Administradores do Microsoft 365 frequentemente precisam decidir entre Customer Lockbox e Service Lockbox ao gerenciar o acesso a dados do Copilot. Ambos os recursos controlam como engenheiros da Microsoft podem acessar dados do locatário, mas servem a propósitos diferentes e se aplicam a cenários distintos. O Customer Lockbox oferece controle de aprovação explícito sobre qualquer acesso de engenheiro ao seu conteúdo. O Service Lockbox restringe o acesso durante operações automatizadas de suporte. Este artigo explica as diferenças funcionais, etapas de configuração e quando usar cada tipo de lockbox.
Principais Conclusões: Customer Lockbox vs Service Lockbox para Copilot
- Central de administração do Microsoft 365 > Configurações > Configurações da organização > Customer Lockbox: Use para exigir aprovação do administrador antes que engenheiros da Microsoft acessem dados do locatário para casos de suporte.
- Central de administração do Microsoft 365 > Configurações > Configurações da organização > Service Lockbox: Use para impedir que a Microsoft acesse dados do locatário durante operações automatizadas de diagnóstico ou manutenção.
- Escopo de processamento de dados do Copilot: O Customer Lockbox cobre todo o conteúdo relacionado ao Copilot armazenado no Exchange Online, SharePoint Online e OneDrive for Business. O Service Lockbox cobre metadados e logs do Copilot.
Customer Lockbox e Service Lockbox: Conceitos Principais
Ambos os recursos de lockbox fazem parte do conjunto de proteção de dados da Microsoft para Microsoft 365. Eles controlam quando e como engenheiros da Microsoft podem acessar dados do locatário. A principal diferença está no gatilho para o acesso.
Customer Lockbox
O Customer Lockbox se aplica quando um engenheiro de suporte da Microsoft precisa acessar o conteúdo do seu locatário para resolver um ticket de suporte. O engenheiro envia uma solicitação de acesso através da Central de administração do Microsoft 365. Um aprovador designado em sua organização deve aprovar a solicitação dentro de 12 horas. Se nenhuma aprovação for dada, o acesso é negado. Este recurso cobre conteúdo no Exchange Online, SharePoint Online, OneDrive for Business e Teams, o que inclui todos os dados do Copilot que o Copilot processa através do Microsoft Graph.
Service Lockbox
O Service Lockbox se aplica quando sistemas automatizados da Microsoft precisam acessar dados do locatário para operações de diagnóstico ou manutenção. Essas operações incluem coleta de logs, monitoramento de desempenho e atualizações do sistema. O Service Lockbox bloqueia o acesso automatizado até que um administrador no seu locatário o aprove explicitamente. Este recurso cobre metadados, logs de diagnóstico e dados gerados pelo sistema relacionados às operações do Copilot.
Etapas para Configurar Customer Lockbox e Service Lockbox
A configuração requer permissões de Administrador Global no Microsoft 365. As etapas a seguir se aplicam a cada lockbox separadamente.
Habilitar Customer Lockbox
- Abra a Central de administração do Microsoft 365
Acesse https://admin.microsoft.com e faça login com uma conta de Administrador Global. - Navegue até Configurações da organização
Selecione Configurações na navegação à esquerda e depois escolha Configurações da organização. - Selecione Customer Lockbox
Na guia Serviços, localize e selecione Customer Lockbox. Se não aparecer, sua licença pode não incluir este recurso. - Habilite o Customer Lockbox
Alterne o botão para Ativado. Opcionalmente, você pode adicionar até 10 aprovadores inserindo seus endereços de e-mail no campo designado. - Confirme a configuração
Selecione Salvar para aplicar a alteração. A configuração entra em vigor imediatamente.
Habilitar Service Lockbox
- Abra a Central de administração do Microsoft 365
Acesse https://admin.microsoft.com e faça login com uma conta de Administrador Global. - Navegue até Configurações da organização
Selecione Configurações na navegação à esquerda e depois escolha Configurações da organização. - Selecione Service Lockbox
Na guia Serviços, localize e selecione Service Lockbox. Esta opção aparece apenas se seu locatário tiver a licença apropriada. - Habilite o Service Lockbox
Alterne o botão para Ativado. Nenhuma configuração adicional de aprovador é necessária, pois o Service Lockbox usa o mesmo processo de aprovação que o Customer Lockbox. - Confirme a configuração
Selecione Salvar para aplicar a alteração. A configuração entra em vigor imediatamente.
Equívocos Comuns e Limitações
Customer Lockbox não cobre todos os dados do Copilot
O Customer Lockbox cobre apenas conteúdo gerado pelo usuário armazenado no Exchange Online, SharePoint Online, OneDrive for Business e Teams. Logs de interação do Copilot, histórico de prompts e rascunhos gerados por IA armazenados fora dessas cargas de trabalho não são cobertos. Para cobertura completa, habilite também o Service Lockbox.
Service Lockbox não bloqueia todo acesso automatizado
O Service Lockbox bloqueia o acesso automatizado apenas para operações de diagnóstico e manutenção iniciadas por sistemas da Microsoft. Ele não bloqueia o acesso necessário para incidentes de segurança, conformidade legal ou correções de emergência. A Microsoft pode substituir o Service Lockbox nesses casos com aprovação interna.
Ambos os lockboxes exigem licenças específicas
O Customer Lockbox está disponível no Microsoft 365 E5, Microsoft 365 E5 Compliance e Microsoft 365 E5 Information Protection and Governance. O Service Lockbox está disponível no Microsoft 365 E5 e Microsoft 365 E5 Compliance. Usuários do Copilot Pro não têm acesso a nenhum dos lockboxes.
Tempos limite de aprovação podem causar atrasos no serviço
Se um aprovador não responder dentro de 12 horas para Customer Lockbox ou 8 horas para Service Lockbox, a solicitação de acesso expira e o engenheiro ou sistema não pode prosseguir. Isso pode atrasar a resolução de tickets de suporte ou atualizações do sistema. Atribua vários aprovadores para reduzir o risco de tempo limite.
| Item | Customer Lockbox | Service Lockbox |
|---|---|---|
| Descrição | Controla o acesso de engenheiros para tickets de suporte | Controla o acesso automatizado de sistemas para diagnósticos |
| Gatilho | Engenheiro de suporte da Microsoft envia uma solicitação | Sistema automatizado inicia operação de diagnóstico ou manutenção |
| Aprovação necessária | Sim, pelo aprovador designado em até 12 horas | Sim, pelo aprovador designado em até 8 horas |
| Dados cobertos | Conteúdo do usuário no Exchange, SharePoint, OneDrive, Teams | Metadados, logs de diagnóstico, dados gerados pelo sistema |
| Licença necessária | Microsoft 365 E5, E5 Compliance, E5 Information Protection | Microsoft 365 E5, E5 Compliance |
| Capacidade de substituição | Nenhuma substituição pela Microsoft | A Microsoft pode substituir por motivos de segurança ou legais |
Ambos os recursos de lockbox fornecem uma trilha de auditoria clara no portal de conformidade do Microsoft 365. Você pode revisar solicitações de acesso, aprovações e negações no log de Auditoria. Habilite ambos os lockboxes para obter o controle de acesso a dados mais forte para o Copilot em seu locatário.