Customer Lockbox para Microsoft Fabric

Use Buzón de seguridad del cliente para Microsoft Azure para controlar cómo los ingenieros de Microsoft acceden a sus datos. En este artículo aprenderá cómo se inician, se realiza su seguimiento y se almacenan las solicitudes de Customer Lockbox para su posterior revisión y auditoría.

Normalmente, el Buzón de seguridad del cliente se usa para ayudar a los ingenieros de Microsoft a solucionar una solicitud de soporte del servicio Microsoft Fabric. Customer Lockbox también se puede utilizar cuando Microsoft identifica un problema y abre una incidencia iniciada por Microsoft para investigar la incidencia.

Habilitar Customer Lockbox para Microsoft Fabric

Para habilitar Customer Lockbox para Microsoft Fabric, debe ser un administrador global de Microsoft Entra. Para asignar roles en Microsoft Entra ID, consulte Asignación de roles de Microsoft Entra a usuarios.

  1. Abra Azure Portal.

  2. Vaya a Customer Lockbox para Microsoft Azure.

  3. En la pestaña Administración, seleccione Habilitado.

    Captura de pantalla de la habilitación de la Caja de seguridad del cliente para Microsoft Azure en la pestaña de administración de la Caja de seguridad del cliente para Microsoft Azure.

Solicitud de acceso de Microsoft

Note

Para garantizar que la solicitud sea visible, el usuario debe tener un rol activo de administrador global en Entra ID antes de que Microsoft inicie la solicitud de lockbox.

En los casos en los que el ingeniero de Microsoft no puede solucionar el problema mediante herramientas estándar, se solicitan permisos elevados mediante el servicio de acceso Just-In-Time (JIT). La solicitud puede provenir del ingeniero de soporte original o de otro ingeniero.

Una vez enviada la solicitud de acceso, el servicio JIT la evalúa teniendo en cuenta factores como:

  • El ámbito del recurso

  • Si el solicitante es una identidad aislada o si usa autenticación multifactor.

  • Niveles de permisos

Según el rol JIT, la solicitud también puede incluir la aprobación de los responsables internos de aprobación de Microsoft. Por ejemplo, el aprobador podría ser el líder del soporte técnico al cliente o el encargado de DevOps.

Cuando la solicitud requiere acceso directo a los datos del cliente, se inicia una solicitud de Customer Lockbox. Por ejemplo, en los casos en los que se necesita acceso de Escritorio remoto a la máquina virtual de un cliente. Una vez enviada la solicitud de Customer Lockbox, esta queda pendiente de la aprobación del cliente antes de que se conceda el acceso.

Estos pasos describen una solicitud de Customer Lockbox iniciada por Microsoft para Microsoft Fabric.

  1. El administrador global de Microsoft Entra recibe un correo electrónico de notificación de solicitud de acceso pendiente de Microsoft. El administrador que recibió el correo electrónico se convierte en el aprobador designado.

  2. El correo electrónico incluye un vínculo a Customer Lockbox en el módulo de administración de Azure. Mediante el enlace, el aprobador designado inicia sesión en el portal de Azure para ver las solicitudes pendientes de Customer Lockbox. La solicitud permanece en la cola del cliente durante cuatro días. Después, la solicitud de acceso expira automáticamente y no se concede acceso a los ingenieros de Microsoft.

  3. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede seleccionar la solicitud de Customer Lockbox en la opción de menú Solicitudes pendientes.

  4. Después de revisar la solicitud, el aprobador designado escribe una justificación y selecciona una de las opciones siguientes. A efectos de auditoría, las acciones se registran en los registros de Customer Lockbox.

    • Aprobar: el acceso se concede al ingeniero de Microsoft durante un período predeterminado de ocho horas.

    • Denegar: la solicitud de acceso del ingeniero de Microsoft se rechaza y no se realiza ninguna otra acción.

    Captura de pantalla de los botones Aprobar y Denegar de una solicitud pendiente de Customer Lockbox para Microsoft Azure.

