مربع تأمين العميل لـ Microsoft Azure

إشعار

لاستخدام هذه الميزة، يجب أن تكون لدى مؤسستك خطة دعم Azure مع الحد الأدنى من مستوى المطور.

لا تتطلب معظم العمليات والدعم الذي يقوم به موظفو Microsoft والمعالجون الفرعيون الوصول إلى بيانات العملاء. في الظروف النادرة التي يكون فيها مثل هذا الوصول مطلوباً، يوفر مربع تأمين العميل لـ Microsoft Azure واجهة للعملاء لمراجعة طلبات الوصول إلى البيانات والموافقة عليها أو رفضها. ويُستخدم في الحالات التي يحتاج فيها أحد مهندسي Microsoft إلى الوصول إلى بيانات العميل، سواءً لغرض الاستجابة لتذكرة دعم بدأها العميل أو مشكلة حددتها Microsoft.

تتناول هذه المقالة كيفية تمكين مربع تأمين العميل ل Microsoft Azure وكيفية بدء الطلبات وتعقبها وتخزينها للمراجعات والتدقيقات اللاحقة.

الخدمات المدعومة

الخدمات التالية مدعومة حاليا ل Customer Lockbox ل Microsoft Azure:

  • إدارة Azure API
  • "Azure App Service"
  • البحث باستخدام الذكاء الاصطناعي في Azure
  • خدمات الذكاء الاصطناعي في Azure
  • Azure Chaos Studio
  • بوابة اتصالات Azure
  • Azure Container Registry
  • Azure Data Box
  • Azure Data Explorer ‏(Kusto)
  • Azure Data Factory
  • Azure Data Manager for Energy
  • قاعدة بيانات Azure لـ MySQL
  • Azure Database for MySQL Flexible Server
  • قاعدة بيانات Azure لـ PostgreSQL
  • تخزين النظام الأساسي لمنطقة Azure Edge
  • Azure Energy
  • دالات Azure
  • Azure HDInsight
  • Azure Health Bot
  • توصيات Azure الذكية
  • حماية البيانات في Azure
  • Azure Kubernetes Service
  • اختبار تحميل Azure (الاختبار السحابي)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • قاعدة بيانات Azure SQL
  • مثيل Azure SQL المُدار
  • تخزين Azure
  • عمليات نقل اشتراك Azure
  • Azure Synapse Analytics
  • الذكاء الاصطناعي التجارة (توصيات ذكية)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (لوحات المعلومات)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • خدمة الرؤية الموحدة
  • الأجهزة الظاهرية في Azure

تمكين مربع تأمين العميل ل Microsoft Azure

يمكنك الآن تمكين مربع تأمين العميل ل Microsoft Azure من وحدة الإدارة.

إشعار

لتمكين مربع تأمين العميل ل Microsoft Azure، يحتاج حساب المستخدم إلى تعيين دور المسؤول العام.

‏‏سير العمل‬

توضح الخطوات التالية سير عمل نموذجيا ل "مربع تأمين العميل" لطلب Microsoft Azure.

  1. شخص ما في مؤسسة لديه مشكلة في حمل عمل Azure الخاص به.

  2. بعدما يستكشف الشخص المشكلة في محاولة لإصلاحها، ولكن لا يمكنه إصلاحها بشكل عاجل، يفتح تذكرة دعم من مدخل Azure. تُعيَّن التذكرة إلى أحد مهندسي دعم عملاء Azure.

  3. يراجع مهندس دعم Azure طلب الخدمة ويحدد الخطوات التالية لحل المشكلة.

  4. إذا لم يتمكن مهندس الدعم من استكشاف المشكلة وإصلاحها باستخدام الأدوات القياسية والبيانات التي تنشئها الخدمة، فالخطوة التالية هي طلب أذونات تصعيدية باستخدام خدمة الوصول في نفس الوقت (JIT). يمكن أن يكون هذا الطلب من مهندس الدعم الأصلي أو من مهندس مختلف، حيث تُصعَّد المشكلة إلى فريق Azure DevOps.

  5. بعد أن يرسل مهندس Azure طلب وصول، تقوم خدمة Just-In-Time بتقييم الطلب مع مراعاة عوامل مثل:

    • نطاق المورد.
    • ما إذا كان الطالب هوية معزولة أو يستخدم مصادقة متعددة العوامل.
    • مستويات الأذونات. استنادا إلى قاعدة JIT، قد يتضمن هذا الطلب أيضا موافقة من موافقي Microsoft الداخليين. على سبيل المثال، قد تكون جهة الموافقة (الموافق) هي رئيس دعم العملاء أو مدير DevOps.
  6. عندما يحتاج الطلب وصولاً مباشراً إلى بيانات العميل، يتم بدء طلب لمربع تأمين العميل.

