Ügyfélszéf a Microsoft Azure-hoz

Feljegyzés

A funkció használatához a szervezetnek minimális fejlesztői szintű Azure-támogatás csomaggal kell rendelkeznie.

A Microsoft személyzete és az alprocesszorok által végzett legtöbb művelet és támogatás nem igényel hozzáférést az ügyféladatokhoz. Azokban a ritka esetekben, amikor ilyen hozzáférésre van szükség, a Microsoft Azure-hoz készült Customer Lockbox felületet biztosít az ügyfelek számára az ügyféladat-hozzáférési kérelmek áttekintéséhez és jóváhagyásához vagy elutasításához. Olyan esetekben használják, amikor a Microsoft mérnökének hozzá kell férnie az ügyféladatokhoz, akár az ügyfél által kezdeményezett támogatási jegyre, akár a Microsoft által azonosított problémára reagálva.

Ez a cikk bemutatja, hogyan engedélyezheti a Microsoft Azure-hoz készült Ügyfélzárolást, és hogyan kezdeményezhetők, nyomon követhetők és tárolhatók a kérelmek későbbi felülvizsgálatokhoz és auditokhoz.

Támogatott szolgáltatások

A Microsoft Azure-hoz készült Customer Lockbox jelenleg a következő szolgáltatásokat támogatja:

• Azure API Management
• Azure App Service
• Azure AI Keresés
• Azure Chaos Studio
• Azure Cognitive Services
• Azure Container Registry
• Azure Data Box
• Azure Data Explorer
• Azure Data Factory
• Azure Data Manager for Energy
• Azure Database for MySQL
• Rugalmas Azure Database for MySQL-kiszolgáló
• Azure Database for PostgreSQL
• Azure Edge Zone Platform Storage
• Azure Energy
• Azure Functions
• Azure HDInsight
• Azure Health Bot
• Azure Intelligent Javaslatok
• Azure Kubernetes Service
• Azure Load Testing (CloudNative Testing)
• Azure Logic Apps
• Azure Monitor (Log Analytics)
• Azure Red Hat OpenShift
• Azure Spring Apps
• Azure SQL Database
• Felügyelt Azure SQL-példány
• Azure Storage
• Azure-előfizetések átvitele
• Azure Synapse Analytics
• Kereskedelmi AI (intelligens Javaslatok)
• DevCenter / DevBox
• ElasticSan
• Kusto (irányítópultok)
• Microsoft Azure Attestation
• OpenAI
• Spring Cloud
• Unified Vision Service
• Virtuális gépek az Azure-ban

Ügyfélzárolás engedélyezése a Microsoft Azure-hoz

Mostantól a Rendszergazda istration modulból engedélyezheti a Microsoft Azure-hoz készült Customer Lockboxot.

Feljegyzés

A Microsoft Azure Ügyfél-zárolási mezőjének engedélyezéséhez a felhasználói fiókhoz hozzá kell rendelni a globális Rendszergazda istrator szerepkört.

Munkafolyamat

Az alábbi lépések a Microsoft Azure-kérések ügyfél-zárolási mezőinek tipikus munkafolyamatát ismertetik.

1. Egy szervezet egyik munkatársának problémája van az Azure-beli számítási feladattal kapcsolatban.

2. Miután ez a személy elhárította a problémát, de nem tudja kijavítani, megnyit egy támogatási jegyet az Azure Portalról. A jegy egy Azure-ügyfélszolgálati mérnökhöz van hozzárendelve.

3. Az Azure támogatási mérnöke áttekinti a szolgáltatáskérést, és meghatározza a probléma megoldásának következő lépéseit.

4. Ha a támogatási mérnök nem tudja elhárítani a problémát standard eszközökkel és szolgáltatás által létrehozott adatokkal, a következő lépés az emelt szintű engedélyek kérése egy just-in-time (JIT) hozzáférési szolgáltatás használatával. Ez a kérés lehet az eredeti támogatási mérnöktől vagy egy másik mérnöktől, mert a probléma az Azure DevOps-csapatra eszkalálódik.

