Bagikan melalui

Customer Lockbox untuk Microsoft Azure

  • Artikel

Catatan

Untuk menggunakan fitur ini, organisasi Anda harus memiliki paket dukungan Azure dengan tingkat Pengembang minimal.

Sebagian besar operasi dan dukungan yang dilakukan oleh personel dan subprosesor Microsoft tidak memerlukan akses ke data pelanggan. Dalam keadaan langka saat akses tersebut diperlukan, Customer Lockbox untuk Microsoft Azure menyediakan antarmuka bagi pelanggan untuk meninjau dan menyetujui atau menolak permintaan akses data pelanggan. Ini digunakan dalam kasus di mana teknisi Microsoft perlu mengakses data pelanggan, baik sebagai tanggapan terhadap tiket dukungan yang dimulai pelanggan atau masalah yang diidentifikasi oleh Microsoft.

Artikel ini membahas cara mengaktifkan Customer Lockbox untuk Microsoft Azure dan bagaimana permintaan dimulai, dilacak, dan disimpan untuk tinjauan dan audit nanti.

Layanan yang didukung

Layanan berikut saat ini didukung untuk Customer Lockbox untuk Microsoft Azure:

  • Azure API Management
  • Azure App Service
  • Pencarian Azure AI
  • Layanan Azure AI
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • Azure Data Manager untuk Energi
  • Azure Database untuk MySQL
  • Server Flexible Azure Database for MySQL
  • Azure Database untuk PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Perlindungan Informasi Azure
  • Azure Kubernetes Service
  • Pengujian Beban Azure (Pengujian CloudNative)
  • Azure Logic Apps
  • Azure Monitor (Analitik Log)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Instans Terkelola Azure SQL
  • Azure Storage
  • Transfer Langganan Azure
  • Azure Synapse Analytics
  • AI Perdagangan (Rekomendasi Cerdas)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (Dasbor)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Layanan Visi Terpadu
  • Komputer Virtual di Azure

Mengaktifkan Customer Lockbox untuk Microsoft Azure

Sekarang Anda dapat mengaktifkan Customer Lockbox untuk Microsoft Azure dari modul Administrasi.

Catatan

Untuk mengaktifkan Customer Lockbox untuk Microsoft Azure, akun pengguna harus menetapkan peran Administrator Global.

Alur kerja

Langkah-langkah berikut menguraikan alur kerja umum untuk Customer Lockbox untuk permintaan Microsoft Azure.

  1. Seseorang di organisasi mengalami masalah dengan beban kerja Azure mereka.

  2. Setelah orang ini memecahkan masalah, tetapi tidak dapat memperbaikinya, mereka membuka tiket dukungan dari portal Microsoft Azure. Tiket ditetapkan ke Teknisi Dukungan Pelanggan Azure.

  3. Teknisi Dukungan Azure meninjau permintaan layanan dan menentukan langkah berikutnya untuk mengatasi masalah tersebut.

  4. Jika teknisi dukungan tidak dapat memecahkan masalah dengan menggunakan alat standar dan data yang dihasilkan layanan, langkah selanjutnya adalah meminta izin yang ditinggikan dengan menggunakan layanan akses Just-In-Time (JIT). Permintaan ini dapat berasal dari teknisi dukungan asli atau dari teknisi yang berbeda karena masalahnya meningkat ke tim Azure DevOps.

  5. Setelah Azure Engineer mengirimkan permintaan akses, layanan Just-In-Time mengevaluasi permintaan dengan mempertimbangkan faktor-faktor seperti:

    • Cakupan sumber daya.
    • Apakah pemohon adalah identitas terisolasi atau menggunakan autentikasi multifaktor.
    • Tingkat izin. Berdasarkan aturan JIT, permintaan ini mungkin juga menyertakan persetujuan dari Pemberi Izin Microsoft Internal. Misalnya, pemberi persetujuan mungkin adalah prospek dukungan Pelanggan atau DevOps Manager.

  6. Ketika permintaan memerlukan akses langsung ke data pelanggan, permintaan Customer Lockbox dimulai.

    Permintaan sekarang dalam keadaan Pelanggan Diberitahu, menunggu persetujuan pelanggan sebelum memberikan akses.

