Kundelåsekasse til Microsoft Fabric

  • Artikel

Brug Customer Lockbox til Microsoft Azure til at styre, hvordan Microsoft-teknikere får adgang til dine data. I denne artikel får du mere at vide om, hvordan kunde lockbox-anmodninger startes, spores og gemmes til senere korrekturer og revisioner.

Customer Lockbox bruges typisk til at hjælpe Microsoft-teknikere med at foretage fejlfinding af en supportanmodning fra Microsoft Fabric-tjenesten. Customer Lockbox kan også bruges, når Microsoft identificerer et problem, og der åbnes en Microsoft-initieret hændelse for at undersøge problemet.

Aktivér kundelåseboks til Microsoft Fabric

Hvis du vil aktivere Customer Lockbox til Microsoft Fabric, skal du være Global Administration istrator for Microsoft Entra. Hvis du vil tildele roller i Microsoft Entra-id, skal du se Tildel Microsoft Entra-roller til brugere.

  1. Åbn Azure-portalen.

  2. Gå til Customer Lockbox til Microsoft Azure.

  3. På fanen Administration istration skal du vælge Aktiveret.

    Screenshot of enabling Customer Lockbox for Microsoft Azure in the Customer Lockbox for Microsoft Azure administration tab.

Microsoft-anmodning om adgang

I tilfælde, hvor Microsoft-tekniker ikke kan foretage fejlfinding af dit problem ved hjælp af standardværktøjer, anmodes der om udvidede tilladelser ved hjælp af JIT-adgangstjenesten (Just-In-Time ). Anmodningen kan komme fra den oprindelige supporttekniker eller fra en anden tekniker.

Når anmodningen om adgang er sendt, evaluerer JIT-tjenesten anmodningen under hensyntagen til faktorer som:

  • Ressourcens omfang

  • Om anmoderen er en isoleret identitet eller bruger multifaktorgodkendelse

  • Tilladelsesniveauer

Baseret på JIT-rollen kan anmodningen også omfatte en godkendelse fra interne Microsoft-godkendere. Godkenderen kan f.eks. være kundesupportlederen eller DevOps Manager.

Når anmodningen kræver direkte adgang til kundedata, startes en kundelåseboksanmodning. I tilfælde, hvor der f.eks. er behov for fjernskrivebordsadgang til en kundes virtuelle maskine. Når kundens Lockbox-anmodning er foretaget, afventer den kundens godkendelse, før der gives adgang.

Disse trin beskriver en Microsoft-initieret kundelåseboksanmodning til Microsoft Fabric-tjenesten.

  1. Microsoft Entra Global Administration istrator modtager en mail med besked om ventende anmodninger om adgang fra Microsoft. Den administrator, der har modtaget mailen, bliver den udpegede godkender.

    Screenshot of pending access request notification email from Microsoft.

  2. Mailen indeholder et link til Customer Lockbox i Azure Administration istration-modulet. Ved hjælp af linket logger den udpegede godkender på Azure-portal for at få vist alle ventende kundelåseboksanmodninger. Anmodningen forbliver i kundekøen i fire dage. Derefter udløber adgangsanmodningen automatisk, og Microsoft-teknikere får ikke adgang.

  3. Hvis du vil have oplysninger om den ventende anmodning, kan den udpegede godkender vælge kundelåsekasseanmodningen i menuindstillingen Ventende anmodninger .

  4. Når anmodningen er gennemset, angiver den udpegede godkender en begrundelse og vælger en af indstillingerne nedenfor. I overvågningsøjemed logføres handlingerne i kundelåsekasselogfilerne.

    • Godkend – Microsoft-tekniker får adgang i en standardperiode på otte timer.

    • Afvis – Microsoft-teknikerens anmodning om adgang afvises, og der udføres ingen yderligere handling.

    Screenshot of the approve and deny buttons of a pending Customer Lockbox for Microsoft Azure request.

Logfiler

Customer Lockbox har to typer logge:

  • Aktivitetslogge – tilgængelige fra aktivitetsloggen i Azure Monitor.

    Følgende aktivitetslogge er tilgængelige for Customer Lockbox:

    • Afvis Lockbox-anmodning
    • Opret Lockbox-anmodning
    • Godkend lockboxanmodning
    • Udløb af lockboxanmodning

    Hvis du vil have adgang til aktivitetslogfilerne, skal du vælge Aktivitetslog i Azure-portal. Du kan filtrere resultaterne for bestemte handlinger.

    Screenshot of the activity logs in Customer Lockbox for Microsoft Azure.

  • Overvågningslogge – tilgængelige fra Microsoft Purview-compliance-portal. Du kan se overvågningslogfilerne på administrationsportalen.

    Customer Lockbox til Microsoft Fabric har fire overvågningslogge:

    Overvågningslog Fuldt navn
    GetRefreshHistoryViaLockbox Hent opdateringshistorik via lockbox
    Delete Administration UsageDashboardsViaLockbox Slet dashboards til administration af forbrug via låseboks
    DeleteUsageMetricsv2PackageViaLockbox Slet forbrugsdata v2-pakke via lockbox
    Delete Administration MonitoringFolderViaLockbox Slet administrationsovervågningsmappe via låseboks

Undtagelser

Kunde lockboxanmodninger udløses ikke i følgende tekniske supportscenarier:

  • Nødscenarier, der falder uden for standardprocedurerne. En større tjenesteafbrydelse kræver f.eks. øjeblikkelig opmærksomhed for at genoprette eller gendanne tjenester i et uventet scenarie. Disse hændelser er sjældne og kræver normalt ikke adgang til kundedata.

  • En Microsoft-tekniker får adgang til Azure-platformen som en del af fejlfindingen og udsættes ved et uheld for kundedata. Under fejlfinding henter Azure Network Team f.eks. en pakke på en netværksenhed. Sådanne scenarier resulterer normalt ikke i adgang til meningsfulde kundedata.

  • Eksterne juridiske krav til data. Du kan finde flere oplysninger under Offentlige anmodninger om data i Microsoft Center for sikkerhed og rettighedsadministration.

Dataadgang

Adgangen til data varierer afhængigt af den Microsoft Fabric-oplevelse, som din anmodning er til. I dette afsnit kan du se, hvilke data Microsoft-tekniker kan få adgang til, når du har godkendt en kundelåseboksanmodning.

  • Power BI – Når du kører de handlinger, der er angivet nedenfor, har Microsoft-tekniker adgang til nogle få tabeller, der er knyttet til din anmodning. Hver handling, som Microsoft-tekniker bruger, afspejles i overvågningsloggene.

    • Hent opdateringshistorik
    • Slet dashboard til administration af forbrug
    • Slet v2-pakke med forbrugsdata
    • Slet administrationsovervågningsmappe

  • Realtidsanalyse – Analyseteknikeren i realtid har adgang til de data i KQL-databasen, der er knyttet til din anmodning.

  • Dataudvikler – Dataudvikler teknikeren har adgang til følgende Spark-logge, der er knyttet til din anmodning:

    • Driverlogge
    • Hændelseslogge
    • Eksekveringslogge

  • Data Factory – Data Factory-teknikeren har adgang til definitioner af datapipelines, der er knyttet til din anmodning, hvis der gives tilladelse.

Relateret indhold