    الطلب الآن في حالة تم إعلام العميل، في انتظار موافقة العميل قبل منح حق الوصول.

  7. يتم تحديد موافق واحد أو أكثر في مؤسسة العميل لطلب مربع تأمين عميل معين كما يلي:

    • بالنسبة للطلبات ذات نطاق الاشتراك (طلبات الوصول إلى موارد محددة مضمنة في اشتراك)، المستخدمين الذين لديهم دور المالك أو دور الموافق على مربع تأمين عميل Azure للاشتراك على الاشتراك المقترن.
    • بالنسبة لطلبات نطاق المستأجر (طلبات الوصول إلى مستأجر Microsoft Entra)، المستخدمون الذين لديهم دور المسؤول العام على المستأجر.

    إشعار

    يجب أن تكون تعيينات الأدوار في مكانها قبل أن يبدأ مربع تأمين العميل ل Microsoft Azure في معالجة الطلب. لن يتم التعرف على أي تعيينات أدوار تم إجراؤها بعد مربع تأمين العميل ل Microsoft Azure لمعالجة طلب معين. ولهذا السبب، لاستخدام التعيينات المؤهلة ل PIM لدور مالك الاشتراك، يطلب من المستخدمين تنشيط الدور قبل بدء طلب مربع تأمين العميل. راجع تنشيط أدوار Microsoft Entra في PIM / تنشيط أدوار موارد Azure في PIM لمزيد من المعلومات حول تنشيط الأدوار المؤهلة ل PIM.

    تعيينات الأدوار التي تم تحديد نطاقها لمجموعات الإدارة غير مدعومة في مربع تأمين العميل ل Microsoft Azure في الوقت الحالي.

  8. في مؤسسة العميل، يتلقى موافقو مربع التأمين المعينون (مالك/اشتراك Azure Microsoft Entra Global admin/Azure Customer Lockbox Approver للاشتراك رسالة بريد إلكتروني من Microsoft لإعلامهم بطلب الوصول المعلق. يمكنك أيضا استخدام ميزة إعلامات البريد الإلكتروني البديلة ل Azure Lockbox لتكوين عنوان بريد إلكتروني بديل لتلقي إعلامات مربع التأمين في السيناريوهات التي لا يتم فيها تمكين حساب Azure عبر البريد الإلكتروني أو إذا تم تعريف كيان الخدمة كمعتمد مربع التأمين.

    مثال على البريد الإلكتروني: لقطة شاشة لإع إعلام البريد الإلكتروني.

  9. يوفر إعلام البريد الإلكتروني ارتباطاً إلى شفرة مربع تأمين العميل في الوحدة النمطية للإدارة. يقوم الموافق المعين بتسجيل الدخول إلى مدخل Microsoft Azure لعرض أي طلبات معلقة لدى مؤسسته ل Customer Lockbox ل Microsoft Azure: لقطة شاشة ل يظل الطلب في قائمة انتظار العملاء لمدة أربعة أيام. بعد مرور هذه المدة، تنتهي صلاحية طلب الوصول تلقائياً ولا يُمنح أي وصول لمهندسي Microsoft.

  10. للحصول على تفاصيل الطلب المعلق، يمكن للموافق المعين تحديد طلب مربع تأمين العميل من الطلبات المعلقة: لقطة شاشة للطلب المعلق.

  11. كذلك يمكن للموافق المختص تحديد معرّف طلب الخدمة لعرض طلب تذكرة الدعم الذي أنشأه المستخدم الأصلي. توفر هذه المعلومات سياقاً لسبب تفاعل دعم Microsoft، ومحفوظات المشكلة المُبلغ عنها. على سبيل المثال: لقطة شاشة لطلب تذكرة الدعم.

  12. يراجع الموافق المعين الطلب ويحدد الموافقة أو الرفض:لقطة شاشة لواجهة المستخدم الموافقة أو الرفض. نتيجة التحديد:

    • الموافقة: يتم منح الوصول إلى مهندس Microsoft للمدة المحددة في تفاصيل الطلب، والتي تظهر في إعلام البريد الإلكتروني وفي مدخل Microsoft Azure.
    • رفض: يُرفض طلب الوصول التصعيدي الذي قدمه مهندس Microsoft ولا يُتخذ أي إجراء آخر.

    لأغراض التدقيق، تُسجَّل الإجراءات المُتخذة في سير العمل هذا في سجلات طلبات مربع تأمين العميل.

سجلات التدقيق

تتم كتابة سجلات التدقيق الخاصة ب Customer Lockbox ل Azure إلى سجلات النشاط للطلبات ذات نطاق الاشتراك وإلى سجل تدقيق Entra للطلبات ذات نطاق المستأجر.