  7. Satu atau beberapa pemberi persetujuan di organisasi pelanggan untuk permintaan Customer Lockbox tertentu ditentukan sebagai berikut:

    • Untuk Permintaan terlingkup Langganan (permintaan untuk mengakses sumber daya tertentu yang terkandung dalam langganan), pengguna dengan peran Pemilik atau peran Pemberi Izin Azure Customer Lockbox untuk Langganan pada langganan terkait.
    • Untuk permintaan cakupan Penyewa (permintaan untuk mengakses penyewa Microsoft Entra), pengguna dengan peran Administrator Global pada Penyewa.

    Catatan

    Penetapan peran harus diberlakukan sebelum Customer Lockbox untuk Microsoft Azure mulai memproses permintaan. Setiap penetapan peran yang dibuat setelah Customer Lockbox untuk Microsoft Azure mulai memproses permintaan tertentu tidak akan dikenali. Karena itu, untuk menggunakan penugasan yang memenuhi syarat PIM untuk peran Pemilik Langganan, pengguna diharuskan untuk mengaktifkan peran sebelum permintaan Customer Lockbox dimulai. Lihat Mengaktifkan peran Microsoft Entra di PIM / Mengaktifkan peran sumber daya Azure di PIM untuk informasi selengkapnya tentang mengaktifkan peran yang memenuhi syarat PIM.

    Penetapan peran yang dilingkup ke grup manajemen tidak didukung di Customer Lockbox untuk Microsoft Azure saat ini.

  8. Di organisasi pelanggan, pemberi izin lockbox yang ditunjuk (Pemilik/Langganan Azure Admin Microsoft Entra Global/Pemberi Izin Azure Customer Lockbox untuk Langganan menerima email dari Microsoft untuk memberi tahu mereka tentang permintaan akses yang tertunda. Anda juga dapat menggunakan fitur pemberitahuan email alternatif Azure Lockbox untuk mengonfigurasi alamat email alternatif untuk menerima pemberitahuan lockbox dalam skenario di mana akun Azure tidak diaktifkan melalui email atau jika perwakilan layanan didefinisikan sebagai pemberi persetujuan kotak kunci.

    Contoh email: Cuplikan layar pemberitahuan email.

  9. Pemberitahuan email menyediakan tautan ke bilah Customer Lockbox dalam modul Administrasi. Pemberi izin yang ditunjuk masuk ke portal Azure untuk melihat permintaan tertunda yang dimiliki organisasi mereka untuk Customer Lockbox untuk Microsoft Azure:Cuplikan layar halaman arahan Customer Lockbox untuk Microsoft Azure. Permintaan tetap berada dalam antrean pelanggan selama empat hari. Setelah waktu ini, permintaan akses secara otomatis kedaluwarsa dan tidak ada akses yang diberikan kepada teknisi Microsoft.

  10. Untuk mendapatkan detail permintaan yang tertunda, pemberi izin yang ditunjuk dapat memilih permintaan Customer Lockbox dari Permintaan Tertunda: Cuplikan layar permintaan yang tertunda.

  11. Pemberi persetujuan yang ditunjuk juga dapat memilih ID PERMINTAAN LAYANAN untuk menampilkan permintaan tiket dukungan yang dibuat oleh pengguna asli. Informasi ini menyediakan konteks mengapa Dukungan Microsoft terlibat, dan riwayat masalah yang dilaporkan. Misalnya: Cuplikan layar permintaan tiket dukungan.

  12. Pemberi izin yang ditunjuk meninjau permintaan dan memilih Setujui atau Tolak: Cuplikan layar UI Setujui atau Tolak. Sebagai hasil dari pilihan:

    • Setujui: Akses diberikan kepada teknisi Microsoft selama durasi yang ditentukan dalam detail permintaan, yang ditampilkan dalam pemberitahuan email dan di portal Azure.
    • Tolak: Permintaan akses yang diajukan oleh teknisi Microsoft ditolak dan tidak ada tindakan lebih lanjut yang diambil.

    Untuk tujuan audit, tindakan yang diambil dalam alur kerja ini dicatat di log permintaan Customer Lockbox.

Mengaudit log

Log audit untuk Customer Lockbox untuk Azure ditulis ke log aktivitas untuk permintaan cakupan langganan dan ke Log Audit Entra untuk permintaan yang dilingkup penyewa.

