Ügyfélszéf a Microsoft Azure-hoz

Megjegyzés

A funkció használatához a szervezetnek minimális fejlesztői szintű Azure-támogatás csomaggal kell rendelkeznie.

A Microsoft személyzete és alfeldolgozói által végrehajtott legtöbb művelet, támogatás és hibaelhárítás nem igényel hozzáférést az ügyféladatokhoz. Azokban a ritka esetekben, amikor ilyen hozzáférésre van szükség, a Microsoft Azure Ügyfélszéfje egy felületet biztosít az ügyfelek számára az ügyféladatokhoz való hozzáférési kérelmek áttekintéséhez és jóváhagyásához vagy elutasításához. Olyan esetekben használatos, amikor a Microsoft mérnökének hozzá kell férnie az ügyféladatokhoz, akár az ügyfél által kezdeményezett támogatási jegyre, akár a Microsoft által azonosított problémára reagálva.

Ez a cikk bemutatja, hogyan engedélyezheti az Ügyfélszéfet, és hogyan indíthatja el, követheti nyomon és tárolhatja a zárolási kérelmeket későbbi felülvizsgálatok és auditálások céljából.

Támogatott szolgáltatások és forgatókönyvek

Általános rendelkezésre állás

Az ügyfélszéfhez általában a következő szolgáltatások érhetők el:

  • Azure API Management
  • Azure App Service
  • Azure Cognitive Search
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Databricks
  • Azure Edge Zone Platform Storage
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Azure Kubernetes Service
  • Azure Monitor
  • Azure Spring Apps
  • Azure SQL Database
  • felügyelt példány Azure SQL
  • Azure Storage
  • Azure-előfizetések átvitele
  • Azure Synapse Analytics
  • Azure Unified Vision Service
  • Microsoft Energy Data Services
  • Az Azure-beli virtuális gépek (a távoli asztali hozzáférésre, a memóriaképekhez való hozzáférésre és a felügyelt lemezekre)

Nyilvános előzetes verzió

A következő szolgáltatások jelenleg előzetes verzióban érhetők el az Ügyfélszéfhez:

  • Azure Machine Learning
  • Azure Batch

Ügyfélszéf engedélyezése

Most már engedélyezheti az Ügyfélszéfet az Ügyfélszéf panel Adminisztráció moduljában .

Megjegyzés

Az Ügyfélszéf engedélyezéséhez a felhasználói fióknak globális rendszergazdai szerepkörrel kell rendelkeznie.

Munkafolyamat

Az alábbi lépések egy ügyfélszéfkérés tipikus munkafolyamatát vázolják fel.

  1. Egy szervezet egyik munkatársának problémája van az Azure-beli számítási feladattal.

  2. Miután ez a személy elhárítja a problémát, de nem tudja kijavítani, megnyit egy támogatási jegyet a Azure Portal. A jegy egy Azure ügyfélszolgálati mérnökhöz van rendelve.

  3. Az Azure támogatási szakembere áttekinti a szolgáltatáskérést, és meghatározza a probléma megoldásának következő lépéseit.

  4. Ha a támogatási szakember nem tudja elhárítani a problémát a standard eszközök és a szolgáltatás által létrehozott adatok használatával, a következő lépés az emelt szintű engedélyek kérése egy igény szerinti (JIT) hozzáférési szolgáltatással. Ez a kérés az eredeti támogatási szakembertől vagy egy másik mérnöktől származhat, mert a probléma az Azure DevOps csapatának eszkalálódott.

  5. Miután az Azure-mérnök elküldte a hozzáférési kérést, a Just-In-Time szolgáltatás az alábbi tényezők figyelembevételével értékeli ki a kérést:

    • Az erőforrás hatóköre
    • Függetlenül attól, hogy a kérelmező izolált identitás-e, vagy többtényezős hitelesítést használ
    • Engedélyszintek

    A JIT-szabály alapján ez a kérés a Belső Microsoft-jóváhagyók jóváhagyását is tartalmazhatja. A jóváhagyó lehet például az ügyfélszolgálati vezető vagy a DevOps Manager.

  6. Ha a kérés közvetlen hozzáférést igényel az ügyféladatokhoz, ügyfélszéf kérést kezdeményez. Például távoli asztali hozzáférés az ügyfél virtuális gépéhez.

    A kérés most ügyfél által értesített állapotban van, és a hozzáférés megadása előtt várja meg az ügyfél jóváhagyását.

  7. Az ügyfél szervezeténél az Azure-előfizetés tulajdonosi szerepkörével rendelkező felhasználó kap egy e-mailt a Microsofttól, amely értesíti őket a függőben lévő hozzáférési kérelemről. Ügyfélszéf-kérelmek esetén ez a személy a kijelölt jóváhagyó.

