Klanten-lockbox voor Microsoft Azure

Notitie

Als u deze functie wilt gebruiken, moet uw organisatie een ondersteuning voor Azure-plan hebben met een minimaal niveau ontwikkelaar.

Voor de meeste bewerkingen en ondersteuning die door Microsoft-personeel en subprocessors wordt uitgevoerd, is geen toegang tot klantgegevens vereist. In zeldzame gevallen waarin dergelijke toegang is vereist, biedt Customer Lockbox voor Microsoft Azure een interface voor klanten om aanvragen voor toegang tot klantgegevens te beoordelen en goed te keuren of af te wijzen. Het wordt gebruikt in gevallen waarin een Microsoft-technicus toegang moet hebben tot klantgegevens, of dit nu gebeurt als reactie op een door de klant geïnitieerd ondersteuningsticket of een probleem dat door Microsoft is geïdentificeerd.

In dit artikel wordt beschreven hoe u Customer Lockbox inschakelt voor Microsoft Azure en hoe aanvragen worden geïnitieerd, bijgehouden en opgeslagen voor latere beoordelingen en controles.

Ondersteunde services

De volgende services worden momenteel ondersteund voor Customer Lockbox voor Microsoft Azure:

• Azure API Management
• Azure App Service
• Azure AI Search
• Azure Chaos Studio
• Azure Cognitive Services
• Azure Container Registry
• Azure Data Box
• Azure Data Explorer
• Azure Data Factory
• Azure Data Manager for Energy
• Azure Database for MySQL
• Azure Database for MySQL Flexibele server
• Azure Database for PostgreSQL
• Azure Edge Zone Platform Storage
• Azure Energy
• Azure Functions
• Azure HDInsight
• Azure Health Bot
• Azure Intelligent Aanbevelingen
• Azure Kubernetes Service
• Azure Load Testing (CloudNative Testing)
• Azure Logic-apps
• Azure Monitor (Log Analytics)
• Azure Red Hat OpenShift
• Azure Spring Apps
• Azure SQL Database
• Azure SQL Managed Instance
• Azure Storage
• Overdrachten van Azure-abonnementen
• Azure Synapse Analytics
• Commerce AI (Intelligent Aanbevelingen)
• DevCenter/DevBox
• ElasticSan
• Kusto (dashboards)
• Microsoft Azure Attestation
• OpenAI
• Spring Cloud
• Unified Vision-service
• Virtuele machines in Azure

Customer Lockbox inschakelen voor Microsoft Azure

U kunt Nu Customer Lockbox voor Microsoft Azure inschakelen vanuit de module Beheer istration.

Notitie

Als u Customer Lockbox voor Microsoft Azure wilt inschakelen, moet aan het gebruikersaccount de rol Global Beheer istrator zijn toegewezen.

Workflow

De volgende stappen geven een overzicht van een typische werkstroom voor een Klanten-lockbox voor Microsoft Azure-aanvragen.

1. Iemand in een organisatie heeft een probleem met de Azure-workload.

2. Nadat deze persoon het probleem heeft opgelost, maar het probleem niet kan worden opgelost, openen ze een ondersteuningsticket vanuit Azure Portal. Het ticket is toegewezen aan een Azure-klantondersteuningstechnicus.

3. Een Azure-ondersteuningstechnicus controleert de serviceaanvraag en bepaalt de volgende stappen om het probleem op te lossen.

4. Als de ondersteuningstechnicus het probleem niet kan oplossen met behulp van standaardhulpprogramma's en door de service gegenereerde gegevens, is de volgende stap het aanvragen van verhoogde machtigingen met behulp van een JIT-toegangsservice (Just-In-Time). Deze aanvraag kan afkomstig zijn van de oorspronkelijke ondersteuningstechnicus of van een andere technicus omdat het probleem wordt geëscaleerd naar het Azure DevOps-team.

