Partager via


Customer Lockbox pour Microsoft Azure

Notes

Pour utiliser cette fonctionnalité, votre organisation doit disposer d’un plan de support Azure avec un niveau minimal de développeur.

La plupart des opérations et le support effectués par le personnel et les sous-traitants de Microsoft ne nécessitent pas l’accès aux données client. Dans les rares cas où un tel accès est requis, Customer Lockbox pour Microsoft Azure fournit une interface dans laquelle les clients peuvent vérifier et approuver/refuser les demandes d’accès aux données client. Elle est utilisée dans les cas où un ingénieur Microsoft a besoin d’accéder aux données client, que ce soit en réponse à un ticket de support initié par le client ou à un problème identifié par Microsoft.

Cet article décrit comment activer Customer Lockbox pour Microsoft Azure et comment les demandes sont initiées, suivies et stockées en vue d’audits et de révisions ultérieurs.

Services pris en charge

Les services suivants sont pris en charge pour Customer Lockbox pour Microsoft Azure :

  • Gestion des API Azure
  • Azure App Service
  • Azure AI Search
  • Azure AI Services
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry
  • Azure Data Box
  • Explorateur de données Azure
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database pour MySQL
  • Serveur flexible Azure Database pour MySQL
  • Base de données Azure pour PostgreSQL
  • Stockage de plateforme Azure Edge Zone
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Recommandations Azure intelligentes
  • Azure Information Protection
  • Azure Kubernetes Service
  • Test de charge Azure (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL Managed Instance
  • Stockage Azure
  • Transfert d'abonnement Azure
  • Azure Synapse Analytics
  • Commerce AI (Recommandations intelligentes)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (Tableaux de bord)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Service Vision Unifié
  • Machines Virtuelles dans Azure

Activer Customer Lockbox pour Microsoft Azure

Vous pouvez désormais activer Customer Lockbox pour Microsoft Azure à partir du module d’administration.

Remarque

Pour activer Customer Lockbox pour Microsoft Azure, le rôle d’administrateur général doit être attribué au compte d’utilisateur.

Workflow

Les étapes suivantes décrivent un workflow classique pour une demande Customer Lockbox pour Microsoft Azure.

  1. Une personne dans votre organisation a un problème avec sa charge de travail Azure.

  2. Une fois que cette personne a identifié le problème, sans pour autant le résoudre, elle ouvre un ticket de support sur le portail Azure. Le ticket est affecté à un ingénieur du support client Azure.

  3. Un ingénieur du support Azure examine la demande de service et détermine les étapes suivantes pour résoudre le problème.

  4. Si l’ingénieur du support ne parvient pas à résoudre le problème à l’aide des données générées par le service et des outils standard, l’étape suivante consiste à demander des autorisations élevées à l’aide d’un service d’accès juste à temps (JAT). Cette demande peut provenir de l’ingénieur du support technique d’origine ou d’un autre ingénieur, car le problème est réaffecté à l’équipe Azure DevOps.

  5. Une fois la demande d’accès soumise par l’ingénieur Azure, le service juste-à-temps évalue la demande en tenant compte des facteurs suivants :

    • L’étendue de la ressource.
    • Si l’auteur de la demande est une identité isolée ou utilise l’authentification multi-facteur.
    • Niveaux d’autorisation. Selon la règle JIT, cette demande pourrait également inclure une approbation des approbateurs Microsoft internes. Par exemple, l’approbateur peut être le responsable du support client ou le responsable DevOps.
  6. Lorsque la demande nécessite un accès direct aux données client, une demande Customer Lockbox est lancée.

    La demande a désormais l’état Client averti : elle attend l’approbation du client avant que l’accès soit accordé.

