Klanten-lockbox voor Microsoft Azure
Notitie
Als u deze functie wilt gebruiken, moet uw organisatie een ondersteuning voor Azure-plan hebben met een minimaal niveau ontwikkelaar.
Voor de meeste bewerkingen en ondersteuning die door Microsoft-personeel en subprocessors wordt uitgevoerd, is geen toegang tot klantgegevens vereist. In zeldzame gevallen waarin dergelijke toegang is vereist, biedt Customer Lockbox voor Microsoft Azure een interface voor klanten om aanvragen voor toegang tot klantgegevens te beoordelen en goed te keuren of af te wijzen. Het wordt gebruikt in gevallen waarin een Microsoft-technicus toegang moet hebben tot klantgegevens, of dit nu gebeurt als reactie op een door de klant geïnitieerd ondersteuningsticket of een probleem dat door Microsoft is geïdentificeerd.
In dit artikel wordt beschreven hoe u Customer Lockbox inschakelt voor Microsoft Azure en hoe aanvragen worden geïnitieerd, bijgehouden en opgeslagen voor latere beoordelingen en controles.
Ondersteunde services
De volgende services worden momenteel ondersteund voor Customer Lockbox voor Microsoft Azure:
- Azure API Management
- Azure App Service
- Azure AI Search
- Azure Chaos Studio
- Azure Cognitive Services
- Azure Communications Gateway
- Azure Container Registry
- Azure Data Box
- Azure Data Explorer
- Azure Data Factory
- Azure Data Manager for Energy
- Azure Database for MySQL
- Azure Database for MySQL Flexibele server
- Azure Database for PostgreSQL
- Azure Edge Zone Platform Storage
- Azure Energy
- Azure Functions
- Azure HDInsight
- Azure Health Bot
- Azure Intelligent Recommendations
- Azure Information Protection
- Azure Kubernetes Service
- Azure Load Testing (CloudNative Testing)
- Azure Logic-apps
- Azure Monitor (logboekanalyse)
- Azure Red Hat OpenShift
- Azure Spring Apps
- Azure SQL Database
- Azure SQL Managed Instance
- Azure Storage
- Transfers voor Azure-abonnementen
- Azure Synapse Analytics
- Commerce AI (Intelligent Recommendations)
- DevCenter/DevBox
- ElasticSan
- Kusto (dashboards)
- Microsoft Azure Attestation
- OpenAI
- Spring Cloud
- Unified Vision-service
- Virtuele machines in Azure
Customer Lockbox inschakelen voor Microsoft Azure
U kunt nu Customer Lockbox inschakelen voor Microsoft Azure vanuit de beheermodule.
Notitie
Als u Customer Lockbox voor Microsoft Azure wilt inschakelen, moet aan het gebruikersaccount de rol Globale beheerder zijn toegewezen.
Workflow
De volgende stappen geven een overzicht van een typische werkstroom voor een Klanten-lockbox voor Microsoft Azure-aanvragen.
Iemand in een organisatie heeft een probleem met de Azure-workload.
Nadat deze persoon het probleem heeft opgelost, maar het probleem niet kan worden opgelost, openen ze een ondersteuningsticket vanuit Azure Portal. Het ticket is toegewezen aan een Azure-klantondersteuningstechnicus.
Een Azure-ondersteuningstechnicus controleert de serviceaanvraag en bepaalt de volgende stappen om het probleem op te lossen.
Als de ondersteuningstechnicus het probleem niet kan oplossen met behulp van standaardhulpprogramma's en door de service gegenereerde gegevens, is de volgende stap het aanvragen van verhoogde machtigingen met behulp van een JIT-toegangsservice (Just-In-Time). Deze aanvraag kan afkomstig zijn van de oorspronkelijke ondersteuningstechnicus of van een andere technicus omdat het probleem wordt geëscaleerd naar het Azure DevOps-team.
Nadat de Azure-engineer een toegangsaanvraag heeft ingediend, evalueert De Just-In-Time-service de aanvraag, rekening houdend met factoren zoals:
- Het bereik van de resource.
- Of de aanvrager nu een geïsoleerde identiteit is of meervoudige verificatie gebruikt.
- Machtigingsniveaus. Op basis van de JIT-regel kan deze aanvraag ook een goedkeuring van interne Microsoft-goedkeurders bevatten. De fiatteur kan bijvoorbeeld de klantondersteuningsmanager of DevOps Manager zijn.
