Comparteix a través de

Accedir de manera segura a les dades dels clients mitjançant Customer Lockbox in Power Platform i Dynamics 365

  • Article

La majoria de les operacions, el suport tècnic i la resolució de problemes que realitza el personal de Microsoft (inclosos els sotsencarregats) no requereixen accés a les dades del client. Amb la Caixa de seguretat del client de Power Platform oferim una interfície perquè els clients puguin revisar i aprovar (o rebutjar) les sol·licituds d'accés a les dades en les comptades ocasions que es necessita accés a les dades dels clients. S'utilitza en els casos en què un enginyer de Microsoft ha d'accedir a les dades del client, ja sigui com a resposta a una sol·licitud d'assistència tècnica iniciada pel client o a un problema identificat per Microsoft.

En aquest article s'explica com s'habilita la Caixa de seguretat del client i com s'inicien i s'emmagatzemen les sol·licituds de blocatge i se'n fa el seguiment per a les revisions i auditories posteriors.

Nota

El Customer Lockbox està disponible en núvols públics i regions del US Government Community Cloud (GCC) GCC High i del Departament de Defensa (DoD).

Resum

Podeu habilitar la Caixa de seguretat del client per a les fonts de dades de l'inquilí. Si activeu Customer Lockbox, s'aplicarà la política només per als entorns per als quals s'activi Entorns administrats. Els administradors globals i els administradors de Power Platform poden habilitar la norma de la caixa de seguretat.

Per obtenir-ne més informació, aneu a Habilitar la norma de la caixa de seguretat.

En les comptades ocasions que Microsoft intenta accedir a les dades dels clients emmagatzemades al Power Platform (per exemple, Dataverse) s'enviarà una sol·licitud de caixa de seguretat als administradors globals i als administradors de Power Platform perquè les aprovin. Per obtenir-ne més informació, aneu a Revisar una sol·licitud de caixa de seguretat.

Totes les actualitzacions d'una sol·licitud de caixa de seguretat es registren i es posen a disposició de l'organització com a registres d'auditoria. Per obtenir-ne més informació, aneu a Auditories de sol·licituds de la caixa de seguretat.

Power Platform i les aplicacions i serveis del Dynamics 365 emmagatzemen les dades dels clients en diverses tecnologies d'emmagatzematge de l'Azure. Quan activeu la Caixa de seguretat del client per a un entorn, les dades del client associades a l'entorn estan protegides per la norma de la caixa de seguretat, independentment del tipus d'emmagatzematge.

Nota

  • Actualment, les aplicacions i serveis on la política de lockbox s'aplicarà un cop habilitada són Power Apps (excloent Targetes per a Power Apps), AI Builder, Power Pages, Power Automate,( Microsoft Copilot Studio excloent les característiques GPT AI), Dataverse, Customer Insights, servei d'atenció al client, Comunitats, Guies, Espais connectats, Finances (excepte els Serveis del cicle de vida), Project Operations (excepte els Serveis del cicle de vida), Administració de cadena de subministrament (excepte els Serveis del cicle de vida) i l'àrea de característiques màrqueting en temps real de l'aplicació Màrqueting.
  • Les característiques impulsades pel servei de l'Azure OpenAI s'exclouen de l'aplicació de la norma del Lockbox, tret que la documentació del producte per a una característica determinada indiqui que s'aplica el Lockbox.
  • Nuance Conversational IVR s'exclou de l'aplicació de les polítiques de Lockbox, tret que la documentació del producte per a una característica determinada indiqui que Lockbox s'aplica.
  • El contingut de benvinguda del creador està exclòs de l'aplicació de les polítiques de Lockbox.
  • Heu de desactivar la cerca Lucene.NET des del vostre lloc web i passar a Dataverse Cerca per poder utilitzar Customer Lockbox. Més informació: La cerca de portals mitjançant Lucene.NET cerca està obsoleta.

Workflow

  1. La vostra organització té un problema amb Microsoft Power Platform i inicia una sol·licitud de suport tècnic mitjançant el Servei tècnic de Microsoft. Una altra possibilitat és que Microsoft identifiqui un problema de manera proactiva (per exemple, s'activa una notificació proactiva) i obri una incidència per investigar i mitigar o corregir la causa arrel.

  2. Un operador de Microsoft revisa la sol·licitud de suport o la incidència i intenta solucionar el problema mitjançant eines estàndard i telemetria. Si es necessita accés a les dades del client per solucionar problemes, un enginyer de Microsoft inicia un procés d'aprovació intern per accedir a les dades del client, amb independència de si la norma de la caixa de seguretat està habilitada o no.

  3. A més, es genera una sol·licitud de caixa de seguretat si el magatzem de dades corresponent està associat amb un entorn protegit segons l'habilitació de la norma de la caixa de seguretat. S'envia una notificació per correu electrònic als aprovadors designats (administradors globals i administradors de Power Platform) sobre la sol·licitud de Microsoft per a l'accés a dades que està pendent.

