Compartir por

Acceda de forma segura aos datos dos clientes mediante Customer Lockbox en Power Platform e Dynamics 365

  • Artigo

A maioría das operacións, asistencia e resolución de problemas que realiza Microsoft o persoal (incluídos os subprocesadores) non requiren acceso aos datos dos clientes. Coa Caixa de seguridade do cliente de Power Platform, ofrecemos unha interface para que os clientes poidan revisar e aprobar (ou rexeitar) as solicitudes de acceso a datos nas raras ocasións nas que se precisa o acceso aos datos dos clientes. Utilízase nos casos nos que un Microsoft enxeñeiro precisa acceder aos datos do cliente, xa sexa en resposta a un ticket de asistencia iniciado polo cliente ou a un problema identificado por Microsoft.

Este artigo explica como activar a Caixa de seguridade do cliente e como se inician, rastrexan e almacenan as solicitudes de caixa de seguridade para revisións e auditorías posteriores.

Nota

Customer Lockbox está dispoñible nas nubes públicas e nas rexións da nube comunitaria do goberno dos Estados Unidos (GCC), GCC High e do Departamento de Defensa (DoD).

Resumo

Pode activar Caixa de seguridade do cliente para as fontes de datos do seu inquilino. Ao activar Customer Lockbox, a política só se aplicará aos ambientes que estean activados para Ambientes xestionados. Power Platform os administradores poden activar a política de caixa de bloqueo.

Para obter máis información, vaia a Activar a política de caixa de bloqueo.

Na rara ocasión en que Microsoft intenta acceder aos datos do cliente que se almacenan en Power Platform (por exemplo, Dataverse), envíase unha solicitude de caixa de bloqueo ao Power Platform administradores para a súa aprobación. Para obter máis información, vaia a Revisar unha solicitude de caixa de bloqueo.

Todas as actualizacións dunha solicitude de caixa de bloqueo rexístranse e póñense á disposición da súa organización como rexistros de auditoría. Para obter máis información, vaia a Auditar solicitudes de caixa de bloqueo.

Power Platform e as aplicacións e servizos de Dynamics 365 almacenan datos dos clientes en varias tecnoloxías de almacenamento de Azure. Cando activa a Caixa de seguridade do cliente para un ambiente, os datos do cliente asociados co ambiente respectivo están protexidos pola política de Caixa de seguridade, independentemente do tipo de almacenamento.

Nota

  • Actualmente, as aplicacións e servizos nos que se aplicará a política de caixa de bloqueo unha vez habilitada son Power Apps (excluíndo Cartóns para Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (excluídos as funcións de IA de GPT e o Creador de axentes), Dataverse, Customer Insights, servizo de atención ao cliente, Comunidades, Guías, Espazos conectados, Finanzas (excepto Lifecycle Services), Project Operations (excepto Lifecycle Services), cadea de fornecemento Xestión (excepto Lifecycle Services) e a área de funcións márketing en tempo real da aplicación Marketing.
  • As funcións do servizo Azure OpenAI exclúense da aplicación da política de Lockbox a menos que a documentación do produto para unha función determinada indique que se aplica Lockbox.
  • Nuance Conversational IVR está excluído da aplicación da política de Lockbox a menos que a documentación do produto para unha función determinada indique que se aplica Lockbox.
  • O contido de benvida de Maker está excluído da aplicación da política de Lockbox.
  • Debes desactivar a busca Lucene.NET do teu sitio web e moverte á Dataverse Busca para poder usar Customer Lockbox. Máis información: A busca de portais mediante a busca Lucene.NET está obsoleta.

Workflow

  1. A túa organización ten un problema con Microsoft Power Platform e abre unha solicitude de asistencia con Microsoft Asistencia. Alternativamente, Microsoft identifica un problema de forma proactiva (por exemplo, desencadea unha notificación proactiva) e ábrese un evento iniciado por Microsoft para investigar e mitigar ou corrixir a causa raíz.

  2. Un Microsoft operador revisa a solicitude/evento de asistencia e tenta solucionar o problema utilizando ferramentas estándar e telemetría. Se é necesario acceder aos datos do cliente para solucionar problemas, un Microsoft enxeñeiro activa un proceso de aprobación interna para o acceso aos datos do cliente, independentemente da política de caixa de bloqueo habilitada ou non.

