Funkcja Skrytka klienta dla platformy Microsoft Azure
Uwaga
Aby korzystać z tej funkcji, organizacja musi mieć plan pomoc techniczna platformy Azure z minimalnym poziomem dewelopera.
Większość operacji i pomocy technicznej wykonywanych przez personel i podprocesory firmy Microsoft nie wymaga dostępu do danych klientów. W tych rzadkich okolicznościach, gdy taki dostęp jest wymagany, skrytka klienta dla platformy Microsoft Azure udostępnia interfejs umożliwiający klientom przeglądanie i zatwierdzanie i odrzucanie żądań dostępu do danych klientów. Jest on używany w przypadkach, w których inżynier firmy Microsoft musi uzyskać dostęp do danych klienta, niezależnie od tego, czy jest to bilet pomocy technicznej zainicjowany przez klienta, czy problem zidentyfikowany przez firmę Microsoft.
W tym artykule opisano sposób włączania blokady klienta dla platformy Microsoft Azure oraz sposobu inicjowania, śledzenia i przechowywania żądań na potrzeby późniejszych przeglądów i inspekcji.
Obsługiwane usługi
Następujące usługi są obecnie obsługiwane w przypadku blokady klienta dla platformy Microsoft Azure:
- Usługa Azure API Management
- Azure App Service
- Wyszukiwanie AI platformy Azure
- Azure Chaos Studio
- Azure Cognitive Services
- Azure Container Registry
- Azure Data Box
- Azure Data Explorer
- Azure Data Factory
- Azure Data Manager for Energy
- Azure Database for MySQL
- Usługa Azure Database for MySQL — serwer elastyczny
- Azure Database for PostgreSQL
- Azure Edge Zone Platform Storage
- Azure Energy
- Azure Functions
- Azure HDInsight
- Azure Health Bot
- Azure Intelligent Rekomendacje
- Azure Kubernetes Service
- Testowanie obciążenia platformy Azure (testowanie w chmurze)
- Azure Logic Apps
- Azure Monitor (Log Analytics)
- Azure Red Hat OpenShift
- Azure Spring Apps
- Azure SQL Database
- Wystąpienie zarządzane Azure SQL
- Azure Storage
- Przenoszenie subskrypcji platformy Azure
- Azure Synapse Analytics
- Commerce AI (Intelligent Rekomendacje)
- DevCenter /DevBox
- ElasticSan
- Kusto (pulpity nawigacyjne)
- Usługa Microsoft Azure Attestation
- OpenAI
- Spring Cloud
- Unified Vision Service
- Maszyny wirtualne na platformie Azure
Włączanie skrytki klienta dla platformy Microsoft Azure
Teraz możesz włączyć funkcję Blokada klienta dla platformy Microsoft Azure z modułu Administracja istration.
Uwaga
Aby włączyć blokadę klienta dla platformy Microsoft Azure, konto użytkownika musi mieć przypisaną rolę Global Administracja istrator.
Przepływ pracy
W poniższych krokach opisano typowy przepływ pracy dla żądania klienta dla żądania platformy Microsoft Azure.
Ktoś w organizacji ma problem z obciążeniem platformy Azure.
Gdy ta osoba rozwiąże ten problem, ale nie może go rozwiązać, otworzy bilet pomocy technicznej w witrynie Azure Portal. Bilet jest przypisywany do inżyniera pomocy technicznej platformy Azure.
Inżynier pomocy technicznej platformy Azure przegląda żądanie obsługi i określa następne kroki w celu rozwiązania problemu.
Jeśli inżynier pomocy technicznej nie może rozwiązać problemu przy użyciu standardowych narzędzi i wygenerowanych danych usługi, następnym krokiem jest zażądanie podwyższonych uprawnień przy użyciu usługi dostępu Just-In-Time (JIT). To żądanie może pochodzić od oryginalnego inżyniera pomocy technicznej lub innego inżyniera, ponieważ problem jest eskalowany do zespołu usługi Azure DevOps.
