Comparteix a través de

Accedeix de manera segura a les dades dels clients utilitzant Customer Lockbox a Power Platform i Dynamics 365

La majoria d'operacions, suport i resolució de problemes realitzats pel personal de Microsoft (inclosos els subprocessadors) no requereixen accés a les dades dels clients. Mitjançant l'ús de Power Platform Customer Lockbox, els clients poden revisar i aprovar (o rebutjar) les sol·licituds d'accés a les dades en les rares ocasions en què Microsoft necessita accedir a les dades dels clients. Utilitza'l en casos en què un enginyer de Microsoft necessiti accedir a dades del client, ja sigui en resposta a un tiquet de suport iniciat pel client o a un problema identificat per Microsoft.

En aquest article s'explica com s'habilita la Caixa de seguretat del client i com s'inicien i s'emmagatzemen les sol·licituds de blocatge i se'n fa el seguiment per a les revisions i auditories posteriors.

Nota

Customer Lockbox està disponible en núvols públics i en regions del US Government Community Cloud (GCC), GCC High i del Departament de Defensa (DoD).

Resum

Podeu habilitar la Caixa de seguretat del client per a les fonts de dades de l'inquilí. L'habilitació de la caixa de seguretat del client aplica la norma només per als entorns activats per a entorns administrats. Power Platform Els administradors poden habilitar la política de caixa de seguretat.

Per a més informació, vegeu Activar la política de la caixa de seguretat.

En les rares ocasions en què Microsoft intenta accedir a les dades del client emmagatzemades ( Power Platform per exemple), Dataverse s'envia una sol·licitud de caixa de seguretat als administradors per a la Power Platform seva aprovació. Per a més informació, vegeu Revisar una sol·licitud de caixa de seguretat.

Totes les actualitzacions d'una sol·licitud de caixa de seguretat es registren i es posen a disposició de l'organització com a registres d'auditoria. Per a més informació, vegeu Sol·licituds d'auditoria de caixa de seguretat.

Les aplicacions i serveis de Power Platform i Dynamics 365 emmagatzemen dades dels clients en diverses tecnologies d'emmagatzematge Azure. Quan activeu la Caixa de seguretat del client per a un entorn, les dades del client associades a l'entorn estan protegides per la norma de la caixa de seguretat, independentment del tipus d'emmagatzematge.

Nota

  • Actualment, les aplicacions i serveis on la política de caixa de seguretat s'aplica un cop activada són Power Apps (excloent Cards for Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Atenció al Client, Vendes (excepte la intel·ligència de conversació), Comunitats, Guies, Connected Spaces, Finances (excepte Lifecycle Services), Project Operations (excepte Lifecycle Services), Supply Chain Management (excepte Lifecycle Services), i l'àrea de característiques de màrqueting en temps real de la Aplicació de màrqueting.
  • Les funcionalitats impulsades per Azure OpenAI Service queden excloses de l'aplicació de polítiques de Lockbox llevat que la documentació del producte d'una característica determinada indiqui que Lockbox s'hi aplica.
  • Nuance El IVR conversacional s'exclou de l'aplicació de la política de Lockbox, tret que la documentació del producte d'una característica determinada indiqui que s'aplica Lockbox.
  • El contingut de benvinguda del creador s'exclou de l'aplicació de la política de la caixa de seguretat.
  • Has de desactivar la cerca de Lucene.NET des del teu lloc web i passar a Dataverse Search per poder utilitzar Customer Lockbox. Per a més informació, vegeu Portals cerca utilitzant Lucene.NET la cerca està obsoleta.

Workflow

  1. La teva organització té un problema amb Microsoft Power Platform i obre una sol·licitud de suport amb Microsoft Support. Una altra possibilitat és que Microsoft identifiqui un problema de manera proactiva (per exemple, s'activa una notificació proactiva) i obri una incidència per investigar i mitigar o corregir la causa arrel.

  2. Un operador de Microsoft revisa la sol·licitud o esdeveniment de suport i intenta resoldre el problema utilitzant eines estàndard i telemetria. Si l'operador necessita accés a les dades dels clients per a una resolució de problemes addicionals, un enginyer de Microsoft inicia un procés intern d'aprovació per accedir a les dades del client, independentment de si la política de caixa de seguretat està activada o no.

  3. Si l'emmagatzematge de dades corresponent està associat a un entorn protegit segons l'habilitació de la política de caixa de seguretat, el procés també genera una sol·licitud de caixa de seguretat. Els aprovadors designats (administradors de Power Platform) reben una notificació per correu electrònic sobre la sol·licitud pendent d'accés a dades de Microsoft.

