Delen via

Klantenkluis voor Microsoft Azure

Opmerking

Om deze functie te gebruiken, moet uw organisatie een Azure-supportplan hebben met minimaal het niveau Developer.

De meeste operaties en ondersteuning uitgevoerd door Microsoft-personeel en subprocessors vereisen geen toegang tot klantgegevens. In die zeldzame gevallen waarin dergelijke toegang vereist is, biedt Customer Lockbox voor Microsoft Azure een interface waarmee klanten toegang tot klantgegevens kunnen beoordelen en goedkeuren of afwijzen. Het wordt gebruikt in gevallen waarin een Microsoft-ingenieur toegang nodig heeft tot klantgegevens, of dit nu is in reactie op een door klanten geïnitieerd supportticket of een probleem dat door Microsoft is geïdentificeerd.

Dit artikel behandelt hoe Customer Lockbox voor Microsoft Azure kan worden ingeschakeld en hoe aanvragen worden gestart, gevolgd en opgeslagen voor latere beoordelingen en audits.

Ondersteunde diensten

De volgende services worden momenteel ondersteund voor Customer Lockbox voor Microsoft Azure:

  • Azure API Management
  • Azure App Service
  • Azure AI Search
  • Azure AI-diensten
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registratiedienst
  • Azure Data Box
  • Azure-gegevensverkenner
  • Azure Data Factory
  • Azure Gegevensbeheerder voor Energie
  • Azure Database voor MySQL
  • Azure Database for MySQL Flexible Server
  • Azure-database voor PostgreSQL
  • Azure Edge Zone Platformopslag
  • Azure Energie
  • Azure Functions (serverloze computerdiensten van Azure)
  • Azure HDInsight
  • Azure Health Bot
  • Azure Intelligent Recommendations (Aanbevelingen van Azure Intelligent)
  • Azure Information Protection (beveiliging van informatie)
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative testen)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL Managed Instance (een beheerde database-instantie van Azure)
  • Azure-opslag
  • Abonnementsoverdrachten in Azure
  • Azure Synapse Analytics
  • Commerce AI (Intelligente Aanbevelingen)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (Dashboards)
  • Microsoft Azure Attestatie
  • Microsoft Entra diagnostische gegevens
  • OpenAI
  • Spring Cloud
  • Geïntegreerde visieservice
  • Virtuele machines in Azure

Schakel Customer Lockbox in voor Microsoft Azure

U kunt nu Customer Lockbox voor Microsoft Azure inschakelen vanuit de Beheermodule.

Opmerking

Om Customer Lockbox voor Microsoft Azure in te schakelen, moet het gebruikersaccount de rol Global Beheerder toegewezen krijgen.

Werkproces

De volgende stappen schetsen een typische workflow voor een Customer Lockbox voor een Microsoft Azure-verzoek.

  1. Iemand bij een organisatie heeft een probleem met hun Azure-werklast.

  2. Nadat deze persoon het probleem heeft opgelost, maar het niet kan repareren, opent hij een supportticket in de Azure-portal. Het ticket is toegewezen aan een Azure Klantenservice-ingenieur.

  3. Een Azure Support Engineer bekijkt het serviceverzoek en bepaalt de volgende stappen om het probleem op te lossen.

  4. Als de support engineer het probleem niet kan oplossen met behulp van standaardtools en door de service gegenereerde gegevens, is de volgende stap het aanvragen van verhoogde toegangsrechten via een Just-In-Time (JIT) toegangsservice. Dit verzoek kan afkomstig zijn van de oorspronkelijke support engineer of van een andere engineer omdat het probleem is geëscaleerd naar het Azure DevOps-team.

  5. Nadat de Azure Engineer een toegangsverzoek heeft ingediend, evalueert de Just-In-Time service de aanvraag en houdt daarbij rekening met factoren zoals:

    • De reikwijdte van de bron.
    • Of de aanvrager een geïsoleerde identiteit is of gebruikmaakt van multifactorauthenticatie.
    • Machtingsniveaus. Op basis van de JIT-regel kan deze aanvraag ook een goedkeuring van interne Microsoft-keurders bevatten. Bijvoorbeeld, de goedkeurder kan de leidinggevende klantenservice of de DevOps-manager zijn.