Permintaan yang dilingkup langganan - Log Aktivitas

Di portal Azure, Kotak Kunci Pelanggan untuk bilah Microsoft Azure, pilih Log Aktivitas untuk melihat informasi audit yang terkait dengan permintaan Customer Lockbox. Anda juga dapat melihat Log Aktivitas di bilah detail langganan untuk langganan yang dimaksud. Dalam kedua kasus, Anda dapat memfilter operasi tertentu, seperti:

  • Tolak Permintaan Lockbox
  • Buat Permintaan Lockbox
  • Menyetujui Permintaan Lockbox
  • Permintaan Lockbox Kedaluwarsa

Sebagai contoh:

Cuplikan layar log aktivitas.

Permintaan Cakupan Penyewa - Log Audit

Untuk permintaan Customer Lockbox yang dilingkup penyewa, entri log ditulis ke Log Audit Entra. Entri Log ini dibuat oleh layanan Tinjauan Akses dengan aktivitas seperti:

  • Buat permintaan
  • Permintaan disetujui
  • Permintaan ditolak

Anda dapat berapi-api untuk Service = Access Reviews dan Activity = one of the above activities.

Sebagai contoh:

Cuplikan layar log audit.

Catatan

Tab Riwayat di portal Azure Lockbox telah dihapus karena batasan teknis yang ada. Untuk melihat riwayat permintaan Customer Lockbox, gunakan Log Aktivitas untuk permintaan cakupan langganan dan Log Audit Entra untuk permintaan yang dilingkup penyewa.

Customer Lockbox untuk integrasi Microsoft Azure dengan tolok ukur keamanan cloud Microsoft

Kami memperkenalkan kontrol dasar baru (PA-8: Menentukan proses akses untuk dukungan penyedia cloud) di tolok ukur keamanan cloud Microsoft yang mencakup penerapan Customer Lockbox. Pelanggan sekarang dapat menggunakan tolok ukur untuk meninjau penerapan Customer Lockbox untuk layanan.

Pengecualian

Permintaan Customer Lockbox tidak dipicu dalam skenario berikut:

  • Skenario darurat yang berada di luar prosedur operasi standar dan memerlukan tindakan mendesak dari Microsoft untuk memulihkan akses ke layanan online atau untuk mencegah kerusakan atau kehilangan data pelanggan, atau untuk menyelidiki insiden keamanan atau penyalahgunaan. Misalnya, pemadaman layanan utama atau insiden keamanan menuntut perhatian segera untuk memulihkan atau memulihkan layanan dalam keadaan yang tidak terduga atau tidak dapat diprediksi. Peristiwa "break glass" ini jarang terjadi dan, dalam kebanyakan kasus, tidak mengharuskan akses ke data pelanggan untuk resolusi. Kontrol dan proses yang mengatur akses Microsoft ke data pelanggan dalam layanan online inti selaras dengan NIST 800-53 dan divalidasi melalui audit SOC 2. Untuk informasi lebih lanjut, lihat garis besar keamanan Azure untuk Customer Lockbox untuk Microsoft Azure.
  • Seorang teknisi Microsoft mengakses platform Azure sebagai bagian dari pemecahan masalah dan secara tidak sengaja terpapar data pelanggan. Misalnya, Tim Jaringan Azure melakukan pemecahan masalah yang menghasilkan tangkapan paket di perangkat jaringan. Sangat jarang bahwa skenario semacam itu akan menghasilkan akses ke jumlah data pelanggan yang bermakna. Pelanggan dapat melindungi data mereka lebih lanjut melalui penggunaan Kunci yang dikelola pelanggan (CMK), yang tersedia untuk beberapa layanan Azure. Untuk informasi selengkapnya lihat Gambaran Umum Manajemen Kunci di Azure.

Tuntutan hukum eksternal untuk data juga tidak memicu permintaan Customer Lockbox. Untuk detailnya, lihat pembahasan permintaan pemerintah untuk data di Microsoft Trust Center.

Langkah berikutnya

Aktifkan Customer Lockbox dari modul Administrasi di bilah Customer Lockbox. Customer Lockbox untuk Microsoft Azure tersedia untuk semua pelanggan yang memiliki paket dukungan Azure dengan tingkat Pengembang minimal.