Ügyfélzárolás a Microsoft Fabrichez

  • Cikk

A Microsoft Azure Customer Lockbox használatával szabályozhatja, hogy a Microsoft mérnökei hogyan férnek hozzá az adataihoz. Ebből a cikkből megtudhatja, hogyan kezdeményezhetők, nyomon követhetők és tárolhatók az ügyfél-zárolási kérelmek a későbbi felülvizsgálatok és auditok során.

A Customer Lockbox általában a Microsoft mérnökeinek segít elhárítani a Microsoft Fabric szolgáltatás támogatási kéréseit. Az ügyfél-zárolási mező akkor is használható, ha a Microsoft azonosítja a problémát, és megnyílik egy Microsoft által kezdeményezett esemény a probléma kivizsgálásához.

Ügyfélzárolás engedélyezése a Microsoft Fabrichez

A Microsoft Fabric ügyfél-zárolási mezőinek engedélyezéséhez Microsoft Entra Global Rendszergazda istratornak kell lennie. A Microsoft Entra ID-szerepkörök hozzárendelésével kapcsolatban lásd : Microsoft Entra-szerepkörök hozzárendelése felhasználókhoz.

  1. Nyissa meg az Azure Portalt.

  2. Nyissa meg a Microsoft Azure-hoz készült Customer Lockbox lehetőséget.

  3. A Rendszergazda istration lapon válassza az Engedélyezve lehetőséget.

    Screenshot of enabling Customer Lockbox for Microsoft Azure in the Customer Lockbox for Microsoft Azure administration tab.

Microsoft-hozzáférési kérelem

Azokban az esetekben, amikor a Microsoft mérnöke nem tudja standard eszközökkel elháríteni a problémát, emelt szintű engedélyeket kell kérni a Just-In-Time (JIT) hozzáférési szolgáltatással. A kérés az eredeti támogatási mérnöktől vagy egy másik mérnöktől származhat.

A hozzáférési kérelem elküldése után a JIT szolgáltatás kiértékeli a kérést, figyelembe véve az alábbi tényezőket:

  • Az erőforrás hatóköre

  • Függetlenül attól, hogy a kérelmező izolált identitás-e, vagy többtényezős hitelesítést használ

  • Engedélyek szintjei

A JIT-szerepkör alapján a kérés tartalmazhat belső Microsoft-jóváhagyók jóváhagyását is. A jóváhagyó lehet például az ügyfélszolgálati vezető vagy a DevOps Manager.

Ha a kérés közvetlen hozzáférést igényel az ügyféladatokhoz, a felhasználó zárolt postaládája kérést kezdeményez. Például olyan esetekben, amikor távoli asztali hozzáférésre van szükség az ügyfél virtuális gépéhez. Az Ügyfél zárolási kérelme a hozzáférés megadása előtt várja meg az ügyfél jóváhagyását.

Ezek a lépések a Microsoft Fabric szolgáltatáshoz indított Ügyfél-zárolási kérést ismertetik.

  1. A Microsoft Entra Global Rendszergazda istrator függőben lévő hozzáférési kérésről értesítő e-mailt kap a Microsofttól. Az e-mailt megkapó rendszergazda lesz a kijelölt jóváhagyó.

    Screenshot of pending access request notification email from Microsoft.

  2. Az e-mail az Azure Rendszergazda istration modul Ügyfélzárolási mappára mutató hivatkozást tartalmaz. A hivatkozás használatával a kijelölt jóváhagyó bejelentkezik az Azure Portalra a függőben lévő Ügyfélzárolási kérelmek megtekintéséhez. A kérés négy napig marad az ügyfélsoron. Ezt követően a hozzáférési kérelem automatikusan lejár, és a Microsoft mérnökei nem kapnak hozzáférést.

  3. A függőben lévő kérelem részleteinek lekéréséhez a kijelölt jóváhagyó a Függőben lévő kérések menüből választhatja ki az Ügyfélzárolási kérést .

  4. A kérelem áttekintése után a kijelölt jóváhagyó megadja az indoklást, és kiválasztja az alábbi lehetőségek egyikét. Naplózás céljából a műveletek az Ügyfél-zárolási naplókban lesznek naplózva.

    • Jóváhagyás – A Hozzáférés a Microsoft mérnökének 8 órás alapértelmezett időtartamra van megadva.

