Del via


Customer Lockbox for Microsoft Fabric

Bruk Customer Lockbox for Microsoft Azure til å kontrollere hvordan Microsoft-teknikere får tilgang til dataene dine. I denne artikkelen skal du lære hvordan Customer Lockbox-forespørsler startes, spores og lagres for senere gjennomganger og revisjoner.

Vanligvis brukes Customer Lockbox til å hjelpe Microsoft-teknikere med å feilsøke en støtteforespørsel for Microsoft Fabric-tjenesten. Customer Lockbox kan også brukes når Microsoft identifiserer et problem, og en Microsoft-initiert hendelse åpnes for å undersøke problemet.

Aktiver Customer Lockbox for Microsoft Fabric

Hvis du vil aktivere Customer Lockbox for Microsoft Fabric, må du være global administrator for Microsoft Entra. Hvis du vil tilordne roller i Microsoft Entra ID, kan du se Tilordne Microsoft Entra-roller til brukere.

  1. Åpne Azure-portalen.

  2. Gå til Customer Lockbox for Microsoft Azure.

  3. Velg Aktivert i kategorien Administrasjon.

    Skjermbilde av aktivering av Customer Lockbox for Microsoft Azure i administrasjonsfanen Customer Lockbox for Microsoft Azure.

Microsoft Access-forespørsel

I tilfeller der Microsoft-teknikeren ikke kan feilsøke problemet ved hjelp av standardverktøy, bes det om forhøyede tillatelser ved hjelp av just-in-time (JIT)-tilgangstjenesten. Forespørselen kan komme fra den opprinnelige kundestøtteteknikeren, eller fra en annen tekniker.

Når tilgangsforespørselen er sendt, evaluerer JIT-tjenesten forespørselen, med tanke på faktorer som:

  • Omfanget av ressursen

  • Om anmoderen er en isolert identitet eller bruker godkjenning med flere faktorer

  • Tillatelsesnivåer

Basert på JIT-rollen kan forespørselen også inkludere en godkjenning fra interne Microsoft-godkjennere. Godkjenneren kan for eksempel være kundeemnet eller DevOps Manager.

Når forespørselen krever direkte tilgang til kundedata, startes en Customer Lockbox-forespørsel. I tilfeller der ekstern skrivebordstilgang til en kundes virtuelle maskin for eksempel er nødvendig. Når Customer Lockbox-forespørselen er gjort, venter den på kundens godkjenning før tilgang er gitt.

Disse trinnene beskriver en Microsoft-initiert Customer Lockbox-forespørsel for Microsoft Fabric-tjenesten.

  1. Microsoft Entra Global Administrator mottar en ventende e-postmelding om tilgangsforespørsel fra Microsoft. Administratoren som mottok e-postmeldingen, blir den angitte godkjenneren.

  2. E-postmeldingen inneholder en kobling til Customer Lockbox i Azure Administration-modulen. Ved hjelp av koblingen logger den angitte godkjenneren på Azure-portalen for å vise eventuelle ventende Customer Lockbox-forespørsler. Forespørselen forblir i kundekøen i fire dager. Deretter utløper tilgangsforespørselen automatisk, og ingen tilgang gis til Microsoft-teknikere.

  3. Hvis du vil ha mer informasjon om den ventende forespørselen, kan den angitte godkjenneren velge Customer Lockbox-forespørselen fra menyalternativet Ventende forespørsler .

  4. Når du har gjennomgått forespørselen, angir den angitte godkjenneren en begrunnelse og velger ett av alternativene nedenfor. For overvåkingsformål logges handlingene i Customer Lockbox-loggene.

    • Godkjenn – Tilgang gis til Microsoft-teknikeren for en standardperiode på åtte timer.

    • Avslå - Tilgangsforespørselen fra Microsoft-teknikeren avvises, og ingen ytterligere tiltak utføres.

    Skjermbilde av knappene godkjenn og avslå for en ventende Customer Lockbox for Microsoft Azure-forespørsel.