Registros

Customer Lockbox tiene dos tipos de registros:

  • Registros de actividad: disponible en el Registro de actividad de Azure Monitor.

    Los siguientes registros de actividad están disponibles para Customer Lockbox:

    • Rechazar solicitud de Lockbox
    • Crear solicitud de buzón seguro
    • Aprobar solicitud de buzón seguro
    • Caducidad de la solicitud del buzón de seguridad

    Para acceder a los registros de actividad, en el Azure Portal, seleccione Registro de actividad. Puede filtrar los resultados de acciones específicas.

    Captura de pantalla de los registros de actividad en Customer Lockbox para Microsoft Azure.

  • Registros de auditoría: disponible en el Microsoft Purview portal. Puede ver los registros de auditoría en el portal de administración.

    Customer Lockbox para Microsoft Fabric tiene cuatro registros de auditoría:

    Registro de auditoría Nombre descriptivo
    GetRefreshHistoryViaLockbox Obtener el historial de actualizaciones mediante Lockbox
    Eliminar paneles de uso del administrador mediante Lockbox Eliminar los paneles de uso del administrador mediante Lockbox
    DeleteUsageMetricsv2PackageViaLockbox Eliminar el paquete de métricas de uso v2 mediante lockbox
    Eliminar la carpeta de supervisión del administrador mediante Lockbox Eliminar la carpeta de supervisión del administrador mediante Lockbox
    GetQueryTextTelemetryViaLockbox Obtener el texto de la consulta del almacén seguro de telemetría mediante Lockbox

Exclusiones

Las solicitudes de Lockbox del cliente no se desencadenan en las siguientes situaciones de soporte técnico de ingeniería:

  • Escenarios de emergencia que se encuentran fuera de los procedimientos operativos estándar. Por ejemplo, una interrupción importante del servicio requiere atención inmediata para recuperar o restaurar servicios en un escenario inesperado. Estos eventos son poco frecuentes y normalmente no requieren acceso a los datos de los clientes.

  • Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la solución de problemas y, accidentalmente, obtiene acceso a los datos del cliente. Por ejemplo, durante la resolución de problemas, el equipo de Red de Azure captura un paquete en un dispositivo de red. Estos escenarios no suelen dar lugar a un acceso a datos significativos de los clientes.

  • Demandas legales externas para los datos. Para obtener más información, consulte solicitudes de datos por parte del Gobierno en el Centro de confianza de Microsoft.

Acceso a datos

El acceso a los datos varía según la experiencia de Microsoft Fabric para la que se solicite. En esta sección se indica a qué datos puede acceder el ingeniero de Microsoft después de que apruebe una solicitud de Customer Lockbox.

  • Power BI: al ejecutar las operaciones que se enumeran a continuación, el ingeniero de Microsoft tendrá acceso a algunas tablas vinculadas a la solicitud. Cada operación que usa el ingeniero de Microsoft se refleja en los registros de auditoría.

    • Obtener historial de actualizaciones de modelo
    • Eliminación del panel de uso del administrador
    • Eliminación del paquete de métricas de uso v2
    • Eliminación de la carpeta de supervisión de administración
    • Eliminar un área de trabajo de administración
    • Acceso a un conjunto de datos determinado en el almacenamiento
    • Obtención del texto de consulta del almacén de telemetría protegido

  • Inteligencia en tiempo real: el ingeniero de inteligencia en tiempo real tendrá acceso a los datos de la base de datos de KQL vinculada a la solicitud.

  • Ingeniero de datos: el ingeniero de datos tendrá acceso a los siguientes registros de Spark vinculados a la solicitud:

    • Registros de controladores
    • Registros de eventos
    • Registros del ejecutor

  • Data Factory : el ingeniero de Data Factory tendrá acceso a las definiciones de canalización vinculadas a la solicitud, si se concede el permiso.

Contenido relacionado

  • Last updated on