Caja de seguridad del cliente en Office 365
En este artículo se proporcionan instrucciones de implementación y configuración para la caja de seguridad del cliente. La Caja de seguridad del cliente admite solicitudes para acceder a datos en Exchange Online, SharePoint Online y OneDrive para la Empresa. Para recomendar la compatibilidad con otros servicios, envíe una solicitud en Office 365 UserVoice.
Para ver las opciones para otorgar licencias a los usuarios para que se beneficien de las ofertas de cumplimiento de Microsoft 365, consulte la guía Microsoft 365 de licencias de seguridad & cumplimiento.
Caja de seguridad del cliente garantiza que Microsoft no puede acceder al contenido para realizar operaciones de servicio sin su aprobación explícita. Caja de seguridad del cliente le incluye en el proceso de flujo de trabajo de aprobación que Microsoft usa para garantizar que solo las solicitudes autorizadas permitan el acceso al contenido. Para obtener más información sobre el proceso de flujo de trabajo de Microsoft, vea Privileged access management in Microsoft 365.
En ocasiones, los ingenieros de Microsoft ayudan a solucionar problemas que surgen con el servicio. Por lo general, los ingenieros solucionan problemas con extensas herramientas de telemetría y depuración que Microsoft tiene para sus servicios. Sin embargo, algunos casos requieren que un ingeniero de Microsoft acceda al contenido para determinar la causa raíz y solucionar el problema. Caja de seguridad del cliente requiere que el ingeniero solicite acceso como paso final en el flujo de trabajo de aprobación. Esto le ofrece la opción de aprobar o denegar la solicitud para su organización y proporcionar control de acceso directo al contenido.
Vídeo de introducción a la caja de seguridad del cliente
Flujo de trabajo de Caja de seguridad del cliente
Estos pasos describen el flujo de trabajo típico cuando un ingeniero de Microsoft inicia una solicitud de caja de seguridad de cliente:
Alguien de una organización experimenta un problema con su buzón de correo de Microsoft 365.
Después de que el usuario realice los pasos para solucionar el problema, pero no pueda corregirlo, abre una solicitud de soporte con el Soporte técnico de Microsoft.
Un ingeniero de soporte técnico de Microsoft revisa la solicitud de servicio y determina la necesidad de tener acceso al espacio empresarial de la organización para reparar el problema en Exchange Online.
El ingeniero de soporte técnico de Microsoft inicia sesión en la herramienta de solicitud de Caja de seguridad del cliente y realiza una solicitud de acceso a datos que incluye el nombre del espacio empresarial de la organización, el número de la solicitud de servicio y el tiempo estimado que el ingeniero necesita tener acceso a los datos.
Después de que un administrador de Soporte técnico de Microsoft apruebe la solicitud, la Caja de seguridad del cliente envía al aprobador designado en la organización una notificación por correo electrónico sobre la solicitud de acceso pendiente de Microsoft.
Cualquier persona a la que se le haya asignado el rol de administrador de aprobador de acceso de la caja de seguridad del cliente Centro de administración de Microsoft 365 puede aprobar solicitudes de caja de seguridad del cliente.
El aprobador inicia sesión en el Centro de administración de Microsoft 365 y aprueba la solicitud. Este paso desencadena la creación de un registro de auditoría disponible al buscar en el registro de auditoría. Para obtener más información, vea Auditing Customer Lockbox requests.
Si el cliente rechaza la solicitud o no aprueba la solicitud en 12 horas, la solicitud expira y no se concede acceso al ingeniero de Microsoft.
Importante
Microsoft no incluye ningún vínculo en las notificaciones de correo electrónico del cuadro de bloqueo de clientes que requieran que inicie sesión en Office 365.
Una vez que el aprobador de la organización aprueba la solicitud, el ingeniero de Microsoft recibe el mensaje de aprobación, inicia sesión en el espacio empresarial en Exchange Online y corrige el problema del cliente. Los ingenieros de Microsoft tienen la duración solicitada para corregir el problema, después de lo cual el acceso se revoca automáticamente.
