مربع تأمين العميل لـ Microsoft Azure
إشعار
لاستخدام هذه الميزة، يجب أن تكون لدى مؤسستك خطة دعم Azure مع الحد الأدنى من مستوى المطور.
لا تتطلب معظم العمليات والدعم الذي يقوم به موظفو Microsoft والمعالجون الفرعيون الوصول إلى بيانات العملاء. في الظروف النادرة التي يكون فيها مثل هذا الوصول مطلوباً، يوفر مربع تأمين العميل لـ Microsoft Azure واجهة للعملاء لمراجعة طلبات الوصول إلى البيانات والموافقة عليها أو رفضها. ويُستخدم في الحالات التي يحتاج فيها أحد مهندسي Microsoft إلى الوصول إلى بيانات العميل، سواءً لغرض الاستجابة لتذكرة دعم بدأها العميل أو مشكلة حددتها Microsoft.
تتناول هذه المقالة كيفية تمكين مربع تأمين العميل ل Microsoft Azure وكيفية بدء الطلبات وتعقبها وتخزينها للمراجعات والتدقيقات اللاحقة.
الخدمات المدعومة
الخدمات التالية مدعومة حاليا ل Customer Lockbox ل Microsoft Azure:
- إدارة Azure API
- "Azure App Service"
- خدمة الذكاء الاصطناعي Azure AI Search
- Azure Chaos Studio
- Azure Cognitive Services
- Azure Container Registry
- Azure Data Box
- Azure Data Explorer (Kusto)
- Azure Data Factory
- Azure Data Manager for Energy
- قاعدة بيانات Azure لـ MySQL
- Azure Database for MySQL Flexible Server
- قاعدة بيانات Azure لـ PostgreSQL
- تخزين النظام الأساسي لمنطقة Azure Edge
- Azure Energy
- دالات Azure
- Azure HDInsight
- Azure Health Bot
- توصيات Azure الذكية
- Azure Kubernetes Service
- اختبار تحميل Azure (الاختبار السحابي)
- Azure Logic Apps
- Azure Monitor (Log Analytics)
- Azure Red Hat OpenShift
- Azure Spring Apps
- قاعدة بيانات Azure SQL
- مثيل Azure SQL المُدار
- تخزين Azure
- عمليات نقل اشتراك Azure
- Azure Synapse Analytics
- الذكاء الاصطناعي التجارية (التوصيات الذكي)
- DevCenter / DevBox
- ElasticSan
- Kusto (لوحات المعلومات)
- Microsoft Azure Attestation
- OpenAI
- Spring Cloud
- خدمة الرؤية الموحدة
- الأجهزة الظاهرية في Azure
تمكين مربع تأمين العميل ل Microsoft Azure
يمكنك الآن تمكين مربع تأمين العميل ل Microsoft Azure من الوحدة النمطية مسؤول istration.
إشعار
لتمكين مربع تأمين العميل ل Microsoft Azure، يحتاج حساب المستخدم إلى تعيين دور مسؤول istrator العمومي.
سير العمل
توضح الخطوات التالية سير عمل نموذجيا ل "مربع تأمين العميل" لطلب Microsoft Azure.
شخص ما في مؤسسة لديه مشكلة في حمل عمل Azure الخاص به.
بعدما يستكشف الشخص المشكلة في محاولة لإصلاحها، ولكن لا يمكنه إصلاحها بشكل عاجل، يفتح تذكرة دعم من مدخل Azure. تُعيَّن التذكرة إلى أحد مهندسي دعم عملاء Azure.
يراجع مهندس دعم Azure طلب الخدمة ويحدد الخطوات التالية لحل المشكلة.
إذا لم يتمكن مهندس الدعم من استكشاف المشكلة وإصلاحها باستخدام الأدوات القياسية والبيانات التي تنشئها الخدمة، فالخطوة التالية هي طلب أذونات تصعيدية باستخدام خدمة الوصول في نفس الوقت (JIT). يمكن أن يكون هذا الطلب من مهندس الدعم الأصلي أو من مهندس مختلف، حيث تُصعَّد المشكلة إلى فريق Azure DevOps.