    Important

    L'enginyer de Microsoft no pot continuar amb la investigació fins que el client aprovi la sol·licitud de la caixa de seguretat. Aquest pas d'aprovació podria provocar retards en l'atenció del tiquet de suport o talls prolongats. Assegura't de controlar les notificacions de correu electrònic i les sol·licituds de lockbox al centre d'administració de Power Platform. Respon de manera oportuna per evitar interrupcions del servei.

    Una sol·licitud de caixa de seguretat d'exemple.

  4. L'aprovador inicia la sessió al Centre d'administració de Power Platform i aprova la sol·licitud. Si l'aprovador rebutja la sol·licitud o no l'aprova en quatre dies, la sol·licitud expira i l'enginyer de Microsoft no té accés.

  5. Després que l'aprovador de la teva organització aprovi la sol·licitud, l'enginyer de Microsoft rep els permisos elevats que inicialment havia sol·licitat i soluciona el teu problema. Els enginyers de Microsoft disposen d'un temps fix —vuit hores— per solucionar el problema, després del qual l'accés es revoca automàticament.

Com s'habilita la norma de caixa de seguretat

Power Platform Els administradors poden crear o actualitzar la política de caixa de seguretat al Centre d'administració Power Platform . L'habilitació de la norma de nivell d'inquilí només s'aplica als entorns activats per als entorns administrats. Pot trigar fins a 24 hores perquè totes les fonts de dades i tots els entorns implementin Customer Lockbox.

  1. Inicieu la sessió al Centre d'administració del Power Platform.
  2. A la subfinestra de navegació, seleccioneu Administra.
  3. Al panell de Gestionar, selecciona Configuració de llogat.
  4. Selecciona Caixa de Seguretat per al Client i després selecciona Activar.

Revisar una sol·licitud de caixa de seguretat

  1. Inicieu la sessió al Centre d'administració del Power Platform.

  2. A la subfinestra de navegació, seleccioneu Seguretat.

  3. Al panell de Seguretat, selecciona Compliment.

  4. A la pàgina de compliment normatiu, selecciona Caixa de Seguretat per al Client.

  5. Reviseu els detalls de la sol·licitud.

    Camp Descripció
    ID de sol·licitud d'assistència tècnica L'ID de la sol·licitud d'assistència tècnica associat a la sol·licitud de la caixa de seguretat. Si la petició és resultat d'una alerta interna iniciada per Microsoft, el valor és "Microsoft iniciat".
    Entorn El nom de visualització de l'entorn en el qual s'ha sol·licitant l'accés a les dades.
    Estat d'execució L'estat de la sol·licitud de la caixa de seguretat.
    • Acció necessària: pendent d'aprovació del client
    • Caducat: no s'ha rebut cap aprovació del client
    • Aprovat: Aprovat pel client
    • Denegat: Denegat pel client
    Sol·licitat El moment en què l'enginyer de Microsoft va sol·licitar accés a les dades dels clients dins de l'entorn del client.
    Caducitat de la sol·licitud L'hora a la qual el client ha d'aprovar la sol·licitud de la caixa de seguretat. L'estat de la sol·licitud canvia a Caducat si no es dóna cap aprovació en aquest moment.
    Període d’accés La quantitat de temps que el sol·licitant vol tenir per accedir a les dades del client. Per defecte, aquest valor és de 8 hores i no es pot canviar.
    Caducitat de l’accés Si s'atorga accés, aquesta és l'hora fins a la qual l'enginyer de Microsoft té accés a les dades del client.

  6. Seleccioneu una sol·licitud de caixa de seguretat i, a continuació, seleccioneu Aprova o Denega.

    Aprovar o denegar sol·licituds de caixa de seguretat

    Nota

    Les sol·licituds de caixa de seguretat que s'han fet en els últims vint-i-vuit dies apareixen a la taula Recent .

    Un cop aprovada una sol·licitud, no es pot revocar durant tota la durada del període d'accés de 8 hores.

Auditoria de sol·licituds de caixa de seguretat

Advertiment

L'esquema documentat en aquesta secció per als esdeveniments d'auditoria de la caixa de seguretat està obsolet i no estarà disponible a partir del juliol de 2024. Podeu auditar els esdeveniments de la caixa de seguretat del client mitjançant el nou esquema disponible a Categoria d'activitat: Operacions de la caixa de seguretat.

Les accions relacionades amb l'acceptació, denegació o expiració d'una sol·licitud de caixa de seguretat es registren automàticament a Microsoft 365 Defender.