Nota
Todas las acciones realizadas por un ingeniero de Microsoft se registran en el registro de auditoría. Puede buscar y revisar estos registros de auditoría.
Activar o desactivar las solicitudes de caja de seguridad del cliente
Puede activar los controles de Caja de seguridad del cliente en el Centro de administración de Microsoft 365. Al activar la caja de seguridad del cliente, Microsoft debe obtener la aprobación de su organización antes de obtener acceso al contenido de su inquilino.
Con una cuenta educativa o laboral que tenga asignado el administrador global o el rol aprobador de acceso de caja de seguridad del cliente, vaya a https://admin.microsoft.com e inicie sesión.
Elija Configuración > org Configuración Security & > Privacy.
Seleccione Edición del cuadro de bloqueo del cliente y, a continuación, mueva el botón de alternancia a > Activar o Desactivar para activar o desactivar la característica.
Aprobar o denegar una solicitud de Caja de seguridad del cliente
Con una cuenta educativa o laboral que tenga asignado el administrador global o el rol aprobador de acceso de caja de seguridad del cliente, vaya a https://admin.microsoft.com e inicie sesión.
Elija Soporte > solicitudes de caja de seguridad del cliente.
Se muestra una lista de solicitudes de caja de seguridad del cliente.
Seleccione una solicitud de caja de seguridad del cliente y, a continuación, elija Aprobar o Denegar.
Se muestra un mensaje de confirmación sobre la aprobación de la solicitud de caja de seguridad del cliente.
Nota
Use el cmdlet Set-AccessToCustomerDataRequest para aprobar, rechazar o cancelar solicitudes de caja de seguridad del cliente de Microsoft 365 que controlan el acceso a los datos por parte de los ingenieros de soporte técnico de Microsoft. Para obtener más información, vea Set-AccessToCustomerDataRequest.
Solicitudes de auditoría de caja de seguridad del cliente
Los registros de auditoría que corresponden a las solicitudes de caja de seguridad del cliente se registran en el registro de auditoría. Puede obtener acceso a estos registros mediante la herramienta de búsqueda de registro de auditoría en el Centro de & cumplimiento. Las acciones relacionadas con aceptar o denegar una solicitud de caja de seguridad del cliente y las acciones realizadas por los ingenieros de Microsoft (cuando se aprueban las solicitudes de acceso) también se registran en el registro de auditoría. Puede buscar y revisar estos registros de auditoría.
Buscar en el registro de auditoría la actividad relacionada con las solicitudes de caja de seguridad del cliente
Para poder usar el registro de auditoría para realizar un seguimiento de las solicitudes de Caja de seguridad del cliente, hay algunos pasos que debe seguir para configurar el registro de auditoría. Para obtener más información, vea Search the audit log in the Security & Compliance Center. Una vez que haya completado la configuración, siga estos pasos para crear una consulta de búsqueda de registro de auditoría para devolver registros de auditoría relacionados con la caja de seguridad del cliente:
Vaya a Seguridad & cumplimiento.
Inicie sesión con su cuenta profesional o educativa.
En el panel izquierdo del Centro de seguridad & cumplimiento, elija Buscar & búsqueda de registro de auditoría > de investigación.
Se muestra la página De búsqueda del registro de auditoría.
Configurar los siguientes criterios de búsqueda:
Actividades: deje este campo en blanco para que la búsqueda devuelva los registros de auditoría de todas las actividades. Esto es necesario para devolver los registros de auditoría relacionados con las solicitudes de caja de seguridad del cliente y la actividad correspondiente realizada por los ingenieros de Microsoft.
Fecha de inicio y fecha de finalización: seleccione una fecha y un intervalo de tiempo para mostrar los eventos que se produjeron en ese período.
Usuarios: deje este campo en blanco.
Archivo, carpeta o sitio: deje este campo en blanco.
Haga clic en Búsqueda para ejecutar la búsqueda mediante sus criterios de búsqueda.
Los resultados de la búsqueda se cargan y, después de unos instantes, se muestran en Resultados en la página De búsqueda del registro de auditoría.
