Freigeben über


Kunden-Lockbox für Microsoft Azure

Hinweis

Um dieses Feature verwenden zu können, benötigt Ihre Organisation einen Azure-Supportplan mit der Mindestebene Developer.

Die meisten Vorgänge und der Support von Microsoft-Fachkräften und Beauftragten erfordern keinen Zugriff auf Kundendaten. In den seltenen Fällen, in denen ein solcher Zugriff erforderlich ist, bietet Kunden-Lockbox für Microsoft Azure eine Schnittstelle, über die Kund*innen Zugriffsanforderungen für Kundendaten überprüfen und genehmigen oder ablehnen können. Das Feature wird verwendet, wenn ein Microsoft-Techniker beispielsweise im Rahmen eines vom Kunden initiierten Supporttickets oder aufgrund eines von Microsoft identifizierten Problems auf Kundendaten zugreifen muss.

In diesem Artikel wird erläutert, wie Sie Kunden-Lockbox für Microsoft Azure aktivieren und Anforderungen für spätere Überprüfungen und Audits initiieren, nachverfolgen und speichern.

Unterstützte Dienste

Folgende Dienste werden derzeit für Kunden-Lockbox für Microsoft Azure unterstützt:

  • Azure API Management
  • Azure App Service
  • Azure KI Cognitive Search
  • Azure-KI-Dienste
  • Azure Chaos Studio
  • Azure Communications-Gateway
  • Azure Container Registry
  • Azure Data Box
  • Azure-Daten-Explorer
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database for MySQL
  • Azure Database for MySQL Flexible Server
  • Azure Database for PostgreSQL
  • Azure Edge Zone-Plattformspeicher
  • Azure Energy
  • Azure-Funktionen
  • Azure HDInsight
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Azure Information Protection
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL-Datenbank
  • Verwaltete Azure SQL-Datenbank-Instanz
  • Azure Storage
  • Azure-Abonnementübertragungen
  • Azure Synapse Analytics
  • Commerce AI (Intelligent Recommendations)
  • DevCenter/DevBox
  • ElasticSan
  • Kusto (Dashboards)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Unified Vision Service
  • Virtual Machines in Azure

Kunden-Lockbox für Microsoft Azure aktivieren

Sie können jetzt Kunden-Lockbox für Microsoft Azure über das Verwaltungsmodul aktivieren.

Hinweis

Die Aktivierung von Kunden-Lockbox für Microsoft Azure ist nur möglich, wenn dem Benutzerkonto die Rolle Globaler Administrator zugewiesen wurde.

Workflow

Die folgenden Schritte beschreiben einen typischen Workflow für eine Kunden-Lockbox für Microsoft Azure-Anforderung.

  1. Eine Person in einer Organisation hat ein Problem mit ihrer Azure-Workload.

  2. Nachdem diese Person das Problem behandelt hat, es aber nicht beheben kann, öffnet sie ein Supportticket über das Azure-Portal. Das Ticket wird einem Azure-Kundensupporttechniker zugewiesen.

  3. Ein Azure-Supporttechniker überprüft den Service Request und ermittelt die nächsten Schritte zur Behebung des Problems.

  4. Wenn der Supporttechniker das Problem nicht mithilfe von Standardtools und der vom Dienst generierten Daten beheben kann, besteht der nächste Schritt darin, über einen JIT-Zugriffsdienst (Just-In-Time) erhöhte Berechtigungen anzufordern. Diese Anforderung kann vom ursprünglichen Supporttechniker oder einem anderen Supporttechniker gestellt werden, da das Problem an das Azure DevOps-Team eskaliert wird.

  5. Nachdem die Zugriffsanforderung von einer technischen Fachkraft bei Azure übermittelt wurde, wertet der JIT-Dienst die Anforderung unter Berücksichtigung von Faktoren wie den folgenden aus:

    • Bereich der Ressource
    • Ob es sich bei der anfordernden Person um eine isolierte Identität handelt oder ob sie die Multi-Faktor-Authentifizierung verwendet
    • Berechtigungsebenen Basierend auf der JIT-Regel kann diese Anforderung auch eine Genehmigung von internen genehmigenden Personen bei Microsoft umfassen. Die genehmigende Person kann z. B. der Kundensupportleiter oder der DevOps-Manager sein.
  6. Wenn für die Anforderung direkter Zugriff auf Kundendaten erforderlich ist, wird eine Kunden-Lockbox-Anforderung initiiert.

    Die Anforderung befindet sich nun im Zustand Kunde benachrichtigt und wartet auf die Zustimmung des Kunden, bevor Zugriff gewährt wird.