Logger

Customer Lockbox har to loggtyper:

  • Aktivitetslogger – tilgjengelig fra aktivitetsloggen for Azure Monitor.

    Følgende aktivitetslogger er tilgjengelige for Customer Lockbox:

    • Avslå lockbox-forespørsel
    • Opprett lockbox-forespørsel
    • Godkjenn lockbox-forespørsel
    • Utløp av lockbox-forespørsel

    Hvis du vil ha tilgang til aktivitetsloggene, velger du Aktivitetslogg i Azure-portalen. Du kan filtrere resultatene for bestemte handlinger.

    Skjermbilde av aktivitetsloggene i Customer Lockbox for Microsoft Azure.

  • Overvåkingslogger – tilgjengelig fra Microsoft Purview-samsvarsportal. Du kan se overvåkingsloggene i administrasjonsportalen.

    Customer Lockbox for Microsoft Fabric har fire overvåkingslogger:

    Overvåkingsloggen Egendefinert navn
    GetRefreshHistoryViaLockbox Få oppdateringslogg via lockbox
    DeleteAdminUsageDashboardsViaLockbox Slett instrumentbord for administrasjonsbruk via låseboks
    DeleteUsageMetricsv2PackageViaLockbox Slett bruksmetrikk v2-pakke via lockbox
    DeleteAdminMonitoringFolderViaLockbox Slett overvåkingsmappe for administratorer via lockbox
    GetQueryTextTelemetryViaLockbox Få spørringstekst fra sikret telemetrilager via Lockbox

Utelatelser

Customer Lockbox-forespørsler utløses ikke i følgende scenarioer for teknisk støtte:

  • Nødscenarioer som faller utenfor standard driftsprosedyrer. Et stort tjenesteavbrudd krever for eksempel umiddelbar oppmerksomhet for å gjenopprette eller gjenopprette tjenester i et uventet scenario. Disse hendelsene er sjeldne og krever vanligvis ikke tilgang til kundedata.

  • En Microsoft-tekniker får tilgang til Azure-plattformen som en del av feilsøkingen, og blir utilsiktet utsatt for kundedata. Under feilsøkingen av Azure Network Team registreres for eksempel en pakke på en nettverksenhet. Slike scenarioer resulterer vanligvis ikke i tilgang til meningsfulle kundedata.

  • Eksterne juridiske krav til data. Hvis du vil ha mer informasjon, kan du se forespørsler fra myndighetene om data på Microsoft Trust Center.

Datatilgang

Tilgang til data varierer i henhold til Microsoft Fabric-opplevelsen forespørselen din gjelder for. Denne delen viser hvilke data Microsoft-teknikeren har tilgang til etter at du har godkjent en Customer Lockbox-forespørsel.

  • Power BI – Når du kjører operasjonene som er oppført nedenfor, får Microsoft-teknikeren tilgang til noen få tabeller som er koblet til forespørselen din. Hver operasjon Microsoft-teknikeren bruker, gjenspeiles i overvåkingsloggene.

    • Få modelloppdateringslogg
    • Slett instrumentbord for administrasjonsbruk
    • Slett bruksmetrikk v2-pakke
    • Slett overvåkingsmappe for administratorer
    • Slett arbeidsområde for administratorer
    • Få tilgang til bestemt datasett i lagring
    • Få spørringstekst fra sikret telemetrilager
  • Sanntidsintelligens – Sanntidsintelligensingeniøren vil ha tilgang til dataene i KQL-databasen som er koblet til forespørselen din.

  • Dataingeniør ing – Dataingeniør ingeniøren har tilgang til følgende Spark-logger som er knyttet til forespørselen din:

    • Driverlogger
    • Hendelseslogger
    • Executor-logger
  • Data Factory – Data Factory-teknikeren vil ha tilgang til datasamlebånddefinisjoner som er knyttet til forespørselen din, hvis tillatelse er gitt.