽核客戶加密箱要求

    如果客戶拒絕要求,或未在12小時內核准要求,則要求會過期,且不會授與 Microsoft 工程師存取權。

    重要事項

    Microsoft 不會在要求您登入 Office 365 的客戶加密箱電子郵件通知中包含任何連結。

  7. 在組織的核准者核准要求之後,Microsoft 工程師會收到核准訊息、登入租使用者,並修正客戶的問題。 Microsoft 工程師有修正問題所要求的工期,問題修正之後權限會自動撤銷。

注意事項

Microsoft 工程師執行的所有動作會記錄在稽核記錄中。 您可以搜尋並檢閱這些稽核記錄。

開啟或關閉客戶加密箱要求

您可以在 Microsoft 365 系統管理中心開啟客戶加密箱控制項。 當您開啟客戶加密箱時,Microsoft 必須先取得貴組織的核准,才能存取任何租用戶的內容。

  1. 使用已指派全域管理員或 客戶加密箱存取核准者 角色的工作或學校帳戶,移至 https://admin.microsoft.com 並登入。

  2. 選擇 [設定>組織設定安全性>& 隱私權]

  3. 取 [安全性 & 隱私權],然後選取左欄中的 [ 客戶加密箱 ]。 核取 [ 要求核准所有數據存取要求 ] 複選框,並儲存變更以開啟功能。

    Require approval for Customer Lockbox

核准或拒絕客戶加密箱要求

  1. 使用已指派全域管理員或 客戶加密箱存取核准者 角色的工作或學校帳戶,移至 https://admin.microsoft.com 並登入。

  2. 選擇 [支持 > 客戶加密箱要求]

    按兩下 [支援],然後按兩下 [客戶加密箱要求]。

    隨即顯示客戶加密箱要求的清單。

    客戶加密箱要求的清單。

  3. 選取客戶加密箱要求,然後選擇 [ 核准 ] 或 [ 拒絕]

    核准客戶加密箱要求。

    關於客戶加密箱要求核准的確認訊息隨即顯示。

    拒絕客戶加密箱要求。

注意事項

使用 Set-AccessToCustomerDataRequest Cmdlet 來核准、拒絕或取消 Microsoft Purview 客戶加密箱要求,以控制 Microsoft 支援工程師對數據的存取。 如需詳細資訊,請參閱 Set-AccessToCustomerDataRequest

稽核客戶加密箱要求

對應至客戶加密箱要求的稽核記錄會記錄在 Microsoft 365 稽核記錄中。 您可以使用 Microsoft Purview 合規性入口網站 中的稽核記錄搜尋工具來存取這些記錄。 與接受或拒絕客戶加密箱要求相關的動作,以及 Microsoft 工程師在核准存取要求時 (執行的動作) 也會記錄在稽核記錄中。 您可以搜尋並檢閱這些稽核記錄。

您必須先採取一些步驟來設定稽核記錄,包括指派許可權來搜尋稽核記錄,才能使用稽核記錄來追蹤客戶加密箱的要求。 如需詳細資訊, 請參閱開始使用稽核解決方案。 完成設定之後,請使用下列步驟來建立稽核記錄搜尋查詢,以傳回與客戶加密箱相關的稽核記錄:

  1. 移至https://compliance.microsoft.com

  2. 使用已獲指派適當許可權來搜尋稽核記錄的帳戶登入。

  3. 在合規性中心的左窗格中,選擇 [ 稽核]

    [稽核]頁面上的 [搜尋] 索引標籤隨即顯示。

    稽核記錄搜尋頁面。

  4. 設定下列搜尋準則:

    1. 開始日期結束日期。 選取日期和時間範圍,以顯示該期間內已發生的事件。

    2. 活動。 將此欄位保留空白,讓搜尋傳回所有活動的稽核記錄。 若要傳回與客戶加密箱要求相關的任何稽核記錄,以及 Microsoft 工程師所執行的對應活動,這是必要的。

    3. 使用者。 將此欄位保留空白。

    4. 檔案、資料夾或網站。 將此欄位保留空白。

  5. 按一下 [搜尋] 以使用您的搜尋準則執行搜尋。

    搜尋結果會在幾分鐘后顯示。 在搜尋完成之前,會將更多搜尋結果新增至頁面。

  6. 按兩下 [ 活動] 資料 列中的標頭,根據 [ 活動 ] 資料行中的值,依字母順序排序結果。

  7. 向下卷動並尋找活動 為 Set-AccessToCustomerDataRequest 的稽核記錄。 此活動的記錄與貴組織中的核准者核准或拒絕客戶加密箱要求有關。

