Megosztás a következőn keresztül:

Ügyfélszéf a Microsoft Azure-hoz

  • Cikk

Megjegyzés

A funkció használatához a szervezetnek minimális fejlesztői szintű Azure-támogatás csomaggal kell rendelkeznie.

A Microsoft személyzete és az alprocesszorok által végzett legtöbb művelet és támogatás nem igényel hozzáférést az ügyféladatokhoz. Azokban a ritka esetekben, amikor ilyen hozzáférésre van szükség, a Microsoft Azure-hoz készült Customer Lockbox felületet biztosít az ügyfelek számára az ügyféladat-hozzáférési kérelmek áttekintéséhez és jóváhagyásához vagy elutasításához. Olyan esetekben használják, amikor a Microsoft mérnökének hozzá kell férnie az ügyféladatokhoz, akár az ügyfél által kezdeményezett támogatási jegyre, akár a Microsoft által azonosított problémára reagálva.

Ez a cikk bemutatja, hogyan engedélyezheti a Microsoft Azure-hoz készült Ügyfélzárolást, és hogyan kezdeményezhetők, nyomon követhetők és tárolhatók a kérelmek későbbi felülvizsgálatokhoz és auditokhoz.

Támogatott szolgáltatások

A Microsoft Azure-hoz készült Customer Lockbox jelenleg a következő szolgáltatásokat támogatja:

  • Azure API Management
  • Azure App Service
  • Azure AI Keresés
  • Azure AI-szolgáltatások
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry (Tárolóregisztrációs szolgáltatás)
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • Azure Adatkezelő Energetikához
  • Azure MySQL-adatbázis
  • Az Azure Database for MySQL Rugalmas Kiszolgáló
  • Azure-adatbázis PostgreSQL-hez
  • Azure Peremterület Platform Tároló
  • Azure Energy
  • Azure Functions (Funkciók az Azure-rendszerben)
  • Azure HDInsight
  • Azure Health Bot
  • Azure intelligens ajánlások
  • Azure Információvédelem
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor és Log Analytics
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL felügyelt példány
  • Azure Storage
  • Azure-előfizetések átvitele
  • Azure Synapse Analytics
  • Commerce AI (intelligens javaslatok)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (irányítópultok)
  • Microsoft Azure Attestation
  • Microsoft Entra diagnosztikai adatok
  • OpenAI
  • Spring Cloud
  • Unified Vision Service
  • Virtuális gépek az Azure-ban

A Customer Lockbox engedélyezése a Microsoft Azure számára

Mostantól az Adminisztráció modulból engedélyezheti a Microsoft Azure Ügyfél-zárolási mappájának használatát.

Megjegyzés

A Microsoft Azure Customer Lockbox engedélyezéséhez a felhasználói fiókhoz hozzá kell rendelni a globális rendszergazdai szerepkört.

Munkafolyamat

Az alábbi lépések a Microsoft Azure-kérések ügyfél-zárolási mezőinek tipikus munkafolyamatát ismertetik.

  1. Egy szervezet egyik munkatársának problémája van az Azure-beli számítási feladattal kapcsolatban.

  2. Miután ez a személy elhárította a problémát, de nem tudja kijavítani, megnyit egy támogatási jegyet az Azure Portalról. A jegy egy Azure-ügyfélszolgálati mérnökhöz van hozzárendelve.

  3. Az Azure támogatási mérnöke áttekinti a szolgáltatáskérést, és meghatározza a probléma megoldásának következő lépéseit.

  4. Ha a támogatási mérnök nem tudja elhárítani a problémát standard eszközökkel és szolgáltatás által létrehozott adatokkal, a következő lépés az emelt szintű engedélyek kérése egy just-in-time (JIT) hozzáférési szolgáltatás használatával. Ez a kérés lehet az eredeti támogatási mérnöktől vagy egy másik mérnöktől, mert a probléma az Azure DevOps-csapatra eszkalálódik.

  5. Miután az Azure Engineer beküldte a hozzáférési kérést, a Just-In-Time szolgáltatás kiértékeli a kérést az olyan tényezők figyelembevételével, mint például:

    • Az erőforrás hatóköre.
    • Függetlenül attól, hogy a kérelmező izolált identitás-e, vagy többtényezős hitelesítést használ.
    • Engedélyek szintjei. A JIT-szabály alapján ez a kérés a Belső Microsoft jóváhagyóinak jóváhagyását is tartalmazhatja. A jóváhagyó lehet például az ügyfélszolgálati érdeklődő vagy a DevOps Manager.

  6. Ha a kérés közvetlen hozzáférést igényel az ügyféladatokhoz, egy Customer Lockbox kérés kerül kezdeményezésre.

    A kérés most ügyfél által értesített állapotban van, és a hozzáférés megadása előtt várja meg az ügyfél jóváhagyását.