Haga clic en Filtrar resultados en la página de resultados de búsqueda y realice una de las siguientes acciones:
Para mostrar registros de auditoría relacionados con un aprobador de la organización que aprueba o deniega una solicitud de caja de seguridad del cliente: en el cuadro de la columna Actividad, escriba Set-AccessToCustomerDataRequest.
Para mostrar registros de auditoría relacionados con un ingeniero de Microsoft que realiza acciones en respuesta a una solicitud de caja de seguridad de cliente aprobada: en el cuadro de la columna Usuario, escriba Operador de Microsoft. La columna Actividad muestra la acción realizada por el ingeniero.
En la lista de resultados, haga clic en un registro de auditoría para mostrarlo.
Registro de auditoría de una solicitud de acceso de Caja de seguridad del cliente
Cuando una persona de la organización aprueba o deniega una solicitud de caja de seguridad de cliente, se registra un registro de auditoría en el registro de auditoría. Este registro contiene la siguiente información.
| Propiedad de registro de auditoría | Descripción |
|---|---|
| Fecha | La fecha y la hora en que se ha aprobado o denegado la solicitud de Caja de seguridad del cliente. |
| Dirección IP | La dirección IP del equipo en el que el aprobador ha aprobado o denegado una solicitud. |
| Usuario | La cuenta de servicio BOXServiceAccount@ [ customerforest ] .prod.outlook.com. |
| Actividad | Set-AccessToCustomerDataRequest; esta es la actividad de auditoría que se registra cuando usted aprueba o deniega una solicitud de Caja de seguridad del cliente. |
| Elemento | Guid de la solicitud de caja de seguridad del cliente |
La siguiente captura de pantalla muestra un ejemplo de un registro de registro de auditoría que corresponde a una solicitud de caja de seguridad de cliente aprobada. Si se denegó una solicitud de caja de seguridad del cliente, el valor del parámetro ApprovalDecision sería Deny.
Sugerencia
Para mostrar información más detallada en un registro de auditoría, haga clic en Más información.
Registro de auditoría de una acción realizada por un ingeniero de Microsoft
Las acciones que ha realizado un ingeniero de Microsoft después de aprobar una solicitud de Caja de seguridad del cliente (y que pueden tener acceso al contenido del cliente) se registran en el registro de auditoría. Estos registros contienen la siguiente información.
| Propiedad de registro de auditoría | Descripción |
|---|---|
| Fecha | Fecha y hora en que se realizó la acción. Tenga en cuenta que la hora en la que se ha realizado esta acción será dentro de las 4 horas después de que se aprobara la solicitud de Caja de seguridad del cliente. |
| Dirección IP | La dirección IP del ingeniero de Microsoft. |
| Usuario | Operador de Microsoft; este valor indica que este registro está relacionado con una solicitud de Caja de seguridad del cliente. |
| Actividad | Nombre de la actividad realizada por el ingeniero de Microsoft. |
| Item | <empty> |
Preguntas más frecuentes
¿Microsoft 365 a qué servicios se aplica la caja de seguridad del cliente?
Actualmente, la caja de seguridad del cliente es compatible Exchange Online, SharePoint Online y OneDrive para la Empresa.
¿La caja de seguridad del cliente está disponible para todos los clientes?
La caja de seguridad del cliente se incluye con las suscripciones Microsoft 365 o Office 365 E5 y se puede agregar a otros planes con una suscripción de complemento de protección y cumplimiento de la información o de cumplimiento avanzado. Vea Planes y precios para obtener más información.
¿Qué es el contenido del cliente?
El contenido del cliente son los datos creados por los usuarios de Microsoft 365 servicios y aplicaciones. Estos son algunos ejemplos de contenido de cliente:
Cuerpo o datos adjuntos de correo electrónico
Página de contenido del sitio de SharePoint
Información del cuerpo de un archivo de SharePoint
Skype Empresarial del archivo de presentación
Mensajes instantáneos (MI) o conversaciones de voz
Blob generado por el cliente o datos de almacenamiento estructurado (por ejemplo, Contenedores SQL)
Información de seguridad propiedad del cliente (por ejemplo, certificados, claves de cifrado y contraseñas)
Inferencias y todas las inferencias posteriores, si el contenido del cliente permanece
Para obtener información adicional sobre el contenido del cliente en Office 365, vea el Office 365 de confianza.