  8. 或者,按兩下 [ 使用者 ] 資料列中的標頭,使用 [ 使用者 ] 資料行中的值,依字母順序排序結果。 尋找 Microsoft 操作員的值,指出 Microsoft 工程師為了回應已核准的客戶加密箱要求所執行的活動。 [ 活動 ] 資料行會顯示工程師所執行的動作。

    篩選 「Microsoft 操作員」以顯示稽核記錄

  9. 在結果清單中,按兩下稽核記錄以顯示它。

匯出稽核記錄搜尋結果

您也可以將稽核記錄搜尋結果匯出至 CSV 檔案,然後在 Excel 中開啟檔案,以使用篩選和排序功能,讓您更輕鬆地尋找和檢視與客戶加密箱存取要求相關的稽核記錄。

若要匯出稽核記錄,請使用先前的步驟來搜尋稽核記錄。 搜尋完成時,選取搜尋結果頁面頂端的 [ 匯 > 出下載所有結果 ]。 匯出程式完成時,您可以將 CSV 檔案下載到本機電腦。 如需詳細指示,請參閱匯出、設定和檢視稽核記錄。

下載文件之後,您可以在 Excel 中開啟檔案,然後篩選 Operations 數據 行以顯示 Set-AccessToCustomerDataRequest 活動的稽核記錄。 您也可以使用 Microsoft 操作) 值來篩選 UserIds 數據行 (,以顯示 Microsoft 工程師所執行活動的稽核記錄。

注意事項

檢視 CSV 檔案中的稽核記錄時, AuditData 數據 行中會包含其他資訊。 此數據行中的資訊包含在 JSON 物件中,其中包含多個屬性,這些屬性設定為以逗號分隔的 property:value 組。 您可以使用 Excel 中 Power Query 編輯器 中的 JSON 轉換功能,將 AuditData 數據行中 JSON 物件中的每個屬性分割成多個數據行,讓每個屬性都有自己的數據行。 這可讓您更輕鬆地解譯這項資訊。 如需詳細指示,請參閱使用 Power Query 編輯器 將導出的稽核記錄格式化

使用PowerShell來搜尋和導出稽核記錄

在 Microsoft Purview 合規性入口網站 中使用稽核搜尋工具的替代方法是在 Exchange Online PowerShell 中執行 搜尋-UnifiedAuditLog Cmdlet。 使用 PowerShell 的優點之一,是您可以特別搜尋 Set-AccessToCustomerDataRequest 活動,或 Microsoft 工程師與客戶加密箱要求相關的活動。

連線到 Exchange Online PowerShell 之後,請執行下列其中一個命令。 將佔位元取代為特定日期範圍。

作用 搜尋 Set-AccessToCustomerDataRequest

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -Operations Set-AccessToCustomerDataRequest

Microsoft 工程師所執行活動的 搜尋

Search-UnifiedAuditLog -StartDate xx/xx/xxxx -EndDate xx/xx/xxxx -UserIds "Microsoft Operator"

如需詳細資訊和範例,請參閱使用PowerShell來搜尋和導出稽核記錄。

我們也提供了PowerShell腳本,可用來搜尋稽核記錄,並將結果匯出至 CSV 檔案。 如需詳細資訊,請 參閱使用PowerShell腳本來搜尋稽核記錄

客戶加密箱要求的稽核記錄

當貴組織中的人員核准或拒絕客戶加密箱要求時,稽核記錄會記錄在稽核記錄中,其中包含下列資訊。

稽核記錄屬性 描述
日期 客戶加密箱要求核准或拒絕的日期和時間。
IP 位址 核准者用來核准或拒絕要求之機器的 IP 位址。
使用者 服務帳戶BOXServiceAccount@[customerforest].prod.outlook.com。
活動 Set-AccessToCustomerDataRequest;這是當您核准或拒絕客戶加密箱要求時所記錄的稽核活動。
項目 客戶加密箱要求的 Guid

