Customer Lockbox pour Microsoft Fabric

  • Article

Utilisez Customer Lockbox pour Microsoft Azure afin de contrôler la façon dont les ingénieurs Microsoft accèdent à vos données. Dans cet article, vous découvrez comment les demandes Customer Lockbox sont initiées, suivies et stockées en vue d’audits et de révisions ultérieures.

En règle générale, Customer Lockbox sert à aider les ingénieurs Microsoft à résoudre une demande de support du service Microsoft Fabric. Customer Lockbox peut également servir lorsque Microsoft identifie un problème et qu’un événement initié par Microsoft est ouvert pour examiner le problème.

Activer Customer Lockbox pour Microsoft Fabric

Pour activer Customer Lockbox pour Microsoft Fabric, vous devez être administrateur général Microsoft Entra. Pour attribuer des rôles dans Microsoft Entra ID, consultez Attribuer des rôles Microsoft Entra à des utilisateurs.

  1. Ouvrez le portail Azure.

  2. Accédez à Customer Lockbox pour Microsoft Azure.

  3. Sous l’onglet Administration , sélectionnez Activé.

    Screenshot of enabling Customer Lockbox for Microsoft Azure in the Customer Lockbox for Microsoft Azure administration tab.

Demande d’accès Microsoft

Dans les cas où l’ingénieur Microsoft ne peut pas résoudre votre problème à l’aide d’outils standard, des autorisations élevées sont demandées à l’aide du service d’accès juste-à-temps (JAT). La demande peut provenir de l’ingénieur de support d’origine ou d’un autre ingénieur.

Une fois la demande d’accès envoyée, le service JAT évalue la demande, en considérant les facteurs suivants :

  • Étendue de la ressource

  • Si l’auteur de la demande est une identité isolée ou utilise l’authentification multifacteur

  • Niveaux d’autorisation

En fonction du rôle JAT, cette demande peut également inclure une approbation des approbateurs Microsoft internes. Par exemple, l’approbateur peut être le responsable du support client ou le responsable DevOps.

Lorsque la demande nécessite un accès direct aux données client, une demande Customer Lockbox est lancée. Par exemple, dans les cas où l’accès au Bureau à distance à la machine virtuelle d’un client est nécessaire. Une fois la demande Customer Lockbox effectuée, elle attend l’approbation du client avant que l’accès soit accordé.

Ces étapes décrivent une demande Customer Lockbox initiée par Microsoft pour le service Microsoft Fabric.

  1. L’administrateur général Microsoft Entra reçoit un e-mail de notification de demande d’accès en attente de Microsoft. L’administrateur qui a reçu l’e-mail devient l’approbateur désigné.

    Screenshot of pending access request notification email from Microsoft.

  2. cet e-mail contient un lien vers Customer Lockbox dans le module d’administration Azure. Via ce lien, l’approbateur désigné se connecte au portail Azure pour afficher des demandes Customer Lockbox en attente. La demande reste dans la file d’attente du client pendant quatre jours. Passé ce délai, la demande d’accès expire automatiquement et aucun accès n’est accordé aux ingénieurs Microsoft.

  3. Pour obtenir les détails de la demande en attente, l’approbateur désigné peut sélectionner la demande Customer Lockbox sous l’option de menu Demandes en attente.

  4. Après avoir examiné la demande, l’approbateur désigné entre une justification et sélectionne l’une des options ci-dessous. À des fins d’audit, les actions sont inscrites aux journaux Customer Lockbox.

    • Approuver : l’accès est accordé à l’ingénieur Microsoft pour une période par défaut de huit heures.

    • Refuser : la demande d’accès de l’ingénieur Microsoft est rejetée, et aucune action supplémentaire n’est nécessaire.

    Screenshot of the approve and deny buttons of a pending Customer Lockbox for Microsoft Azure request.

Journaux d’activité

Customer Lockbox a deux types de journaux :

  • Journaux d’activité : disponibles à partir du journal d’activité Azure Monitor.

    Les journaux d’activité suivants sont disponibles pour Customer Lockbox :

    • Refuser une demande Lockbox
    • Créer une demande Lockbox
    • Approuver une demande Lockbox
    • Expiration d’une demande Lockbox

    Pour accéder aux journaux d’activité, dans le portail Azure, sélectionnez Journal d’activité. Vous pouvez filtrer les résultats pour des actions spécifiques.

    Screenshot of the activity logs in Customer Lockbox for Microsoft Azure.

  • Journaux d’audit : disponibles à partir du portail de conformité Microsoft Purview. Vous pouvez voir les journaux d’audit dans le portail d’administration.

    Customer Lockbox pour Microsoft Fabric a quatre journaux d’audit :

    Journal d’audit Nom convivial
    GetRefreshHistoryViaLockbox Obtenir l’historique d’actualisation via lockbox
    DeleteAdminUsageDashboardsViaLockbox Supprimer des tableaux de bord d’utilisation administrateur via lockbox
    DeleteUsageMetricsv2PackageViaLockbox Supprimer le package de métriques d’utilisation v2 via lockbox
    DeleteAdminMonitoringFolderViaLockbox Supprimer le dossier de supervision administrateur via lockbox

Exclusions

Les demandes Customer Lockbox ne sont pas déclenchées dans les scénarios de support d’ingénierie suivants :

  • Scénarios d’urgence qui ne répondent pas aux procédures de fonctionnement standard. Par exemple, si une panne de service majeure nécessite une attention immédiate pour récupérer ou restaurer des services dans un scénario inattendu. Ces événements sont rares et ne nécessitent généralement pas d’accès aux données client.

  • Un ingénieur Microsoft accède à la plateforme Azure dans le cadre de la résolution des problèmes et est exposé par inadvertance aux données client. Par exemple, lors de la résolution d’un problème, l’équipe réseau Azure capture un paquet sur un appareil réseau. De tels scénarios n’entraînent généralement pas l’accès à des données client significatives.

  • Demandes légales externes pour les données. Pour plus d’informations, consultez Demandes gouvernementales de données dans le centre de gestion de la confidentialité Microsoft.

Accès aux données

L’accès aux données varie en fonction de l’expérience Microsoft Fabric pour laquelle votre demande est destinée. Cette section répertorie les données auxquelles l’ingénieur Microsoft peut accéder, après avoir approuvé une demande Customer Lockbox.

  • Power BI : lors de l’exécution des opérations répertoriées ci-dessous, l’ingénieur Microsoft a accès à quelques tables liées à votre demande. Chaque opération que l’ingénieur Microsoft utilise est reflétée dans les journaux d’audit.

    • Obtenir l’historique des actualisations
    • Supprimer le tableau de bord d’utilisation de l’administrateur
    • Supprimer le package de métriques d’utilisation v2
    • Supprimer le dossier de supervision administrateur

  • Analytics en temps réel : l’ingénieur Analytics en temps réel a accès aux données de la base de données KQL liée à votre demande.

  • Ingénieurs de données : les ingénieurs de données auront accès aux journaux Spark suivants liés à votre demande :

    • Journaux des pilotes
    • Journaux d’événements
    • Journaux de l’exécuteur

  • Data Factory : l’ingénieur Data Factory aura accès aux définitions du pipeline de données liées à votre demande, si l’autorisation lui est accordée.

Contenu connexe