Acceda de forma segura a los datos del cliente utilizando la Caja de seguridad del cliente en Power Platform y Dynamics 365
La mayoría de las operaciones, el soporte y la resolución de problemas a cargo del personal de Microsoft (lo que incluye los subprocesadores) no requieren acceso a los datos del cliente. Con la Caja de seguridad del cliente de Power Platform ofrecemos una interfaz para que los clientes puedan revisar y aprobar (o rechazar) solicitudes de acceso a datos en las raras ocasiones en que se necesita acceso a datos de clientes. Se usa en los casos en que un ingeniero de Microsoft necesita acceder a los datos del cliente, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema identificado por Microsoft.
Este artículo explica cómo habilitar la Caja de seguridad del cliente y cómo se inician, rastrean y almacenan las solicitudes de esta para revisiones y auditorías posteriores.
Nota
Customer Lockbox está disponible en nubes públicas y en las regiones de Nube comunitaria del gobierno de EE. UU. (GCC), GCC High y Departamento de Defensa (DoD).
Resumen
Puede habilitar la Caja de seguridad del cliente para los orígenes de datos en su inquilino. Habilitar la Caja de seguridad del cliente aplicará la directiva solo para los entornos que están activados para Entornos administrados. Power Platform Los administradores pueden habilitar la política de caja de seguridad.
Para obtener más información, vaya a Habilitar la directiva de caja de seguridad.
En las raras ocasiones en que Microsoft intenta acceder a datos de clientes almacenados en Power Platform (por ejemplo, Dataverse), se envía una solicitud de caja de seguridad a los administradores para su aprobación. Power Platform Para obtener más información, vaya a Revisar una solicitud de caja de seguridad.
Todas las actualizaciones de una solicitud de caja de seguridad se registran y se ponen a disposición de su organización como registros de auditoría. Para obtener más información, vaya a Auditar solicitudes de caja de seguridad.
Las aplicaciones y los servicios de Power Platform y Dynamics 365 almacenan los datos de los clientes en distintas tecnologías de almacenamiento de Azure Storage. Cuando activa la Caja de seguridad del cliente para un entorno, los datos del cliente asociados con el entorno están protegidos por la directiva de caja de seguridad, independientemente del tipo de almacenamiento.
Nota
- Actualmente, las aplicaciones y los servicios en los que se aplicará la política de caja de seguridad una vez habilitada son Power Apps (excepto Tarjetas para Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (excluidas las características de IA de GPT), Dataverse, Customer Insights, Customer Service, Communities, Guides, Connected Spaces, Finance (excepto Lifecycle Services), Project Operations (excepto Lifecycle Services), Supply Chain Management (excepto Lifecycle Services) y el área de funciones de marketing en tiempo real de la aplicación Marketing.
- Las características impulsadas por el servicio Azure OpenAI están excluidas de la aplicación de políticas de Lockbox, a menos que la documentación del producto para una característica determinada indique que se aplica Lockbox.
- IVR conversacional de Nuance se ha excluido de la aplicación de políticas de Lockbox, a menos que la documentación del producto para una característica determinada indique que se aplica Lockbox.
- El contenido de bienvenida del creador está excluido de la aplicación de directivas de caja de seguridad.
- Debe deshabilitar la búsqueda Lucene.NET de su sitio web y pasar a Búsqueda de Dataverse para poder usar la Caja de seguridad del cliente. Más información: La búsqueda de portales mediante la búsqueda Lucene.NET está en desuso.
Workflow
Su organización tiene un problema con Microsoft Power Platform e inicia una solicitud de soporte con Microsoft Support. Otra posibilidad es que Microsoft identifique un problema de forma proactiva (por ejemplo, se activa una notificación proactiva) y abra un evento para investigar y mitigar o corregir la causa raíz.
Un operador de Microsoft revisa la solicitud o el evento de soporte e intenta solucionar el problema mediante herramientas estándar y telemetría. Si se necesita acceso a los datos del cliente para solucionar problemas, un ingeniero de Microsoft inicia un proceso de aprobación interno para acceder a los datos del cliente, independientemente de si la directiva de caja de seguridad está habilitada o no.