下列螢幕快照顯示對應至已核准客戶加密箱要求的稽核記錄範例。 如果客戶加密箱要求遭到拒絕,則 參數的 ApprovalDecision 值會是 Deny

已核准客戶加密箱要求的稽核記錄。

Microsoft 工程師所執行動作的稽核記錄

Microsoft 工程師在核准客戶加密箱要求後執行的動作 (且可能導致存取客戶內容) 會記錄在稽核記錄中。 這些記錄包含下列資訊。

稽核記錄屬性 描述
日期 執行動作的日期時間。 執行此動作的時間將在客戶加密箱要求核准的 4 小時內。
IP 位址 Microsoft 工程師使用之機器的 IP 位址。
使用者 Microsoft 操作員;此值表示記錄與客戶加密箱要求相關。
活動 Microsoft 工程師執行的活動名稱。
項目 <空>

常見問題集

客戶加密箱適用於哪些 Microsoft 365 服務?

Exchange Online、SharePoint Online、商務用 OneDrive、Teams 和 Windows 365 目前支援客戶加密箱。

客戶加密箱是否可供所有客戶使用?

客戶加密箱隨附於 Microsoft 365 或 Office 365 E5 訂用帳戶,並可新增至具有 資訊保護 與合規性或進階合規性附加元件訂用帳戶的其他方案。 如需詳細資訊,請參閱 方案和定價

什麼是客戶內容?

客戶內容是由 Microsoft 365 服務和應用程式的使用者所建立的數據。 客戶內容的範例包括:

  • 電子郵件本文或電子郵件附件

  • SharePoint 網站內容

  • SharePoint 本文中的資訊

  • 商務用 Skype 簡報檔案本文

  • 立即訊息 (IM) 或語音交談

  • 在 Teams 聊天和 Teams 頻道中輸入的文字,例如 1:1 聊天、群組聊天、共用頻道、私人頻道和會議聊天

  • 貼入 Teams 聊天對話的其他數據,例如代碼段、影像、音訊和視訊訊息,以及連結

  • Teams 聊天和 Teams 頻道中的應用程式和 Bot 數據

  • Teams 活動摘要

  • Teams 會議錄製和文字記錄

  • 語音信箱

  • 張貼至Teams聊天和Teams頻道的檔案

  • 適用於 Microsoft 365 的 Microsoft Copilot 互動

  • 客戶產生的 Blob 或結構化儲存體資料 (例如 SQL 容器)

  • 客戶擁有的安全性資訊 (例如憑證、加密金鑰和密碼)

  • 如果客戶內容仍保留,則為推斷和所有後續推斷

如需 Office 365 中客戶內容的詳細資訊,請參閱 Office 365 信任中心。

當有存取我內容的要求時,誰會收到通知?

系統管理員和任何獲指派客戶加密箱存取核准者系統管理員角色的人員都會收到通知。 這些也是可以核准客戶加密箱要求的相同使用者。

誰可以在組織中核准或拒絕這些要求?

全域系統管理員和指派客戶加密箱存取核准者系統管理員角色的任何人都可以核准客戶加密箱要求。 客戶在其組織中控制這些角色指派。

如何? 加入客戶加密箱?

全域管理員可以在 Microsoft 365 系統管理中心 中啟用和設定客戶加密箱。

如果我核准客戶加密箱要求,工程師可以做什麼,以及如何知道 Microsoft 工程師做了什麼?

核准客戶加密箱要求之後,Microsoft 工程師會授與這些必要許可權,以使用預先核准的 Cmdlet 來存取客戶內容。 Microsoft 工程師為了回應客戶加密箱要求所採取的動作,會記錄並可在安全性 & 合規性中心的稽核記錄中存取。

如何? 知道 Microsoft 遵循核准程式嗎?

您可以使用 Microsoft 365 系統管理中心 中的客戶加密箱要求歷程記錄,交叉參考傳送給組織中系統管理員和核准者的電子郵件核准通知。

客戶加密箱包含在最新的 SOC 1 SSAE 16 稽核報告中。 如需詳細資訊,您可以在 Microsoft 服務信任入口網站中找到最新的報告。

Microsoft 可以修改我租使用者的核准者清單嗎? 如果沒有,該如何防止?