5. Nadat de Azure-engineer een toegangsaanvraag heeft ingediend, evalueert De Just-In-Time-service de aanvraag, rekening houdend met factoren zoals:

   • Het bereik van de resource.
   • Of de aanvrager nu een geïsoleerde identiteit is of meervoudige verificatie gebruikt.
   • Machtigingsniveaus. Op basis van de JIT-regel kan deze aanvraag ook een goedkeuring van interne Microsoft-goedkeurders bevatten. De fiatteur kan bijvoorbeeld de klantondersteuningsmanager of DevOps Manager zijn.

6. Wanneer voor de aanvraag directe toegang tot klantgegevens is vereist, wordt een Klant-Lockbox-aanvraag gestart. Bijvoorbeeld extern bureaublad-toegang tot de virtuele machine van een klant.

   De aanvraag bevindt zich nu in de status Klant op de hoogte en wacht op de goedkeuring van de klant voordat toegang wordt verleend.

7. Een of meer goedkeurders van de klantorganisatie voor een bepaalde klanten-Lockbox-aanvraag worden als volgt bepaald:

   • Voor aanvragen met abonnementsbereik (aanvragen voor toegang tot specifieke resources in een abonnement), gebruikers met de rol Eigenaar of de Azure Customer Lockbox-fiatteur voor de abonnementsrol (momenteel in openbare preview) voor het bijbehorende abonnement.
   • Voor tenantbereikaanvragen (aanvragen voor toegang tot de Microsoft Entra-tenant), gebruikers met de rol Global Beheer istrator op de tenant.

   Notitie

   Roltoewijzingen moeten aanwezig zijn voordat Customer Lockbox voor Microsoft Azure een aanvraag gaat verwerken. Roltoewijzingen die zijn gemaakt nadat Customer Lockbox voor Microsoft Azure begint met het verwerken van een bepaalde aanvraag, worden niet herkend. Als u daarom PIM-toewijzingen wilt gebruiken die in aanmerking komen voor de rol Abonnementseigenaar, moeten gebruikers de rol activeren voordat de klanten-lockbox-aanvraag wordt gestart. Raadpleeg Microsoft Entra-rollen activeren in PIM / Azure-resourcerollen activeren in PIM voor meer informatie over het activeren van in aanmerking komende PIM-rollen.

   Roltoewijzingen binnen het bereik van beheergroepen worden momenteel niet ondersteund in Customer Lockbox voor Microsoft Azure.

8. In de organisatie van de klant ontvangen aangewezen lockbox-goedkeurders (Azure Subscription Owner/Microsoft Entra Global admin/Azure Customer Lockbox Approver for Subscription een e-mail van Microsoft om hen op de hoogte te stellen van de in behandeling zijnde toegangsaanvraag. U kunt ook de functie alternatieve e-mailmeldingen van Azure Lockbox (momenteel in openbare preview) gebruiken om een alternatief e-mailadres te configureren voor het ontvangen van lockbox-meldingen in scenario's waarin het Azure-account geen e-mail is ingeschakeld of als een service-principal is gedefinieerd als de lockbox-fiatteur.

   Voorbeeld van e-mail:

9. De e-mailmelding bevat een koppeling naar de blade Customer Lockbox in de module Beheer istration. De aangewezen fiatteur meldt zich aan bij De Azure-portal om openstaande aanvragen weer te geven die hun organisatie heeft voor Customer Lockbox voor Microsoft Azure: De aanvraag blijft vier dagen in de wachtrij van de klant. Na deze tijd verloopt de toegangsaanvraag automatisch en wordt er geen toegang verleend aan Microsoft-technici.