Wanneer voor de aanvraag directe toegang tot klantgegevens is vereist, wordt een Klant-Lockbox-aanvraag gestart. Bijvoorbeeld extern bureaublad-toegang tot de virtuele machine van een klant.
De aanvraag bevindt zich nu in de status Klant op de hoogte en wacht op de goedkeuring van de klant voordat toegang wordt verleend.
Een of meer goedkeurders van de klantorganisatie voor een bepaalde klanten-Lockbox-aanvraag worden als volgt bepaald:
- Voor aanvragen met abonnementsbereik (aanvragen voor toegang tot specifieke resources in een abonnement), gebruikers met de rol Eigenaar of de Azure Customer Lockbox-fiatteur voor de abonnementsrol voor het bijbehorende abonnement.
- Voor tenantbereikaanvragen (aanvragen voor toegang tot de Microsoft Entra-tenant), gebruikers met de rol Globale beheerder op de tenant.
Notitie
Roltoewijzingen moeten aanwezig zijn voordat Customer Lockbox voor Microsoft Azure een aanvraag gaat verwerken. Roltoewijzingen die zijn gemaakt nadat Customer Lockbox voor Microsoft Azure begint met het verwerken van een bepaalde aanvraag, worden niet herkend. Als u daarom PIM-toewijzingen wilt gebruiken die in aanmerking komen voor de rol Abonnementseigenaar, moeten gebruikers de rol activeren voordat de klanten-lockbox-aanvraag wordt gestart. Raadpleeg Microsoft Entra-rollen activeren in PIM / Azure-resourcerollen activeren in PIM voor meer informatie over het activeren van in aanmerking komende PIM-rollen.
Roltoewijzingen binnen het bereik van beheergroepen worden momenteel niet ondersteund in Customer Lockbox voor Microsoft Azure.
In de organisatie van de klant ontvangen aangewezen lockbox-goedkeurders (Azure Subscription Owner/Microsoft Entra Global admin/Azure Customer Lockbox Approver for Subscription een e-mail van Microsoft om hen op de hoogte te stellen van de in behandeling zijnde toegangsaanvraag. U kunt ook de functie alternatieve e-mailmeldingen van Azure Lockbox gebruiken om een alternatief e-mailadres te configureren voor het ontvangen van lockbox-meldingen in scenario's waarin het Azure-account geen e-mail is ingeschakeld of als een service-principal is gedefinieerd als de fiatteur van lockbox.
De e-mailmelding bevat een koppeling naar de blade Customer Lockbox in de beheermodule. De aangewezen fiatteur meldt zich aan bij De Azure-portal om openstaande aanvragen weer te geven die hun organisatie heeft voor Customer Lockbox voor Microsoft Azure: De aanvraag blijft vier dagen in de wachtrij van de klant. Na deze tijd verloopt de toegangsaanvraag automatisch en wordt er geen toegang verleend aan Microsoft-technici.
Om de details van de aanvraag in behandeling te krijgen, kan de aangewezen fiatteur de klant-Lockbox-aanvraag selecteren bij Aanvragen die in behandeling zijn:
De aangewezen fiatteur kan ook de SERVICEAANVRAAG-id selecteren om de aanvraag voor het ondersteuningsticket weer te geven die is gemaakt door de oorspronkelijke gebruiker. Deze informatie biedt context waarom Microsoft Ondersteuning wordt ingeschakeld en de geschiedenis van het gemelde probleem. Bijvoorbeeld:
De aangewezen fiatteur controleert de aanvraag en selecteert Goedkeuren of Weigeren: Als gevolg van de selectie:
- Goedkeuren: Toegang wordt verleend aan de Microsoft-technicus voor de duur die is opgegeven in de aanvraagdetails, die wordt weergegeven in de e-mailmelding en in de Azure-portal.
- Weigeren: de aanvraag voor verhoogde toegang door de Microsoft-technicus wordt geweigerd en er wordt geen verdere actie ondernomen.
Voor controledoeleinden worden de acties die in deze werkstroom worden uitgevoerd, vastgelegd in de aanvraaglogboeken van Customer Lockbox.
Controlelogboeken
De controlelogboeken voor Customer Lockbox voor Azure worden geschreven naar de activiteitenlogboeken voor aanvragen met abonnementsbereik en naar het Entra-auditlogboek voor aanvragen met tenantbereik.
