Customer Lockbox pour Microsoft Azure

  • Article

Notes

Pour utiliser cette fonctionnalité, votre organisation doit disposer d’un plan de support Azure avec un niveau minimal de développeur.

La plupart des opérations, le support et le dépannage effectués par le personnel et les sous-traitants de Microsoft ne nécessitent pas l’accès aux données client. Dans les rares cas où un tel accès est requis, Customer Lockbox pour Microsoft Azure fournit une interface dans laquelle les clients peuvent vérifier et approuver/refuser les demandes d’accès aux données client. Elle est utilisée dans les cas où un ingénieur Microsoft a besoin d’accéder aux données client, que ce soit en réponse à un ticket de support initié par le client ou à un problème identifié par Microsoft.

Cet article décrit comment activer Customer Lockbox et comment les demandes de Lockbox sont initiées, suivies et stockées en vue d’audits et de révisions ultérieurs.

Services pris en charge

Les services suivants sont pris en charge pour Customer Lockbox :

  • Gestion des API Azure
  • Azure App Service
  • Azure AI Search
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Data Box
  • Explorateur de données Azure
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database pour MySQL
  • Serveur flexible Azure Database pour MySQL
  • Azure Database pour PostgreSQL
  • Azure Databricks
  • Stockage de plateforme Azure Edge Zone
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Recommandations Azure intelligentes
  • Azure Kubernetes Service
  • Test de charge Azure (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL Managed Instance
  • Stockage Azure
  • Transfert d'abonnement Azure
  • Azure Synapse Analytics
  • Commerce AI (Recommandations intelligentes)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (Tableaux de bord)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Service Vision Unifié
  • Machines Virtuelles dans Azure

Activer Customer Lockbox

Vous pouvez désormais activer Customer Lockbox à partir du module d’administration dans le panneau Customer Lockbox.

Notes

Pour activer Customer Lockbox, le rôle d’administrateur général doit être attribué au compte d’utilisateur.

Workflow

Les étapes suivantes décrivent un workflow classique pour une demande Customer Lockbox.

  1. Une personne dans votre organisation a un problème avec sa charge de travail Azure.

  2. Une fois que cette personne a identifié le problème, sans pour autant le résoudre, elle ouvre un ticket de support sur le portail Azure. Le ticket est affecté à un ingénieur du support client Azure.

  3. Un ingénieur du support Azure examine la demande de service et détermine les étapes suivantes pour résoudre le problème.

  4. Si l’ingénieur du support ne parvient pas à résoudre le problème à l’aide des données générées par le service et des outils standard, l’étape suivante consiste à demander des autorisations élevées à l’aide d’un service d’accès juste à temps (JAT). Cette demande peut provenir de l’ingénieur du support technique d’origine ou d’un autre ingénieur, car le problème est réaffecté à l’équipe Azure DevOps.

  5. Une fois la demande d’accès soumise par l’ingénieur Azure, le service juste-à-temps évalue la demande en tenant compte des facteurs suivants :

    • Étendue de la ressource
    • Si l’auteur de la demande est une identité isolée ou utilise l’authentification multi-facteur
    • Niveaux d’autorisation selon la règle JIT, cette demande peut également inclure une approbation des approbateurs Microsoft internes. Par exemple, l’approbateur peut être le responsable du support client ou le responsable DevOps.

  6. Lorsque la demande nécessite un accès direct aux données client, une demande Customer Lockbox est lancée. Par exemple, pour un accès Bureau à distance à la machine virtuelle d’un client.

    La demande a désormais l’état Client averti : elle attend l’approbation du client avant que l’accès soit accordé.

  7. Les approbateurs de l’organisation client pour une requête Lockbox donnée sont déterminés ainsi :

    • Pour les demandes limitées à l’abonnement (demandes d’accès à des ressources spécifiques contenues dans un abonnement), utilisateurs auxquels le rôle Propriétaire a été attribué sur l’abonnement associé.
    • Pour les demandes limitées au locataire (demandes d’accès au locataire Microsoft Entra), utilisateurs auxquels le rôle Administrateur général a été attribué sur le locataire.

    Remarque

    Les attributions de rôles doivent être en place avant que Lockbox ne commence à traiter une demande. Toutes les attributions de rôles effectuées après que Lockbox commence à traiter une demande donnée ne sont pas reconnues par Lockbox. Pour cette raison, pour utiliser des attributions éligibles PIM pour le rôle Propriétaire de l’abonnement, les utilisateurs doivent activer le rôle avant que la demande Customer Lockbox ne soit lancée. Pour plus d’informations sur l’activation des rôles éligibles PIM, consultez Activer les rôles Microsoft Entra dans PIM / Activer les rôles de ressources Azure dans PIM.