10. Om de details van de aanvraag in behandeling te krijgen, kan de aangewezen fiatteur de klant-Lockbox-aanvraag selecteren bij Aanvragen die in behandeling zijn:

11. De aangewezen fiatteur kan ook de SERVICEAANVRAAG-id selecteren om de aanvraag voor het ondersteuningsticket weer te geven die is gemaakt door de oorspronkelijke gebruiker. Deze informatie biedt context waarom Microsoft Ondersteuning wordt ingeschakeld en de geschiedenis van het gemelde probleem. Bijvoorbeeld:

12. De aangewezen fiatteur controleert de aanvraag en selecteert Goedkeuren of Weigeren: Als gevolg van de selectie:

    • Goedkeuren: Toegang wordt verleend aan de Microsoft-technicus voor de duur die is opgegeven in de aanvraagdetails, die wordt weergegeven in de e-mailmelding en in de Azure-portal.
    • Weigeren: de aanvraag voor verhoogde toegang door de Microsoft-technicus wordt geweigerd en er wordt geen verdere actie ondernomen.

    Voor controledoeleinden worden de acties die in deze werkstroom worden uitgevoerd, vastgelegd in de aanvraaglogboeken van Customer Lockbox.

Controlelogboeken

Logboeken van de Klanten-lockbox worden opgeslagen in activiteitenlogboeken. Selecteer in De Azure-portal activiteitenlogboeken om controlegegevens weer te geven met betrekking tot Klanten-lockbox-aanvragen. U kunt filteren op specifieke acties, zoals:

• Lockbox-aanvraag weigeren
• Lockbox-aanvraag maken
• Lockbox-aanvraag goedkeuren
• Verloop van Lockbox-aanvraag

Bijvoorbeeld:

Customer Lockbox voor Microsoft Azure-integratie met de Microsoft-cloudbeveiligingsbenchmark

We hebben een nieuw basislijnbeheer (PA-8: Toegangsproces voor cloudproviderondersteuning bepalen) geïntroduceerd in de Microsoft Cloud Security-benchmark die betrekking heeft op de toepasselijkheid van Customer Lockbox. Klanten kunnen nu de benchmark gebruiken om de toepasselijkheid van Customer Lockbox voor een service te controleren.

Uitsluitingen

Klanten-Lockbox-aanvragen worden niet geactiveerd in de volgende scenario's:

• Scenario's voor noodgevallen die buiten de standaardbedrijfsprocedures vallen. Een grote servicestoring vereist bijvoorbeeld onmiddellijke aandacht voor het herstellen of herstellen van services in een onverwacht of onvoorspelbaar scenario. Deze 'break glass'-gebeurtenissen zijn zeldzaam en hebben in de meeste gevallen geen toegang tot klantgegevens nodig om dit op te lossen.
• Een Microsoft-engineer heeft toegang tot het Azure-platform als onderdeel van probleemoplossing en wordt per ongeluk blootgesteld aan klantgegevens. Als voorbeeld, het team van het Azure-netwerk voert probleemoplossing uit, wat resulteert in het vastleggen van pakketten op een netwerkapparaat. Het is zeldzaam dat dergelijke scenario's leiden tot toegang tot zinvolle hoeveelheden klantgegevens. Klanten kunnen hun gegevens verder beveiligen door gebruik te maken van door de klant beheerde sleutels (CMK), die beschikbaar is voor sommige Azure-services. Zie Overzicht van Sleutelbeheer in Azure voor meer informatie.

Externe juridische vereisten voor gegevens activeren ook geen klanten-lockbox-aanvragen. Zie de bespreking van overheidsaanvragen voor gegevens in het Vertrouwenscentrum van Microsoft voor meer informatie.

Volgende stappen

Schakel Customer Lockbox in vanuit de module Beheer istration op de blade Customer Lockbox. Customer Lockbox voor Microsoft Azure is beschikbaar voor alle klanten die een ondersteuning voor Azure abonnement hebben met een minimaal niveau ontwikkelaar.

• Klanten-lockbox voor alternatieve e-mailmeldingen van Microsoft Azure
• Veelgestelde vragen over Customer Lockbox voor Microsoft Azure