Además, se genera una solicitud de caja de seguridad si el almacén de datos correspondiente está asociado a un entorno protegido de acuerdo con la habilitación de la directiva de caja de seguridad. Se envía una notificación por correo electrónico a los aprobadores designados (Power Platform administradores) sobre la solicitud de acceso a datos pendiente de Microsoft.
Importante
El ingeniero de Microsoft no podrá continuar con la investigación hasta que el cliente apruebe la solicitud de la caja de seguridad. Esto podría causar retrasos en la tramitación de la incidencia de soporte técnico o interrupciones prolongadas. Asegúrese de controlar las notificaciones por correo electrónico o las solicitudes de caja de seguridad en el Centro de administración de Power Platform, y responda con rapidez para evitar interrupciones en el servicio.
El aprobador inicia sesión en el Centro de administración de Power Platform y aprueba la solicitud. Si la solicitud se rechaza o no se aprueba en un plazo de cuatro días, esta caducará y no se otorgará acceso al ingeniero de Microsoft.
Cuando el aprobador de su organización aprueba la solicitud, el ingeniero de Microsoft obtiene los permisos elevados que se solicitaron inicialmente y soluciona el problema. Los ingenieros de Microsoft tienen una cantidad de tiempo establecida (ocho horas) para solucionar el problema; después de este tiempo, el acceso se revoca automáticamente.
Cómo habilitar la directiva de caja de seguridad
Power Platform Los administradores pueden crear o actualizar la política de la caja de seguridad en Power Platform Centro de administración. Habilitar la directiva a nivel de inquilino se aplicará solo para los entornos que estén activados para Entornos administrados. Pueden pasar hasta veinticuatro horas hasta que todos los orígenes de datos y entornos se implementen con la Caja de seguridad del cliente.
Inicie sesión en el Centro de administración de Power Platform.
Utilice la página de configuración de arrendatario para revisar y administrar la configuración a nivel de arrendatario. Para ver la configuración a nivel de inquilino, seleccione el icono Engranaje () en la esquina superior derecha del sitio de Microsoft Power Platform y seleccione Configuración de Power Platform>Configuración>Configuración de inquilinos en el panel de navegación del lado izquierdo.
Establezca Caja de seguridad del cliente en Habilitar.
Revisar una solicitud de caja de seguridad
Inicie sesión en el Centro de administración de Power Platform.
Seleccione Directivas>Caja de seguridad del cliente.
Revise los detalles de la solicitud.
Campo Descripción Id. de solicitud de soporte técnico El id. de la incidencia de soporte técnico asociado a la solicitud de caja de seguridad. Si la solicitud es el resultado de una alerta interna iniciada por Microsoft, el valor será "Iniciado por Microsoft". Entorno El nombre para mostrar del entorno en el que se ha solicitado el acceso a los datos. Estado El estado de la solicitud de caja de seguridad.
- Acción necesaria: falta la aprobación por parte del cliente.
- Expirada: no se ha recibido la aprobación del cliente.
- Aprobado: aprobada por el cliente.
- Denegado: denegada por el cliente.
Solicitado El momento en que el ingeniero de Microsoft solicitó acceso a los datos del cliente en el entorno de este. Expiración de la solicitud El momento en el que el cliente debe aprobar la solicitud de caja de seguridad. El estado de la solicitud cambiará a Expirada si, llegado ese momento, no se ha recibido la aprobación. Período de acceso La cantidad de tiempo que el solicitante desea tener para acceder a los datos del cliente. De forma predeterminada, este valor es de ocho horas y no se puede cambiar. Expiración del acceso Si se otorga acceso, este es el tiempo hasta el cual el ingeniero de Microsoft tiene acceso a los datos del cliente. Seleccione una solicitud de caja de seguridad y, luego, seleccione Aprobar o Denegar.
Nota
Las solicitudes de caja de seguridad que se hayan hecho en los últimos veintiocho días aparecen en la tabla Reciente.
Una vez que se aprueba una solicitud, no se puede revocar durante todo el período de acceso de ocho horas.
Auditorías de solicitudes de caja de seguridad
Advertencia
El esquema documentado en esta sección para los eventos de auditoría de caja de seguridad está obsoleto y no estará disponible a partir de julio de 2024. Puede auditar los eventos de caja de auditoria del cliente utilizando el nuevo esquema disponible en Categoría de actividad: operaciones de caja de seguridad.
