Customer Lockbox per Microsoft Azure
Nota
Per usare questa funzionalità, l'organizzazione deve avere un piano di supporto tecnico di Azure con un livello minimo di developer.
La maggior parte delle operazioni e del supporto eseguite dal personale Microsoft e dai sub-responsabili del trattamento non richiede l'accesso ai dati dei clienti. In questi rari casi in cui è necessario tale accesso, Customer Lockbox per Microsoft Azure offre ai clienti un'interfaccia per esaminare e approvare o rifiutare le richieste di accesso ai dati dei clienti. Viene usato nei casi in cui un tecnico Microsoft deve accedere ai dati dei clienti, in risposta a un ticket di supporto avviato dal cliente o a un problema identificato da Microsoft.
Questo articolo illustra come abilitare Customer Lockbox per Microsoft Azure e come vengono avviate, rilevate e archiviate le richieste per revisioni e controlli successivi.
Servizi supportati
I servizi seguenti sono attualmente supportati per Customer Lockbox per Microsoft Azure:
- Gestione API di Azure
- Servizio app di Azure
- Azure AI Search
- Azure Chaos Studio
- Servizi cognitivi di Azure
- Registro Azure Container
- Azure Data Box
- Esplora dati di Azure
- Azure Data Factory
- Azure Data Manager for Energy
- Database di Azure per MySQL
- Server flessibile di Database di Azure per MySQL
- Database di Azure per PostgreSQL
- Azure Edge Zone Platform Archiviazione
- Energia di Azure
- Funzioni di Azure
- Azure HDInsight
- Azure Health Bot
- Azure Intelligent Consigli
- Servizio Azure Kubernetes
- Test di carico di Azure (test cloudnative)
- App per la logica di azure
- Monitoraggio di Azure (Log Analytics)
- Azure Red Hat OpenShift
- Azure Spring Apps
- database SQL di Azure
- Istanza gestita di SQL di Azure
- Archiviazione di Azure
- Trasferimenti di sottoscrizioni di Azure
- Azure Synapse Analytics
- Intelligenza artificiale commerciale (intelligent Consigli)
- DevCenter/DevBox
- ElasticSan
- Kusto (dashboard)
- Attestazione di Microsoft Azure
- OpenAI
- Spring Cloud
- Servizio Visione unificata
- Macchine virtuali in Azure
Abilitare Customer Lockbox per Microsoft Azure
È ora possibile abilitare Customer Lockbox per Microsoft Azure dal modulo di Amministrazione istration.
Nota
Per abilitare Customer Lockbox per Microsoft Azure, all'account utente deve essere assegnato il ruolo Global Amministrazione istrator.
Workflow
I passaggi seguenti descrivono un flusso di lavoro tipico per una richiesta di Customer Lockbox per Microsoft Azure.
Un utente di un'organizzazione presenta un problema con il carico di lavoro di Azure.
Dopo che questa persona risolve il problema, ma non può risolverlo, apre un ticket di supporto dal portale di Azure. Il ticket viene assegnato a un tecnico del supporto tecnico di Azure.
Un tecnico del supporto tecnico di Azure esamina la richiesta di servizio e determina i passaggi successivi per risolvere il problema.
Se il tecnico del supporto non riesce a risolvere il problema usando gli strumenti standard e i dati generati dal servizio, il passaggio successivo consiste nel richiedere autorizzazioni elevate usando un servizio di accesso JIT (Just-In-Time). Questa richiesta può essere inviata dal tecnico del supporto originale o da un tecnico diverso perché il problema viene inoltrato al team di Azure DevOps.
Dopo che il tecnico di Azure ha inviato una richiesta di accesso, il servizio JUST-In-Time valuta la richiesta tenendo conto di fattori come:
- Ambito della risorsa.
- Indica se il richiedente è un'identità isolata o l'autenticazione a più fattori.
- Livelli di autorizzazioni. In base alla regola JIT, questa richiesta potrebbe includere anche un'approvazione da responsabili approvazione interni di Microsoft. Ad esempio, il responsabile approvazione potrebbe essere il responsabile del supporto clienti o DevOps Manager.
Quando la richiesta richiede l'accesso diretto ai dati dei clienti, viene avviata una richiesta di Customer Lockbox. Ad esempio, l'accesso desktop remoto alla macchina virtuale di un cliente.
La richiesta è ora in stato Di notifica cliente, in attesa dell'approvazione del cliente prima di concedere l'accesso.
Uno o più responsabili approvazione dell'organizzazione del cliente per una determinata richiesta di Customer Lockbox vengono determinati come segue:
- Per le richieste con ambito sottoscrizione (richieste di accesso a risorse specifiche contenute all'interno di una sottoscrizione), gli utenti con il ruolo Proprietario o il responsabile approvazione di Customer Lockbox di Azure per il ruolo sottoscrizione (attualmente in anteprima pubblica) nella sottoscrizione associata.
- Per le richieste di ambito tenant (richieste di accesso al tenant di Microsoft Entra), gli utenti con il ruolo globale Amministrazione istrator nel tenant.