  7. Mindestens eine genehmigende Person in der Kundenorganisation für eine bestimmte Kunden-Lockbox-Anforderung wird wie folgt bestimmt:

    • Für abonnementbezogene Anforderungen (Anforderungen für den Zugriff auf bestimmte Ressourcen in einem Abonnement): Benutzerkonten mit der Rolle „Besitzer“ oder „Genehmigende Person für Azure-Kunden-Lockbox im Abonnement“ für das zugeordnete Abonnement.
    • Für mandantenbezogene Anforderungen (Zugriffsanforderungen für den Microsoft Entra-Mandanten): Benutzerkonten mit der Rolle „Globaler Administrator“ für den Mandanten

    Hinweis

    Es müssen Rollenzuweisungen eingerichtet sein, damit Kunden-Lockbox für Microsoft Azure beginnt, eine Anforderung zu verarbeiten. Alle Rollenzuweisungen, die nach dem Start der Verarbeitung einer bestimmten Anforderung durch Kunden-Lockbox für Microsoft Azure vorgenommen werden, werden nicht berücksichtigt. Aus diesem Grund müssen Benutzer die Rolle „Abonnementbesitzer „ aktivieren, bevor die Kunden-Lockbox-Anforderung initiiert wird, um PIM-berechtigte Zuweisungen für die Rolle „Abonnementbesitzer“ zu verwenden. Weitere Informationen zur Aktivierung PIM-berechtigter Rollen finden Sie unter Aktivieren einer Microsoft Entra-Rolle in PIM / Aktivieren einer Rolle.

    Rollenzuweisungen im Bereich von Verwaltungsgruppen werden derzeit nicht für Kunden-Lockbox für Microsoft Azure unterstützt.

  8. In der Kundenorganisation erhalten die angegebenen genehmigenden Personen für Lockbox (Azure-Abonnementbesitzer/Globaler Microsoft Entra-Administrator/Genehmigende Person für Azure Kunden-Lockbox im Abonnement) eine E-Mail von Microsoft, in der sie über die ausstehende Zugriffsanforderung informiert werden. Sie können auch das Feature für alternative Azure Lockbox-E-Mail-Benachrichtigungen verwenden, um eine alternative E-Mail-Adresse für den Empfang von Lockbox-Benachrichtigungen in Szenarien zu konfigurieren, in denen das Azure-Konto nicht für den E-Mail-Empfang eingerichtet ist oder ein Dienstprinzipal als genehmigende Instanz für Lockbox festgelegt wurde.

    Beispiel-E-Mail: Screenshot der E-Mail-Benachrichtigung

  9. Die E-Mail-Benachrichtigung enthält einen Link zum Blatt Kunden-Lockbox im Verwaltungsmodul. Die festgelegte genehmigende Person meldet sich beim Azure-Portal an, um ausstehende Anforderungen anzuzeigen, die bei ihrer Organisation für Kunden-Lockbox für Microsoft Azure vorliegen: Screenshot der Landing Page von Kunden-Lockbox für Microsoft Azure Die Anforderung verbleibt vier Tage lang in der Kundenwarteschlange. Anschließend läuft die Zugriffsanforderung automatisch ab, und den Microsoft-Technikern wird kein Zugriff gewährt.

  10. Um Details der ausstehenden Anforderung abzurufen, kann die festgelegte genehmigende Person die Kunden-Lockbox-Anforderung unter Ausstehende Anforderungen auswählen: Screenshot der ausstehenden Anforderung

  11. Der festgelegte genehmigende Person kann auch die DIENSTANFORDERUNGS-ID auswählen, um die vom ursprünglichen Benutzer erstellte Supportticketanforderung anzuzeigen. Diese Informationen bieten einen Kontext für den Grund der Beteiligung des Microsoft-Supports und den Hintergrund des gemeldeten Problems. Beispiel: Screenshot der Anforderung für das Supportticket

  12. Der festgelegte genehmigende Person überprüft die Anforderung und wählt Genehmigen oder Verweigern aus: Screenshot der Benutzeroberfläche für das Genehmigen oder Verweigern Als Ergebnis der Auswahl:

    • Genehmigen: Der Zugriff wird der technischen Fachkraft von Microsoft für die in den Anforderungsdetails angegebene Dauer gewährt, die auch in der E-Mail-Benachrichtigung und im Azure-Portal angezeigt wird.
    • Verweigern: Die Anforderung nach erhöhten Zugriffsrechten durch den Microsoft-Techniker wird abgelehnt, und es wird keine weitere Aktion ausgeführt.

    Für Überwachungszwecke werden die in diesem Workflow ausgeführten Aktionen in Kunden-Lockbox-Anforderungsprotokollen protokolliert.

Überwachungsprotokolle

Die Überwachungsprotokolle für Kunden-Lockbox für Azure werden in den Aktivitätsprotokollen für Anforderungen, die unter das Abonnement fallen, und im Entra Überwachungsprotokoll für Anforderungen, die unter das Mandant fallen, gespeichert.