  6. Wanneer er direct toegang tot klantgegevens nodig is, wordt een Customer Lockbox-verzoek ingediend.

    Het verzoek bevindt zich nu in een Customer Notified toestand, wachtend op de goedkeuring van de klant voordat toegang wordt verleend.

  7. Eén of meer goedkeurders binnen de klantorganisatie voor een bepaald aanvraag van Customer Lockbox worden als volgt bepaald:

    • Voor abonnement-gescopeerde verzoeken (verzoeken om toegang tot specifieke middelen binnen een abonnement), gebruikers met de rol van Eigenaar of de Azure Customer Lockbox Goedkeurder voor Abonnement op het geassocieerde abonnement.
    • Voor aanvragen met tenant-bereik (verzoeken om toegang tot de Microsoft Entra-tenant), gebruikers met de rol van Globale beheerder op de tenant.

    Opmerking

    Roltoewijzingen moeten aanwezig zijn voordat Customer Lockbox voor Microsoft Azure begint met het verwerken van een aanvraag. Roltoewijzingen die zijn gemaakt nadat Customer Lockbox voor Microsoft Azure begint met het verwerken van een bepaald verzoek, worden niet herkend. Vanwege dit moeten gebruikers de rol activeren voordat het Customer Lockbox-verzoek wordt ingediend, om PIM-geschikte toewijzingen voor de rol van Abonnementseigenaar te kunnen gebruiken. Raadpleeg Microsoft Entra-rollen activeren in PIM / Azure-resources rollen activeren in PIM voor meer informatie over het activeren van PIM-gerechtigde rollen.

    Roltoewijzingen die zijn beperkt tot beheergroepen worden op dit moment niet ondersteund in Customer Lockbox voor Microsoft Azure.

  8. Bij de klantorganisatie ontvangen aangewezen lockbox goedkeurders (Azure Subscription Owner/Microsoft Entra Global admin/Azure Customer Lockbox Approver for Subscription een e-mail van Microsoft om hen te informeren over het openstaande toegangsverzoek. Je kunt ook de functie Azure Lockbox alternatieve e-mailmeldingen gebruiken om een alternatief e-mailadres te configureren om lockboxmeldingen te ontvangen in situaties waarin het Azure-account niet e-mail-geactiveerd is of als een serviceprincipe is gedefinieerd als de lockboxgoedkeurder.

    Example email: Een screenshot van de e-mailmelding.

  9. De e-mailmelding bevat een link naar de Customer Lockbox sectie in de Beheermodule. De aangewezen goedkeurder logt in op het Azure-portaal om eventuele openstaande verzoeken te bekijken die hun organisatie heeft voor Customer Lockbox voor Microsoft Azure. A screenshot of the Customer Lockbox for Microsoft Azure landing page. Het verzoek blijft vier dagen in de klantenwachtrij staan. Na deze periode verloopt het toegangsverzoek automatisch en krijgen Microsoft-ingenieurs geen toegang.

  10. Om de details van het wachtende verzoek te krijgen, kan de aangewezen goedkeurder het Customer Lockbox-verzoek selecteren uit Wachtende Verzoeken: Een screenshot van het wachtende verzoek.

  11. De aangewezen goedkeurder kan ook de SERVICE REQUEST ID selecteren om het supportticketverzoek te bekijken dat door de oorspronkelijke gebruiker is aangemaakt. Deze informatie biedt context over waarom Microsoft Support is betrokken en de geschiedenis van het gemelde probleem. Bijvoorbeeld: Een screenshot van het aanvraagformulier voor ondersteuning.

  12. De aangewezen goedkeurder beoordeelt het verzoek en kiest Goedkeuren of Afwijzen: Een screenshot van de goedkeur- of weigerinterface. Als resultaat van de selectie:

    • Goedkeuren: Toegang wordt verleend aan de Microsoft-ingenieur voor de duur die is gespecificeerd in de aanvraagdetails, zoals weergegeven in de e-mailmelding en in het Azure-portaal.
    • Weigeren: Het verzoek voor verhoogde toegang van de Microsoft-ingenieur wordt afgewezen en er worden geen verdere acties ondernomen.

    Voor auditdoeleinden worden de acties die in deze workflow zijn uitgevoerd, vastgelegd in de Customer Lockbox-aanvraaglogboeken.

Controlelogboeken

De controleslogs voor Customer Lockbox voor Azure worden geschreven naar de activiteitslogs voor abonnementsgerichte verzoeken en naar de Entra Auditinglog voor huurdergerichte verzoeken.