Las acciones relacionadas con la aceptación, denegación o expiración de una solicitud de caja de seguridad se registran automáticamente en Microsoft 365 Defender.
Los seguimientos de auditoría incluyen estos y otros campos para cada solicitud de caja de seguridad:
- Identificador único para la solicitud
- Hora de creación de la solicitud
- Id. de organización
- Id. de usuario (identificador único del operador de Microsoft que hace la solicitud)
- Estado de la solicitud
- Id. de la incidencia de soporte técnico correspondiente
- Hora de expiración de la solicitud
- Hora de vencimiento del acceso a los datos
- Id. de entorno
- Justificación de la solicitud
La pestaña Auditoría de Microsoft 365 permite a los administradores buscar eventos asociados con sesiones de caja de seguridad. Consulte la categoría Caja de seguridad de Power Platform para ver los eventos de caja de seguridad relacionados con Power Platform.
Los administradores pueden exportar directamente el conjunto de resultados en función de los criterios de filtro.
Customer Lockbox produce dos tipos de registros de auditoría:
- Registros iniciados por Microsoft y correspondientes a la creación de solicitudes de caja de seguridad, caducadas o cuando finalizan las sesiones de acceso. Este conjunto de registros de auditoría no corresponde a un ID de usuario específico, ya que Microsoft inicia las acciones.
- Registros iniciados por acciones del usuario final, como cuando un usuario aprueba o rechaza una solicitud de caja de seguridad. Si el usuario que realiza estas operaciones no tiene asignada una licencia E5, los registros se filtran y no aparecerán en los registros de auditoría.
De forma predeterminada, los registros de auditoría se conservan durante un año. Necesita una licencia complementaria de retención de registros de auditoría de 10 años para conservar los registros de auditoría durante 10 años. Consulte Auditoría (Premium) para obtener más detalles sobre la retención de registros de auditoría.
Requisitos de licencia para Caja de seguridad del cliente
La directiva de Caja de seguridad del cliente solo se aplicará en entornos activados para Entornos administrados. Managed Environments se incluye como un derecho en licencias independientes de Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages y Dynamics 365 que otorgan derechos de uso premium. Para obtener más información sobre las licencias de entornos administrados, consulte Licencias y Resumen de licencias para Microsoft Power Platform.
Además, el acceso a Caja de seguridad del cliente para Microsoft Power Platform y Dynamics 365 requiere que los usuarios en los entornos donde se aplica la directiva de Caja de seguridad tengan cualquiera de estas suscripciones:
- Microsoft 365 o Office 365 A5/E5/G5
- Cumplimiento en Microsoft 365 A5/E5/F5/G5
- Seguridad y cumplimiento de Microsoft 365 F5
- Gestión de riesgos internos A5/E5/F5/G5 de Microsoft 365
- Gobernanza y protección de la información A5/E5/F5/G5 de Microsoft 365 Más información sobre las licencias aplicables.
Exclusiones
Las solicitudes de caja de seguridad no se activarán en las siguientes situaciones de soporte de ingeniería:
Situaciones de emergencia que quedan fuera de los procedimientos operativos estándar, como una interrupción importante del servicio que requiere atención inmediata para recuperar o restaurar los servicios en casos inesperados o impredecibles. Estos procesos de emergencia son poco frecuentes y, en la mayoría de los casos, se pueden resolver sin acceder a los datos del cliente.
Un ingeniero de Microsoft accede a la plataforma subyacente para resolver un problema y, sin darse cuenta, accede a los datos del cliente. Es muy poco frecuente que esto provoque el acceso a cantidades significativas de datos de clientes.
Las solicitudes de la Caja de seguridad del cliente tampoco se desencadenan por solicitudes legales externas de datos. Para obtener más información, consulte el análisis sobre las solicitudes gubernamentales de datos en el Centro de confianza de Microsoft.
Customer Lockbox no se aplicará al acceso y la revisión manual de los datos del cliente compartidos para las funciones de Copilot AI. La caja de seguridad del cliente permanecerá habilitada para todos los datos incluidos en el alcance.
Problemas conocidos
- La migración de inquilino a inquilino no se admite cuando está habilitada Caja de seguridad del cliente. Debe deshabilitar Caja de seguridad del cliente para mover un entorno a otro inquilino. Puede volver a habilitar Caja de seguridad del cliente una vez que se complete la migración.