Accede de forma segura aos datos dos clientes usando Customer Lockbox en Power Platform e Dynamics 365

A maioría das operacións, asistencia técnica e resolución de problemas realizadas polo persoal de Microsoft (incluídos os subprocesadores) non requiren acceso aos datos dos clientes. Ao usar Power Platform Customer Lockbox, os clientes poden revisar e aprobar (ou rexeitar) solicitudes de acceso a datos na rara ocasión en que Microsoft precise acceder aos datos dos clientes. Úsaa nos casos nos que un enxeñeiro de Microsoft precise acceder aos datos do cliente, xa sexa en resposta a un ticket de soporte iniciado polo cliente ou a un problema identificado por Microsoft.

Este artigo explica como activar a Caixa de seguridade do cliente e como se inician, rastrexan e almacenan as solicitudes de caixa de seguridade para revisións e auditorías posteriores.

Nota

Customer Lockbox está dispoñible en nubes públicas e nas rexións do Goberno dos Estados Unidos (GCC), GCC High e do Departamento de Defensa (DoD).

Resumo

Pode activar Caixa de seguridade do cliente para as fontes de datos do seu inquilino. Ao activar a Caixa de bloqueo do cliente, a política só se aplica aos entornos que estean activados para os entornos xestionados . Power Platform Os administradores poden activar a política de caixa de seguridade.

Para máis información, consulte Activar a política da caixa de seguridade.

Nas raras ocasións en que Microsoft tenta acceder aos datos dos clientes que están almacenados dentro de Power Platform (por exemplo, Dataverse), envíase unha solicitude de caixa de seguridade aos Power Platform administradores para a súa aprobación. Para máis información, consulte Revisar unha solicitude de caixa de seguridade.

Todas as actualizacións dunha solicitude de caixa de bloqueo rexístranse e póñense á disposición da súa organización como rexistros de auditoría. Para máis información, consulte Auditoría das solicitudes de caixa de seguridade.

As aplicacións e servizos Power Platform e Dynamics 365 almacenan datos dos clientes en varias tecnoloxías de almacenamento Azure. Cando activa a Caixa de seguridade do cliente para un ambiente, os datos do cliente asociados co ambiente respectivo están protexidos pola política de Caixa de seguridade, independentemente do tipo de almacenamento.

Nota

  • Actualmente, as aplicacións e servizos onde a política de caixa de bloqueo se aplica unha vez activada son Power Apps (excluíndo Cards for Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (a caixa de bloqueo configurada non cobre datos enviados desde Copilot Studio como parte do rexistro de auditoría de seguridade de Agent 365), Dataverse, Customer Insights, Customer Service, Sales (agás intelixencia de conversación), Comunidades, Guías, Espazos Conectados, Finanzas (excepto Servizos do Ciclo de Vida), Operacións de Proxectos (agás Servizos do Ciclo de Vida), Xestión da Cadea de Subministración (agás Servizos do Ciclo de Vida) e a área de funcións de marketing en tempo real da aplicación de Marketing.
  • As funcionalidades impulsadas por Azure OpenAI Service exclúense da aplicación da política de lockbox a menos que a documentación do produto para unha determinada funcionalidade indique que se aplica a lockbox.
  • Nuance Conversational IVR está excluído da aplicación da política de caixa de bloqueo a menos que a documentación do produto para unha función determinada indique que se aplica.
  • O contido de benvida do creador está excluído da aplicación da política das caixas de seguridade.
  • As configuracións do entorno Power Platform están excluídas da aplicación das políticas de lockbox.
  • Debes desactivar a busca de Lucene.NET desde o teu sitio web e pasar a Dataverse Search para poder usar Customer Lockbox. Para máis información, véxase Portals busca usando Lucene.NET a busca está obsoleta.

Fluxo de traballo

  1. A túa organización ten un problema con Microsoft Power Platform e abre unha solicitude de soporte con Microsoft Support. Ademais, Microsoft identifica un problema de forma proactiva (por exemplo, activa unha notificación proactiva) e ábrese un evento iniciado por Microsoft para investigar e mitigar ou corrixir a causa raíz.

  2. Un operador de Microsoft revisa a solicitude ou evento de soporte e tenta solucionar o problema usando ferramentas estándar e telemetría. Se o operador necesita acceso aos datos do cliente para máis resolución de problemas, un enxeñeiro de Microsoft inicia un proceso interno de aprobación para o acceso aos datos do cliente, independentemente de se a política do lockbox está activada.

