Compartir a través de

Acceso seguro a los datos de los clientes mediante caja de seguridad del cliente en Power Platform y Dynamics 365

La mayoría de las operaciones, el soporte y la resolución de problemas a cargo del personal de Microsoft (lo que incluye los subprocesadores) no requieren acceso a los datos del cliente. Al usar la Caja de seguridad del cliente de Power Platform, los clientes pueden revisar y aprobar (o rechazar) solicitudes de acceso a datos en raras ocasiones cuando Microsoft necesita acceso a los datos del cliente. Úselo en casos en los que un ingeniero de Microsoft necesite acceder a los datos de los clientes, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema identificado por Microsoft.

Este artículo explica cómo habilitar la Caja de seguridad del cliente y cómo se inician, rastrean y almacenan las solicitudes de esta para revisiones y auditorías posteriores.

Nota

Customer Lockbox está disponible en nubes públicas y en las regiones de Nube comunitaria del gobierno de EE. UU. (GCC), GCC High y Departamento de Defensa (DoD).

Resumen

Puede habilitar la Caja de seguridad del cliente para los orígenes de datos en su inquilino. Al habilitar Customer Lockbox se aplica la política solo para entornos que están activados para entornos administrados . Los administradores de Power Platform pueden habilitar la directiva de caja de seguridad.

Para obtener más información, vea Habilitar la política de buzón de seguridad.

En las raras ocasiones en que Microsoft intente acceder a los datos del cliente almacenados en Power Platform (por ejemplo, Dataverse), se enviará una solicitud de caja de seguridad a los administradores de Power Platform para que las aprueben. Para obtener más información, consulte Revisar una solicitud de casilla de seguridad.

Todas las actualizaciones de una solicitud de caja de seguridad se registran y se ponen a disposición de su organización como registros de auditoría. Para obtener más información, consulte Auditar solicitudes de caja de seguridad.

Las aplicaciones y los servicios de Power Platform y Dynamics 365 almacenan los datos de los clientes en distintas tecnologías de almacenamiento de Azure Storage. Cuando activa la Caja de seguridad del cliente para un entorno, los datos del cliente asociados con el entorno están protegidos por la directiva de caja de seguridad, independientemente del tipo de almacenamiento.

Nota

  • Actualmente, las aplicaciones y los servicios en los que se aplica la directiva de caja de seguridad una vez habilitada son Power Apps (excepto tarjetas para Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio, Dataverse, Customer Insights, Customer Service, Sales (excepto inteligencia de conversación), Comunidades, Guías, Espacios conectados, Finanzas (excepto Servicios de ciclo de vida), Operaciones de proyectos (excepto Servicios de ciclo de vida), Administración de cadenas de suministro (excepto Servicios de ciclo de vida), y el área de características de marketing en tiempo real de la aplicación Marketing.
  • Las características impulsadas por el servicio Azure OpenAI están excluidas de la aplicación de políticas de Lockbox, a menos que la documentación del producto para una característica determinada indique que se aplica Lockbox.
  • Nuance El IVR conversacional está excluido de la aplicación de la política de Lockbox a menos que la documentación del producto para una función determinada indique que se aplica Lockbox.
  • El contenido de bienvenida del creador está excluido de la aplicación de directivas de caja de seguridad.
  • Debe deshabilitar la búsqueda Lucene.NET de su sitio web y pasar a Búsqueda de Dataverse para poder usar la Caja de seguridad del cliente. Para obtener más información, consulte La búsqueda de portales utilizando Lucene.NET está en desuso.

Workflow

  1. Su organización tiene un problema con Microsoft Power Platform e inicia una solicitud de soporte con Microsoft Support. Otra posibilidad es que Microsoft identifique un problema de forma proactiva (por ejemplo, se activa una notificación proactiva) y abra un evento para investigar y mitigar o corregir la causa raíz.

  2. Un operador de Microsoft revisa la solicitud de soporte técnico o el evento e intenta solucionar el problema mediante herramientas estándar y telemetría. Si el operador necesita acceso a los datos del cliente para solucionar más problemas, un ingeniero de Microsoft inicia un proceso de aprobación interno para acceder a los datos del cliente, independientemente de si la directiva de caja de seguridad está habilitada.

  3. Si el almacén de datos correspondiente está asociado a un entorno protegido conforme a la activación de la política de caja de seguridad, el proceso también genera una solicitud de caja de seguridad. Los aprobadores designados (administradores de Power Platform) reciben una notificación por correo electrónico sobre la solicitud de acceso a datos pendiente de Microsoft.