Abonnementbezogene Anforderungen – Aktivitätsprotokolle

Wählen Sie im Azure-Portal das Blatt „Kunden-Lockbox für Microsoft Azure“ und anschließend Aktivitätsprotokolle aus, um Überwachungsinformationen im Zusammenhang mit Kunden-Lockbox-Anforderungen anzuzeigen. Sie können auch die Aktivitätsprotokolle im Blatt mit den Abonnementdetails für das betreffende Abonnement anzeigen. In beiden Fällen können Sie nach bestimmten Vorgängen filtern, z. B.:

  • Deny Lockbox Request (Lockbox-Anforderung verweigern)
  • Create Lockbox Request (Lockbox-Anforderung erstellen)
  • Approve Lockbox Request (Lockbox-Anforderung genehmigen)
  • Lockbox Request Expiry (Ablauf einer Lockbox-Anforderung)

Beispiel:

Screenshot der Aktivitätsprotokolle

Mandantenbezogene Anforderungen – Überwachungsprotokoll

Für mandantenbezogene Kunden-Lockbox-Anforderungen werden Protokolleinträge in das Entra-Überwachungsprotokoll geschrieben. Diese Protokolleinträge werden vom Access Reviews-Dienst erstellt mit Aktivitäten wie:

  • Erstellungsanforderung
  • Anforderung genehmigt
  • Anforderung abgelehnt

Sie können nach Service = Access Reviews und Activity = one of the above activities filtern.

Beispiel:

Screenshot des Überwachungsprotokolls.

Hinweis

Die Registerkarte „Verlauf“ im Azure Lockbox-Portal wurde aufgrund vorhandener technischer Einschränkungen entfernt. Um den Kunden-Lockbox-Verlauf anzuzeigen, verwenden Sie das Aktivitätsprotokolle für abonnementbezogene Anforderungen und das Entra Überwachungsprotokoll für mandantenbezogene Anforderungen.

Integration von Kunden-Lockbox für Microsoft Azure mit der Microsoft-Benchmark für Cloudsicherheit

Es wurde eine neue Baselinekontrolle (PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern) in der Microsoft-Benchmark für Cloudsicherheit eingeführt, die die Anwendbarkeit von Kunden-Lockbox abdeckt. Kunden und Kundinnen können die Benchmark nun nutzen, um die Anwendbarkeit von Kunden-Lockbox für einen Dienst zu überprüfen.

Ausschlüsse

Kunden-Lockbox-Anforderungen werden in den folgenden Szenarien nicht ausgelöst:

  • Notfallszenarien, die nicht zu den Standardbetriebsverfahren gehören und dringende Maßnahmen von Microsoft erfordern, um den Zugriff auf Onlinedienste wiederherzustellen oder Beschädigungen oder Verlust von Kundendaten zu verhindern oder einen Sicherheits- oder Missbrauchsvorfall zu untersuchen. Beispielsweise erfordert ein großer Dienstausfall oder ein Sicherheitsvorfall sofortige Aufmerksamkeit, um Dienste unter unerwarteten oder unvorhersehbaren Umständen wiederherzustellen. Diese Notfälle sind selten und erfordern für die Behebung meist keinen Zugriff auf Kundendaten. Die Kontrollen und Prozesse, die den Zugriff von Microsoft auf Kundendaten in zentralen Onlinediensten steuern, entsprechen NIST 800-53 und werden durch SOC 2-Audits überprüft. Weitere Informationen finden Sie in der Azure-Sicherheitsbasislinie für Kunden-Lockbox für Microsoft Azure.
  • Ein Microsoft-Techniker greift im Rahmen der Problembehandlung auf die Azure-Plattform zu und hat versehentlich Zugriff auf Kundendaten. Beispiel: Das Azure-Team führt eine Problembehandlung durch, die zur Erfassung eines Pakets auf einem Netzwerkgerät führt. Es kann vorkommen, dass infolge solcher Szenarien der Zugriff auf erhebliche Mengen von Kundendaten möglich wird, dies ist jedoch äußerst selten. Außerdem können Kunden und Kundinnen ihre Daten durch die Verwendung von kundenseitig verwalteten Schlüsseln (Customer Managed Keys, CMK) weiter schützen, die für einige Azure-Dienste verfügbar sind. Weitere Informationen finden Sie unter Übersicht über die Schlüsselverwaltung in Azure.

Externe rechtliche Anforderungen an Daten lösen ebenfalls keine Kunden-Lockbox-Anforderungen aus. Ausführliche Informationen finden Sie im Microsoft Trust Center in der Erörterung von behördlichen Auskunftsersuchen.

Nächste Schritte

Sie aktivieren Kunden-Lockbox über das Verwaltungsmodul auf dem Blatt „Kunden-Lockbox“. Kunden-Lockbox für Microsoft Azure steht allen Kunden und Kundinnen zur Verfügung, die einen Azure-Supportplan mit der Mindestebene „Developer“ besitzen.