Customer Lockbox pour Microsoft Azure
Notes
Pour utiliser cette fonctionnalité, votre organisation doit disposer d’un plan de support Azure avec un niveau minimal de développeur.
La plupart des opérations et le support effectués par le personnel et les sous-traitants de Microsoft ne nécessitent pas l’accès aux données client. Dans les rares cas où un tel accès est requis, Customer Lockbox pour Microsoft Azure fournit une interface dans laquelle les clients peuvent vérifier et approuver/refuser les demandes d’accès aux données client. Elle est utilisée dans les cas où un ingénieur Microsoft a besoin d’accéder aux données client, que ce soit en réponse à un ticket de support initié par le client ou à un problème identifié par Microsoft.
Cet article décrit comment activer Customer Lockbox pour Microsoft Azure et comment les demandes sont initiées, suivies et stockées en vue d’audits et de révisions ultérieurs.
Services pris en charge
Les services suivants sont pris en charge pour Customer Lockbox pour Microsoft Azure :
- Gestion des API Azure
- Azure App Service
- Azure AI Search
- Azure Chaos Studio
- Azure Cognitive Services
- Azure Container Registry
- Azure Data Box
- Explorateur de données Azure
- Azure Data Factory
- Azure Data Manager for Energy
- Azure Database pour MySQL
- Serveur flexible Azure Database pour MySQL
- Base de données Azure pour PostgreSQL
- Stockage de plateforme Azure Edge Zone
- Azure Energy
- Azure Functions
- Azure HDInsight
- Azure Health Bot
- Recommandations Azure intelligentes
- Azure Kubernetes Service
- Test de charge Azure (CloudNative Testing)
- Azure Logic Apps
- Azure Monitor (Log Analytics)
- Azure Red Hat OpenShift
- Azure Spring Apps
- Azure SQL Database
- Azure SQL Managed Instance
- Stockage Azure
- Transfert d'abonnement Azure
- Azure Synapse Analytics
- Commerce AI (Recommandations intelligentes)
- DevCenter / DevBox
- ElasticSan
- Kusto (Tableaux de bord)
- Microsoft Azure Attestation
- OpenAI
- Spring Cloud
- Service Vision Unifié
- Machines Virtuelles dans Azure
Activer Customer Lockbox pour Microsoft Azure
Vous pouvez désormais activer Customer Lockbox pour Microsoft Azure à partir du module d’administration.
Remarque
Pour activer Customer Lockbox pour Microsoft Azure, le rôle d’administrateur général doit être attribué au compte d’utilisateur.
Workflow
Les étapes suivantes décrivent un workflow classique pour une demande Customer Lockbox pour Microsoft Azure.
Une personne dans votre organisation a un problème avec sa charge de travail Azure.
Une fois que cette personne a identifié le problème, sans pour autant le résoudre, elle ouvre un ticket de support sur le portail Azure. Le ticket est affecté à un ingénieur du support client Azure.
Un ingénieur du support Azure examine la demande de service et détermine les étapes suivantes pour résoudre le problème.
Si l’ingénieur du support ne parvient pas à résoudre le problème à l’aide des données générées par le service et des outils standard, l’étape suivante consiste à demander des autorisations élevées à l’aide d’un service d’accès juste à temps (JAT). Cette demande peut provenir de l’ingénieur du support technique d’origine ou d’un autre ingénieur, car le problème est réaffecté à l’équipe Azure DevOps.
Une fois la demande d’accès soumise par l’ingénieur Azure, le service juste-à-temps évalue la demande en tenant compte des facteurs suivants :
- L’étendue de la ressource.
- Si l’auteur de la demande est une identité isolée ou utilise l’authentification multi-facteur.
- Niveaux d’autorisation. Selon la règle JIT, cette demande pourrait également inclure une approbation des approbateurs Microsoft internes. Par exemple, l’approbateur peut être le responsable du support client ou le responsable DevOps.
Lorsque la demande nécessite un accès direct aux données client, une demande Customer Lockbox est lancée. Par exemple, pour un accès Bureau à distance à la machine virtuelle d’un client.
La demande a désormais l’état Client averti : elle attend l’approbation du client avant que l’accès soit accordé.
Un ou plusieurs approbateurs de l’organisation client pour une requête Customer Lockbox donnée sont déterminés ainsi :
- Pour les demandes délimitées par l’abonnement (demandes d’accès aux ressources spécifiques contenues dans un abonnement), les utilisateurs disposant du rôle Propriétaire ou Approbateur Azure Customer Lockbox pour un abonnement (actuellement en préversion publique) sur l’abonnement associé.
- Pour les demandes limitées au locataire (demandes d’accès au locataire Microsoft Entra), les utilisateurs disposant du rôle Administrateur général a été attribué sur le locataire.
