Compartir a través de

Acceda de forma segura a los datos del cliente utilizando la Caja de seguridad del cliente en Power Platform y Dynamics 365

  • Artículo

La mayoría de las operaciones, el soporte y la resolución de problemas realizados por el personal (incluidos los subprocesadores) no requieren acceso a los datos del cliente. Microsoft Con la Caja de seguridad del cliente de Power Platform ofrecemos una interfaz para que los clientes puedan revisar y aprobar (o rechazar) solicitudes de acceso a datos en las raras ocasiones en que se necesita acceso a datos de clientes. Se utiliza en casos en los que un ingeniero necesita acceder a datos del cliente, ya sea en respuesta un ticket de soporte iniciado por el cliente o un problema identificado por Microsoft . Microsoft

Este artículo explica cómo habilitar la Caja de seguridad del cliente y cómo se inician, rastrean y almacenan las solicitudes de esta para revisiones y auditorías posteriores.

Nota

Customer Lockbox está disponible en nubes públicas y en las regiones de Nube comunitaria del gobierno de EE. UU. (GCC), GCC High y Departamento de Defensa (DoD).

Resumen

Puede habilitar la Caja de seguridad del cliente para los orígenes de datos en su inquilino. Habilitar la Caja de seguridad del cliente aplicará la directiva solo para los entornos que están activados para Entornos administrados. Power Platform Los administradores pueden habilitar la política de caja de seguridad.

Para obtener más información, vaya a Habilitar la directiva de caja de seguridad.

En las raras ocasiones en que se intenta acceder a los datos del cliente almacenados en Microsoft (por ejemplo, Power Platform ), se envía una solicitud de caja de seguridad a los administradores para su aprobación. Dataverse Power Platform Para obtener más información, vaya a Revisar una solicitud de caja de seguridad.

Todas las actualizaciones de una solicitud de caja de seguridad se registran y se ponen a disposición de su organización como registros de auditoría. Para obtener más información, vaya a Auditar solicitudes de caja de seguridad.

Las aplicaciones y los servicios de Power Platform y Dynamics 365 almacenan los datos de los clientes en distintas tecnologías de almacenamiento de Azure Storage. Cuando activa la Caja de seguridad del cliente para un entorno, los datos del cliente asociados con el entorno están protegidos por la directiva de caja de seguridad, independientemente del tipo de almacenamiento.

Nota

  • Actualmente, las aplicaciones y los servicios donde se aplicará la política de caja de seguridad una vez habilitada son Power Apps (excluyendo Tarjetas para Power Apps), AI Builder, Power Pages, Power Automate, Microsoft Copilot Studio (excluyendo las funciones de GPT AI y Agent Builder), Dataverse, Customer Insights, servicio al cliente, Comunidades, Guías, Espacios conectados, Finanzas (excepto Servicios de ciclo de vida), Operaciones de proyectos (excepto Servicios de ciclo de vida), cadena de suministro Gestión (excepto Servicios de ciclo de vida) y el área de funciones marketing en tiempo real de la aplicación Marketing.
  • Las características impulsadas por el servicio Azure OpenAI están excluidas de la aplicación de políticas de Lockbox, a menos que la documentación del producto para una característica determinada indique que se aplica Lockbox.
  • IVR conversacional de Nuance se ha excluido de la aplicación de políticas de Lockbox, a menos que la documentación del producto para una característica determinada indique que se aplica Lockbox.
  • El contenido de bienvenida del creador está excluido de la aplicación de la política de Lockbox.
  • Debe deshabilitar la búsqueda Lucene.NET de su sitio web y pasar a Búsqueda de Dataverse para poder usar la Caja de seguridad del cliente. Más información: La búsqueda de portales mediante la búsqueda Lucene.NET está en desuso.

Workflow

  1. Su organización tiene un problema con Microsoft Power Platform y abre una solicitud de soporte con Microsoft Soporte. Alternativamente, se identifica proactivamente un problema (por ejemplo, se activa una notificación proactiva) y se abre un evento iniciado para investigar y mitigar o solucionar la causa raíz. Microsoft Microsoft

  2. A Microsoft operador revisa la solicitud/evento de soporte e intenta solucionar el problema mediante herramientas estándar y telemetría. Si se necesita acceder a los datos del cliente para solucionar problemas adicionales, un ingeniero activa un proceso de aprobación interno para acceder a los datos del cliente, independientemente de que la política de caja de seguridad esté habilitada o no. Microsoft

  3. Además, se genera una solicitud de caja de seguridad si el almacén de datos correspondiente está asociado a un entorno protegido de acuerdo con la habilitación de la directiva de caja de seguridad. Se envía una notificación por correo electrónico a los aprobadores designados (Power Platform administradores) sobre la solicitud de acceso a datos pendiente de Microsoft.

