Customer Lockbox pour Microsoft Fabric

  • Article

Important

Microsoft Fabric est en préversion.

Utilisez Customer Lockbox pour Microsoft Azure pour contrôler la façon dont les ingénieurs Microsoft accèdent à vos données. Dans cet article, vous allez découvrir comment les demandes Customer Lockbox sont lancées, suivies et stockées pour des révisions et des audits ultérieurs.

En règle générale, Customer Lockbox est utilisé pour aider les ingénieurs Microsoft à résoudre une demande de support du service Microsoft Fabric. Customer Lockbox peut également être utilisé lorsque Microsoft identifie un problème et qu’un événement initié par Microsoft est ouvert pour examiner le problème.

Activer Customer Lockbox pour Microsoft Fabric

Pour activer Customer Lockbox pour Microsoft Fabric, vous devez être administrateur général Azure AD. Pour attribuer des rôles dans Azure AD, consultez Attribuer des rôles Azure AD aux utilisateurs.

  1. Ouvrez le portail Azure.

  2. Accédez à Customer Lockbox pour Microsoft Azure.

  3. Sous l’onglet Administration , sélectionnez Activé.

    Capture d’écran de l’activation de Customer Lockbox pour Microsoft Azure dans l’onglet Customer Lockbox pour Microsoft Azure Administration.

Demande d’accès Microsoft

Dans les cas où l’ingénieur Microsoft ne peut pas résoudre votre problème à l’aide d’outils standard, des autorisations élevées sont demandées à l’aide du service d’accès juste-à-temps (JIT). La demande peut provenir de l’ingénieur de support d’origine ou d’un autre ingénieur.

Une fois la demande d’accès envoyée, le service JIT évalue la demande en tenant compte de facteurs tels que :

  • Étendue de la ressource

  • Si l’auteur de la demande est une identité isolée ou utilise l’authentification multifacteur

  • Niveaux d’autorisation

En fonction du rôle JIT, la demande peut également inclure une approbation des approbateurs Microsoft internes. Par exemple, l’approbateur peut être le responsable du support client ou le gestionnaire DevOps.

Lorsque la demande nécessite un accès direct aux données client, une demande Customer Lockbox est lancée. Par exemple, dans les cas où l’accès bureau à distance à la machine virtuelle d’un client est nécessaire. Une fois la demande Customer Lockbox effectuée, elle attend l’approbation du client avant d’accorder l’accès.

Ces étapes décrivent une demande Customer Lockbox initiée par Microsoft pour le service Microsoft Fabric.

  1. L’administrateur général Azure AD reçoit un e-mail de notification de demande d’accès en attente de Microsoft. L’administrateur qui a reçu l’e-mail devient l’approbateur désigné.

    Capture d’écran de l’e-mail de notification de demande d’accès en attente de Microsoft.

  2. L’e-mail fournit un lien vers Customer Lockbox dans le module Administration Azure. À l’aide du lien, l’approbateur désigné se connecte au Portail Azure pour afficher toutes les demandes Customer Lockbox en attente. La demande reste dans la file d’attente du client pendant quatre jours. Après cela, la demande d’accès expire automatiquement et aucun accès n’est accordé aux ingénieurs Microsoft.

  3. Pour obtenir les détails de la demande en attente, l’approbateur désigné peut sélectionner la demande Customer Lockbox dans l’option de menu Demandes en attente .

  4. Après avoir examiné la demande, l’approbateur désigné entre une justification et sélectionne l’une des options ci-dessous. À des fins d’audit, les actions sont enregistrées dans les journaux Customer Lockbox.

    • Approuver : l’accès est accordé à l’ingénieur Microsoft pour une période par défaut de huit heures.

    • Refuser : la demande d’accès de l’ingénieur Microsoft est rejetée et aucune autre action n’est effectuée.

    Capture d’écran des boutons Approuver et refuser d’une demande Customer Lockbox pour Microsoft Azure en attente.

Journaux d’activité

Customer Lockbox a deux types de journaux :

  • Journaux d’activité : disponible à partir du journal d’activité Azure Monitor.

    Les journaux d’activité suivants sont disponibles pour Customer Lockbox :

    • Refuser une demande Lockbox
    • Créer une demande Lockbox
    • Approuver une demande Lockbox
    • Expiration d’une demande Lockbox

    Pour accéder aux journaux d’activité, dans le Portail Azure, sélectionnez Journal d’activité. Vous pouvez filtrer les résultats pour des actions spécifiques.

    Capture d’écran des journaux d’activité dans Customer Lockbox pour Microsoft Azure.

  • Journaux d’audit : disponibles à partir du portail de conformité Microsoft Purview. Vous pouvez voir les journaux d’audit dans le portail d’administration.

    Customer Lockbox pour Microsoft Fabric a quatre journaux d’audit :

    Journal d’audit Nom convivial
    GetRefreshHistoryViaLockbox Obtenir l’historique d’actualisation via lockbox
    DeleteAdminUsageDashboardsViaLockbox Supprimer des tableaux de bord d’utilisation administrateur via lockbox
    DeleteUsageMetricsv2PackageViaLockbox Supprimer le package de métriques d’utilisation v2 via lockbox
    DeleteAdminMonitoringFolderViaLockbox Supprimer le dossier de supervision administrateur via lockbox

Exclusions

Les demandes Customer Lockbox ne sont pas déclenchées dans les scénarios de support d’ingénierie suivants :

  • Scénarios d’urgence qui ne répondent pas aux procédures de fonctionnement standard. Par exemple, une panne de service majeure nécessite une attention immédiate pour récupérer ou restaurer des services dans un scénario inattendu. Ces événements sont rares et ne nécessitent généralement pas d’accès aux données client.

  • Un ingénieur Microsoft accède à la plateforme Azure dans le cadre de la résolution des problèmes et est accidentellement exposé aux données client. Par exemple, lors de la résolution des problèmes, l’équipe réseau Azure capture un paquet sur un appareil réseau. De tels scénarios ne donnent généralement pas accès à des données client significatives.

  • Exigences juridiques externes pour les données. Pour plus d’informations, consultez Demandes gouvernementales de données sur le Centre de gestion de la confidentialité Microsoft.

Accès aux données

L’accès aux données varie en fonction de l’expérience Microsoft Fabric pour laquelle votre demande est adressée. Cette section répertorie les données auxquelles l’ingénieur Microsoft peut accéder après avoir approuvé une demande Customer Lockbox.

  • Power BI : lors de l’exécution des opérations répertoriées ci-dessous, l’ingénieur Microsoft a accès à quelques tables liées à votre demande. Chaque opération que l’ingénieur Microsoft utilise est reflétée dans les journaux d’audit.

    • Obtenir l’historique d’actualisation
    • Supprimer le tableau de bord d’utilisation de l’administrateur
    • Supprimer le package des métriques d’utilisation v2
    • Supprimer le dossier d’analyse administrateur

  • Analyse en temps réel : l’ingénieur Real-Time Analytics aura accès aux données de la base de données KQL liée à votre demande.

Étapes suivantes