Abonnementsgerichte verzoeken - Activiteitenlogboeken

In de Azure-portal, op het Customer Lockbox voor Microsoft Azure-blad, selecteer Activiteitslogs om auditinformatie met betrekking tot Customer Lockbox-aanvragen te bekijken. U kunt ook de Activiteitenlogboeken bekijken in het scherm met abonnementsdetails voor het betreffende abonnement. In beide gevallen kunt u filteren op specifieke bewerkingen, zoals:

  • Afwijzen Lockbox-aanvraag
  • Creëer Lockbox-verzoek
  • Keur Lockbox-aanvraag goed
  • Verloop van Lockbox-aanvraag

Als voorbeeld:

Een screenshot van de activiteitenlogboeken.

Verzoek op huurderniveau - Audit Logboek

Voor tenant-scoped Customer Lockbox-verzoeken worden logboekvermeldingen geschreven in het Entra Audit Log. Deze logboekvermeldingen worden aangemaakt door de Access Reviews-service met activiteiten zoals:

  • Aanvraag maken
  • Aanvraag goedgekeurd
  • Verzoek afgewezen

Je kunt filteren op Service = Access Reviews en Activity = one of the above activities.

Als voorbeeld:

Een screenshot van het auditlogboek.

Opmerking

De tab Geschiedenis in het Azure Lockbox-portaal is verwijderd vanwege bestaande technische beperkingen. Om de geschiedenis van de Customer Lockbox-verzoeken te bekijken, gebruikt u de Activiteitenlogboek voor abonnements-gerichte verzoeken en de Entra Audit Log voor tenant-gerichte verzoeken.

Klantenbox voor Microsoft Azure-integratie met de Microsoft cloudbeveiligingsbenchmark

We hebben een nieuwe basiscontrole geïntroduceerd (PA-8: Bepaal het toegangsproces voor ondersteuning van cloudproviders) in de Microsoft-cloudbeveiligingsbenchmark die de toepasbaarheid van Customer Lockbox dekt. Klanten kunnen nu de benchmark gebruiken om de toepasbaarheid van Customer Lockbox voor een dienst te beoordelen.

Uitsluitingen

Customer Lockbox-aanvragen worden niet geactiveerd in de volgende scenario's:

  • Noodsituaties die buiten de standaard operationele procedures vallen en dringende actie van Microsoft vereisen om de toegang tot online diensten te herstellen, om corruptie of verlies van klantgegevens te voorkomen, of om een beveiligingsincident of misbruik te onderzoeken. Bijvoorbeeld, een grote storing in de dienstverlening of een beveiligingsincident vereist onmiddellijke aandacht om de diensten te herstellen of terug online te brengen onder onverwachte of onvoorspelbare omstandigheden. Deze "break glass"-gebeurtenissen zijn zeldzaam en vereisen in de meeste gevallen geen toegang tot klantgegevens voor oplossing. De controles en processen die de toegang van Microsoft tot klantgegevens in de kern online diensten beheersen, zijn afgestemd op NIST 800-53 en worden gevalideerd door SOC 2-audits. Voor meer informatie, raadpleeg de Azure security baseline voor Customer Lockbox voor Microsoft Azure.
  • Een Microsoft-ingenieur krijgt toegang tot het Azure-platform als onderdeel van problemen oplossen en wordt onbedoeld blootgesteld aan klantgegevens. De Azure-netwerkgroep voert bijvoorbeeld probleemoplossing uit die resulteert in het vastleggen van pakketten op een netwerkapparaat. Het is zeldzaam dat dergelijke scenario's resulteren in toegang tot substantiële hoeveelheden klantgegevens. Klanten kunnen hun gegevens verder beschermen door gebruik te maken van door de klant beheerde sleutels (CMK), die beschikbaar zijn voor sommige Azure-diensten. Voor meer informatie zie Overzicht van Key Management in Azure.

Externe juridische verzoeken voor gegevens activeren ook geen Customer Lockbox-verzoeken. Voor details, zie de bespreking van overheidsverzoeken om gegevens op het Microsoft Trust Center.

Volgende stappen

Schakel Customer Lockbox in via de Administratiemodule in het Customer Lockbox-blad. Customer Lockbox voor Microsoft Azure is beschikbaar voor alle klanten die een Azure-ondersteuningsplan hebben met ten minste het niveau Developer.