    Importante

    El ingeniero no podrá continuar con su investigación hasta que el cliente apruebe la solicitud de caja de seguridad. Microsoft Esto podría causar retrasos en la tramitación de la incidencia de soporte técnico o interrupciones prolongadas. Asegúrese de controlar las notificaciones por correo electrónico o las solicitudes de caja de seguridad en el Centro de administración de Power Platform, y responda con rapidez para evitar interrupciones en el servicio.

    Ejemplo de solicitud de caja de seguridad.

  4. El aprobador inicia sesión en el Centro de administración de Power Platform y aprueba la solicitud. Si la solicitud es rechazada o no se aprueba dentro de cuatro días, caduca y no se concede acceso al ingeniero. Microsoft

  5. Una vez que el aprobador de su organización aprueba la solicitud, el ingeniero obtiene los permisos elevados que se solicitaron inicialmente y soluciona el problema. Microsoft Microsoft Los ingenieros tienen un tiempo determinado (8 horas) para solucionar el problema, después del cual el acceso se revoca automáticamente.

Cómo habilitar la directiva de caja de seguridad

Power Platform Los administradores pueden crear o actualizar la política de la caja de seguridad en Power Platform Centro de administración. Habilitar la directiva a nivel de inquilino se aplicará solo para los entornos que estén activados para Entornos administrados. Pueden pasar hasta veinticuatro horas hasta que todos los orígenes de datos y entornos se implementen con la Caja de seguridad del cliente.

  1. Inicie sesión en el Centro de administración de Power Platform.

  2. Utilice la página de configuración de arrendatario para revisar y administrar la configuración a nivel de arrendatario. Para ver la configuración a nivel de inquilino, seleccione el icono Engranaje (Icono de engranaje.) en la esquina superior derecha del sitio de Microsoft Power Platform y seleccione Configuración de Power Platform>Configuración>Configuración de inquilinos en el panel de navegación del lado izquierdo.

  3. Establezca Caja de seguridad del cliente en Habilitar.

    Activar la directiva de caja de seguridad.

Revisar una solicitud de caja de seguridad

  1. Inicie sesión en el Centro de administración de Power Platform.

  2. Seleccione Directivas>Caja de seguridad del cliente.

  3. Revise los detalles de la solicitud.

    Campo Descripción
    Id. de solicitud de soporte técnico El id. de la incidencia de soporte técnico asociado a la solicitud de caja de seguridad. Si la solicitud es el resultado de una alerta interna iniciada por Microsoft, el valor será "Microsoft initiated".
    Environment El nombre para mostrar del entorno en el que se ha solicitado el acceso a los datos.
    Estado El estado de la solicitud de caja de seguridad.
    • Acción necesaria: Pendiente de aprobación del cliente
    • Vencido: No se recibió la aprobación del cliente
    • Aprobado: Aprobado por el cliente
    • Denegado: Denegado por el cliente
    Solicitado La hora en la que el ingeniero solicitó acceso a los datos del cliente en ambiente del cliente. Microsoft
    Expiración de la solicitud El momento en el que el cliente debe aprobar la solicitud de caja de seguridad. El estado de la solicitud cambiará a Expirada si, llegado ese momento, no se ha recibido la aprobación.
    Período de acceso La cantidad de tiempo que el solicitante desea tener para acceder a los datos del cliente. De forma predeterminada, este valor es de ocho horas y no se puede cambiar.
    Expiración del acceso Si se concede el acceso, este es el tiempo hasta el cual el ingeniero tiene acceso a los datos del cliente. Microsoft

  4. Seleccione una solicitud de caja de seguridad y, luego, seleccione Aprobar o Denegar.

    Aprobar o denegar solicitudes de caja de seguridad

    Nota

    Las solicitudes de caja de seguridad que se hayan hecho en los últimos veintiocho días aparecen en la tabla Reciente.

    Una vez que se aprueba una solicitud, no se puede revocar durante todo el período de acceso de ocho horas.

Auditorías de solicitudes de caja de seguridad

Advertencia

El esquema documentado en esta sección para los eventos de auditoría de caja de seguridad está obsoleto y no estará disponible a partir de julio de 2024. Puede auditar los eventos de caja de auditoria del cliente utilizando el nuevo esquema disponible en Categoría de actividad: operaciones de caja de seguridad.

