Ügyfélszéf a Microsoft Azure-hoz

Megjegyzés

A funkció használatához a szervezetnek minimális fejlesztői szintű Azure-támogatás csomaggal kell rendelkeznie.

A Microsoft személyzete és az alfeldolgozók által végzett legtöbb művelet, támogatás és hibaelhárítás nem igényel hozzáférést az ügyféladatokhoz. Azokban a ritka esetekben, amikor ilyen hozzáférésre van szükség, a Microsoft Azure Ügyfélszéfje felületet biztosít az ügyfelek számára az ügyféladatok hozzáférési kérelmeinek áttekintéséhez és jóváhagyásához vagy elutasításához. Olyan esetekben használatos, amikor a Microsoft mérnökének hozzá kell férnie az ügyféladatokhoz, akár az ügyfél által kezdeményezett támogatási jegyre, akár a Microsoft által azonosított problémára reagálva.

Ez a cikk bemutatja, hogyan engedélyezheti az Ügyfélszéfet, és hogyan kezdeményezheti, követheti nyomon és tárolhatja a zárolási kérelmeket későbbi felülvizsgálatok és auditálások céljából.

Támogatott szolgáltatások és forgatókönyvek

Általános rendelkezésre állás

Az Ügyfélszéfhez általában a következő szolgáltatások érhetők el:

  • Azure API Management
  • Azure App Service
  • Azure Cognitive Search
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Database for MySQL
  • Azure Databricks
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • Azure Database for PostgreSQL
  • Azure Functions
  • Azure HDInsight
  • Intelligens Azure-javaslatok
  • Azure Kubernetes Service
  • Azure Monitor
  • Azure Storage
  • Azure SQL Database
  • felügyelt példány Azure SQL
  • Azure-előfizetések átvitele
  • Azure Synapse Analytics
  • Azure Unified Vision Service
  • Virtuális gépek az Azure-ban (lefedve a távoli asztali hozzáférést, a memóriaképekhez való hozzáférést és a felügyelt lemezeket)

Nyilvános előzetes verzió

A Következő szolgáltatások jelenleg előzetes verzióban érhetők el az Ügyfélszéfhez:

  • Azure Machine Learning
  • Azure Batch

Ügyfélszéf engedélyezése

Most már engedélyezheti az Ügyfélszéfet az Ügyfélszéf panel Adminisztráció moduljában .

Megjegyzés

Az Ügyfélszéf engedélyezéséhez a felhasználói fiókhoz globális rendszergazdai szerepkört kell hozzárendelni.

Munkafolyamat

Az alábbi lépések egy ügyfélszéfkérés tipikus munkafolyamatát vázolják fel.

  1. Egy szervezet egyik munkatársának problémája van az Azure-beli számítási feladattal.

  2. Miután ez a személy elhárította a problémát, de nem tudja kijavítani, megnyit egy támogatási jegyet a Azure Portal. A jegy egy Azure ügyfélszolgálati mérnökhöz van rendelve.

  3. Az Azure támogatási mérnöke áttekinti a szolgáltatáskérést, és meghatározza a probléma megoldásának következő lépéseit.

  4. Ha a támogatási szakember nem tudja elhárítani a problémát a standard eszközökkel és a szolgáltatás által generált adatokkal, a következő lépés az emelt szintű engedélyek kérése egy igény szerinti (JIT) hozzáférési szolgáltatás használatával. Ez a kérés lehet az eredeti támogatási szakembertől vagy egy másik mérnöktől, mert a problémát az Azure DevOps csapata eszkalálja.

  5. Miután az Azure Engineer elküldte a hozzáférési kérést, a Just-In-Time szolgáltatás az alábbi tényezők figyelembevételével értékeli ki a kérést:

    • Az erőforrás hatóköre
    • Függetlenül attól, hogy a kérelmező elkülönített identitás vagy többtényezős hitelesítés használata
    • Engedélyszintek

    A JIT-szabály alapján ez a kérés a Belső Microsoft jóváhagyók jóváhagyását is tartalmazhatja. A jóváhagyó lehet például az ügyfélszolgálati vezető vagy a DevOps Manager.

  6. Ha a kérés közvetlen hozzáférést igényel az ügyféladatokhoz, ügyfélszéf kérést kezdeményez. Például távoli asztali hozzáférés az ügyfél virtuális gépéhez.

    A kérés most ügyfél által bejelentett állapotban van, és a hozzáférés megadása előtt várja meg az ügyfél jóváhagyását.

  7. Az ügyfélszervezetnél az Azure-előfizetés tulajdonosi szerepkörével rendelkező felhasználó kap egy e-mailt a Microsofttól, amely értesíti őket a függőben lévő hozzáférési kérelemről. Ügyfélszéf-kérelmek esetén ez a személy a kijelölt jóváhagyó.

