Customer Lockbox untuk Microsoft Azure

  • Artikel

Catatan

Untuk menggunakan fitur ini, organisasi Anda harus memiliki paket dukungan Azure dengan tingkat Pengembang minimal.

Sebagian besar operasi dan dukungan yang dilakukan oleh personel dan subprosesor Microsoft tidak memerlukan akses ke data pelanggan. Dalam keadaan langka saat akses tersebut diperlukan, Customer Lockbox untuk Microsoft Azure menyediakan antarmuka bagi pelanggan untuk meninjau dan menyetujui atau menolak permintaan akses data pelanggan. Ini digunakan dalam kasus di mana teknisi Microsoft perlu mengakses data pelanggan, baik sebagai tanggapan terhadap tiket dukungan yang dimulai pelanggan atau masalah yang diidentifikasi oleh Microsoft.

Artikel ini membahas cara mengaktifkan Customer Lockbox untuk Microsoft Azure dan bagaimana permintaan dimulai, dilacak, dan disimpan untuk tinjauan dan audit nanti.

Layanan yang didukung

Layanan berikut saat ini didukung untuk Customer Lockbox untuk Microsoft Azure:

  • Azure API Management
  • Azure App Service
  • Pencarian Azure AI
  • Azure Chaos Studio
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • Azure Data Manager untuk Energi
  • Azure Database untuk MySQL
  • Server Flexible Azure Database for MySQL
  • Azure Database untuk PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Azure Kubernetes Service
  • Pengujian Beban Azure (Pengujian CloudNative)
  • Azure Logic Apps
  • Azure Monitor (Analitik Log)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Instans Terkelola Azure SQL
  • Azure Storage
  • Transfer Langganan Azure
  • Azure Synapse Analytics
  • AI Perdagangan (Rekomendasi Cerdas)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (Dasbor)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Layanan Visi Terpadu
  • Komputer Virtual di Azure

Mengaktifkan Customer Lockbox untuk Microsoft Azure

Sekarang Anda dapat mengaktifkan Customer Lockbox untuk Microsoft Azure dari modul Administrasi.

Catatan

Untuk mengaktifkan Customer Lockbox untuk Microsoft Azure, akun pengguna harus menetapkan peran Administrator Global.

Alur kerja

Langkah-langkah berikut menguraikan alur kerja umum untuk Customer Lockbox untuk permintaan Microsoft Azure.

  1. Seseorang di organisasi mengalami masalah dengan beban kerja Azure mereka.

  2. Setelah orang ini memecahkan masalah, tetapi tidak dapat memperbaikinya, mereka membuka tiket dukungan dari portal Microsoft Azure. Tiket ditetapkan ke Teknisi Dukungan Pelanggan Azure.

  3. Teknisi Dukungan Azure meninjau permintaan layanan dan menentukan langkah berikutnya untuk mengatasi masalah tersebut.

  4. Jika teknisi dukungan tidak dapat memecahkan masalah dengan menggunakan alat standar dan data yang dihasilkan layanan, langkah selanjutnya adalah meminta izin yang ditinggikan dengan menggunakan layanan akses Just-In-Time (JIT). Permintaan ini dapat berasal dari teknisi dukungan asli atau dari teknisi yang berbeda karena masalahnya meningkat ke tim Azure DevOps.

  5. Setelah Azure Engineer mengirimkan permintaan akses, layanan Just-In-Time mengevaluasi permintaan dengan mempertimbangkan faktor-faktor seperti:

    • Cakupan sumber daya.
    • Apakah pemohon adalah identitas terisolasi atau menggunakan autentikasi multifaktor.
    • Tingkat izin. Berdasarkan aturan JIT, permintaan ini mungkin juga menyertakan persetujuan dari Pemberi Izin Microsoft Internal. Misalnya, pemberi persetujuan mungkin adalah prospek dukungan Pelanggan atau DevOps Manager.

  6. Ketika permintaan memerlukan akses langsung ke data pelanggan, permintaan Customer Lockbox dimulai. Misalnya, akses desktop jarak jauh ke komputer virtual pelanggan.

    Permintaan sekarang dalam keadaan Pelanggan Diberitahu, menunggu persetujuan pelanggan sebelum memberikan akses.

  7. Satu atau beberapa pemberi persetujuan di organisasi pelanggan untuk permintaan Customer Lockbox tertentu ditentukan sebagai berikut:

    • Untuk Permintaan terlingkup Langganan (permintaan untuk mengakses sumber daya tertentu yang terkandung dalam langganan), pengguna dengan peran Pemilik atau Pemberi Persetujuan Azure Customer Lockbox untuk peran Langganan (saat ini dalam pratinjau publik) pada langganan terkait.
    • Untuk permintaan cakupan Penyewa (permintaan untuk mengakses penyewa Microsoft Entra), pengguna dengan peran Administrator Global pada Penyewa.

    Catatan

    Penetapan peran harus diberlakukan sebelum Customer Lockbox untuk Microsoft Azure mulai memproses permintaan. Setiap penetapan peran yang dibuat setelah Customer Lockbox untuk Microsoft Azure mulai memproses permintaan tertentu tidak akan dikenali. Karena itu, untuk menggunakan penugasan yang memenuhi syarat PIM untuk peran Pemilik Langganan, pengguna diharuskan untuk mengaktifkan peran sebelum permintaan Customer Lockbox dimulai. Lihat Mengaktifkan peran Microsoft Entra di PIM / Mengaktifkan peran sumber daya Azure di PIM untuk informasi selengkapnya tentang mengaktifkan peran yang memenuhi syarat PIM.