    Important

    L'enginyer de Microsoft no podrà continuar amb la investigació fins que el client no aprovi la sol·licitud de la caixa de seguretat. Això podria provocar retards en la tramitació de la sol·licitud d'assistència tècnica o interrupcions prolongades. Assegureu-vos de supervisar les notificacions per correu electrònic o les sol·licituds de la caixa de seguretat al Centre d'administració de Power Platform i contesteu amb rapidesa per evitar interrupcions en el servei.

    Una sol·licitud de caixa de seguretat de mostra.

  4. L'aprovador inicia la sessió al Centre d'administració de Power Platform i aprova la sol·licitud. Si la sol·licitud és rebutjada o no aprovada en un termini de quatre dies, caduca i no es concedeix accés a l'enginyer de Microsoft.

  5. Quan l'aprovador de l'organització aprova la sol·licitud, l'enginyer de Microsoft obté els permisos elevats que es van sol·licitar inicialment i soluciona el problema. Els enginyers de Microsoft tenen una quantitat de temps establerta (vuit hores) per solucionar el problema, després del qual, l'accés es revoca automàticament.

Com s'habilita la norma de caixa de seguretat

Els administradors globals o els administradors de Power Platform poden crear o actualitzar la norma de la caixa de seguretat al Centre d'administració de Power Platform. L'habilitació de la norma de nivell d'inquilí només s'aplicarà als entorns per als quals s'activin Entorns administrats. Poden passar fins a vint-i-quatre hores fins que totes les fonts de dades i entorns s'implementin amb la Caixa de seguretat del client.

  1. Inicieu la sessió al Centre d'administració del Power Platform.

  2. Utilitzeu la pàgina de configuració de l'inquilí per revisar i administrar la configuració del nivell d'inquilí. Per veure la configuració del nivell d'inquilí, seleccioneu la icona d'engranatge (Icona d'engranatge) a l'extrem superior dret del Microsoft Power Platform lloc i seleccioneu Power Platform Configuració>Configuració>Configuració de l'inquilí a la subfinestra de navegació de l'esquerra.

  3. Establiu Customer Lockbox a Enable.

    Activa la política d'espai de bloqueig.

Revisar una sol·licitud de caixa de seguretat

  1. Inicieu la sessió al Centre d'administració del Power Platform.

  2. Seleccioneu Polítiques>Customer Lockbox.

  3. Reviseu els detalls de la sol·licitud.

    Camp Descripció
    ID de sol·licitud d'assistència tècnica L'ID de la sol·licitud d'assistència tècnica associat a la sol·licitud de la caixa de seguretat. Si la sol·licitud és el resultat d'una alerta interna iniciada per Microsoft, el valor serà "Iniciat per Microsoft".
    Entorn El nom de visualització de l'entorn en el qual s'ha sol·licitant l'accés a les dades.
    Estat d'execució L'estat de la sol·licitud de la caixa de seguretat.
    • Acció necessària: falta l'aprovació del client
    • Caducada: no s'ha rebut l'aprovació del client
    • Aprovada: aprovada pel client
    • Denegada: denegada pel client
    Sol·licitat L'hora a la qual l'enginyer de Microsoft ha sol·licitat l'accés a les dades del client a l'entorn del client.
    Caducitat de la sol·licitud L'hora a la qual el client ha d'aprovar la sol·licitud de la caixa de seguretat. L'estat de la sol·licitud canviarà a Caducada si a aquesta hora no s'ha rebut l'aprovació.
    Període d’accés La quantitat de temps que el sol·licitant vol tenir per accedir a les dades del client. Per defecte, aquest valor és de 8 hores i no es pot canviar.
    Caducitat de l’accés Si s'atorga accés, aquesta és l'hora fins a la qual l'enginyer de Microsoft té accés a les dades del client.

  4. Seleccioneu una sol·licitud de caixa de seguretat i, a continuació, seleccioneu Aprova o Denega.

    Aprovar o denegar sol·licituds de caixa de seguretat

    Nota

    Les sol·licituds de caixa de seguretat que s'han fet en els últims vint-i-vuit dies apareixen a la taula Recent .

    Un cop aprovada una sol·licitud, no es pot revocar durant tota la duració del període d'accés de vuit hores.

Auditoria de sol·licituds de caixa de seguretat

Advertiment

L'esquema documentat en aquesta secció per als esdeveniments d'auditoria de lockbox està obsolet i no estarà disponible a partir del juliol de 2024. Podeu auditar els esdeveniments de Customer Lockbox mitjançant el nou esquema disponible a Categoria d'activitat: Operacions de lockbox.

