Comparteix via

Accedir de manera segura a les dades dels clients utilitzant Customer Lockbox a Power Platform i Dynamics 365

La majoria d'operacions, suport i resolució de problemes realitzats pel personal de Microsoft (inclosos els subprocessadors) no requereixen accés a les dades dels clients. Mitjançant l'ús de Power Platform Customer Lockbox, els clients poden revisar i aprovar (o rebutjar) les sol·licituds d'accés a les dades en les rares ocasions en què Microsoft necessita accedir a les dades dels clients. Utilitza'l en casos en què un enginyer de Microsoft necessiti accedir a dades del client, ja sigui en resposta a un tiquet de suport iniciat pel client o a un problema identificat per Microsoft.

En aquest article s'explica com s'habilita la Caixa de seguretat del client i com s'inicien i s'emmagatzemen les sol·licituds de blocatge i se'n fa el seguiment per a les revisions i auditories posteriors.

Nota

Customer Lockbox està disponible en núvols públics i en regions del US Government Community Cloud (GCC), GCC High i del Departament de Defensa (DoD).

Resum

Podeu habilitar la Caixa de seguretat del client per a les fonts de dades de l'inquilí. L'habilitació de la caixa de seguretat del client aplica la norma només per als entorns activats per a entorns administrats. Power Platform Els administradors poden habilitar la política de caixa de seguretat.

Per a més informació, vegeu Activar la política de la caixa de seguretat.

En les rares ocasions en què Microsoft intenta accedir a les dades del client emmagatzemades ( Power Platform per exemple), Dataverse s'envia una sol·licitud de caixa de seguretat als administradors per a la Power Platform seva aprovació. Per a més informació, vegeu Revisar una sol·licitud de caixa de seguretat.

Totes les actualitzacions d'una sol·licitud de caixa de seguretat es registren i es posen a disposició de l'organització com a registres d'auditoria. Per a més informació, vegeu Sol·licituds d'auditoria de caixa de seguretat.

Power Platform i les aplicacions i serveis del Dynamics 365 emmagatzemen dades dels clients en diverses tecnologies d'emmagatzematge de l'Azure. Quan activeu la Caixa de seguretat del client per a un entorn, les dades del client associades a l'entorn estan protegides per la norma de la caixa de seguretat, independentment del tipus d'emmagatzematge.

Nota

  • Actualment, les aplicacions i serveis on la política de caixa de seguretat s'aplica un cop activada són Power Apps (excloent targetes per a Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Atenció al Client, Vendes (excepte intel·ligència de conversa), Comunitats, Guies, Espais Connectats, Finances (excepte Serveis de Cicle de Vida), Operacions de Projectes (excepte Serveis de Cicle de Vida), Gestió de la Cadena de Subministrament (excepte Serveis de Cicle de Vida), i l'àrea de funcionalitats de màrqueting en temps real de l'aplicació de Màrqueting.
  • Les característiques amb tecnologia del servei Azure OpenAI s'exclouen de l'aplicació de la política de la caixa de seguretat tret que la documentació del producte per a una característica determinada indiqui que s'aplica la caixa de seguretat.
  • Nuance El IVR conversacional s'exclou de l'aplicació de la política de Lockbox, tret que la documentació del producte d'una característica determinada indiqui que s'aplica Lockbox.
  • El contingut de benvinguda del creador s'exclou de l'aplicació de la política de la caixa de seguretat.
  • Heu de desactivar la cerca Lucene.NET des del vostre lloc web i anar a Dataverse la cerca per poder utilitzar la caixa de seguretat del client. Per a més informació, vegeu la cerca de Portals utilitzant Lucene.NET la cerca està obsoleta.

Workflow

  1. La vostra organització té un problema amb Microsoft Power Platform i inicia una sol·licitud de suport tècnic mitjançant el Servei tècnic de Microsoft. Una altra possibilitat és que Microsoft identifiqui un problema de manera proactiva (per exemple, s'activa una notificació proactiva) i obri una incidència per investigar i mitigar o corregir la causa arrel.

  2. Un operador de Microsoft revisa la sol·licitud o esdeveniment de suport i intenta resoldre el problema utilitzant eines estàndard i telemetria. Si l'operador necessita accés a les dades dels clients per a una resolució de problemes addicionals, un enginyer de Microsoft inicia un procés intern d'aprovació per accedir a les dades del client, independentment de si la política de caixa de seguretat està activada o no.