    Példa e-mail-cím:

    Azure Customer Lockbox – e-mailes értesítés

  8. Az e-mail-értesítés az Adminisztráció modul Ügyfélszéf paneljére mutató hivatkozást tartalmaz. Ezen a hivatkozáson keresztül a kijelölt jóváhagyó bejelentkezik a Azure Portal, hogy megtekintse a szervezet ügyfélszéfre vonatkozó függőben lévő kéréseit:

    Azure Customer Lockbox – kezdőlap

    A kérés négy napig marad az ügyfél várólistájában. Ezután a hozzáférési kérelem automatikusan lejár, és a Microsoft mérnökei nem kapnak hozzáférést.

  9. A függőben lévő kérelem részleteinek lekéréséhez a kijelölt jóváhagyó kiválaszthatja a függőben lévő kérelmek közül a következőt:

    Azure Customer Lockbox – A függőben lévő kérelem megtekintése

  10. A kijelölt jóváhagyó kiválaszthatja a SZOLGÁLTATÁSKÉRÉS azonosítóját is az eredeti felhasználó által létrehozott támogatási jegykérelem megtekintéséhez. Ez az információ kontextust biztosít a Microsoft ügyfélszolgálata bevonásának okáról, valamint a jelentett probléma előzményeiről. Például:

    Azure Customer Lockbox – A támogatási jegy kérésének megtekintése

  11. A kérelem áttekintése után a kijelölt jóváhagyó a Jóváhagyás vagy a Megtagadás lehetőséget választja:

    Azure-ügyfélszéf – válassza a Jóváhagyás vagy a Megtagadás lehetőséget

    A kijelölés eredményeként:

    • Jóváhagyás: A Hozzáférést a Microsoft mérnöke kapja meg. A hozzáférés alapértelmezés szerint nyolc órás időtartamra van megadva.
    • Megtagadás: A Microsoft mérnöke emelt szintű hozzáférési kérését a rendszer elutasítja, és nem hajt végre további lépéseket.

Naplózási célokból a munkafolyamatban végrehajtott műveletek az Ügyfélszéf kérésnaplóiban vannak naplózva.

Auditnaplók

Az Ügyfélszéf-naplókat a rendszer a tevékenységnaplókban tárolja. A Azure Portal válassza a Tevékenységnaplók lehetőséget az Ügyfélszéf-kérelmekhez kapcsolódó naplózási információk megtekintéséhez. Konkrét műveletekre is szűrhet, például a következőkre:

  • Széf letiltására irányuló kérelem
  • Széf létrehozására irányuló kérelem
  • Széf jóváhagyására irányuló kérelem
  • A zárolási kérelem lejárata

Lássunk erre egy példát:

Azure Customer Lockbox – tevékenységnaplók

Ügyfélszéf integrálása a Microsoft felhőbiztonsági teljesítménytesztjével

Bevezettünk egy új alapkonfiguráció-vezérlőt (PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása) a Microsoft felhőbiztonsági teljesítménytesztjében, amely az ügyfélszéf alkalmazhatóságát ismerteti. Az ügyfelek mostantól a teljesítményteszt segítségével áttekinthetik az ügyfélszéf alkalmazhatóságát egy szolgáltatáshoz.

Kizárások

Az ügyfélzárolási kérések nem aktiválódnak a következő mérnöki támogatási forgatókönyvekben:

  • A szokásos üzemeltetési eljárásokon kívül eső vészhelyzeti forgatókönyvek. Egy jelentős szolgáltatáskimaradás például azonnali figyelmet igényel a szolgáltatások helyreállítására vagy visszaállítására egy váratlan vagy kiszámíthatatlan helyzetben. Ezek a "törésüveg" események ritkán fordulnak elő, és a legtöbb esetben nincs szükség az ügyféladatokhoz való hozzáférésre a megoldáshoz.
  • A Microsoft mérnökei a hibaelhárítás részeként férnek hozzá az Azure-platformhoz, és véletlenül ki vannak téve az ügyféladatoknak. Például az Azure hálózati csapata olyan hibaelhárítást végez, amely egy hálózati eszközön lévő csomag rögzítését eredményezi. Ritkán fordul elő, hogy az ilyen forgatókönyvek jelentős mennyiségű ügyféladathoz való hozzáférést eredményeznének. Az ügyfelek tovább védhetik adataikat az átvitel közbeni és inaktív titkosítással.

Az ügyfél-zárolási kérelmeket nem váltják ki az adatokra vonatkozó külső jogi igények sem. Részletekért tekintse meg a Microsoft Adatvédelmi központban az adatokra vonatkozó kormányzati kérelmek megvitatását ismertető cikket.

Következő lépések

Az Ügyfélzárolás minden olyan ügyfél számára elérhető, aki minimális fejlesztői szintű Azure-támogatás csomaggal rendelkezik. Az Ügyfélzárolás panel Adminisztráció moduljában engedélyezheti az Ügyfélzárolás lehetőséget.

Az ügyfélzárolási kérelmeket egy Microsoft-mérnök kezdeményezi, ha ez a művelet egy támogatási eset előrehaladásához szükséges.