  3. Ademais, xérase unha solicitude de caixa de bloqueo se o almacén de datos respectivo está asociado cun ambiente protexido segundo a habilitación da política de caixa de bloqueo. Envíase unha notificación por correo electrónico aos aprobadores designados (Power Platform administradores) sobre a solicitude de acceso aos datos pendente de Microsoft.

    Importante

    O Microsoft enxeñeiro non poderá continuar coa súa investigación ata que o cliente aprobe a solicitude de caixa de bloqueo. Isto pode provocar atrasos na resolución do tícket de asistencia ou interrupcións prolongadas. Asegúrese de supervisar as notificacións por correo electrónico e/ou as solicitudes de caixa de bloqueo no centro de administración de Power Platform e responder de xeito oportuno para evitar interrupcións do servizo.

    Unha solicitude de caixa de bloqueo de mostra.

  4. O aprobador inicia sesión no centro de administración de Power Platform e aproba a solicitude. Se a solicitude é rexeitada ou non aprobada no prazo de catro días, caduca e non se concede acceso ao Microsoft enxeñeiro.

  5. Despois de que o aprobador da túa organización aprobe a solicitude, o Microsoft enxeñeiro obtén os permisos elevados que se solicitaron inicialmente e soluciona o teu problema. Microsoft Os enxeñeiros teñen un tempo establecido - 8 horas - para solucionar o problema, despois do cal, o acceso revogarase automaticamente.

Activar a política de caixa de bloqueo

Power Platform os administradores poden crear ou actualizar a política de caixa de bloqueo no Power Platform centro de administración. A activación da política de nivel de inquilino aplicarase só aos ambientes que estean activados para Ambientes xestionados. Poden tardar ata 24 horas en implementarse todas as fontes de datos e todos os ambientes con Caixa de seguridade do cliente.

  1. Inicie sesión no Centro de administración de Power Platform.

  2. Use a páxina de configuración do arrendatario para revisar e xestionar a configuración de nivel de arrendatario. Para ver a configuración do inquilino, selecciona a icona de engrenaxe (Icona de engrenaxe.) na esquina superior dereita do Microsoft Power Platform sitio e seleccione Power Platform Configuración>Configuración>Configuración do inquilino no panel de navegación da esquerda.

  3. Establece Caixa de bloqueo do cliente en Activar.

    Activa a política de caixa de bloqueo.

Revisar unha solicitudes da caixa de seguridade

  1. Inicie sesión no Centro de administración de Power Platform.

  2. Seleccione Políticas>Caixa de bloqueo do cliente.

  3. Revisar os detalles da solicitude.

    Campo Descripción
    ID de solicitude de asistencia O ID do tícket de asistencia asociado coa solicitude de caixa de bloqueo. Se a solicitude é o resultado dunha alerta interna iniciada por Microsoft, o valor será "Microsoft iniciado".
    Ambiente O nome para mostrar do contorno no que se solicita acceso aos datos.
    Progresión Estado da solicitude da caixa de bloqueo.
    • Acción necesaria: pendente de aprobación do cliente
    • Caducado: non se recibiu aprobación do cliente
    • Aprobado: aprobado polo cliente
    • Denegado: denegado polo cliente
    Solicitado O momento no que o Microsoft enxeñeiro solicitou o acceso aos datos do cliente no contorno do cliente.
    Caducidade da solicitude O tempo en que o cliente debe aprobar a solicitude de caixa de bloqueo. O estado da solicitude cambiará a Caducado se non se dá aprobación neste momento.
    Período de acceso O período de tempo no que o solicitante quere acceder aos datos do cliente. Este valor é de 8 horas por defecto e non se pode cambiar.
    Caducidade do acceso Se se concede o acceso, este é o tempo ata o que o Microsoft enxeñeiro ten acceso aos datos do cliente.

  4. Seleccione unha solicitude de caixa de bloqueo e, a continuación, seleccione Aprobar ou Denegar.

    Aprobar ou denegar solicitudes de caixa de bloqueo

    Nota

    As solicitudes de caixa de bloqueo que se produciron nos últimos 28 días móstranse na táboa Recente.

    Unha vez aprobada unha solicitude, non poderá ser revogada durante toda a duración do período de acceso de 8 horas.

Auditar solicitudes da caixa de seguridade

Aviso

O esquema documentado nesta sección para os eventos de auditoría da caixa de bloqueo está obsoleto e non estará dispoñible a partir de xullo de 2024. Podes auditar os eventos da caixa de bloqueo do cliente mediante o novo esquema dispoñible en Categoría de actividade: operacións de bloqueo.