    Importante

    El ingeniero de Microsoft no puede continuar con su investigación hasta que el cliente apruebe la solicitud de caja de seguridad. Este paso de aprobación podría provocar retrasos en la resolución de la incidencia de soporte técnico o interrupciones prolongadas. Asegúrese de que supervisa las notificaciones por correo electrónico y las solicitudes de bandeja de seguridad en el Centro de administración de Power Platform. Responda de forma oportuna para evitar interrupciones del servicio.

    Ejemplo de solicitud de caja de seguridad.

  4. El aprobador inicia sesión en el Centro de administración de Power Platform y aprueba la solicitud. Si el aprobador rechaza la solicitud o no la aprueba en un plazo de cuatro días, la solicitud expira y el ingeniero de Microsoft no obtiene acceso.

  5. Después de que el aprobador de la organización apruebe la solicitud, el ingeniero de Microsoft obtiene los permisos elevados solicitados inicialmente y corrige el problema. Los ingenieros de Microsoft tienen una cantidad de tiempo establecida (ocho horas) para corregir el problema, después del cual, el acceso se revoca automáticamente.

Cómo habilitar la directiva de caja de seguridad

Los administradores de Power Platform pueden crear o actualizar la directiva de caja de seguridad en el Centro de administración de Power Platform. La habilitación de la política a nivel de inquilino se aplica solo a los entornos que están activados para Entornos administrados. Todos los orígenes de datos y entornos pueden tardar hasta 24 horas en implementar Customer Lockbox.

  1. Inicie sesión en el Centro de administración de Power Platform.
  2. En el panel de navegación, seleccione Administrar.
  3. En el panel Administrar, seleccione Configuración del inquilino.
  4. Seleccione Customer Lockbox y, a continuación, seleccione Activar.

Revisar una solicitud de caja de seguridad

  1. Inicie sesión en el Centro de administración de Power Platform.

  2. En el panel de navegación, seleccione Seguridad.

  3. En el panel Seguridad , seleccione Cumplimiento.

  4. En la página Cumplimiento, seleccione Customer Lockbox.

  5. Revise los detalles de la solicitud.

    Campo Descripción
    Id. de solicitud de soporte técnico El id. de la incidencia de soporte técnico asociado a la solicitud de caja de seguridad. Si la solicitud es el resultado de una alerta interna iniciada por Microsoft, el valor es "Iniciado por Microsoft".
    Environment El nombre para mostrar del entorno en el que se ha solicitado el acceso a los datos.
    Estado El estado de la solicitud de caja de seguridad.
    • Acción necesaria: falta la aprobación por parte del cliente.
    • Expirada: no se ha recibido la aprobación del cliente.
    • Aprobado: aprobada por el cliente.
    • Denegado: denegada por el cliente.
    Solicitado La hora en la que el ingeniero de Microsoft solicitó acceso a los datos del cliente en el entorno del cliente.
    Expiración de la solicitud El momento en el que el cliente debe aprobar la solicitud de caja de seguridad. El estado de la solicitud cambia a Expirado si no se otorga aprobación en este momento.
    Período de acceso La cantidad de tiempo que el solicitante desea tener para acceder a los datos del cliente. De forma predeterminada, este valor es de ocho horas y no se puede cambiar.
    Expiración del acceso Si se otorga acceso, este es el tiempo hasta el cual el ingeniero de Microsoft tiene acceso a los datos del cliente.

  6. Seleccione una solicitud de caja de seguridad y, luego, seleccione Aprobar o Denegar.

    Aprobar o denegar solicitudes de caja de seguridad

    Nota

    Las solicitudes de caja de seguridad que se hayan hecho en los últimos veintiocho días aparecen en la tabla Reciente.

    Una vez aprobada una solicitud, no se podrá revocar durante todo el período de acceso de 8 horas.

Auditorías de solicitudes de caja de seguridad

Advertencia

El esquema documentado en esta sección para los eventos de auditoría de caja de seguridad está obsoleto y no estará disponible a partir de julio de 2024. Puede auditar los eventos de caja de auditoria del cliente utilizando el nuevo esquema disponible en Categoría de actividad: operaciones de caja de seguridad.

Las acciones relacionadas con la aceptación, denegación o expiración de una solicitud de caja de seguridad se registran automáticamente en Microsoft 365 Defender.