    Les attributions de rôles limitées aux groupes d’administration ne sont pas prises en charge dans Lockbox pour le moment.

  8. Dans l’organisation client, les approbateurs de zone de verrouillage désignés (Propriétaire d’abonnement Azure/Administrateur général Microsoft Entra) reçoivent un e-mail de Microsoft pour les informer de la demande d’accès en attente.

    Exemple d’e-mail :

    Azure Customer Lockbox - email notification

  9. La notification par e-mail contient un lien vers le panneau Customer Lockbox dans le module Administration. Via ce lien, l’approbateur désigné se connecte au portail Azure pour afficher des demandes en attente de l’organisation pour Customer Lockbox : Azure Customer Lockbox - landing page La demande reste dans la file d’attente du client pendant quatre jours. Passé ce délai, la demande d’accès expire automatiquement et aucun accès n’est accordé aux ingénieurs Microsoft.

  10. Pour obtenir les détails de la demande en attente, l’approbateur désigné peut sélectionner la demande Customer Lockbox sous Demandes en attente : Azure Customer Lockbox - view the pending request

  11. L’approbateur désigné peut également sélectionner l’ID DE DEMANDE DE SERVICE pour afficher la demande de ticket de support créée par l’utilisateur d’origine. Ces informations permettent de comprendre pourquoi le support Microsoft a été sollicité et de connaître l’historique du problème signalé. Par exemple : Azure Customer Lockbox - view the support ticket request

  12. Après avoir examiné la demande, l’approbateur désigné sélectionne Approuver ou Refuser : Azure Customer Lockbox - select Approve or Deny Selon la sélection :

    • Approuver : l’accès est accordé à l’ingénieur Microsoft. L’accès est accordé pour une durée par défaut de huit heures.
    • Refuser : la demande d’accès avec élévation de privilèges de l’ingénieur Microsoft est rejetée, et aucune action supplémentaire n’est nécessaire.

    À des fins d’audit, les actions effectuées dans ce workflow sont enregistrées dans les journaux de demandes Customer Lockbox.

Journaux d’activité d’audit

Les journaux Customer Lockbox sont stockés dans les journaux d’activité. Dans le portail Azure, sélectionnez Journaux d’activité pour afficher les informations d’audit relatives aux demandes Customer Lockbox. Vous pouvez filtrer selon des actions spécifiques :

  • Refuser une demande Lockbox
  • Créer une demande Lockbox
  • Approuver une demande Lockbox
  • Expiration d’une demande Lockbox

Par exemple :

Azure Customer Lockbox - activity logs

Intégration de Customer Lockbox avec le benchmark de sécurité du cloud Microsoft

Nous avons introduit un nouveau contrôle de référence (PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud) dans le benchmark de sécurité du cloud Microsoft qui couvre la mise en application de Customer Lockbox. Les clients peuvent désormais tirer parti du point de référence afin de réviser les conditions d’application de Customer Lockbox pour un service.

Exclusions

Les demandes de Customer Lockbox ne sont pas déclenchées dans les scénarios de support d’ingénierie suivants :

  • Scénarios d’urgence qui ne répondent pas aux procédures de fonctionnement standard. Par exemple, si une panne de service majeure nécessite une attention immédiate pour récupérer ou restaurer des services dans un scénario inattendu ou imprévisible. Ces événements d’urgence sont rares et, dans la plupart des cas, ne nécessitent aucun accès aux données client pour être résolus.
  • Un ingénieur Microsoft accède à la plateforme Azure dans le cadre de la résolution des problèmes et est exposé par inadvertance aux données client. Par exemple, lors de la résolution des problèmes, l’équipe de réseau Azure capture des paquets sur un périphérique réseau. Il est rare que ces scénarios exigent l’accès à des quantités significatives de données client. Les clients peuvent renforcer la protection de leurs données grâce à l’utilisation du chiffrement de données en transit et au repos.

Les demandes de Customer Lockbox ne sont pas non plus déclenchées par des demandes juridiques externes pour les données. Pour plus d’informations, consultez la discussion sur les Demandes gouvernementales de données dans le centre de gestion de la confidentialité Microsoft.

Étapes suivantes

Customer Lockbox est disponible pour tous les clients qui disposent d’un plan de support Azure avec un niveau minimal de Développeur. Vous pouvez activer Customer Lockbox à partir du module Administration dans le panneau Customer Lockbox.

Des demandes de Customer Lockbox sont initiées par un ingénieur Microsoft si cette action est nécessaire pour faire progresser un cas de support.