5. Miután az Azure Engineer beküldte a hozzáférési kérést, a Just-In-Time szolgáltatás kiértékeli a kérést az olyan tényezők figyelembevételével, mint például:

   • Az erőforrás hatóköre.
   • Függetlenül attól, hogy a kérelmező izolált identitás-e, vagy többtényezős hitelesítést használ.
   • Engedélyek szintjei. A JIT-szabály alapján ez a kérés a Belső Microsoft jóváhagyóinak jóváhagyását is tartalmazhatja. A jóváhagyó lehet például az ügyfélszolgálati érdeklődő vagy a DevOps Manager.

6. Ha a kérés közvetlen hozzáférést igényel az ügyféladatokhoz, a felhasználó zárolt postaládája kérést kezdeményez. Például távoli asztali hozzáférés az ügyfél virtuális gépéhez.

   A kérés most ügyfél által értesített állapotban van, és a hozzáférés megadása előtt várja meg az ügyfél jóváhagyását.

7. Egy vagy több jóváhagyó az ügyfél szervezeténél egy adott Ügyfélzárolási kérelem esetében az alábbiak szerint van meghatározva:

   • Az előfizetés hatókörébe tartozó kérések (az előfizetésben található adott erőforrások elérésére irányuló kérések), a tulajdonosi szerepkörrel rendelkező felhasználók vagy az Azure Customer Lockbox Approver for Subscription szerepkörrel rendelkező felhasználók (jelenleg nyilvános előzetes verzióban) a társított előfizetésen.
   • Bérlői hatókörre vonatkozó kérések (a Microsoft Entra-bérlő elérésére irányuló kérések) esetén a bérlő globális Rendszergazda istrator szerepkörrel rendelkező felhasználói.

   Feljegyzés

   A szerepkör-hozzárendeléseknek azelőtt kell lenniük, hogy a Microsoft Azure Ügyfélzárolása megkezdi a kérés feldolgozását. A Microsoft Azure-hoz készült Customer Lockbox egy adott kérés feldolgozásának megkezdése után végrehajtott szerepkör-hozzárendelések nem lesznek felismerve. Emiatt ahhoz, hogy a PIM jogosult hozzárendeléseket használjon az előfizetés-tulajdonosi szerepkörhöz, a felhasználóknak aktiválniuk kell a szerepkört az Ügyfélzárolási kérelem kezdeményezése előtt. A PIM-ben a Microsoft Entra-szerepkörök aktiválása a PIM-ben / Az Azure-erőforrásszerepkörök aktiválása a PIM-ben című témakörben talál további információt a PIM-jogosult szerepkörök aktiválásáról.

   A felügyeleti csoportokra vonatkozó szerepkör-hozzárendelések jelenleg nem támogatottak a Microsoft Azure Ügyfélzárolási mappájában.

8. Az ügyfél szervezeténél a kijelölt zárolási jóváhagyók (Az Azure-előfizetés tulajdonosa/, a Microsoft Entra global admin/Azure Customer Lockbox Approver for Subscription egy e-mailt kap a Microsofttól, amely értesíti őket a függőben lévő hozzáférési kérelemről. Az Azure Lockbox másodlagos e-mail-értesítési funkciójával (jelenleg nyilvános előzetes verzióban) is konfigurálhat egy másodlagos e-mail-címet a zárolási értesítések fogadásához olyan esetekben, amikor az Azure-fiók nincs engedélyezve e-mailben, vagy ha a szolgáltatásnév a zárolási postaláda-jóváhagyóként van definiálva.

   Példa e-mail:

9. Az e-mail-értesítés a Rendszergazda istration modul Ügyfélzárolási paneljére mutató hivatkozást tartalmaz. A kijelölt jóváhagyó bejelentkezik az Azure Portalra, hogy megtekintse a szervezet által a Microsoft Azure Ügyfél-zárolási postaládája számára küldött függőben lévő kéréseket: A kérés négy napig marad az ügyfélsoron. Ezután a hozzáférési kérelem automatikusan lejár, és a Microsoft mérnökei nem kapnak hozzáférést.