بعد أن يرسل مهندس Azure طلب وصول، تقوم خدمة Just-In-Time بتقييم الطلب مع مراعاة عوامل مثل:
- نطاق المورد.
- ما إذا كان الطالب هوية معزولة أو يستخدم مصادقة متعددة العوامل.
- مستويات الأذونات. استنادا إلى قاعدة JIT، قد يتضمن هذا الطلب أيضا موافقة من موافقي Microsoft الداخليين. على سبيل المثال، قد تكون جهة الموافقة (الموافق) هي رئيس دعم العملاء أو مدير DevOps.
عندما يحتاج الطلب وصولاً مباشراً إلى بيانات العميل، يتم بدء طلب لمربع تأمين العميل. على سبيل المثال، أن يحتاج الوصول إلى كمبيوتر عن بُعد لجهاز ظاهري للعميل.
الطلب الآن في حالة تم إعلام العميل، في انتظار موافقة العميل قبل منح حق الوصول.
يتم تحديد موافق واحد أو أكثر في مؤسسة العميل لطلب مربع تأمين عميل معين كما يلي:
- بالنسبة للطلبات المحددة في نطاق الاشتراك (طلبات الوصول إلى موارد محددة مضمنة في اشتراك)، المستخدمين الذين لديهم دور المالك أو Azure Customer Lockbox Approver لدور الاشتراك (حاليا في المعاينة العامة) على الاشتراك المقترن.
- بالنسبة لطلبات نطاق المستأجر (طلبات الوصول إلى مستأجر Microsoft Entra)، المستخدمون الذين لديهم دور global مسؤول istrator على المستأجر.
إشعار
يجب أن تكون تعيينات الأدوار في مكانها قبل أن يبدأ مربع تأمين العميل ل Microsoft Azure في معالجة الطلب. لن يتم التعرف على أي تعيينات أدوار تم إجراؤها بعد مربع تأمين العميل ل Microsoft Azure لمعالجة طلب معين. ولهذا السبب، لاستخدام التعيينات المؤهلة ل PIM لدور مالك الاشتراك، يطلب من المستخدمين تنشيط الدور قبل بدء طلب مربع تأمين العميل. راجع تنشيط أدوار Microsoft Entra في PIM / تنشيط أدوار موارد Azure في PIM لمزيد من المعلومات حول تنشيط الأدوار المؤهلة ل PIM.
تعيينات الأدوار التي تم تحديد نطاقها لمجموعات الإدارة غير مدعومة في مربع تأمين العميل ل Microsoft Azure في الوقت الحالي.
في مؤسسة العميل، يتلقى موافقو مربع التأمين المعينون (مالك/اشتراك Azure Microsoft Entra Global admin/Azure Customer Lockbox Approver للاشتراك رسالة بريد إلكتروني من Microsoft لإعلامهم بطلب الوصول المعلق. يمكنك أيضا استخدام ميزة إعلامات البريد الإلكتروني البديلة ل Azure Lockbox (حاليا في المعاينة العامة) لتكوين عنوان بريد إلكتروني بديل لتلقي إعلامات مربع التأمين في السيناريوهات التي لا يتم فيها تمكين حساب Azure عبر البريد الإلكتروني أو إذا تم تعريف كيان الخدمة كمعتمد مربع التأمين.