    Penetapan peran yang dilingkup ke grup manajemen tidak didukung di Customer Lockbox untuk Microsoft Azure saat ini.

  8. Di organisasi pelanggan, pemberi izin lockbox yang ditunjuk (Pemilik/Langganan Azure Admin Microsoft Entra Global/Pemberi Izin Azure Customer Lockbox untuk Langganan menerima email dari Microsoft untuk memberi tahu mereka tentang permintaan akses yang tertunda. Anda juga dapat menggunakan fitur pemberitahuan email alternatif Azure Lockbox (saat ini dalam pratinjau publik) untuk mengonfigurasi alamat email alternatif untuk menerima pemberitahuan lockbox dalam skenario di mana akun Azure tidak diaktifkan melalui email atau jika perwakilan layanan didefinisikan sebagai pemberi izin lockbox.

    Contoh email: Cuplikan layar pemberitahuan email.

  9. Pemberitahuan email menyediakan tautan ke bilah Customer Lockbox dalam modul Administrasi. Pemberi izin yang ditunjuk masuk ke portal Azure untuk melihat permintaan tertunda yang dimiliki organisasi mereka untuk Customer Lockbox untuk Microsoft Azure:Cuplikan layar halaman arahan Customer Lockbox untuk Microsoft Azure. Permintaan tetap berada dalam antrean pelanggan selama empat hari. Setelah waktu ini, permintaan akses secara otomatis kedaluwarsa dan tidak ada akses yang diberikan kepada teknisi Microsoft.

  10. Untuk mendapatkan detail permintaan yang tertunda, pemberi izin yang ditunjuk dapat memilih permintaan Customer Lockbox dari Permintaan Tertunda: Cuplikan layar permintaan yang tertunda.

  11. Pemberi persetujuan yang ditunjuk juga dapat memilih ID PERMINTAAN LAYANAN untuk menampilkan permintaan tiket dukungan yang dibuat oleh pengguna asli. Informasi ini menyediakan konteks mengapa Dukungan Microsoft terlibat, dan riwayat masalah yang dilaporkan. Misalnya: Cuplikan layar permintaan tiket dukungan.

  12. Pemberi izin yang ditunjuk meninjau permintaan dan memilih Setujui atau Tolak: Cuplikan layar UI Setujui atau Tolak. Sebagai hasil dari pilihan:

    • Setujui: Akses diberikan kepada teknisi Microsoft selama durasi yang ditentukan dalam detail permintaan, yang ditampilkan dalam pemberitahuan email dan di portal Azure.
    • Tolak: Permintaan akses yang diajukan oleh teknisi Microsoft ditolak dan tidak ada tindakan lebih lanjut yang diambil.

    Untuk tujuan audit, tindakan yang diambil dalam alur kerja ini dicatat di log permintaan Customer Lockbox.

Mengaudit log

Log Customer Lockbox disimpan dalam log aktivitas. Di portal Microsoft Azure, pilih Log Aktivitas untuk melihat informasi audit yang terkait dengan permintaan Customer Lockbox. Anda bisa memfilter untuk tindakan tertentu, seperti:

  • Tolak Permintaan Lockbox
  • Buat Permintaan Lockbox
  • Menyetujui Permintaan Lockbox
  • Permintaan Lockbox Kedaluwarsa

Sebagai contoh:

Cuplikan layar log aktivitas.

Customer Lockbox untuk integrasi Microsoft Azure dengan tolok ukur keamanan cloud Microsoft

Kami memperkenalkan kontrol dasar baru (PA-8: Menentukan proses akses untuk dukungan penyedia cloud) di tolok ukur keamanan cloud Microsoft yang mencakup penerapan Customer Lockbox. Pelanggan sekarang dapat menggunakan tolok ukur untuk meninjau penerapan Customer Lockbox untuk layanan.

Pengecualian

Permintaan Customer Lockbox tidak dipicu dalam skenario berikut:

  • Skenario darurat yang berada di luar prosedur operasi standar. Misalnya, penghentian layanan utama membutuhkan perhatian segera untuk memulihkan atau memulihkan layanan dalam skenario yang tidak terduga atau tidak dapat diprediksi. Peristiwa "pecah kaca" ini jarang terjadi dan, dalam kebanyakan kasus, tidak memerlukan akses apa pun ke data pelanggan untuk diselesaikan.
  • Seorang teknisi Microsoft mengakses platform Azure sebagai bagian dari pemecahan masalah dan secara tidak sengaja terpapar data pelanggan. Misalnya, Tim Jaringan Azure melakukan pemecahan masalah yang menghasilkan tangkapan paket di perangkat jaringan. Sangat jarang bahwa skenario semacam itu akan menghasilkan akses ke jumlah data pelanggan yang bermakna. Pelanggan dapat melindungi data mereka lebih lanjut melalui penggunaan Kunci yang dikelola pelanggan (CMK), yang tersedia untuk beberapa layanan Azure. Untuk informasi selengkapnya lihat Gambaran Umum Manajemen Kunci di Azure.

Tuntutan hukum eksternal untuk data juga tidak memicu permintaan Customer Lockbox. Untuk detailnya, lihat pembahasan permintaan pemerintah untuk data di Microsoft Trust Center.

Langkah berikutnya

Aktifkan Customer Lockbox dari modul Administrasi di bilah Customer Lockbox. Customer Lockbox untuk Microsoft Azure tersedia untuk semua pelanggan yang memiliki paket dukungan Azure dengan tingkat Pengembang minimal.