    • Megtagadás – A Microsoft mérnöke által benyújtott hozzáférési kérelmet a rendszer elutasítja, és nem hajt végre további műveletet.

    Screenshot of the approve and deny buttons of a pending Customer Lockbox for Microsoft Azure request.

Naplók

A Customer Lockbox kétféle naplóval rendelkezik:

  • Tevékenységnaplók – Elérhető az Azure Monitor tevékenységnaplójából.

    A Customer Lockbox esetében a következő tevékenységnaplók érhetők el:

    • Széf letiltására irányuló kérelem
    • Széf létrehozására irányuló kérelem
    • Széf jóváhagyására irányuló kérelem
    • Lockbox kérelem lejárata

    A tevékenységnaplók eléréséhez az Azure Portalon válassza a Tevékenységnapló lehetőséget. Az eredményeket adott műveletekre szűrheti.

    Screenshot of the activity logs in Customer Lockbox for Microsoft Azure.

  • Naplók – Elérhető a Microsoft Purview megfelelőségi portál. A naplózási naplókat a felügyeleti portálon tekintheti meg.

    A Microsoft Fabric ügyfél-zárolási mappája négy naplózási naplóval rendelkezik:

    Az auditnaplóban Rövid név
    GetRefreshHistoryViaLockbox Frissítési előzmények lekérése a lockboxon keresztül
    Törlés Rendszergazda UsageDashboardsViaLockbox Rendszergazdai használati irányítópultok törlése a lockboxon keresztül
    DeleteUsageMetricsv2PackageViaLockbox Használati metrikák v2-csomag törlése a lockboxon keresztül
    Törlés Rendszergazda MonitoringFolderViaLockbox Rendszergazdai figyelési mappa törlése a lockboxon keresztül

Kizárások

Az Ügyfélszéf-kérelmeket a következő mérnöki támogatási forgatókönyvekben nem aktiválja a rendszer:

  • A szokásos üzemeltetési eljárásokon kívül eső vészhelyzeti forgatókönyvek. Egy jelentős szolgáltatáskimaradás például azonnali figyelmet igényel a szolgáltatások váratlan helyzetekben történő helyreállítására vagy visszaállítására. Ezek az események ritkán fordulnak elő, és általában nem igényelnek hozzáférést az ügyféladatokhoz.

  • A Microsoft mérnöke a hibaelhárítás részeként hozzáfér az Azure-platformhoz, és véletlenül ki van téve az ügyféladatoknak. A hibaelhárítás során például az Azure Network Team rögzít egy csomagot egy hálózati eszközön. Az ilyen forgatókönyvek általában nem járnak jelentőséggel bíró ügyféladatokhoz való hozzáféréssel.

  • Külső jogi igények az adatokkal szemben. További részletekért tekintse meg a Microsoft Adatvédelmi központban az adatokra vonatkozó kormányzati kérelmeket.

Az adatok elérése

Az adatokhoz való hozzáférés attól függően változik, hogy a Microsoft Fabricnek mi a kérése. Ez a szakasz felsorolja, hogy a Microsoft mérnöke mely adatokat érheti el az ügyfél-zárolási kérelem jóváhagyása után.

  • Power BI – Az alábbiakban felsorolt műveletek futtatásakor a Microsoft mérnöke hozzáférhet a kéréséhez csatolt néhány táblához. A Microsoft mérnöke által használt minden művelet megjelenik az auditnaplókban.

    • Frissítési előzmények lekérése
    • Rendszergazdai használati irányítópult törlése
    • Használati metrikák v2-csomag törlése
    • Rendszergazdai figyelési mappa törlése

  • Valós idejű elemzés – A valós idejű elemzési mérnöknek hozzáférése lesz a kérelemhez csatolt KQL-adatbázisban lévő adatokhoz.

  • adatmérnök ing – A adatmérnök mérnök a következő Spark-naplókhoz férhet hozzá a kéréséhez csatolva:

    • Illesztőprogram-naplók
    • Eseménynaplók
    • Végrehajtói naplók

  • Data Factory – A Data Factory mérnöke hozzáféréssel rendelkezik a kéréshez társított adatfolyam-definíciókhoz, ha az engedély meg van adva.

Kapcsolódó tartalom