Nota
Le assegnazioni di ruolo devono essere applicate prima che Customer Lockbox per Microsoft Azure inizi a elaborare una richiesta. Eventuali assegnazioni di ruolo effettuate dopo che Customer Lockbox per Microsoft Azure inizia a elaborare una determinata richiesta non verrà riconosciuta. Per questo motivo, per usare le assegnazioni idonee di PIM per il ruolo Proprietario della sottoscrizione, gli utenti devono attivare il ruolo prima dell'avvio della richiesta Customer Lockbox. Per altre informazioni sull'attivazione dei ruoli idonei di PIM, vedere Attivare i ruoli delle risorse di Microsoft Entra in PIM / in PIM.
Le assegnazioni di ruolo con ambito ai gruppi di gestione non sono attualmente supportate in Customer Lockbox per Microsoft Azure.
Nell'organizzazione del cliente, i responsabili approvazione del blocco designati (proprietario della sottoscrizione di Azure Microsoft/Entra Global admin/Azure Customer Lockbox Approver for Subscription ricevono un messaggio di posta elettronica da Microsoft per notificare la richiesta di accesso in sospeso. È anche possibile usare la funzionalità di notifiche tramite posta elettronica alternative di Azure Lockbox (attualmente in anteprima pubblica) per configurare un indirizzo di posta elettronica alternativo per ricevere notifiche di blocco in scenari in cui l'account Azure non è abilitato o se un'entità servizio è definita come responsabile approvazione lockbox.
Messaggio di posta elettronica di esempio:
La notifica tramite posta elettronica fornisce un collegamento al pannello Customer Lockbox nel modulo di Amministrazione istration. Il responsabile approvazione designato accede al portale di Azure per visualizzare le richieste in sospeso che l'organizzazione ha per Customer Lockbox per Microsoft Azure:
La richiesta rimane nella coda del cliente per quattro giorni. Dopo questo periodo, la richiesta di accesso scade automaticamente e non viene concesso alcun accesso ai tecnici Microsoft.Per ottenere i dettagli della richiesta in sospeso, il responsabile approvazione designato può selezionare la richiesta Customer Lockbox da Richieste in sospeso:
Il responsabile approvazione designato può anche selezionare l'ID richiesta edizione Standard RVICE per visualizzare la richiesta di ticket di supporto creata dall'utente originale. Queste informazioni forniscono il contesto per cui supporto tecnico Microsoft è coinvolto e la cronologia del problema segnalato. Ad esempio:
Il responsabile approvazione designato esamina la richiesta e seleziona Approva o Nega:
Come risultato della selezione:- Approva: l'accesso viene concesso al tecnico Microsoft per la durata specificata nei dettagli della richiesta, visualizzati nella notifica tramite posta elettronica e nel portale di Azure.
- Nega: la richiesta di accesso con privilegi elevati da parte del tecnico Microsoft viene rifiutata e non viene eseguita alcuna ulteriore azione.
Ai fini del controllo, le azioni eseguite in questo flusso di lavoro vengono registrate nei log delle richieste di Customer Lockbox.
Log di controllo
I log di Customer Lockbox vengono archiviati nei log attività. Nella portale di Azure selezionare Log attività per visualizzare le informazioni di controllo correlate alle richieste di Customer Lockbox. È possibile filtrare in base ad azioni specifiche, ad esempio:
- Nega richiesta lockbox
- Creare una richiesta lockbox
- Approvare la richiesta lockbox
- Scadenza richiesta Lockbox
Ad esempio:
Integrazione di Customer Lockbox per Microsoft Azure con il benchmark della sicurezza del cloud Microsoft
È stato introdotto un nuovo controllo di base (PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud) nel benchmark di sicurezza cloud Microsoft che copre l'applicabilità di Customer Lockbox. I clienti possono ora usare il benchmark per esaminare l'applicabilità di Customer Lockbox per un servizio.
Esclusioni
Le richieste di Customer Lockbox non vengono attivate negli scenari seguenti:
- Scenari di emergenza che non rientrano nelle procedure operative standard. Ad esempio, un'interruzione del servizio principale richiede un'attenzione immediata per ripristinare o ripristinare i servizi in uno scenario imprevisto o imprevedibile. Questi eventi "break glass" sono rari e, nella maggior parte dei casi, non richiedono l'accesso ai dati dei clienti per la risoluzione.
- Un tecnico Microsoft accede alla piattaforma Azure come parte della risoluzione dei problemi ed è inavvertitamente esposto ai dati dei clienti. Ad esempio, il team di rete di Azure esegue la risoluzione dei problemi che genera un'acquisizione di pacchetti in un dispositivo di rete. È raro che tali scenari comportino l'accesso a quantità significative di dati dei clienti. I clienti possono proteggere ulteriormente i dati tramite l'uso di chiavi gestite dal cliente (CMK), disponibile per alcuni servizi di Azure. Per altre informazioni, vedere Panoramica della gestione delle chiavi in Azure.
Anche le richieste legali esterne per i dati non attivano le richieste di Customer Lockbox. Per informazioni dettagliate, vedere la discussione sulle richieste governative per i dati nel Centro protezione Microsoft.
Passaggi successivi
Abilitare Customer Lockbox dal modulo di Amministrazione istration nel pannello Customer Lockbox. Customer Lockbox per Microsoft Azure è disponibile per tutti i clienti che dispongono di un piano di supporto tecnico di Azure con un livello minimo di sviluppatore.