  3. Si l'emmagatzematge de dades corresponent està associat a un entorn protegit segons l'habilitació de la política de caixa de seguretat, el procés també genera una sol·licitud de caixa de seguretat. Els aprovadors designats (administradors de Power Platform) reben una notificació per correu electrònic sobre la sol·licitud pendent d'accés a dades de Microsoft.

    Important

    L'enginyer de Microsoft no pot continuar amb la investigació fins que el client aprovi la sol·licitud de la caixa de seguretat. Aquest pas d'aprovació podria provocar retards en l'atenció del tiquet de suport o talls prolongats. Assegura't de controlar les notificacions de correu electrònic i les sol·licituds de lockbox al centre d'administració de Power Platform. Respon de manera oportuna per evitar interrupcions del servei.

    Una sol·licitud de caixa de seguretat d'exemple.

  4. L'aprovador inicia la sessió al Centre d'administració de Power Platform i aprova la sol·licitud. Si l'aprovador rebutja la sol·licitud o no l'aprova en quatre dies, la sol·licitud expira i l'enginyer de Microsoft no té accés.

  5. Després que l'aprovador de la teva organització aprovi la sol·licitud, l'enginyer de Microsoft rep els permisos elevats que inicialment havia sol·licitat i soluciona el teu problema. Els enginyers de Microsoft disposen d'un temps fix —vuit hores— per solucionar el problema, després del qual l'accés es revoca automàticament.

Com s'habilita la norma de caixa de seguretat

Power Platform Els administradors poden crear o actualitzar la política de caixa de seguretat al Centre d'administració Power Platform . L'habilitació de la norma de nivell d'inquilí només s'aplica als entorns activats per als entorns administrats. Pot trigar fins a 24 hores perquè totes les fonts de dades i tots els entorns implementin Customer Lockbox.

  1. Inicieu la sessió al Centre d'administració del Power Platform.
  2. Al panell de navegació, seleccioneu Gestiona.
  3. Al panell de Gestionar, selecciona Configuració de llogat.
  4. Selecciona Caixa de Seguretat per al Client i després selecciona Activar.

Revisar una sol·licitud de caixa de seguretat

  1. Inicieu la sessió al Centre d'administració del Power Platform.

  2. A la subfinestra de navegació, seleccioneu Seguretat.

  3. Al panell de Seguretat, selecciona Compliment.

  4. A la pàgina de compliment normatiu, selecciona Caixa de Seguretat per al Client.

  5. Reviseu els detalls de la sol·licitud.

    Camp Descripció
    ID de sol·licitud d'assistència tècnica L'ID de la sol·licitud d'assistència tècnica associat a la sol·licitud de la caixa de seguretat. Si la petició és resultat d'una alerta interna iniciada per Microsoft, el valor és "Microsoft iniciat".
    Entorn El nom de visualització de l'entorn en el qual s'ha sol·licitant l'accés a les dades.
    Estat d'execució L'estat de la sol·licitud de la caixa de seguretat.
    • Acció necessària: pendent d'aprovació del client
    • Caducat: no s'ha rebut cap aprovació del client
    • Aprovat: Aprovat pel client
    • Denegat: Denegat pel client
    Sol·licitat El moment en què l'enginyer de Microsoft va sol·licitar accés a les dades dels clients dins de l'entorn del client.
    Caducitat de la sol·licitud L'hora a la qual el client ha d'aprovar la sol·licitud de la caixa de seguretat. L'estat de la sol·licitud canvia a Caducat si no es dóna cap aprovació en aquest moment.
    Període d’accés La quantitat de temps que el sol·licitant vol tenir per accedir a les dades del client. Per defecte, aquest valor és de 8 hores i no es pot canviar.
    Caducitat de l’accés Si s'atorga accés, aquesta és l'hora fins a la qual l'enginyer de Microsoft té accés a les dades del client.

  6. Seleccioneu una sol·licitud de caixa de seguretat i, a continuació, seleccioneu Aprova o Denega.

    Aprovar o denegar sol·licituds de caixa de seguretat

    Nota

    Les sol·licituds de caixa de seguretat que s'han fet en els últims vint-i-vuit dies apareixen a la taula Recent .

    Un cop aprovada una sol·licitud, no es pot revocar durant tota la durada del període d'accés de 8 hores.

Auditoria de sol·licituds de caixa de seguretat

Advertiment

L'esquema documentat en aquesta secció per als esdeveniments d'auditoria de la caixa de seguretat està obsolet i no estarà disponible a partir del juliol de 2024. Podeu auditar els esdeveniments de la caixa de seguretat del client mitjançant el nou esquema disponible a Categoria d'activitat: Operacions de la caixa de seguretat.