Las acciones relacionadas con la aceptación, denegación o expiración de una solicitud de caja de seguridad se registran automáticamente en Microsoft 365 Defender.

Página de Microsoft 365 Defender.

Los seguimientos de auditoría incluyen estos y otros campos para cada solicitud de caja de seguridad:

  • Identificador único para la solicitud
  • Hora de creación de la solicitud
  • Id. de organización
  • ID de usuario (identificador único para el operador que realiza la solicitud) Microsoft
  • Estado de la solicitud
  • Id. de la incidencia de soporte técnico correspondiente
  • Hora de expiración de la solicitud
  • Hora de vencimiento del acceso a los datos
  • Id. de entorno
  • Justificación de la solicitud

La pestaña Auditoría de Microsoft 365 permite a los administradores buscar eventos asociados con sesiones de caja de seguridad. Consulte la categoría Caja de seguridad de Power Platform para ver los eventos de caja de seguridad relacionados con Power Platform.

Seleccione la categoría de caja de seguridad de Power Platform.

Los administradores pueden exportar directamente el conjunto de resultados en función de los criterios de filtro.

Customer Lockbox produce dos tipos de registros de auditoría:

  1. Registros que se inician por Microsoft y corresponden a la creación de una solicitud de caja de seguridad, su expiración o cuando finalizan las sesiones de acceso. Este conjunto de registros de auditoría no corresponde a un ID de usuario específico ya que las acciones son iniciadas por Microsoft.
  2. Registros iniciados por acciones del usuario final, como cuando un usuario aprueba o rechaza una solicitud de caja de seguridad. Si el usuario que realiza estas operaciones no tiene asignada una licencia E5, los registros se filtran y no aparecerán en los registros de auditoría.

De forma predeterminada, los registros de auditoría se conservan durante un año. Necesita una licencia complementaria de retención de registros de auditoría de 10 años para conservar los registros de auditoría durante 10 años. Consulte Auditoría (Premium) para obtener más detalles sobre la retención de registros de auditoría.

Requisitos de licencia para Caja de seguridad del cliente

La directiva de Caja de seguridad del cliente solo se aplicará en entornos activados para Entornos administrados. Managed Environments se incluye como un derecho en licencias independientes de Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages y Dynamics 365 que otorgan derechos de uso premium. Para obtener más información sobre las licencias de entornos administrados, consulte Licencias y Resumen de licencias para Microsoft Power Platform.

Además, el acceso a Caja de seguridad del cliente para Microsoft Power Platform y Dynamics 365 requiere que los usuarios en los entornos donde se aplica la directiva de Caja de seguridad tengan cualquiera de estas suscripciones:

  • Microsoft 365 o Office 365 A5/E5/G5
  • Cumplimiento en Microsoft 365 A5/E5/F5/G5
  • Seguridad y cumplimiento de Microsoft 365 F5
  • Gestión de riesgos internos A5/E5/F5/G5 de Microsoft 365
  • Gobernanza y protección de la información A5/E5/F5/G5 de Microsoft 365 Más información sobre las licencias aplicables.

Exclusiones

  • Las solicitudes de caja de seguridad no se activarán en las siguientes situaciones de soporte de ingeniería:

    • Situaciones de emergencia que quedan fuera de los procedimientos operativos estándar, como una interrupción importante del servicio que requiere atención inmediata para recuperar o restaurar los servicios en casos inesperados o impredecibles. Estos procesos de emergencia son poco frecuentes y, en la mayoría de los casos, se pueden resolver sin acceder a los datos del cliente.

    • Un ingeniero accede a la plataforma subyacente como parte de la resolución de problemas y queda expuesto inadvertidamente a los datos del cliente. Microsoft Es muy poco frecuente que esto provoque el acceso a cantidades significativas de datos de clientes.

  • Las solicitudes de la Caja de seguridad del cliente tampoco se desencadenan por solicitudes legales externas de datos. Para obtener más detalles, consulte la discusión sobre las solicitudes gubernamentales de datos en el Microsoft Centro de confianza.

  • Customer Lockbox no se aplicará al acceso y la revisión manual de los datos del cliente compartidos para las funciones de Copilot AI. La caja de seguridad del cliente permanecerá habilitada para todos los datos incluidos en el alcance.

Problemas conocidos

  • La migración de inquilino a inquilino no se admite cuando está habilitada Caja de seguridad del cliente. Debe deshabilitar Caja de seguridad del cliente para mover un entorno a otro inquilino. Puede volver a habilitar Caja de seguridad del cliente una vez que se complete la migración.