透明性に関するログ (プレビュー)
重要
これはプレビュー機能です。 この情報は、リリース前に大幅に変更される可能性のあるプレリリース機能に関するものです。 マイクロソフトは、ここで提供される情報に関して、明示または黙示を問わず、いかなる保証も行いません。
世界中の政府は、ハイパースケール クラウドの利点を利用したいと考えていますが、クラウド プロバイダーとしてのマイクロソフトが、自国の主権要件を尊重した方法でデータを扱い、マイクロソフトのエンジニアがクラウドリソースにアクセスするのを監査できることを保証する必要があります。
ソブリン顧客の信頼を獲得するために、Microsoft のエンジニアがジャストインタイム アクセス サービスで顧客のリソースにアクセスした際の状況を、Microsoft は透明性ログで顧客に対して可視化します。 これらの透明性ログは、Azure Commercial クラウドが現在提供している以上の可視性をお客様に提供します。
まれに、マイクロソフトのエンジニアがお客様のリソースに直接アクセスする必要があります。 このアクセスは、通常、顧客サポートリクエストに対応するために必要です。 このような場合、マイクロソフトのエンジニアは、ビジネス上の正当な理由があれば、一時的なアクセスを許可されます。 透明性ログは、顧客リソースへのアクセスの詳細を提供するとともに、最も可能性の高いケースであるアクセスがない場合でも、情報を提供します。
透明性ログでできること
透明性ログは、マイクロソフトのエンジニアがいつお客様のリソースにアクセスしたかの詳細を提供し、ソブリンコンプライアンスやその他の規制要件を支援します。 ログは、アクセスされたリソースとアクセスしたマイクロソフトのエンジニアに関する以下の質問に答える際に役立ちます:
リソースの詳細:
- どのサブスクリプションにアクセスしましたか?
- アクセスがあったのはいつですか?
- アクセスはどの Azure サービスで発生しましたか?
マイクロソフト エンジニアの詳細:
- リソースにアクセスしたエンジニアの役割は何ですか?
- エンジニアの配属オフィスはどこですか?
- エンジニアがリソースにアクセスできた期間は?
透明性に関するログ
次のスクリーンショットは、サポートエンジニアがお客様環境の Azure kubernetes サービスにアクセスした際のセッション詳細を示しています。
透明性ログには通常、以下の詳細が含まれます:
- テナント ID – レポートが生成されたテナントの一意の識別子。
- テナント名 – レポートが生成されたテナントの名称。
- セッション日: アクセスが許可された日時。
- 期間: アクセスの最大期間。
- 管理グループ ID: サブスクリプションが属する管理グループ ID。 このフィールドの値は、この詳細が利用できない場合には 利用できない 可能性があります。
- 管理グループ名: そのサブスクリプションが属する管理グループ名。 このフィールドの値は、この詳細が利用できない場合には 利用できない 可能性があります。
- サブスクリプション ID: アクセスされたサブスクリプションの一意識別子。
- エンジニアのロール: カスタマー サポート エンジニアまたは DevOps エンジニア。
- エンジニアの場所: アクセスを要求したエンジニアに割り当てられたオフィスの場所。
- サービス名: Azure サービスのパブリック名。
透過性ログのスコープ
透明性ログは、Microsoft Azure Services と Azure テナントにスコープされます。 ログは、レポート作成日から 90 日以内のマイクロソフトのエンジニアによるアクセス詳細を提供します。 最新のログは毎月第 1 水曜日に届きます。
このレポートには、次のリソースやサービスに対する Microsoft エンジニアのアクセスの詳細は含まれません。
- Azure データセンターのハードウェア。 マイクロソフトのデータセンター エンジニアのアクセス権限については、サービス管理とサービス チーム をご覧ください、
- Microsoft 365 サービス
- Microsoft Dynamics 365 サービス
- Microsoft Power Platform
またこのレポートには、次のアクセスと要求に関する情報も含まれません。
- お客様のエンジニアまたはその他の ID によるアクセス。 Entra のサインインログ を参照してください。
- 政府からのデータ要求 マイクロソフトが政府からのデータ要求にどのように対応しているかについての詳細は、法執行機関の要請レポート をご覧ください。
有効化
このプレビュー機能へのアクセスを要求する場合は、次の手順に従ってください:
重要
オンボードされるためには、割り当てられたグローバル管理者ロールと、ユーザー アカウントに関連付けられた有効なメールが必要です。
- アクセスを要求する場合は、次のスクリーンショットに示すようにサポート ケースを作成します。 またはサポート リンク を選択し、自分の情報を入力できます。
次へを選択してサポート要求の追加の詳細ページを表示し、いくつかの質問に回答します。
詳細な診断情報の収集を許可しますか? を必ず有効化し、はい (推奨) に設定します。 そうしない場合はオンボードの対象になりません。
- レビューと作成 ページから作成を選択し、新しいオンボード サポート要求を作成します。
透過性ログの FAQ
1. 透明性ログは、マイクロソフトがすでに提供している観測可能な機能に何を加えるのでしょうか。
透明性ログは、ジャストインタイム アクセス サービスを利用したリソースへのアクセスの記録を含む、顧客サービスとサービスの信頼性の問題をサポートする Microsoft エンジニアによる運用活動の可視化を顧客に提供します。 アクセス記録は、アクティビティ ログ、リソース ログ、セキュリティ イベント ログ、Microsoft Entra ログ、Customer Lockbox for Azure ログなどの他のログで利用可能な情報を補強します。
2. 想定される顧客やユーザーは誰か
透明性ログは、公共部門および規制産業団体を支援します。 これらの顧客は、監査可能性とアクセス制御に関する厳しい要件を備えています。
3. 透明性ログと Customer Lockbox for Azure の違いは何ですか?
Customer Lockbox for Azure は、お客様がマイクロソフトのエンジニアからのお客様のデータやリソースへのアクセス要求を確認し、承認または拒否するためのインターフェイスを提供する有料サービスです。 対象となるお客様には、透明性ログを無料で提供しています。 Lockbox を使用しないカスタマー サポート シナリオや、サービス チームのエンジニアが顧客のリソースにアクセスする必要がある運用状況をカバーしています。
4. すべてのカスタマー サポート ケースは透明性ログに記録されていますか?
いいえ。 ほとんどのカスタマー サポート ケースは、エンジニアがお客様のリソースに直接アクセスすることなく解決されます。 透明性のログ記録は作成されません。