Customer Lockbox per Microsoft Fabric

  • Articolo

Usare Customer Lockbox per Microsoft Azure per controllare il modo in cui i tecnici Microsoft accedono ai dati. In questo articolo si apprenderà come vengono avviate, monitorate e archiviate le richieste di Customer Lockbox per revisioni e controlli successivi.

In genere, Customer Lockbox viene usato per aiutare i tecnici Microsoft a risolvere una richiesta di supporto del servizio Microsoft Fabric. Customer Lockbox può essere usato anche quando Microsoft identifica un problema e viene aperto un evento avviato da Microsoft per analizzare il problema.

Abilitare Customer Lockbox per Microsoft Fabric

Per abilitare Customer Lockbox per Microsoft Fabric, è necessario essere microsoft Entra Global Amministrazione istrator. Per assegnare ruoli in Microsoft Entra ID, vedere Assegnare ruoli di Microsoft Entra agli utenti.

  1. Apri il portale di Azure.

  2. Passare a Customer Lockbox per Microsoft Azure.

  3. Nella scheda Amministrazione istration selezionare Abilitato.

    Screenshot of enabling Customer Lockbox for Microsoft Azure in the Customer Lockbox for Microsoft Azure administration tab.

Richiesta di accesso Microsoft

Nei casi in cui il tecnico Microsoft non riesce a risolvere il problema usando gli strumenti standard, vengono richieste autorizzazioni elevate usando il servizio di accesso JIT (Just-In-Time ). La richiesta può provenire dal tecnico del supporto originale o da un tecnico diverso.

Dopo l'invio della richiesta di accesso, il servizio JIT valuta la richiesta, considerando fattori come:

  • Ambito della risorsa

  • Indica se il richiedente è un'identità isolata o l'autenticazione a più fattori

  • Livelli di autorizzazioni

In base al ruolo JIT, la richiesta può includere anche un'approvazione da parte dei responsabili approvazione interni di Microsoft. Ad esempio, il responsabile approvazione potrebbe essere il responsabile del supporto clienti o DevOps Manager.

Quando la richiesta richiede l'accesso diretto ai dati dei clienti, viene avviata una richiesta di Customer Lockbox. Ad esempio, nei casi in cui è necessario l'accesso desktop remoto alla macchina virtuale di un cliente. Dopo aver effettuato la richiesta Customer Lockbox, attende l'approvazione del cliente prima che venga concesso l'accesso.

Questi passaggi descrivono una richiesta di Customer Lockbox avviata da Microsoft per il servizio Microsoft Fabric.

  1. Microsoft Entra Global Amministrazione istrator riceve un messaggio di posta elettronica di notifica delle richieste di accesso in sospeso da Microsoft. L'amministratore che ha ricevuto il messaggio di posta elettronica diventa il responsabile approvazione designato.

    Screenshot of pending access request notification email from Microsoft.

  2. Il messaggio di posta elettronica fornisce un collegamento a Customer Lockbox nel modulo di Amministrazione istration di Azure. Usando il collegamento, il responsabile approvazione designato accede al portale di Azure per visualizzare eventuali richieste di Customer Lockbox in sospeso. La richiesta rimane nella coda del cliente per quattro giorni. Successivamente, la richiesta di accesso scade automaticamente e non viene concesso alcun accesso ai tecnici Microsoft.

  3. Per ottenere i dettagli della richiesta in sospeso, il responsabile approvazione designato può selezionare la richiesta Customer Lockbox dall'opzione di menu Richieste in sospeso.

  4. Dopo aver esaminato la richiesta, il responsabile approvazione designato immette una giustificazione e seleziona una delle opzioni seguenti. A scopo di controllo, le azioni vengono registrate nei log di Customer Lockbox.

    • Approva: l'accesso viene concesso al tecnico Microsoft per un periodo predefinito di otto ore.

    • Nega : la richiesta di accesso da parte del tecnico Microsoft viene rifiutata e non viene eseguita alcuna ulteriore azione.

    Screenshot of the approve and deny buttons of a pending Customer Lockbox for Microsoft Azure request.

Registri

Customer Lockbox ha due tipi di log:

  • Log attività: disponibile nel log attività di Monitoraggio di Azure.

    Per Customer Lockbox sono disponibili i log attività seguenti:

    • Nega richiesta di Lockbox
    • Crea richiesta di Lockbox
    • Approva richiesta di Lockbox
    • Scadenza richiesta Lockbox

    Per accedere ai log attività, nella portale di Azure selezionare Log attività. È possibile filtrare i risultati per azioni specifiche.

    Screenshot of the activity logs in Customer Lockbox for Microsoft Azure.

  • Log di controllo: disponibile dal Portale di conformità di Microsoft Purview. È possibile visualizzare i log di controllo nel portale di amministrazione.

    Customer Lockbox per Microsoft Fabric ha quattro log di controllo:

    Log di audit Nome descrittivo
    GetRefreshHistoryViaLockbox Ottenere la cronologia degli aggiornamenti tramite lockbox
    Delete Amministrazione UsageDashboardsViaLockbox Eliminare i dashboard di utilizzo dell'amministratore tramite lockbox
    DeleteUsageMetricsv2PackageViaLockbox Eliminare il pacchetto delle metriche di utilizzo v2 tramite lockbox
    Delete Amministrazione MonitoringFolderViaLockbox Eliminare la cartella di monitoraggio dell'amministratore tramite lockbox

Esclusioni

Le richieste di Customer Lockbox non vengono attivate negli scenari di supporto tecnico seguenti:

  • Scenari di emergenza che non rientrano nelle procedure operative standard. Ad esempio, un'interruzione del servizio principale richiede un'attenzione immediata per ripristinare o ripristinare i servizi in uno scenario imprevisto. Questi eventi sono rari e in genere non richiedono l'accesso ai dati dei clienti.

  • Un tecnico Microsoft accede alla piattaforma Azure come parte della risoluzione dei problemi e viene accidentalmente esposto ai dati dei clienti. Ad esempio, durante la risoluzione dei problemi il team di rete di Azure acquisisce un pacchetto in un dispositivo di rete. Questi scenari non comportano in genere l'accesso ai dati significativi dei clienti.

  • Richieste legali esterne per i dati. Per informazioni dettagliate, vedere Richieste di dati per enti pubblici nel Centro protezione Microsoft.

Accesso ai dati

L'accesso ai dati varia a seconda dell'esperienza di Microsoft Fabric a cui si basa la richiesta. Questa sezione elenca i dati a cui il tecnico Microsoft può accedere dopo l'approvazione di una richiesta di Customer Lockbox.

  • Power BI : quando si eseguono le operazioni elencate di seguito, il tecnico Microsoft avrà accesso a alcune tabelle collegate alla richiesta. Ogni operazione usata dal tecnico Microsoft si riflette nei log di controllo.

    • Ottenere la cronologia degli aggiornamenti
    • Eliminare il dashboard di utilizzo dell'amministratore
    • Eliminare il pacchetto delle metriche di utilizzo v2
    • Eliminare la cartella di monitoraggio dell'amministratore

  • Analisi in tempo reale: il tecnico di Analisi in tempo reale avrà accesso ai dati nel database KQL collegato alla richiesta.

  • Ingegneria dei dati: il tecnico Ingegneria dei dati avrà accesso ai log spark seguenti collegati alla richiesta:

    • Log dei driver
    • Registri eventi
    • Log di executor

  • Data Factory: il tecnico di Data Factory avrà accesso alle definizioni della pipeline di dati collegate alla richiesta, se viene concessa l'autorizzazione.

Contenuto correlato