Compartir por

Acceda de forma segura aos datos dos clientes mediante Customer Lockbox en Power Platform e Dynamics 365

  • Artigo

A maioría das operacións, soporte e resolución de problemas que realiza o persoal de Microsoft (incluídos os subprocesadores) non requiren acceso aos datos dos clientes. Coa Caixa de seguridade do cliente de Power Platform, ofrecemos unha interface para que os clientes poidan revisar e aprobar (ou rexeitar) as solicitudes de acceso a datos nas raras ocasións nas que se precisa o acceso aos datos dos clientes. Utilízase nos casos nos que un enxeñeiro de Microsoft precisa acceder aos datos do cliente, xa sexa como resposta a un tícket de asistencia iniciado polo cliente ou por un problema identificado por Microsoft.

Este artigo explica como activar a Caixa de seguridade do cliente e como se inician, rastrexan e almacenan as solicitudes de caixa de seguridade para revisións e auditorías posteriores.

Nota

Customer Lockbox está dispoñible nas nubes públicas e nas rexións da nube comunitaria do goberno dos Estados Unidos (GCC), GCC High e do Departamento de Defensa (DoD).

Resumo

Pode activar Caixa de seguridade do cliente para as fontes de datos do seu inquilino. Ao activar Customer Lockbox aplicarase a política só para os ambientes que estean activados para Contornos xestionados. Os administradores globais e de Power Platform poden activar a política de caixa de bloqueo.

Para obter máis información, vaia a Activar a política de caixa de bloqueo.

Na rara ocasión en que Microsoft tenta acceder aos datos dos clientes almacenados en Power Platform (por exemplo, Dataverse), envíase unha solicitude de caixa de bloqueo aos administradores globais e de Power Platform para a súa aprobación. Para obter máis información, vaia a Revisar unha solicitude de caixa de bloqueo.

Todas as actualizacións dunha solicitude de caixa de bloqueo rexístranse e póñense á disposición da súa organización como rexistros de auditoría. Para obter máis información, vaia a Auditar solicitudes de caixa de bloqueo.

Power Platform e as aplicacións e servizos de Dynamics 365 almacenan datos dos clientes en varias tecnoloxías de almacenamento de Azure. Cando activa a Caixa de seguridade do cliente para un ambiente, os datos do cliente asociados co ambiente respectivo están protexidos pola política de Caixa de seguridade, independentemente do tipo de almacenamento.

Nota

  • Actualmente, as aplicacións e servizos nos que se aplicará a política de caixa de bloqueo unha vez habilitada son Power Apps (excluíndo Tarxetas para Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (excluíndo as funcións GPT AI), Dataverse, Customer Insights, servizo de atención ao cliente, Comunidades, Guías, Espazos conectados, Finanzas (excepto Ciclo de vida Servizos), Operacións de proxectos (excepto Servizos do ciclo de vida), Xestión da cadea de subministración (excepto Servizos do ciclo de vida) e a área de funcións de márketing en tempo real da aplicación Marketing.
  • As funcións do servizo Azure OpenAI exclúense da aplicación da política de Lockbox a menos que a documentación do produto para unha función determinada indique que se aplica Lockbox.
  • Nuance Conversational IVR está excluído da aplicación da política de Lockbox a menos que a documentación do produto para unha función determinada indique que se aplica Lockbox.
  • O contido de benvida de Maker está excluído da aplicación da política de Lockbox.
  • Debes desactivar a busca Lucene.NET do teu sitio web e moverte á Dataverse Busca para poder usar Customer Lockbox. Máis información: A busca de portais mediante a busca Lucene.NET está obsoleta.

Workflow

  1. A súa organización ten un problema con Microsoft Power Platform e abre unha solicitude de asistencia coa Asistencia técnica de Microsoft. Ademais, Microsoft identifica un problema de forma proactiva (por exemplo, activa unha notificación proactiva) e ábrese un evento iniciado por Microsoft para investigar e mitigar ou corrixir a causa raíz.

  2. Un operador de Microsoft revisa a solicitude/evento de soporte e tenta solucionar o problema utilizando ferramentas estándar e telemetría. Se é necesario acceder aos datos do cliente para a resolución de problemas, un enxeñeiro de Microsoft activa un proceso de aprobación interno para o acceso aos datos do cliente, independentemente da política de caixa de bloqueo habilitada ou non.