  7. Egy vagy több jóváhagyó az ügyfélszervezetnél egy adott Ügyfélzárolási kérelem esetében az alábbiak szerint határozódik meg:

    • Az előfizetés hatókörébe tartozó kérések (az előfizetésben található adott erőforrások elérésére irányuló kérések) esetében a tulajdonosi szerepkörrel rendelkező felhasználók vagy a társított előfizetéshez tartozó Azure Customer Lockbox Approver for Subscription szerepkörrel rendelkező felhasználók.
    • Bérlői hatókör-kérelmek (a Microsoft Entra-bérlő elérésére irányuló kérések) esetén a bérlő globális rendszergazdai szerepkörrel rendelkező felhasználói férhetnek hozzá.

    Megjegyzés

    A szerepkör-hozzárendeléseknek rendelkezésre kell állniuk, mielőtt a Microsoft Azure Ügyfélzárolása megkezdi a kérés feldolgozását. A Microsoft Azure-hoz készült Customer Lockbox egy adott kérés feldolgozásának megkezdése után végrehajtott szerepkör-hozzárendelések nem lesznek felismerve. Emiatt, annak érdekében, hogy a felhasználók a PIM jogosult hozzárendeléseket az Előfizetés tulajdonosi szerepkörhöz használhassák, aktiválniuk kell a szerepkört az Ügyfélzárolási kérelem kezdeményezése előtt. A PIM-jogosult szerepkörök aktiválásával kapcsolatos további információkért tekintse meg a következő témaköröket: Microsoft Entra szerepkörök aktiválása a PIM-ben / és Azure erőforrásszerepkörök aktiválása a PIM-ben.

    A felügyeleti csoportokra vonatkozó szerepkör-hozzárendelések jelenleg nem támogatottak a Microsoft Azure Ügyfélzárolási mappájában.

  8. Az ügyfél szervezeténél a kijelölt lockbox jóváhagyók (Azure-előfizetés tulajdonosa/Microsoft Entra globális rendszergazda/Azure Előfizetés Lockbox Jóváhagyó) e-mailt kapnak a Microsofttól, amely értesíti őket a függőben lévő hozzáférési kérelemről. Az Azure Lockbox másodlagos e-mail-értesítési funkciójával alternatív e-mail-címeket is konfigurálhat a zárolási értesítések fogadásához olyan esetekben, amikor az Azure-fiók nincs engedélyezve e-mailben, vagy ha a szolgáltatásnév a zárolási postaláda-jóváhagyóként van definiálva.

    Példa e-mail: Képernyőkép az e-mail-értesítésről.

  9. Az e-mail-értesítés a Felügyelet modul Ügyfélzárolás paneljére mutató hivatkozást tartalmaz. A kijelölt jóváhagyó bejelentkezik az Azure portálra, hogy megtekintse a szervezet által a Microsoft Azure ügyfélzárolási funkciójához küldött függőben lévő kéréseket. Képernyőkép a Microsoft Azure Ügyfélzárolási mappájáról. A kérés négy napig marad az ügyfélsoron. Ezután a hozzáférési kérelem automatikusan lejár, és a Microsoft mérnökei nem kapnak hozzáférést.

  10. A függőben lévő kérelem részleteinek lekéréséhez a kijelölt jóváhagyó kiválaszthatja az Ügyfélzárolási kérést a függőben lévő kérelmek közül:Képernyőkép a függőben lévő kérelemről.

  11. A kijelölt jóváhagyó a SZOLGÁLTATÁSKÉRÉS azonosítóját is kiválasztva megtekintheti az eredeti felhasználó által létrehozott támogatási jegykérelmet. Ez az információ kontextust biztosít a Microsoft ügyfélszolgálata bevonásának okaihoz, valamint a jelentett probléma előzményeihez. Például: Képernyőkép a támogatási jegy kéréséről.

  12. A kijelölt jóváhagyó áttekinti a kérést, és kiválasztja a Jóváhagyás vagy a Megtagadás lehetőséget: Képernyőkép a jóváhagyási vagy elutasítási felhasználói felületről. A kijelölés eredményeként:

    • Jóváhagyás: A Hozzáférés a Microsoft mérnökének a kérelem részleteiben megadott időtartamig van megadva, amely az e-mail-értesítésben és az Azure Portalon jelenik meg.
    • Megtagadás: A Microsoft mérnöke által benyújtott emelt szintű hozzáférési kérelmet a rendszer elutasítja, és nem hajt végre további műveletet.

    Naplózási célokból a munkafolyamatban végrehajtott műveleteket a rendszer az Ügyfél-zárolási kérelmek naplóiban naplózza.

Ellenőrzési naplók

Az Azure-hoz készült Customer Lockbox naplózási naplói az előfizetés-hatókörű kérelmek tevékenységnaplóiba és a bérlői hatókörű kérelmek Entra auditnaplójába lesznek írva.