Página de Microsoft 365 Defender.

Los seguimientos de auditoría incluyen estos y otros campos para cada solicitud de caja de seguridad:

  • Identificador único para la solicitud
  • Hora de creación de la solicitud
  • Id. de organización
  • Id. de usuario (identificador único del operador de Microsoft que hace la solicitud)
  • Estado de la solicitud
  • Id. de la incidencia de soporte técnico correspondiente
  • Hora de expiración de la solicitud
  • Hora de vencimiento del acceso a los datos
  • Id. de entorno
  • Justificación de la solicitud

La pestaña Auditoría de Microsoft 365 permite a los administradores buscar eventos asociados con sesiones de caja de seguridad. Consulte la categoría Caja de seguridad de Power Platform para ver los eventos de caja de seguridad relacionados con Power Platform.

Seleccione la categoría de caja de seguridad de Power Platform.

Los administradores pueden exportar directamente el conjunto de resultados en función de los criterios de filtro.

Customer Lockbox produce dos tipos de registros de auditoría:

  1. Registros iniciados por Microsoft y correspondientes a la creación de solicitudes de caja de seguridad, caducadas o cuando finalizan las sesiones de acceso. Este conjunto de registros de auditoría no corresponde a un ID de usuario específico ya que las acciones las inicia Microsoft.
  2. Registros iniciados por acciones del usuario final, como cuando un usuario aprueba o rechaza una solicitud de caja de seguridad. Si el usuario que realiza estas operaciones no tiene una licencia E5 asignada, los registros se filtran y no aparecerán en los registros de auditoría.

De forma predeterminada, los registros de auditoría se conservan durante un año. Necesita una licencia complementaria de retención de registros de auditoría de 10 años para conservar los registros de auditoría durante 10 años. Consulte Auditoría (Premium) para obtener más detalles sobre la retención de registros de auditoría.

Requisitos de licencia para Caja de seguridad del cliente

La política de Caja de seguridad del cliente se aplica únicamente en entornos que están activados para entornos administrados. Managed Environments se incluye como un derecho en licencias independientes de Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages y Dynamics 365 que otorgan derechos de uso premium. Para obtener más información sobre las licencias de entornos administrados, consulte Licencias y Resumen de licencias para Microsoft Power Platform.

Además, el acceso a Caja de seguridad del cliente para Microsoft Power Platform y Dynamics 365 requiere que los usuarios en los entornos donde se aplica la directiva de Caja de seguridad tengan cualquiera de estas suscripciones:

  • Microsoft 365 o Office 365 A5/E5/G5
  • Cumplimiento en Microsoft 365 A5/E5/F5/G5
  • Seguridad y cumplimiento de Microsoft 365 F5
  • Gestión de riesgos internos A5/E5/F5/G5 de Microsoft 365
  • Gobernanza y protección de la información A5/E5/F5/G5 de Microsoft 365 Más información sobre las licencias aplicables.

Exclusiones

  • Las solicitudes de caja de seguridad no se activarán en las siguientes situaciones de soporte de ingeniería:

    • Situaciones de emergencia que quedan fuera de los procedimientos operativos estándar, como una interrupción importante del servicio que requiere atención inmediata para recuperar o restaurar los servicios en casos inesperados o impredecibles. Estos eventos de "emergencia" son poco frecuentes y, en la mayoría de los casos, no requieren acceso a los datos de los clientes para resolverlos.

    • Un ingeniero de Microsoft accede a la plataforma subyacente para resolver un problema y, sin darse cuenta, accede a los datos del cliente. Es muy poco frecuente que esto provoque el acceso a cantidades significativas de datos de clientes.

  • Las solicitudes de la Caja de seguridad del cliente tampoco se desencadenan por solicitudes legales externas de datos. Para obtener más información, consulte el análisis sobre las solicitudes gubernamentales de datos en el Centro de confianza de Microsoft.

  • Customer Lockbox no se aplicará al acceso y la revisión manual de los datos del cliente compartidos para las funciones de Copilot AI. La Caja de seguridad del cliente permanece habilitada para todos los datos dentro del alcance.

Problemas conocidos

  • La migración de inquilino a inquilino no se admite cuando está habilitada Caja de seguridad del cliente. Debe deshabilitar Caja de seguridad del cliente para mover un entorno a otro inquilino. Puede volver a habilitar Caja de seguridad del cliente una vez que se complete la migración.
  • Last updated on