    Példa e-mailre:

    Azure Customer Lockbox – e-mailes értesítés

  8. Az e-mail-értesítés a Felügyelet modul Ügyfélszéf paneljére mutató hivatkozást tartalmaz. Ezen a hivatkozáson keresztül a kijelölt jóváhagyó bejelentkezik a Azure Portal, hogy megtekintse a szervezet által az Ügyfélszéfhez kapcsolódó függőben lévő kéréseket:

    Azure Customer Lockbox – kezdőlap

    A kérés négy napig marad az ügyfél várólistán. Ezt követően a hozzáférési kérelem automatikusan lejár, és a Microsoft mérnökei nem kapnak hozzáférést.

  9. A függőben lévő kérelem részleteinek lekéréséhez a kijelölt jóváhagyó kiválaszthatja a függőben lévő kérelmek közül a zárolási kérelmet:

    Azure Customer Lockbox – a függőben lévő kérés megtekintése

  10. A kijelölt jóváhagyó kiválaszthatja a SZOLGÁLTATÁSKÉRÉS azonosítóját is az eredeti felhasználó által létrehozott támogatási jegykérés megtekintéséhez. Ez az információ kontextust biztosít a Microsoft ügyfélszolgálata bevonásának okáról, valamint a jelentett probléma előzményeiről. Például:

    Azure Customer Lockbox – a támogatási jegy igénylésének megtekintése

  11. A kérés áttekintése után a kijelölt jóváhagyó kiválasztja a Jóváhagyás vagy a Megtagadás lehetőséget:

    Azure Customer Lockbox – Válassza a Jóváhagyás vagy elutasítás lehetőséget

    A kijelölés eredményeként:

    • Jóváhagyás: A Hozzáférést a Microsoft mérnöke kapja meg. A hozzáférés alapértelmezés szerint nyolc órára van megadva.
    • Megtagadás: A Microsoft mérnöke emelt szintű hozzáférési kérését a rendszer elutasítja, és nem hajt végre további lépéseket.

Naplózási célokból az ebben a munkafolyamatban végrehajtott műveleteket a rendszer az Ügyfélszéf kérésnaplóiban naplózza.

Auditnaplók

Az Ügyfélszéf-naplókat a rendszer a tevékenységnaplókban tárolja. A Azure Portal válassza a Tevékenységnaplók lehetőséget az Ügyfélszéf-kérelmekhez kapcsolódó naplózási információk megtekintéséhez. Konkrét műveletekre is szűrhet, például a következőkre:

  • Széf letiltására irányuló kérelem
  • Széf létrehozására irányuló kérelem
  • Széf jóváhagyására irányuló kérelem
  • A zárolási kérelem lejárata

Lássunk erre egy példát:

Azure Customer Lockbox – tevékenységnaplók

A Ügyfélszéf integrálása az Azure biztonsági teljesítménytesztjével

Bevezettünk egy új alapkonfiguráció-vezérlőt (3.13) az Azure Security Benchmarkban, amely az ügyfélszéf alkalmazhatóságát ismerteti. Az ügyfelek mostantól használhatják a teljesítménytesztet egy szolgáltatás Ügyfélszéf alkalmazhatóságának áttekintéséhez.

Kizárások

Az ügyfélszéfkérések nem aktiválódnak a következő mérnöki támogatási forgatókönyvekben:

  • A szokásos üzemeltetési eljárásokon kívül eső vészhelyzeti forgatókönyvek. Egy jelentős szolgáltatáskimaradás például azonnali figyelmet igényel a szolgáltatások helyreállítására vagy visszaállítására váratlan vagy kiszámíthatatlan forgatókönyv esetén. Ezek a "törésüveg" események ritkán fordulnak elő, és a legtöbb esetben nem igényelnek hozzáférést az ügyféladatokhoz a megoldáshoz.
  • Egy Microsoft-mérnök a hibaelhárítás részeként fér hozzá az Azure platformhoz, és véletlenül elérhetővé teszi az ügyféladatok számára. Például az Azure hálózati csapata olyan hibaelhárítást végez, amely egy hálózati eszközön lévő csomag rögzítését eredményezi. Ritkán fordul elő, hogy az ilyen forgatókönyvek jelentős mennyiségű ügyféladathoz való hozzáférést eredményeznének. Az ügyfelek tovább védhetik adataikat átvitel közbeni és inaktív titkosítással.

Az ügyfélszéfkéréseket az adatokra vonatkozó külső jogi igények sem váltják ki. Részletekért tekintse meg a Microsoft Adatvédelmi központban az adatokra vonatkozó kormányzati kérelmek ismertetését.

Következő lépések

Az Ügyfélszéf minden olyan ügyfél számára elérhető, aki minimális fejlesztői szintű Azure-támogatás csomaggalrendelkezik. Az Ügyfélszéfet az Ügyfélszéf panel Adminisztráció moduljában engedélyezheti.

Az ügyfélszéfkéréseket egy Microsoft-mérnök kezdeményezi, ha ez a művelet szükséges egy támogatási eset előrehaladásához.