只有組織中的全域管理員可以指定誰可以核准客戶加密箱要求。 這表示只有 Microsoft Entra ID 中 全域管理員 群組的成員可以指定誰可以核准要求。 Microsoft Entra ID 中 全域管理員 群組的成員資格僅由您的組織管理。

如果我需要內容存取要求的詳細資訊來核准該怎麼辦?

每個客戶加密箱要求都包含 Microsoft 365 服務要求號碼。 您可以連絡 Microsoft 支援服務 並參考此服務號碼,以取得要求的詳細資訊。

當客戶加密箱要求獲得核准時,許可權有效多久?

目前,授予 Microsoft 工程師存取權限的最長期間是 4 小時。 Microsoft 工程師也可以要求較短的期間。

如何取得所有客戶加密箱要求的歷程記錄?

所有客戶加密箱要求都會在 Microsoft 365 系統管理中心 中檢視。

合規性中心活動摘要包含客戶加密箱的記錄活動。 客戶可以根據收到的電子郵件要求,從活動摘要交叉參考客戶加密箱記錄活動。

當客戶未回應客戶加密箱要求時,會發生什麼事?

客戶加密箱要求的預設持續時間為 12 小時。 如果您未在 12 小時內回應要求,要求就會過期。

當客戶拒絕客戶加密箱要求時,Microsoft 會怎麼做?

如果客戶拒絕客戶加密箱要求,則不會存取客戶內容。 如果您組織中的用戶持續遇到需要 Microsoft 存取客戶內容來解決問題的服務問題,則服務問題可能會持續發生,而 Microsoft 會通知使用者有關此問題。

如何? 每次核准要求時設定警示?

沒有內建選項可警示系統管理員。 不過,系統管理員可以使用 Microsoft Defender for Cloud Apps 來設定警示。

客戶加密箱是否會防止來自執法機關或其他第三方的數據要求?

不能。 Microsoft 非常重視客戶數據的第三方要求。 身為雲端服務提供者,Microsoft 一律提倡客戶數據的隱私權。 如果我們收到傳票,Microsoft 一律會嘗試將第三方重新導向至客戶以取得資訊。 (閱讀 Brad Smith 的部落格: 保護客戶數據不受政府 通知) 。 我們會定期發佈 Microsoft 收到之執法機關要求的 詳細資訊

如需詳細資訊,請參閱關於第三方數據要求的 Microsoft 信任中心在線服務條款 中的一節。

Microsoft 如何確保其員工在 Office 365 應用程式中沒有客戶內容的常設存取權?

Microsoft 會透過訪問控制系統實作廣泛的預防措施,並偵測措施來識別並解決規避這些訪問控制系統的嘗試。 Microsoft 365 會以最低許可權和 Just-In-Time 存取原則運作。 因此,沒有任何 Microsoft 人員有權持續存取客戶內容。 如果授與許可權,則其持續時間有限。

Microsoft 365 使用稱為 Lockbox 的訪問控制系統來處理許可權要求,以授與在服務內執行操作和系統管理功能的能力。 操作員必須使用 Lockbox 要求存取客戶內容,然後要求第二個人對要求採取動作 (例如,在授與存取權之前,先核准) 。 第二個人不能是要求者,而且必須被指定來核准客戶內容的存取權。 只有當要求獲得核准時,操作員才會取得客戶內容的暫時存取權。 提高許可權期間到期之後,Lockbox 會撤銷存取權。

如需 Microsoft 一般安全性做法的詳細資訊,請參閱 在線服務 條款。

在哪些情況下,Microsoft 工程師需要存取我的內容?

Microsoft 工程師需要存取客戶內容的最常見案例是客戶提出需要存取權才能進行疑難解答的支援要求。 Microsoft 365 的一個基本準則是服務的運作沒有 Microsoft 對客戶內容的存取權。 幾乎所有由 Microsoft 執行的服務作業都是完全自動化的,而且人為介入會受到高度控制,並從客戶內容中抽離。 Microsoft 365 的目標是在客戶核准 Microsoft 存取的特定要求之前,不需要存取客戶內容來支持服務。

我已認為 Microsoft 雲端的數據是安全的,為什麼我需要客戶加密箱?

客戶加密箱提供額外的控制層,方法是讓客戶能夠為服務作業提供明確的存取授權。 藉由示範明確數據存取授權的程式已就緒,客戶加密箱也可協助客戶符合某些合規性義務,例如 HIPAA 和 FEDRAMP。