  7. Un ou plusieurs approbateurs de l’organisation client pour une requête Customer Lockbox donnée sont déterminés ainsi :

    • Pour les demandes délimitées par l’abonnement (demandes d’accès aux ressources spécifiques contenues dans un abonnement), les utilisateurs disposant du rôle Propriétaire ou Approbateur Azure Customer Lockbox pour un abonnement sur l’abonnement associé.
    • Pour les demandes limitées au locataire (demandes d’accès au locataire Microsoft Entra), les utilisateurs disposant du rôle Administrateur général a été attribué sur le locataire.

    Remarque

    Les attributions de rôles doivent être en place avant que Customer Lockbox pour Microsoft Azure ne commence à traiter une demande. Toutes les attributions de rôles effectuées après que Customer Lockbox pour Microsoft Azure commence à traiter une demande donnée ne sont pas reconnues. Pour cette raison, pour utiliser des attributions éligibles PIM pour le rôle Propriétaire de l’abonnement, les utilisateurs doivent activer le rôle avant que la demande Customer Lockbox ne soit lancée. Pour plus d’informations sur l’activation des rôles éligibles PIM, consultez Activer les rôles Microsoft Entra dans PIM / Activer les rôles de ressources Azure dans PIM.

    Les attributions de rôles limitées aux groupes d’administration ne sont pas prises en charge dans Customer Lockbox pour Microsoft Azure pour le moment.

  8. Dans l’organisation client, les approbateurs de zone de verrouillage désignés (Propriétaire d’abonnement Azure/Administrateur général Microsoft Entra/Approbateur Customer Lockbox pour un abonnement) reçoivent un e-mail de Microsoft pour les informer de la demande d’accès en attente. Vous pouvez également utiliser la fonctionnalité de notifications par adresse e-mail alternative Azure Lockbox pour configurer une adresse e-mail alternative pour recevoir des notifications Lockbox dans les scénarios où le compte Azure n’est pas activé par e-mail ou si un principal de service est défini comme approbateur Lockbox.

    Exemple d’e-mail : Une capture d’écran de l’e-mail de notification.

  9. La notification par e-mail contient un lien vers le panneau Customer Lockbox dans le module Administration. L’approbateur désigné se connecte au portail Azure pour afficher des demandes en attente de l’organisation pour Customer Lockbox pour Microsoft Azure : Une capture d’écran de la page d’accueil Customer Lockbox pour Microsoft Azure. La demande reste dans la file d’attente du client pendant quatre jours. Passé ce délai, la demande d’accès expire automatiquement et aucun accès n’est accordé aux ingénieurs Microsoft.

  10. Pour obtenir les détails de la demande en attente, l’approbateur désigné peut sélectionner la demande Customer Lockbox sous les demandes en attente :Une capture d’écran de l’annulation de demande en attente.

  11. L’approbateur désigné peut également sélectionner l’ID DE DEMANDE DE SERVICE pour afficher la demande de ticket de support créée par l’utilisateur d’origine. Ces informations permettent de comprendre pourquoi le support Microsoft a été sollicité et de connaître l’historique du problème signalé. Par exemple : Une capture d’écran de la demande de ticket de support.

  12. L’approbateur désigné examine la demande et sélectionne Approuver ou Refuser : Une capture d’écran de l’interface utilisateur Approuver ou Refuser. Selon la sélection :

    • Approuver : l’accès est accordé à l’ingénieur Microsoft pendant la durée spécifiée dans les détails de la demande qui s’affiche dans la notification par e-mail et dans le Portail Azure.
    • Refuser : la demande d’accès avec élévation de privilèges de l’ingénieur Microsoft est rejetée, et aucune action supplémentaire n’est nécessaire.

    À des fins d’audit, les actions effectuées dans ce workflow sont enregistrées dans les journaux de demandes Customer Lockbox.

Journaux d’activité d’audit

Les journaux d’audit de Customer Lockbox pour Azure sont écrits dans les journaux d’activité pour les demandes délimitées par l’abonnement et dans le Journal d'audit Entra pour les demandes délimitées par le locataire.