  3. Ademais, xérase unha solicitude de caixa de bloqueo se o almacén de datos respectivo está asociado cun ambiente protexido segundo a habilitación da política de caixa de bloqueo. Envíase unha notificación por correo electrónico aos aprobadores designados (administradores globais e de Power Platform) sobre a solicitude de acceso a datos pendente de Microsoft.

    Importante

    O enxeñeiro de Microsoft non poderá continuar coa súa investigación ata que o cliente aprobe a solicitude de caixa de bloqueo. Isto pode provocar atrasos na resolución do tícket de asistencia ou interrupcións prolongadas. Asegúrese de supervisar as notificacións por correo electrónico e/ou as solicitudes de caixa de bloqueo no centro de administración de Power Platform e responder de xeito oportuno para evitar interrupcións do servizo.

    Unha solicitude de caixa de bloqueo de mostra.

  4. O aprobador inicia sesión no centro de administración de Power Platform e aproba a solicitude. Se a solicitude é rexeitada ou non aprobada nun prazo de catro días, caducará e non se concederá acceso ao enxeñeiro de Microsoft.

  5. Despois de que o aprobador da súa organización aprobe a solicitude, o enxeñeiro de Microsoft obtén os permisos elevados que se solicitaron inicialmente e soluciona o seu problema. Os enxeñeiros de Microsoft teñen un tempo establecido - 8 horas - para solucionar o problema, despois do cal, o acceso revogarase automaticamente.

Activar a política de caixa de bloqueo

Os administradores globais ou de Power Platform poden crear ou actualizar a política de caixa de bloqueo no centro de administración de Power Platform. A activación da política de nivel de inquilino aplicarase só aos ambientes que estean activados para Contornos xestionados. Poden tardar ata 24 horas en implementarse todas as fontes de datos e todos os ambientes con Caixa de seguridade do cliente.

  1. Inicie sesión no Centro de administración de Power Platform.

  2. Use a páxina de configuración do arrendatario para revisar e xestionar a configuración de nivel de arrendatario. Para ver a configuración do inquilino, selecciona a icona de engrenaxe (Icona de engrenaxe.) na esquina superior dereita do Microsoft Power Platform sitio. e seleccione Power Platform Configuración>Configuración>Configuración do inquilino no panel de navegación da esquerda.

  3. Establece Caixa de bloqueo do cliente en Activar.

    Activa a política de caixa de bloqueo.

Revisar unha solicitudes da caixa de seguridade

  1. Inicie sesión no Centro de administración de Power Platform.

  2. Seleccione Políticas>Caixa de bloqueo do cliente.

  3. Revisar os detalles da solicitude.

    Campo Descripción
    ID de solicitude de asistencia O ID do tícket de asistencia asociado coa solicitude de caixa de bloqueo. Se a solicitude é o resultado dunha alerta interna iniciada por Microsoft, o valor será "Iniciado por Microsoft".
    Ambiente O nome para mostrar do contorno no que se solicita acceso aos datos.
    Progresión Estado da solicitude da caixa de bloqueo.
    • Acción necesaria: pendente de aprobación do cliente
    • Caducado: non se recibiu aprobación do cliente
    • Aprobado: aprobado polo cliente
    • Denegado: denegado polo cliente
    Solicitado O momento no que o enxeñeiro de Microsoft solicitou acceso aos datos do cliente no contorno do cliente.
    Caducidade da solicitude O tempo en que o cliente debe aprobar a solicitude de caixa de bloqueo. O estado da solicitude cambiará a Caducado se non se dá aprobación neste momento.
    Período de acceso O período de tempo no que o solicitante quere acceder aos datos do cliente. Este valor é de 8 horas por defecto e non se pode cambiar.
    Caducidade do acceso Se se concede o acceso, este é o tempo ata o que o enxeñeiro de Microsoft ten acceso aos datos do cliente.

  4. Seleccione unha solicitude de caixa de bloqueo e, a continuación, seleccione Aprobar ou Denegar.

    Aprobar ou denegar solicitudes de caixa de bloqueo

    Nota

    As solicitudes de caixa de bloqueo que se produciron nos últimos 28 días móstranse na táboa Recente.

    Unha vez aprobada unha solicitude, non poderá ser revogada durante toda a duración do período de acceso de 8 horas.

Auditar solicitudes da caixa de seguridade

As accións relacionadas coa aceptación, denegación ou caducidade dunha solicitude de caixa de bloqueo rexístranse automaticamente en Microsoft 365 Defender.