مثال على البريد الإلكتروني:
يوفر إعلام البريد الإلكتروني ارتباطاً إلى شفرة مربع تأمين العميل في الوحدة النمطية للإدارة. يقوم الموافق المعين بتسجيل الدخول إلى مدخل Microsoft Azure لعرض أي طلبات معلقة لدى مؤسسته ل Customer Lockbox ل Microsoft Azure:
يظل الطلب في قائمة انتظار العملاء لمدة أربعة أيام. بعد مرور هذه المدة، تنتهي صلاحية طلب الوصول تلقائياً ولا يُمنح أي وصول لمهندسي Microsoft.للحصول على تفاصيل الطلب المعلق، يمكن للموافق المعين تحديد طلب مربع تأمين العميل من الطلبات المعلقة:
كذلك يمكن للموافق المختص تحديد معرّف طلب الخدمة لعرض طلب تذكرة الدعم الذي أنشأه المستخدم الأصلي. توفر هذه المعلومات سياقاً لسبب تفاعل دعم Microsoft، ومحفوظات المشكلة المُبلغ عنها. على سبيل المثال:
يراجع الموافق المعين الطلب ويحدد الموافقة أو الرفض:
نتيجة التحديد:- الموافقة: يتم منح الوصول إلى مهندس Microsoft للمدة المحددة في تفاصيل الطلب، والتي تظهر في إعلام البريد الإلكتروني وفي مدخل Microsoft Azure.
- رفض: يُرفض طلب الوصول التصعيدي الذي قدمه مهندس Microsoft ولا يُتخذ أي إجراء آخر.
لأغراض التدقيق، تُسجَّل الإجراءات المُتخذة في سير العمل هذا في سجلات طلبات مربع تأمين العميل.
سجلات التدقيق
تُخزَّن سجلات مربع تأمين العميل في سجلات النشاط. في مدخل Azure، حدد سجلات النشاط لعرض معلومات التدقيق المتعلقة بطلبات مربع تأمين العميل. يمكنك التصفية للاقتصار على إجراءات معينة، مثل:
- رفض طلب مربع التأمين
- إنشاء طلب لمربع التأمين
- الموافقة على طلب مربع التأمين
- انتهاء صلاحية طلب مربع التأمين
وكمثال على ذلك:
مربع تأمين العميل لتكامل Microsoft Azure مع معيار أمان سحابة Microsoft
قدمنا عنصر تحكم أساسي جديدا (PA-8: تحديد عملية الوصول لدعم موفر السحابة) في معيار أمان السحابة من Microsoft الذي يغطي إمكانية تطبيق مربع تأمين العميل. يمكن للعملاء الآن استخدام المعيار لمراجعة إمكانية تطبيق مربع تأمين العميل على الخدمة.
الاستثناءات
لا يتم تشغيل طلبات مربع تأمين العميل في السيناريوهات التالية:
- سيناريوهات الطوارئ التي تقع خارج إجراءات التشغيل القياسية. على سبيل المثال، يتطلب انقطاع الخدمة الرئيسي اهتماماً فورياً لاسترداد الخدمات أو استعادتها في سيناريو غير مُتوقع أو لا يمكن التنبؤ به. هذه الأحداث التي تتطلب إجراءً عاجلاً هي حالات نادرة، وفي معظم أمثلتها لا تتطلب أي وصول إلى بيانات العملاء لحلها.
- يحق لمهندس Microsoft الوصول إلى نظام Azure الأساسي كجزء من استكشاف الأخطاء وإصلاحها، ويتعرض عن غير قصد لبيانات العملاء. على سبيل المثال، يعمل فريق شبكة Azure على استكشاف وإصلاح الأخطاء التي تؤدي إلى التقاط حزمة على جهاز شبكة. نادراً ما تؤدي هذه السيناريوهات إلى الوصول إلى كميات مُعتبرة من بيانات العملاء. يمكن للعملاء حماية بياناتهم بشكل أكبر من خلال استخدام المفاتيح المدارة من قبل العملاء (CMK)، والتي تتوفر لبعض خدمة Azure. لمزيد من المعلومات، راجع نظرة عامة على إدارة المفاتيح في Azure.
لا تؤدي المطالب القانونية الخارجية للبيانات أيضا إلى تشغيل طلبات مربع تأمين العميل. للحصول على التفاصيل، راجع مناقشة الطلبات الحكومية للحصول على البيانات على Microsoft Trust Center.
الخطوات التالية
تمكين مربع تأمين العميل من الوحدة النمطية مسؤول istration في جزء Customer Lockbox. يتوفر مربع تأمين العميل ل Microsoft Azure لجميع العملاء الذين لديهم خطة دعم Azure مع الحد الأدنى من مستوى المطور.