Demandes délimitées dans l’abonnement - Journaux d’activité

Dans le portail Azure, dans le panneau Customer Lockbox pour Microsoft Azure, sélectionnez Journaux d’activité pour afficher les informations d’audit relatives aux demandes Customer Lockbox. Vous pouvez également afficher les journaux d’activité dans le panneau des détails de l’abonnement pour l’abonnement en question. Dans les deux cas, vous pouvez filtrer selon des opérations spécifiques, telles que :

  • Refuser une demande Lockbox
  • Créer une demande Lockbox
  • Approuver une demande Lockbox
  • Expiration d’une demande Lockbox

Par exemple :

Une capture d’écran du journal d'activité.

Demandes délimitées par le locataire - Journal d’audit

Pour les demandes Customer Lockbox délimitées par le locataire, les entrées de journal sont écrites dans le Journal d’audit Entra. Ces entrées de journal sont créées par le service Révisions d’accès avec des activités telles que :

  • Requête de création
  • Demande approuvée
  • Demande rejetée

Vous pouvez filtrer selon Service = Access Reviews et Activity = one of the above activities.

Par exemple :

Une capture d’écran du journal d’audit.

Remarque

L’onglet Historique du portail Azure Lockbox a été supprimé en raison de limitations techniques existantes. Pour voir l’historique des demandes Customer Lockbox, veuillez utiliser le journal d’activité pour les demandes délimitées par l’abonnement et dans le Journal d'audit Entra pour les demandes délimitées par le locataire.

Intégration de Customer Lockbox pour Microsoft Azure avec le benchmark de sécurité du cloud Microsoft

Nous avons introduit un nouveau contrôle de référence (PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud) dans le benchmark de sécurité du cloud Microsoft qui couvre la mise en application de Customer Lockbox. Les clients peuvent désormais utiliser le point de référence afin de réviser les conditions d’application de Customer Lockbox pour un service.

Exclusions

Les demandes Customer Lockbox ne sont pas déclenchées dans les scénarios suivants :

  • Scénarios d’urgence qui sortent du cadre des procédures opérationnelles standard et nécessitent une action urgente de la part de Microsoft pour rétablir l’accès aux services en ligne ou pour empêcher la corruption ou la perte des données des clients, ou encore pour mener des investigations sur un incident de sécurité ou d’abus. Par exemple, une panne de service majeure ou un incident de sécurité exige une attention immédiate pour récupérer ou restaurer les services dans des circonstances inattendues ou imprévisibles. Ces événements de type « bris de glace » sont rares et, dans la plupart des cas, ne nécessitent pas l’accès aux données des clients pour être résolus. Les contrôles et processus régissant l’accès de Microsoft aux données des clients dans les principaux services en ligne sont conformes à la norme NIST 800-53 et sont validés par des audits SOC 2. Pour plus d’informations, consultez la base de la sécurité Azure pour Customer Lockbox pour Microsoft Azure.
  • Un ingénieur Microsoft accède à la plateforme Azure dans le cadre de la résolution des problèmes et est exposé par inadvertance aux données client. Par exemple, lors de la résolution des problèmes, l’équipe de réseau Azure capture des paquets sur un périphérique réseau. Il est rare que ces scénarios exigent l’accès à des quantités significatives de données client. Les clients peuvent protéger davantage leurs données à l’aide de clés gérées par le client (CMK), qui sont disponibles pour certains services Azure. Pour plus d’informations, consultez Vue d’ensemble de la gestion des clés dans Azure.

Les demandes de Customer Lockbox ne sont pas non plus déclenchées par des demandes juridiques externes pour les données. Pour plus d’informations, consultez la discussion sur les Demandes gouvernementales de données dans le centre de gestion de la confidentialité Microsoft.

Étapes suivantes

Activez Customer Lockbox à partir du module Administration dans le panneau Customer Lockbox. Customer Lockbox pour Microsoft Azure est disponible pour tous les clients qui disposent d’un plan de support Azure avec un niveau minimal de Développeur.