Microsoft 365 Páxina do defensor.

Os rastros de auditoría inclúen estes e outros campos para cada solicitude de caixa de bloqueo:

  • Identificador único da solicitude
  • Hora de creación da solicitude
  • Identificador da organización
  • ID de usuario (identificador único para o operador de Microsoft que realiza a solicitude)
  • Estado da solicitude
  • ID de tícket de asistencia asociado
  • Hora de caducidade da solicitude
  • Hora de caducidade do acceso a datos
  • ID do ambiente
  • Xustificación da solicitude

A pestana Microsoft 365 Auditoría permítelles aos administradores buscar eventos asociados ás sesións de caixa de bloqueo. Consulte a categoría Power Platform Lockbox de eventos de caixa de bloqueo relacionados de Power Platform.

Seleccione a categoría Power Platform caixa de bloqueo.

Os administradores poden exportar directamente o conxunto de resultados en función dos criterios de filtro.

Resultados da busca da auditoría de Lockbox.

Customer Lockbox produce dous tipos de rexistros de auditoría:

  1. Rexistros iniciados por Microsoft e que se corresponden coa solicitude de caixa de bloqueo que se está creando, caducou ou cando finalizan as sesións de acceso. Este conxunto de rexistros de auditoría non corresponde a un ID de usuario específico xa que as accións son iniciadas por Microsoft.
  2. Rexistros que se inician por accións do usuario final, como cando un usuario aproba ou denega unha solicitude de caixa de bloqueo. Se o usuario que realiza estas operacións non ten unha licenza E5 asignada, os rexistros fíltranse e non aparecerán nos rexistros de auditoría.

Por defecto, os rexistros de auditoría consérvanse durante un ano. Necesitas unha licenza complementaria de retención de rexistros de auditoría de 10 anos para conservar os rexistros de auditoría durante 10 anos. Consulta Auditoría (Premium) para obter máis detalles sobre a conservación do rexistro de auditoría.

Requisitos de licenza para Customer Lockbox

A política de Caixa de seguridade do cliente só se aplicará en ambientes que estean activados para Ambientes xestionados. Os ambientes xestionados inclúense como dereito nas licenzas autónomas Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e Dynamics 365 que dan dereitos de uso premium. Para obter máis información sobre as licenzas de Managed Environment, consulte Licenzas e Descrición xeral das licenzas para Microsoft Power Platform.

Ademais, o acceso a Customer Lockbox para Microsoft Power Platform e Dynamics 365 require que os usuarios dos contornos nos que se aplica a política de Lockbox teñan algunha destas subscricións:

  • Microsoft 365 ou Office 365 A5/E5/G5
  • Microsoft 365 Conformidade A5/E5/F5/G5
  • Microsoft 365 F5 Seguridade e amp; Cumprimento
  • Microsoft 365 A5/E5/F5/G5 Xestión de riscos internos
  • Microsoft 365 A5/E5/F5/G5 Protección e goberno da información Máis información sobre as licenzas aplicables.

Exclusións

  • As solicitudes de caixa de bloqueo non se activan nos seguintes escenarios de asistencia técnica de enxeñaría:

    • Escenarios de emerxencia que quedan fóra dos procedementos operativos estándar, como unha interrupción importante do servizo que require atención inmediata para recuperar ou restaurar os servizos en casos inesperados ou imprevisibles. Estes eventos de "rotura de cristais" son raros e, na maioría dos casos, non requiren acceso aos datos dos clientes para resolver.

    • Un enxeñeiro de Microsoft accede á plataforma subxacente como parte da resolución de problemas e exponse involuntariamente aos datos dos clientes. É raro que tales escenarios permitan acceder a cantidades significativas de datos dos clientes.

  • As solicitudes de Caixa de seguridade do cliente tampouco se activan por demandas legais externas de datos. Para obter máis información, consulte a discusión das solicitudes gobernamentais de datos no Centro de confianza de Microsoft.

  • Customer Lockbox non se aplicará ao acceso e á revisión manual dos datos de clientes compartidos para as funcións Copilot AI. A caixa de bloqueo do cliente permanecerá activada para todos os datos do ámbito.

Problemas coñecidos

  • A migración de inquilino a inquilino non se admite cando a Caixa de seguridade do cliente está activada. Debe desactivar Caixa de seguridade do cliente para mover un ambiente a outro inquilino. Pode volver activar Caixa de seguridade do cliente unha vez que se complete a migración.