Előfizetés-hatókörű kérelmek – Tevékenységnaplók

Az Azure portálon, a Microsoft Azure Ügyfélzárolás lapot választva, kattintson a Tevékenységnaplók lehetőségre az Ügyfélzárolási kérelmekhez kapcsolódó naplózási adatok megtekintéséhez. A tevékenységnaplókat a kérdéses előfizetés előfizetés-részletei paneljén is megtekintheti. Mindkét esetben szűrhet bizonyos műveletekre, például:

  • Lockbox-kérelem megtagadása
  • Zárolási kérelem létrehozása
  • Zárolási kérelem jóváhagyása
  • Lockbox kérelem lejárati ideje

Lássunk erre egy példát:

Képernyőkép a tevékenységnaplókról.

Bérlői hatókörű kérelmek – Ellenőrzési napló

Bérlői hatókörű Zárolási Eljárás kérelmek esetén a naplóbejegyzéseket az Entra auditnaplójába írják be. Ezeket a naplóbejegyzéseket az Access Reviews szolgáltatás hozza létre olyan tevékenységekkel, mint például:

  • Kérés létrehozása
  • Kérelem jóváhagyva
  • Kérelem megtagadva

Szűrhet Service = Access Reviews és Activity = one of the above activities alapján.

Lássunk erre egy példát:

Képernyőkép az auditnaplóról.

Megjegyzés

Az Azure Lockbox portál Előzmények lapja a meglévő technikai korlátozások miatt el lett távolítva. A Customer Lockbox kérelmek előzményeinek megtekintéséhez használja a tevékenységnaplót az előfizetési hatókörű kérelmekhez, valamint az Entra Audit Log-ot a bérlői hatókörű kérelmekhez.

Customer Lockbox for Microsoft Azure integrációja a Microsoft felhőbiztonsági alapértékkel

Bevezettünk egy új alapkonfiguráció-vezérlőt (PA-8: A felhőszolgáltatók támogatásának hozzáférési folyamatának meghatározása) a Microsoft felhőbiztonsági referenciamutatójában, amely lefedi az ügyfél lockbox-alkalmazhatóságát. Az ügyfelek most már használhatják a teljesítménytesztet egy szolgáltatás ügyfél-lockbox-alkalmazhatóságának áttekintéséhez.

Kizárások

Az ügyfél lockbox-kérelmei nem aktiválódnak a következő esetekben:

  • Olyan vészhelyzeti forgatókönyvek, amelyek nem tartoznak a szokásos üzemeltetési eljárásokhoz, és sürgős intézkedést igényelnek a Microsofttól a online szolgáltatások való hozzáférés visszaállításához, az ügyféladatok sérülésének vagy elvesztésének megelőzéséhez, illetve biztonsági vagy visszaélési incidens kivizsgálásához. Egy jelentős szolgáltatáskimaradás vagy biztonsági incidens például azonnali figyelmet igényel a szolgáltatások váratlan vagy kiszámíthatatlan körülmények közötti helyreállítására vagy visszaállítására. Ezek a "vészhelyzet" jellegű események ritkán fordulnak elő, és a legtöbb esetben nem igénylik az ügyféladatokhoz való hozzáférést a probléma megoldásához. A Microsoft ügyféladatokhoz való hozzáférését szabályozó vezérlők és folyamatok az alapvető online szolgáltatások igazodnak az NIST 800-53-hoz, és SOC 2-auditokkal vannak érvényesítve. További információkért tekintse meg a Microsoft Azure-hoz készült Customer Lockbox azure-beli biztonsági alapkonfigurációt.
  • A Microsoft mérnöke a hibaelhárítás részeként hozzáfér az Azure-platformhoz, és véletlenül ki van téve az ügyféladatoknak. Például az Azure hálózati csapata olyan hibaelhárítást végez, amely egy hálózati eszközön lévő csomag rögzítését eredményezi. Ritkán fordul elő, hogy az ilyen forgatókönyvek jelentős mennyiségű ügyféladathoz való hozzáférést eredményeznének. Az ügyfelek tovább védhetik adataikat az ügyfél által felügyelt kulcsok (CMK) használatával, amelyek egyes Azure-szolgáltatásokhoz érhetők el. További információ: Az Azure-beli kulcskezelés áttekintése.

Az adatokra vonatkozó külső jogi igények sem indítanak Ügyfélszéf-kérelmeket. A részleteket a Kormányzati adatkérések a Microsoft Adatvédelmi központban folytatott megbeszélése tartalmazza.

Következő lépések

Engedélyezze az Ügyfélszéf funkciót az Ügyfélszéf panel Rendszergazda moduljában. A Microsoft Azure-hoz készült Ügyfélszéf minden olyan ügyfél számára elérhető, aki minimális fejlesztői szintű Azure-támogatás csomaggal rendelkezik.