Microsoft 365 Defender pàgina.

Els seguiments d'auditoria inclouen aquests i altres camps per a cada sol·licitud de caixa de seguretat:

  • Identificador únic de la sol·licitud
  • Hora de creació de la sol·licitud
  • Identificador de l’organització
  • ID d'usuari (identificador únic de l'operador de Microsoft que fa la sol·licitud)
  • Estat de la sol·licitud
  • ID de la sol·licitud d'assistència tècnica corresponent
  • Hora de caducitat de la sol·licitud
  • Hora de caducitat de l'accés a les dades
  • ID de l'entorn
  • Justificació de la sol·licitud

La pestanya Microsoft 365 Audit permet als administradors cercar esdeveniments associats a les sessions de lockbox. Consulteu la categoria Caixa de seguretat de Power Platform per veure les incidències de caixa de seguretat relacionades amb Power Platform.

Seleccioneu la categoria de Power Platform caixa de seguretat.

Els administradors poden exportar directament el conjunt de resultats segons els criteris del filtre.

El Customer Lockbox produeix dos tipus de registres d'auditoria:

  1. Registres iniciats per Microsoft i que corresponen a la sol·licitud de caixa de seguretat que s'està creant, caducant o quan finalitzen les sessions d'accés. Aquest conjunt de registres d'auditoria no correspon a un identificador d'usuari específic, ja que Microsoft inicia les accions.
  2. Registres iniciats per accions de l'usuari final, com ara quan un usuari aprova o denega una sol·licitud de caixa de seguretat. Si l'usuari que realitza aquestes operacions no té assignada una llicència E5, els registres es filtren i no es mostraran als registres d'auditoria.

Per defecte, els registres d'auditoria es conserven durant un any. Necessiteu una llicència addicional de retenció de registres d'auditoria de 10 anys per conservar els registres d'auditoria durant 10 anys. Vegeu Auditoria (Premium) per obtenir més detalls sobre la retenció del registre d'auditoria.

Requisits de llicència per a la caixa de seguretat del client

La norma de caixa de seguretat del client només s'aplica als entorns activats per als entorns administrats. Els entorns gestionats s'inclouen com a dret a les llicències independents de Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages i Dynamics 365 que atorguen drets d'ús premium. Per saber-ne més sobre la llicència d'Entorns Gestionats, consulteu Llicències i Licensing overview per a Microsoft Power Platform.

A més, l'accés a Customer Lockbox per a Microsoft Power Platform i Dynamics 365 requereix que els usuaris dels entorns on s'aplica la política de Lockbox tinguin qualsevol d'aquestes subscripcions:

  • Microsoft 365 o Office 365 A5/E5/G5
  • Compliment Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 Seguretat i Compliment
  • Microsoft 365 A5/E5/F5/G5 Gestió de Riscos Interns
  • Microsoft 365 A5/E5/F5/G5 Information Protection i Governança Aprèn més sobre les llicències aplicables.

Exclusions

  • Les sol·licituds de caixa de seguretat no s'activaran en les següents situacions de suport d'enginyeria:

    • Situacions d'emergència que queden fora dels procediments operatius estàndard, com ara una interrupció important del servei que requereixi atenció immediata per recuperar o restaurar els serveis en casos inesperats o imprevisibles. Aquests esdeveniments de "trencar vidres" són rars i, en la majoria dels casos, no requereixen accés a les dades dels clients per resoldre's.

    • Un enginyer de Microsoft accedeix a la plataforma subjacent per resoldre un problema i, sense adonar-se'n, accedeix a les dades del client. És molt poc freqüent que això provoqui l'accés a quantitats significatives de dades de clients.

  • Les sol·licituds de la caixa de seguretat del client tampoc es disparen per sol·licituds legals externes de dades. Per obtenir-ne més informació, vegeu l'anàlisi sobre les sol·licituds governamentals de dades al Centre de confiança de Microsoft.

  • El Customer Lockbox no s'aplicarà a l'accés i la revisió manual de les dades dels clients compartides per a les funcions d'IA de Copilot. La caixa de seguretat del client continua habilitada per a totes les dades de l'abast.

Problemes coneguts

  • La migració d'inquilí a inquilí no està admesa quan està habilitada la Caixa de seguretat del client. Per moure un entorn a un altre inquilí, heu d'inhabilitar la Caixa de seguretat del client. Podeu tornar a habilitar la Caixa de seguretat del client quan s'hagi completat la migració.
  • Last updated on