10. A függőben lévő kérelem részleteinek lekéréséhez a kijelölt jóváhagyó kiválaszthatja az Ügyfélzárolási kérést a függőben lévő kérelmek közül:

11. A kijelölt jóváhagyó kiválaszthatja a Standard kiadás RVICE KÉRELEM azonosítóját is az eredeti felhasználó által létrehozott támogatási jegy kérésének megtekintéséhez. Ez az információ kontextust biztosít a Microsoft ügyfélszolgálata bevonásának okaihoz, valamint a jelentett probléma előzményeihez. Például:

12. A kijelölt jóváhagyó áttekinti a kérést, és kiválasztja a Jóváhagyás vagy a Megtagadás lehetőséget: A kijelölés eredményeként:

    • Jóváhagyás: A Hozzáférés a Microsoft mérnökének a kérelem részleteiben megadott időtartamig van megadva, amely az e-mail-értesítésben és az Azure Portalon jelenik meg.
    • Megtagadás: A Microsoft mérnöke által benyújtott emelt szintű hozzáférési kérelmet a rendszer elutasítja, és nem hajt végre további műveletet.

    Naplózási célokból a munkafolyamatban végrehajtott műveleteket a rendszer az Ügyfél-zárolási kérelmek naplóiban naplózza.

Auditnaplók

Az Ügyfélszéf-naplókat a rendszer a tevékenységnaplókban tárolja. Az Azure Portalon válassza a Tevékenységnaplók lehetőséget az ügyfélzárolási kérelmekhez kapcsolódó naplózási információk megtekintéséhez. Konkrét műveletekre is szűrhet, például a következőkre:

• Zárolási kérelem megtagadása
• Zárolási kérelem létrehozása
• Zárolási kérelem jóváhagyása
• A zárolási kérelem lejárata

Lássunk erre egy példát:

Customer Lockbox for Microsoft Azure integration with the Microsoft cloud security benchmark

Bevezettünk egy új alapkonfiguráció-vezérlőt (PA-8: A felhőszolgáltatók támogatásának hozzáférési folyamatának meghatározása) a Microsoft felhőbiztonsági referenciamutatójában, amely lefedi az ügyfél lockbox-alkalmazhatóságát. Az ügyfelek most már használhatják a teljesítménytesztet egy szolgáltatás ügyfél-lockbox-alkalmazhatóságának áttekintéséhez.

Kizárások

Az ügyfél lockbox-kérelmei nem aktiválódnak a következő esetekben:

• A szokásos üzemeltetési eljárásokon kívül eső vészhelyzeti forgatókönyvek. Egy jelentős szolgáltatáskimaradás például azonnali figyelmet igényel a szolgáltatások váratlan vagy kiszámíthatatlan helyzetekben történő helyreállítására vagy visszaállítására. Ezek a "törésüveg" események ritkán fordulnak elő, és a legtöbb esetben nem igényelnek hozzáférést az ügyféladatokhoz a feloldásukhoz.
• A Microsoft mérnöke a hibaelhárítás részeként hozzáfér az Azure-platformhoz, és véletlenül ki van téve az ügyféladatoknak. Például az Azure hálózati csapata olyan hibaelhárítást végez, amely egy hálózati eszközön lévő csomag rögzítését eredményezi. Ritkán fordul elő, hogy az ilyen forgatókönyvek jelentős mennyiségű ügyféladathoz való hozzáférést eredményeznének. Az ügyfelek tovább védhetik adataikat az ügyfél által felügyelt kulcsok (CMK) használatával, amelyek egyes Azure-szolgáltatásokhoz érhetők el. További információ: Az Azure-beli kulcskezelés áttekintése.

Az adatok külső jogi igényei szintén nem aktiválják az ügyfél-zárolási kérelmeket. További részletekért tekintse meg a Microsoft Adatvédelmi központban az adatokra vonatkozó kormányzati kérelmek megvitatását.

Következő lépések

Engedélyezze az Ügyfélzárolás funkciót az Ügyfélzárolási panel Rendszergazda istration moduljából. A Microsoft Azure-hoz készült Customer Lockbox minden olyan ügyfél számára elérhető, aki minimális fejlesztői szintű Azure-támogatás csomaggal rendelkezik.

• Másodlagos e-mail-értesítések a Microsoft Azure-hoz készült Ügyfélzároláshoz
• Customer Lockbox for Microsoft Azure – gyakori kérdések