Quién se notifica cuando hay una solicitud para obtener acceso a mi contenido.
Se notifica a los administradores globales y a cualquier persona que haya asignado el rol de administrador aprobador de acceso de caja de seguridad del cliente. También son los mismos usuarios que pueden aprobar las solicitudes de caja de seguridad del cliente.
Quién puede aprobar o rechazar estas solicitudes en mi organización?
Los administradores globales y cualquier persona que haya asignado el rol de administrador aprobador de acceso a la caja de seguridad del cliente pueden aprobar solicitudes de caja de seguridad del cliente. Los clientes controlan estas asignaciones de roles en sus organizaciones.
¿Cómo puedo participar en la caja de seguridad del cliente?
Un administrador global puede habilitar y configurar la caja de seguridad del cliente en el Microsoft 365 o Centro de administración de Microsoft 365.
Si apruebo una solicitud de caja de seguridad de cliente, ¿qué puede hacer el ingeniero y cómo voy a saber lo que hizo el ingeniero de Microsoft?
Después de aprobar una solicitud de caja de seguridad del cliente, el ingeniero de Microsoft concedió estos privilegios necesarios para tener acceso al contenido del cliente mediante cmdlets aprobados previamente. Las acciones realizadas por los ingenieros de Microsoft en respuesta a las solicitudes de caja de seguridad del cliente se registran y se puede obtener acceso en el registro de auditoría en el Centro de seguridad & cumplimiento.
¿Cómo sé que Microsoft sigue el proceso de aprobación?
Puede hacer referencia cruzada a las notificaciones de aprobación de correo electrónico enviadas a administradores y aprobadores de su organización con el historial de solicitudes de caja de seguridad del cliente en el Centro de administración de Microsoft 365.
La caja de seguridad del cliente se incluye en el último informe de auditoría de SOC 1 SSAE 16. Para obtener más información, puede encontrar los informes más recientes en el Portal de confianza de servicio de Microsoft.
¿Puede Microsoft modificar la lista de aprobadores de mi inquilino? Si no es así, ¿cómo se impide?
Solo un administrador global de la organización puede especificar quién puede aprobar las solicitudes de caja de seguridad del cliente. Esto significa que solo los miembros del grupo de administrador global de Azure Active Directory pueden especificar quién puede aprobar la solicitud. La pertenencia al grupo de administrador global en Azure Active Directory solo la administra la organización.
¿Qué ocurre si necesito más información sobre una solicitud de acceso al contenido para aprobarla?
Cada solicitud de caja de seguridad del cliente contiene Microsoft 365 número de solicitud de servicio. Puede ponerse en contacto con el Soporte técnico de Microsoft y hacer referencia a este número de servicio para obtener más información sobre la solicitud.
Cuando se aprueba una solicitud de caja de seguridad del cliente, ¿cuánto tiempo son válidos los permisos?
Actualmente, el período máximo permitido para los permisos de acceso concedidos al ingeniero del equipo de servicio es de 4 horas. El ingeniero también puede solicitar un período más corto.
¿Cómo puedo obtener un historial de todas las solicitudes de caja de seguridad del cliente?
Todas las solicitudes de caja de seguridad del cliente se ven en el Centro de administración de Microsoft 365.
¿Cómo correlacionar las solicitudes de acceso al contenido con los registros de auditoría relacionados?
La fuente de actividad del Centro de cumplimiento contiene actividades de registro de caja de seguridad del cliente. Los clientes pueden hacer referencia cruzada a las actividades de registro de la caja de seguridad del cliente desde la fuente de actividades con la solicitud de correo electrónico que reciben.
¿Qué sucede cuando un cliente no responde a una solicitud de caja de seguridad del cliente?