  3. Se o almacén de datos respectivo está asociado cun entorno protexido segundo a habilitación da política de caixa de seguridade, o proceso tamén xera unha solicitude de caixa de seguridade. Os aprobadores designados (administradores de Power Platform) reciben unha notificación por correo electrónico sobre a solicitude pendente de acceso aos datos de Microsoft.

    Importante

    O enxeñeiro de Microsoft non pode continuar coa súa investigación ata que o cliente aprobe a solicitude da caixa forte. Este paso de aprobación podería causar atrasos na resolución do ticket de soporte ou cortes prolongados. Asegúrate de monitorizar as notificacións por correo electrónico e as solicitudes de lockbox no centro de administración de Power Platform. Responde con rapidez para evitar interrupcións no servizo.

    Solicitude de mostra para unha caixa de seguridade.

  4. O aprobador inicia sesión no centro de administración de Power Platform e aproba a solicitude. Se o aprobador rexeita a solicitude ou non a aproba en catro días, a solicitude caduca e o enxeñeiro de Microsoft non ten acceso.

  5. Despois de que o aprobador da túa organización aprobe a solicitude, o enxeñeiro de Microsoft obtén os permisos elevados que inicialmente solicitou e arranxa o teu problema. Os enxeñeiros de Microsoft dispoñen dun tempo fixo - oito horas - para solucionar o problema, tras o cal o acceso revoga automaticamente.

Activar a política de caixa de bloqueo

Power Platform Os administradores poden crear ou actualizar a política da caixa de seguridade no centro de administración. Power Platform A activación da política de nivel de arrendatario só se aplica aos entornos que están activados para Entornos xestionados. Pode levar ata 24 horas que todas as fontes de datos e todos os ambientes implementen Customer Lockbox.

  1. Inicie sesión no Centro de administración de Power Platform.
  2. No panel de navegación, selecciona Xestionar.
  3. No panel de Xestionar, selecciona Configuración de inquilino.
  4. Selecciona Customer Lockbox e logo selecciona Activar.

Revisar unha solicitudes da caixa de seguridade

  1. Inicie sesión no Centro de administración de Power Platform.

  2. No panel de navegación, selecciona Seguridade.

  3. No panel de Seguridade , selecciona Cumprimento.

  4. Na páxina de Cumprimento , selecciona Caixa de Seguridade do Cliente.

  5. Revisar os detalles da solicitude.

    Campo Descrición
    ID de solicitude de asistencia O ID do tícket de asistencia asociado coa solicitude de caixa de bloqueo. Se a solicitude é resultado dunha alerta interna iniciada por Microsoft, o valor é "Microsoft iniciado".
    Ambiente O nome para mostrar do contorno no que se solicita acceso aos datos.
    Estado Estado da solicitude da caixa de bloqueo.
    • Acción necesaria: Pendente de aprobación do cliente
    • Caducado: Non se recibiu ningunha aprobación do cliente
    • Aprobado: Aprobado polo cliente
    • Denegada: Denegada polo cliente
    Solicitado O momento no que o enxeñeiro de Microsoft solicitou acceso aos datos do cliente no entorno do cliente.
    Caducidade da solicitude O tempo en que o cliente debe aprobar a solicitude de caixa de bloqueo. O estado da solicitude cambia a Caducada se non se concede ningunha aprobación nese momento.
    Período de acceso O período de tempo no que o solicitante quere acceder aos datos do cliente. Este valor é de 8 horas por defecto e non se pode cambiar.
    Caducidade do acceso Se se concede o acceso, este é o tempo ata o que o enxeñeiro de Microsoft ten acceso aos datos do cliente.

  6. Seleccione unha solicitude de caixa de bloqueo e, a continuación, seleccione Aprobar ou Denegar.

    Aprobar ou denegar solicitudes de caixa forte

    Nota

    As solicitudes de caixa de bloqueo que se produciron nos últimos 28 días móstranse na táboa Recente.

    Unha vez aprobada unha solicitude, non se pode revogar durante todo o período de acceso de 8 horas.

Auditar solicitudes da caixa de seguridade

Aviso

O esquema documentado nesta sección para os eventos de auditoría da caixa de seguridade está obsoleto e non estará dispoñible a partir de xullo de 2024. Podes auditar os eventos de Lockbox do cliente usando o novo esquema dispoñible en Categoría de actividade: Operacións de Lockbox.