Les accions relacionades amb l'acceptació, denegació o caducitat d'una sol·licitud de caixa de seguretat es registren automàticament a Microsoft 365 Defender.

Microsoft 365 Pàgina del defensor.

Els seguiments d'auditoria inclouen aquests i altres camps per a cada sol·licitud de caixa de seguretat:

  • Identificador únic de la sol·licitud
  • Hora de creació de la sol·licitud
  • Identificador de l’organització
  • ID d'usuari (identificador únic de l'operador de Microsoft que fa la sol·licitud)
  • Estat de la sol·licitud
  • ID de la sol·licitud d'assistència tècnica corresponent
  • Hora de caducitat de la sol·licitud
  • Hora de caducitat de l'accés a les dades
  • ID de l'entorn
  • Justificació de la sol·licitud

La pestanya Auditoria de Microsoft 365 permet als administradors cercar incidències associades amb sessions de caixa de seguretat. Consulteu la categoria Caixa de seguretat de Power Platform per veure les incidències de caixa de seguretat relacionades amb Power Platform.

Seleccioneu la categoria de Power Platform caixa de seguretat.

Els administradors poden exportar directament el conjunt de resultats segons els criteris del filtre.

El Customer Lockbox produeix dos tipus de registres d'auditoria:

  1. Registres iniciats per Microsoft i que corresponen a la sol·licitud de caixa de seguretat que s'està creant, caducant o quan finalitzen les sessions d'accés. Aquest conjunt de registres d'auditoria no correspon a un identificador d'usuari específic, ja que Microsoft inicia les accions.
  2. Registres iniciats per accions de l'usuari final, com ara quan un usuari aprova o denega una sol·licitud de caixa de seguretat. Si l'usuari que realitza aquestes operacions no té assignada una llicència E5, els registres es filtren i no es mostraran als registres d'auditoria.

Per defecte, els registres d'auditoria es conserven durant un any. Necessiteu una llicència addicional de retenció de registres d'auditoria de 10 anys per conservar els registres d'auditoria durant 10 anys. Vegeu Auditoria (Premium) per obtenir més detalls sobre la retenció del registre d'auditoria.

Requisits de llicència per a la caixa de seguretat del client

La norma de caixa de seguretat del client només s'aplica als entorns activats per als entorns administrats. Els entorns administrats s'inclouen com a dret a les llicències autònomes Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, i del Dynamics 365 que atorguen drets d'ús premium. Per obtenir més informació sobre les llicències dels entorns administrats, consulteu Llicències i Informació general sobre les llicències del Microsoft Power Platform.

A més, l'accés a la caixa de seguretat del client i Microsoft Power Platform al Dynamics 365 requereix que els usuaris dels entorns on s'aplica la norma de la caixa de seguretat tinguin alguna d'aquestes subscripcions:

  • Microsoft 365 o Office 365 A5/E5/G5
  • Compliment del Microsoft 365 A5/E5/F5/G5
  • Seguretat i compliment del Microsoft 365 F5
  • Administració de riscos interns del Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5 Protecció i governança de la informació Obteniu més informació sobre les llicències aplicables.

Exclusions

  • Les sol·licituds de caixa de seguretat no s'activaran en les següents situacions de suport d'enginyeria:

    • Situacions d'emergència que queden fora dels procediments operatius estàndard, com ara una interrupció important del servei que requereixi atenció immediata per recuperar o restaurar els serveis en casos inesperats o imprevisibles. Aquests esdeveniments de "trencar vidres" són rars i, en la majoria dels casos, no requereixen accés a les dades dels clients per resoldre's.

    • Un enginyer de Microsoft accedeix a la plataforma subjacent per resoldre un problema i, sense adonar-se'n, accedeix a les dades del client. És molt poc freqüent que això provoqui l'accés a quantitats significatives de dades de clients.

  • Les sol·licituds de la caixa de seguretat del client tampoc es disparen per sol·licituds legals externes de dades. Per obtenir-ne més informació, vegeu l'anàlisi sobre les sol·licituds governamentals de dades al Centre de confiança de Microsoft.

  • La caixa de seguretat del client no s'aplicarà a l'accés i la revisió manual de les dades del client compartides per a les funcions d'IA de Copilot. La caixa de seguretat del client continua habilitada per a totes les dades de l'abast.

Problemes coneguts

  • La migració d'inquilí a inquilí no està admesa quan està habilitada la Caixa de seguretat del client. Per moure un entorn a un altre inquilí, heu d'inhabilitar la Caixa de seguretat del client. Podeu tornar a habilitar la Caixa de seguretat del client quan s'hagi completat la migració.
  • Last updated on