Aanvragen met abonnementsbereik - Activiteitenlogboeken
Selecteer in de Azure-portal Customer Lockbox voor Microsoft Azure-blade activiteitenlogboeken om controlegegevens weer te geven met betrekking tot klant-lockbox-aanvragen. U kunt ook de activiteitenlogboeken weergeven op de blade met abonnementsgegevens voor het betreffende abonnement. In beide gevallen kunt u filteren op specifieke bewerkingen, zoals:
- Lockbox-aanvraag weigeren
- Lockbox-aanvraag maken
- Lockbox-aanvraag goedkeuren
- Verloop van Lockbox-aanvraag
Bijvoorbeeld:
Tenant-scoped aanvragen - Auditlogboek
Voor klant-lockbox-aanvragen binnen het tenantbereik worden logboekvermeldingen aan het Entra-auditlogboek geschreven. Deze logboekvermeldingen worden gemaakt door de Access Reviews-service met activiteiten zoals:
- Aanvraag maken
- Aanvraag goedgekeurd
- Aanvraag geweigerd
U kunt er voor Service = Access Reviews
en Activity = one of the above activities
.
Bijvoorbeeld:
Notitie
Het tabblad Geschiedenis in de Azure Lockbox-portal is verwijderd vanwege bestaande technische beperkingen. Als u de aanvraaggeschiedenis van Customer Lockbox wilt zien, gebruikt u het activiteitenlogboek voor aanvragen binnen het bereik van het abonnement en het Auditlogboek en het Auditlogboek voor aanvragen binnen tenantbereik.
Customer Lockbox voor Microsoft Azure-integratie met de Microsoft-cloudbeveiligingsbenchmark
We hebben een nieuw basislijnbeheer (PA-8: Toegangsproces voor cloudproviderondersteuning bepalen) geïntroduceerd in de Microsoft Cloud Security-benchmark die betrekking heeft op de toepasselijkheid van Customer Lockbox. Klanten kunnen nu de benchmark gebruiken om de toepasselijkheid van Customer Lockbox voor een service te controleren.
Uitsluitingen
Klanten-Lockbox-aanvragen worden niet geactiveerd in de volgende scenario's:
- Scenario's voor noodgevallen die buiten de standaard operationele procedures vallen en waarvoor urgente actie van Microsoft is vereist om de toegang tot onlineservices te herstellen of om beschadiging of verlies van klantgegevens te voorkomen. Een grote serviceonderbreking of een beveiligingsincident vereist bijvoorbeeld onmiddellijke aandacht voor herstel- of herstelservices onder onverwachte of onvoorspelbare omstandigheden. Deze 'break glass'-gebeurtenissen zijn zeldzaam en vereisen in de meeste gevallen geen toegang tot klantgegevens voor oplossing. De besturingselementen en processen voor de toegang van Microsoft tot klantgegevens in kern-onlineservices zijn afgestemd op NIST 800-53 en worden gevalideerd via SOC 2-controles. Raadpleeg de Azure-beveiligingsbasislijn voor Customer Lockbox voor Microsoft Azure voor meer informatie.
- Een Microsoft-engineer heeft toegang tot het Azure-platform als onderdeel van probleemoplossing en wordt per ongeluk blootgesteld aan klantgegevens. Als voorbeeld, het team van het Azure-netwerk voert probleemoplossing uit, wat resulteert in het vastleggen van pakketten op een netwerkapparaat. Het is zeldzaam dat dergelijke scenario's leiden tot toegang tot zinvolle hoeveelheden klantgegevens. Klanten kunnen hun gegevens verder beveiligen door gebruik te maken van door de klant beheerde sleutels (CMK), die beschikbaar is voor sommige Azure-services. Zie Overzicht van Sleutelbeheer in Azure voor meer informatie.
Externe wettelijke eisen voor gegevens activeren ook geen aanvragen van Klanten-lockbox. Bekijk de discussie van overheidsaanvragen voor gegevens in het Microsoft Vertrouwenscentrum voor details.
Volgende stappen
Schakel Klanten-Lockbox in vanuit de module Beheer in de blade Klanten-Lockbox. Klanten-Lockbox voor Microsoft Azure is beschikbaar voor alle klanten die een ondersteuning voor Azure abonnement hebben met een minimaal niveau van ontwikkelaar.