As accións relacionadas coa aceptación, denegación ou expiración dunha solicitude de caixa de bloqueo rexístranse automaticamente en Microsoft 365 Defender.

Microsoft 365 Defender páxina.

Os rastros de auditoría inclúen estes e outros campos para cada solicitude de caixa de bloqueo:

  • Identificador único da solicitude
  • Hora de creación da solicitude
  • Identificador da organización
  • ID de usuario (identificador único para o operador de Microsoft que realiza a solicitude)
  • Estado da solicitude
  • ID de tícket de asistencia asociado
  • Hora de caducidade da solicitude
  • Hora de caducidade do acceso a datos
  • ID do ambiente
  • Xustificación da solicitude

A pestana Microsoft 365 Audit permite aos administradores buscar eventos asociados ás sesións lockbox. Consulte a categoría Power Platform Lockbox de eventos de caixa de bloqueo relacionados de Power Platform.

Selecciona a categoría Power Platform caixa de seguridade.

Os administradores poden exportar directamente o conxunto de resultados en función dos criterios de filtro.

Customer Lockbox produce dous tipos de rexistros de auditoría:

  1. Rexistros iniciados por Microsoft que corresponden á creación, ao caducidade ou ao finalización das sesións de acceso dunha solicitude de caixa de seguridade. Este conxunto de rexistros de auditoría non se corresponde cun ID de usuario específico, xa que as accións as inicia Microsoft.
  2. Rexistros iniciados por accións do usuario final, como cando un usuario aproba ou rexeita unha solicitude de caixa de seguridade. Se o usuario que realiza estas operacións non ten unha licenza E5 asignada, os rexistros filtraranse e non aparecerán nos rexistros de auditoría.

Por defecto, os rexistros de auditoría consérvanse durante un ano. Necesitas unha licenza complementaria de retención do rexistro de auditoría de 10 anos para conservar os rexistros de auditoría durante 10 anos. Consulta Auditoría (Premium) para obter máis detalles sobre a retención do rexistro de auditoría.

Requisitos de licenza para Customer Lockbox

A política de caixa de seguridade do cliente só se aplica en entornos que están activados para entornos xestionados. Os Entornos Xestionados están incluídos como un dereito nas licenzas independentes de Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e Dynamics 365 que outorgan dereitos de uso premium. Para saber máis sobre as licenzas de Entorno Xestionado, consulte Licenzas e Licensing overview para Microsoft Power Platform.

Ademais, o acceso a Customer Lockbox para Microsoft Power Platform e Dynamics 365 require que os usuarios nos entornos onde se aplica a política de Lockbox teñan algunha destas subscricións:

  • Microsoft 365 ou Office 365 A5/E5/G5
  • Cumprimento Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 Seguridade e Cumprimento
  • Microsoft 365 A5/E5/F5/G5 Xestión de Riscos Internos
  • Microsoft 365 A5/E5/F5/G5 Information Protection e Gobernanza Aprende máis sobre as licenzas aplicables.

Exclusións

  • As solicitudes de caixa de bloqueo non se activan nos seguintes escenarios de asistencia técnica de enxeñaría:

    • Escenarios de emerxencia que quedan fóra dos procedementos operativos estándar, como unha interrupción importante do servizo que require atención inmediata para recuperar ou restaurar os servizos en casos inesperados ou imprevisibles. Estes eventos de "cristal roto" son raros e, na maioría dos casos, non requiren acceso aos datos dos clientes para resolverse.

    • Un enxeñeiro de Microsoft accede á plataforma subxacente como parte da resolución de problemas e exponse involuntariamente aos datos dos clientes. É raro que tales escenarios permitan acceder a cantidades significativas de datos dos clientes.

  • As solicitudes de Caixa de seguridade do cliente tampouco se activan por demandas legais externas de datos. Para obter máis información, consulte a discusión das solicitudes gobernamentais de datos no Centro de confianza de Microsoft.

  • Customer Lockbox non se aplicará ao acceso e revisión manual dos datos dos clientes compartidos para as funcións de IA de Copilot. A caixa de seguridade do cliente permanece activada para todos os datos dentro do alcance.

Problemas coñecidos

  • A migración de inquilino a inquilino non se admite cando a Caixa de seguridade do cliente está activada. Debe desactivar Caixa de seguridade do cliente para mover un ambiente a outro inquilino. Pode volver activar Caixa de seguridade do cliente unha vez que se complete a migración.
  • Last updated on