Remarque
Les attributions de rôles doivent être en place avant que Customer Lockbox pour Microsoft Azure ne commence à traiter une demande. Toutes les attributions de rôles effectuées après que Customer Lockbox pour Microsoft Azure commence à traiter une demande donnée ne sont pas reconnues. Pour cette raison, pour utiliser des attributions éligibles PIM pour le rôle Propriétaire de l’abonnement, les utilisateurs doivent activer le rôle avant que la demande Customer Lockbox ne soit lancée. Pour plus d’informations sur l’activation des rôles éligibles PIM, consultez Activer les rôles Microsoft Entra dans PIM / Activer les rôles de ressources Azure dans PIM.
Les attributions de rôles limitées aux groupes d’administration ne sont pas prises en charge dans Customer Lockbox pour Microsoft Azure pour le moment.
Dans l’organisation client, les approbateurs de zone de verrouillage désignés (Propriétaire d’abonnement Azure/Administrateur général Microsoft Entra/Approbateur Customer Lockbox pour un abonnement) reçoivent un e-mail de Microsoft pour les informer de la demande d’accès en attente. Vous pouvez également utiliser la fonctionnalité de notifications par e-mail alternatives Azure Lockbox (actuellement en préversion publique) pour configurer une autre adresse e-mail pour recevoir des notifications lockbox lors des scénarios où le compte Azure n’est pas activé par e-mail ou si un principal de service est défini comme approbateur lockbox.
Exemple d’e-mail :
La notification par e-mail contient un lien vers le panneau Customer Lockbox dans le module Administration. L’approbateur désigné se connecte au portail Azure pour afficher des demandes en attente de l’organisation pour Customer Lockbox pour Microsoft Azure :
La demande reste dans la file d’attente du client pendant quatre jours. Passé ce délai, la demande d’accès expire automatiquement et aucun accès n’est accordé aux ingénieurs Microsoft.Pour obtenir les détails de la demande en attente, l’approbateur désigné peut sélectionner la demande Customer Lockbox sous les demandes en attente :
L’approbateur désigné peut également sélectionner l’ID DE DEMANDE DE SERVICE pour afficher la demande de ticket de support créée par l’utilisateur d’origine. Ces informations permettent de comprendre pourquoi le support Microsoft a été sollicité et de connaître l’historique du problème signalé. Par exemple :
L’approbateur désigné examine la demande et sélectionne Approuver ou Refuser :
Selon la sélection :- Approuver : l’accès est accordé à l’ingénieur Microsoft pendant la durée spécifiée dans les détails de la demande qui s’affiche dans la notification par e-mail et dans le Portail Azure.
- Refuser : la demande d’accès avec élévation de privilèges de l’ingénieur Microsoft est rejetée, et aucune action supplémentaire n’est nécessaire.
À des fins d’audit, les actions effectuées dans ce workflow sont enregistrées dans les journaux de demandes Customer Lockbox.
Journaux d’activité d’audit
Les journaux Customer Lockbox sont stockés dans les journaux d’activité. Dans le portail Azure, sélectionnez Journaux d’activité pour afficher les informations d’audit relatives aux demandes Customer Lockbox. Vous pouvez filtrer selon des actions spécifiques :
- Refuser une demande Lockbox
- Créer une demande Lockbox
- Approuver une demande Lockbox
- Expiration d’une demande Lockbox
Par exemple :
Intégration de Customer Lockbox pour Microsoft Azure avec le benchmark de sécurité du cloud Microsoft
Nous avons introduit un nouveau contrôle de référence (PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud) dans le benchmark de sécurité du cloud Microsoft qui couvre la mise en application de Customer Lockbox. Les clients peuvent désormais utiliser le point de référence afin de réviser les conditions d’application de Customer Lockbox pour un service.
Exclusions
Les demandes Customer Lockbox ne sont pas déclenchées dans les scénarios suivants :
- Scénarios d’urgence qui ne répondent pas aux procédures de fonctionnement standard. Par exemple, si une panne de service majeure nécessite une attention immédiate pour récupérer ou restaurer des services dans un scénario inattendu ou imprévisible. Ces événements d’urgence sont rares et, dans la plupart des cas, ne nécessitent aucun accès aux données client pour être résolus.
- Un ingénieur Microsoft accède à la plateforme Azure dans le cadre de la résolution des problèmes et est exposé par inadvertance aux données client. Par exemple, lors de la résolution des problèmes, l’équipe de réseau Azure capture des paquets sur un périphérique réseau. Il est rare que ces scénarios exigent l’accès à des quantités significatives de données client. Les clients peuvent protéger davantage leurs données à l’aide de clés gérées par le client (CMK), qui sont disponibles pour certains services Azure. Pour plus d’informations, consultez Vue d’ensemble de la gestion des clés dans Azure.
Les demandes de Customer Lockbox ne sont pas non plus déclenchées par des demandes juridiques externes pour les données. Pour plus d’informations, consultez la discussion sur les Demandes gouvernementales de données dans le centre de gestion de la confidentialité Microsoft.
Étapes suivantes
Activez Customer Lockbox à partir du module Administration dans le panneau Customer Lockbox. Customer Lockbox pour Microsoft Azure est disponible pour tous les clients qui disposent d’un plan de support Azure avec un niveau minimal de Développeur.