Las solicitudes de caja de seguridad del cliente tienen una duración predeterminada de 12 horas. Si no responde a una solicitud en un plazo de 12 horas, la solicitud expira.
¿Qué hace Microsoft cuando un cliente rechaza una solicitud de caja de seguridad del cliente?
Si un cliente rechaza una solicitud de caja de seguridad del cliente, no se produce acceso al contenido del cliente. Si un usuario de la organización sigue experimentando un problema de servicio que requiere que Microsoft tenga acceso al contenido del cliente para resolver el problema, el problema de servicio puede persistir y Microsoft informará al usuario sobre esto.
¿Protege la caja de seguridad del cliente contra las solicitudes de datos de los organismos de aplicación de la ley u otros terceros?
No. Microsoft se toma muy en serio las solicitudes de datos de clientes de terceros. Como proveedor de servicios en la nube, Microsoft siempre aboga por la privacidad de los datos de los clientes. En caso de obtener una citación, Microsoft siempre intenta redirigir al tercero al cliente para obtener la información. (Lea el blog de Brad Smith: Proteger los datos de los clientes del espionaje gubernamental). Publicamos información detallada periódicamente sobre las solicitudes de aplicación de la ley que Microsoft recibe.
Consulte el Centro de confianza de Microsoft con respecto a las solicitudes de datos de terceros y la sección "Divulgación de datos de clientes" en los Términos de servicios en línea para obtener más información.
¿Cómo garantiza Microsoft que un miembro de su personal no tenga acceso permanente al contenido del cliente en Office 365 aplicaciones?
Microsoft implementa amplias medidas de prevención a través de sistemas de control de acceso y medidas de detective para identificar y solucionar los intentos de eludir estos sistemas de control de acceso. Microsoft 365 funciona con los principios de privilegios mínimos y acceso justo a tiempo. Por lo tanto, ningún personal de Microsoft tiene permiso para acceder al contenido del cliente de forma continua. Si se concede permiso, es de una duración limitada.
Microsoft 365 un sistema de control de acceso denominado Caja de seguridad para procesar solicitudes de permisos que conceden la capacidad de realizar funciones operativas y administrativas dentro del servicio. Un operador debe solicitar acceso al contenido del cliente mediante La caja de seguridad, que luego requiere que una segunda persona tome medidas en la solicitud (por ejemplo, aprobarlo) antes de conceder el acceso. Esa segunda persona no puede ser el solicitante y debe estar designada para aprobar el acceso al contenido del cliente. Solo si la solicitud se aprueba, el operador obtiene acceso temporal al contenido del cliente. Una vez expirado el período de elevación, Lockbox revoca el acceso.
Consulte los Términos de Servicios en línea para obtener más información sobre las prácticas de seguridad generales de Microsoft.
¿En qué circunstancias los ingenieros de Microsoft necesitan acceso a mi contenido?
El escenario más común en el que los ingenieros de Microsoft necesitan obtener acceso al contenido del cliente es cuando el cliente realiza una solicitud de soporte técnico que requiere acceso para solucionar problemas. Un principio fundamental de Microsoft 365 es que el servicio funciona sin acceso de Microsoft al contenido del cliente. Casi todas las operaciones de servicio realizadas por Microsoft están totalmente automatizadas y la participación humana es altamente controlada y abstraida del contenido del cliente. El objetivo de Microsoft 365 es el acceso al contenido del cliente para admitir el servicio no es necesario hasta que el cliente apruebe una solicitud específica para acceso de Microsoft.
Ya he pensado que mis datos estaban seguros con la nube de Microsoft, por lo que ¿por qué necesito caja de seguridad del cliente?
La caja de seguridad del cliente proporciona una capa adicional de control al ofrecer a los clientes la capacidad de dar autorización explícita de acceso para las operaciones de servicio. Al demostrar que hay procedimientos para la autorización explícita de acceso a datos, la caja de seguridad del cliente también ayuda a los clientes a cumplir determinadas obligaciones de cumplimiento, como HIPAA y FEDRAMP.