الطلبات ذات نطاق الاشتراك - سجلات النشاط

في مدخل Microsoft Azure، مربع تأمين العميل لجزء Microsoft Azure، حدد سجلات النشاط لعرض معلومات التدقيق المتعلقة بطلبات مربع تأمين العميل. يمكنك أيضا عرض سجلات النشاط في جزء تفاصيل الاشتراك للاشتراك المعني. في كلتا الحالتين، يمكنك التصفية لعمليات معينة، مثل:

  • رفض طلب مربع التأمين
  • إنشاء طلب لمربع التأمين
  • الموافقة على طلب مربع التأمين
  • انتهاء صلاحية طلب مربع التأمين

وكمثال على ذلك:

لقطة شاشة لسجلات النشاط.

طلبات نطاق المستأجر - سجل التدقيق

بالنسبة لطلبات مربع تأمين العميل على نطاق المستأجر، تتم كتابة إدخالات السجل إلى سجل تدقيق Entra. يتم إنشاء إدخالات السجل هذه بواسطة خدمة مراجعات صلاحية الوصول مع أنشطة مثل:

  • إنشاء طلب
  • تمت الموافقة على الطلب
  • تم رفض الطلب

يمكنك fiiter ل Service = Access Reviews و Activity = one of the above activities.

وكمثال على ذلك:

لقطة شاشة لسجل التدقيق.

إشعار

تمت إزالة علامة التبويب History في مدخل Azure Lockbox بسبب القيود التقنية الموجودة. للاطلاع على سجل طلبات مربع تأمين العميل، يرجى استخدام سجل النشاط للطلبات ذات نطاق الاشتراك وسجل تدقيق Entra للطلبات ذات نطاق المستأجر.

مربع تأمين العميل لتكامل Microsoft Azure مع معيار أمان سحابة Microsoft

قدمنا عنصر تحكم أساسي جديدا (PA-8: تحديد عملية الوصول لدعم موفر السحابة) في معيار أمان السحابة من Microsoft الذي يغطي إمكانية تطبيق مربع تأمين العميل. يمكن للعملاء الآن استخدام المعيار لمراجعة إمكانية تطبيق مربع تأمين العميل على الخدمة.

الاستثناءات

لا يتم تشغيل طلبات مربع تأمين العميل في السيناريوهات التالية:

  • سيناريوهات الطوارئ التي تقع خارج إجراءات التشغيل القياسية وتتطلب إجراء عاجلا من Microsoft لاستعادة الوصول إلى خدمات الإنترنت أو لمنع تلف بيانات العملاء أو فقدانها، أو للتحقيق في حادث أمان أو إساءة استخدام. على سبيل المثال، يتطلب انقطاع الخدمة الرئيسي أو حدث أمني اهتماما فوريا لاسترداد الخدمات أو استعادتها في ظل ظروف غير متوقعة أو غير متوقعة. هذه الأحداث "كسر الزجاج" نادرة، وفي معظم الحالات، لا تتطلب الوصول إلى بيانات العملاء للحل. تتوافق عناصر التحكم والعمليات التي تحكم وصول Microsoft إلى بيانات العملاء في خدمات الإنترنت الأساسية مع NIST 800-53 ويتم التحقق من صحتها من خلال عمليات تدقيق SOC 2. لمزيد من المعلومات، راجع أساس أمان Azure ل Customer Lockbox ل Microsoft Azure.
  • يحق لمهندس Microsoft الوصول إلى نظام Azure الأساسي كجزء من استكشاف الأخطاء وإصلاحها، ويتعرض عن غير قصد لبيانات العملاء. على سبيل المثال، يعمل فريق شبكة Azure على استكشاف وإصلاح الأخطاء التي تؤدي إلى التقاط حزمة على جهاز شبكة. نادراً ما تؤدي هذه السيناريوهات إلى الوصول إلى كميات مُعتبرة من بيانات العملاء. يمكن للعملاء حماية بياناتهم بشكل أكبر من خلال استخدام المفاتيح المدارة من قبل العملاء (CMK)، والتي تتوفر لبعض خدمة Azure. لمزيد من المعلومات، راجع نظرة عامة على إدارة المفاتيح في Azure.

لا تؤدي المطالب القانونية الخارجية للبيانات أيضا إلى تشغيل طلبات مربع تأمين العميل. للحصول على التفاصيل، راجع مناقشة الطلبات الحكومية للحصول على البيانات على Microsoft Trust Center.

الخطوات التالية

تمكين مربع تأمين العميل من وحدة الإدارة في جزء مربع تأمين العميل. يتوفر مربع تأمين العميل ل Microsoft Azure لجميع العملاء الذين لديهم خطة دعم Azure مع الحد الأدنى من مستوى المطور.