As accións relacionadas coa aceptación, denegación ou caducidade dunha solicitude de caixa de bloqueo rexístranse automaticamente en Microsoft 365 Defender.

Microsoft 365 Páxina do defensor.

Os rastros de auditoría inclúen estes e outros campos para cada solicitude de caixa de bloqueo:

  • Identificador único da solicitude
  • Hora de creación da solicitude
  • Identificador da organización
  • ID de usuario (identificador único para o Microsoft operador que realiza a solicitude)
  • Estado da solicitude
  • ID de tícket de asistencia asociado
  • Hora de caducidade da solicitude
  • Hora de caducidade do acceso a datos
  • ID do ambiente
  • Xustificación da solicitude

A pestana Microsoft 365 Auditoría permítelles aos administradores buscar eventos asociados ás sesións de caixa de bloqueo. Consulte a categoría Power Platform Lockbox de eventos de caixa de bloqueo relacionados de Power Platform.

Seleccione a categoría Power Platform caixa de bloqueo.

Os administradores poden exportar directamente o conxunto de resultados en función dos criterios de filtro.

Customer Lockbox produce dous tipos de rexistros de auditoría:

  1. Rexistros que se inician por Microsoft e corresponden á solicitude de caixa de bloqueo que se está creando, caducou ou cando finalizan as sesións de acceso. Este conxunto de rexistros de auditoría non corresponde a un ID de usuario específico xa que as accións son iniciadas por Microsoft.
  2. Rexistros que se inician por accións do usuario final, como cando un usuario aproba ou denega unha solicitude de caixa de bloqueo. Se o usuario que realiza estas operacións non ten unha licenza E5 asignada, os rexistros fíltranse e non aparecerán nos rexistros de auditoría.

Por defecto, os rexistros de auditoría consérvanse durante un ano. Necesitas unha licenza complementaria de retención de rexistros de auditoría de 10 anos para conservar os rexistros de auditoría durante 10 anos. Consulte Auditoría (Premium) para obter máis detalles sobre a retención do rexistro de auditoría.

Requisitos de licenza para Customer Lockbox

A política da funcionalidade Caixa de seguridade do cliente só se aplicará en ambientes que estean activados para os ambientes xestionados. Ambientes xestionados inclúese como un dereito nas licenzas autónomos Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e Dynamics 365 que dan dereitos de uso premium. Para obter máis información sobre as licenzas de Managed Environment, consulte Licenzas e Descrición xeral das licenzas para Microsoft Power Platform.

Ademais, o acceso a Customer Lockbox para Microsoft Power Platform e Dynamics 365 require que os usuarios dos contornos nos que se aplica a política Lockbox teñan algunha destas subscricións:

  • Microsoft 365 ou Office 365 A5/E5/G5
  • Cumprimento de Microsoft 365 A5/E5/F5/G5
  • Seguranza e cumprimento de Microsoft 365 F5
  • Xestión de riscos internos de Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5 Protección e goberno da información Máis información sobre as licenzas aplicables.

Exclusións

  • As solicitudes de caixa de bloqueo non se activan nos seguintes escenarios de asistencia técnica de enxeñaría:

    • Escenarios de emerxencia que quedan fóra dos procedementos operativos estándar, como unha interrupción importante do servizo que require atención inmediata para recuperar ou restaurar os servizos en casos inesperados ou imprevisibles. Estes eventos de "rotura de cristais" son raros e, na maioría dos casos, non requiren acceso aos datos dos clientes para resolver.

    • Un Microsoft enxeñeiro accede á plataforma subxacente como parte da resolución de problemas e exponse sen querer aos datos dos clientes. É raro que tales escenarios permitan acceder a cantidades significativas de datos dos clientes.

  • As solicitudes de Caixa de seguridade do cliente tampouco se activan por demandas legais externas de datos. Para obter máis información, consulta a discusión das solicitudes de datos do goberno no Microsoft Centro de confianza.

  • Customer Lockbox non se aplicará ao acceso e á revisión manual dos datos de clientes compartidos para as funcións Copilot AI. A caixa de bloqueo do cliente permanecerá activada para todos os datos do ámbito.

Problemas coñecidos

  • A migración de inquilino a inquilino non se admite cando a Caixa de seguridade do cliente está activada. Debe desactivar Caixa de seguridade do cliente para mover un ambiente a outro inquilino. Pode volver activar Caixa de seguridade do cliente unha vez que se complete a migración.