Les accions relacionades amb l'acceptació, denegació o caducitat d'una sol·licitud de caixa de seguretat es registren automàticament a Microsoft 365 Defender.

Microsoft 365 Pàgina del defensor.

Els seguiments d'auditoria inclouen aquests i altres camps per a cada sol·licitud de caixa de seguretat:

  • Identificador únic de la sol·licitud
  • Hora de creació de la sol·licitud
  • Identificador de l’organització
  • ID d'usuari (identificador únic de l'operador de Microsoft que fa la sol·licitud)
  • Estat de la sol·licitud
  • ID de la sol·licitud d'assistència tècnica corresponent
  • Hora de caducitat de la sol·licitud
  • Hora de caducitat de l'accés a les dades
  • ID de l'entorn
  • Justificació de la sol·licitud

La pestanya Auditoria de Microsoft 365 permet als administradors cercar incidències associades amb sessions de caixa de seguretat. Consulteu la categoria Caixa de seguretat de Power Platform per veure les incidències de caixa de seguretat relacionades amb Power Platform.

Seleccioneu la Power Platform categoria lockbox.

Els administradors poden exportar directament el conjunt de resultats segons els criteris del filtre.

Resultats de cerca de l'auditoria de Lockbox.

Customer Lockbox produeix dos tipus de registres d'auditoria:

  1. Registres iniciats per Microsoft i que corresponen a la sol·licitud de lockbox que s'està creant, caducant o quan finalitzen les sessions d'accés. Aquest conjunt de registres d'auditoria no corresponen a un ID d'usuari específic, ja que Microsoft inicia les accions.
  2. Registres iniciats per accions de l'usuari final, com ara quan un usuari aprova o denega una sol·licitud d'espai de bloqueig. Si l'usuari que realitza aquestes operacions no té assignada una llicència E5, els registres es filtraran i no es mostraran als registres d'auditoria.

Per defecte, els registres d'auditoria es conserven durant una durada d'un any. Necessiteu una llicència complementària de retenció de registres d'auditoria de 10 anys per conservar els registres d'auditoria durant 10 anys. Vegeu Auditoria (Premium) per obtenir més detalls sobre la retenció del registre d'auditoria.

Requisits de llicència per a Customer Lockbox

La norma de la Caixa de seguretat del client només s'aplicarà als entorns que s'activin per a entorns administrats. Entorns administrats s'inclou com un dret a les llicències independents Power Apps, Power Automate, Microsoft Copilot Studio,, Power Pages, i del Dynamics 365 que atorguen drets d'ús premium. Per obtenir més informació sobre les llicències dels entorns administrats, consulteu Llicències i Informació general sobre les llicències del Microsoft Power Platform.

A més, l'accés al Customer Lockbox per al Microsoft Power Platform Dynamics 365 requereix que els usuaris dels entorns on s'aplica la norma de bloqueig tinguin alguna d'aquestes subscripcions:

  • Microsoft 365 o Office 365 A5/E5/G5
  • Microsoft 365 Compliment A5 / E5 / F5 / G5
  • Microsoft 365 F5 Seguretat i compliment
  • Microsoft 365 A5 / E5 / F5 / G5 Gestió de riscos privilegiats
  • Microsoft 365 A5/E5/F5/G5 Protecció de la informació i governança Obteniu més informació sobre les llicències aplicables.

Exclusions

  • Les sol·licituds de caixa de seguretat no s'activaran en les següents situacions de suport d'enginyeria:

    • Situacions d'emergència que queden fora dels procediments operatius estàndard, com ara una interrupció important del servei que requereixi atenció immediata per recuperar o restaurar els serveis en casos inesperats o imprevisibles. Aquests processos d'emergència són poc freqüents i, en la majoria dels casos, es poden resoldre sense accedir a les dades del client.

    • Un enginyer de Microsoft accedeix a la plataforma subjacent per resoldre un problema i, sense adonar-se'n, accedeix a les dades del client. És molt poc freqüent que això provoqui l'accés a quantitats significatives de dades de clients.

  • Les sol·licituds de la caixa de seguretat del client tampoc es disparen per sol·licituds legals externes de dades. Per obtenir-ne més informació, vegeu l'anàlisi sobre les sol·licituds governamentals de dades al Centre de confiança de Microsoft.

  • El Customer Lockbox no s'aplicarà a l'accés ni a la revisió manual de les dades dels clients compartides per copilot les funcions d'IA. El Customer Lockbox romandrà habilitat per a totes les dades de l'abast.

Problemes coneguts

  • La migració d'inquilí a inquilí no està admesa quan està habilitada la Caixa de seguretat del client. Per moure un entorn a un altre inquilí, heu d'inhabilitar la Caixa de seguretat del client. Podeu tornar a habilitar la Caixa de seguretat del client quan s'hagi completat la migració.