Po przesłaniu żądania dostępu przez inżyniera platformy Azure usługa Just In Time ocenia żądanie, uwzględniając takie czynniki jak:
- Zakres zasobu.
- Niezależnie od tego, czy obiekt żądający jest tożsamością izolowanym, czy też przy użyciu uwierzytelniania wieloskładnikowego.
- Poziomy uprawnień. Na podstawie reguły JIT to żądanie może również zawierać zatwierdzenie od wewnętrznych osób zatwierdzających firmy Microsoft. Na przykład osoba zatwierdzająca może być potencjalnym klientem pomocy technicznej lub menedżerem DevOps.
Gdy żądanie wymaga bezpośredniego dostępu do danych klienta, zostanie zainicjowane żądanie skrytki klienta. Na przykład dostęp pulpitu zdalnego do maszyny wirtualnej klienta.
Żądanie jest teraz w stanie Powiadomienie o kliencie, czekając na zatwierdzenie klienta przed udzieleniem dostępu.
Co najmniej jeden osoba zatwierdzająca w organizacji klienta dla danego żądania skrytki klienta jest określany w następujący sposób:
- W przypadku żądań w zakresie subskrypcji (żądań dostępu do określonych zasobów zawartych w ramach subskrypcji) użytkownicy z rolą Właściciel lub Osoba zatwierdzająca klienta platformy Azure dla roli subskrypcji (obecnie w publicznej wersji zapoznawczej) w skojarzonej subskrypcji.
- W przypadku żądań zakresu dzierżawy (żądań uzyskania dostępu do dzierżawy firmy Microsoft Entra) użytkownicy z rolą Global Administracja istrator w dzierżawie.
Uwaga
Przypisania ról muszą znajdować się przed rozpoczęciem przetwarzania żądania przez blokadę klienta dla platformy Microsoft Azure. Wszystkie przypisania ról wykonane po rozpoczęciu przetwarzania danego żądania przez klienta skrytki klienta dla platformy Microsoft Azure nie zostaną rozpoznane. W związku z tym, aby używać kwalifikujących się przypisań usługi PIM dla roli Właściciel subskrypcji, użytkownicy muszą aktywować rolę przed zainicjowaniem żądania skrytki klienta. Aby uzyskać więcej informacji na temat aktywowania kwalifikujących się ról usługi PIM, zobacz Aktywowanie ról zasobów platformy Azure w usłudze PIM / w usłudze Microsoft Entra.
Przypisania ról ograniczone do grup zarządzania nie są obecnie obsługiwane w skrytce klienta dla platformy Microsoft Azure.
W organizacji klienta wyznaczone osoby zatwierdzające skrytkę (właściciel/subskrypcji platformy Azure Microsoft Entra Global admin/Osoba zatwierdzająca klienta platformy Azure dla subskrypcji otrzymują wiadomość e-mail od firmy Microsoft, aby powiadomić ich o oczekującym żądaniu dostępu. Możesz również użyć funkcji alternatywnych powiadomień e-mail usługi Azure Lockbox (obecnie w publicznej wersji zapoznawczej), aby skonfigurować alternatywny adres e-mail do odbierania powiadomień skrytki w scenariuszach, w których konto platformy Azure nie jest włączone lub jeśli jednostka usługi jest zdefiniowana jako osoba zatwierdzająca skrytka.
Przykładowa wiadomość e-mail:
Powiadomienie e-mail zawiera link do bloku Blokada klienta w module Administracja istration. Wyznaczony osoba zatwierdzająca loguje się do witryny Azure Portal, aby wyświetlić wszelkie oczekujące żądania, które ich organizacja ma dla blokady klienta dla platformy Microsoft Azure:
Żądanie pozostaje w kolejce klienta przez cztery dni. Po tym czasie żądanie dostępu automatycznie wygasa i nie ma dostępu do inżynierów firmy Microsoft.Aby uzyskać szczegółowe informacje o oczekującym żądaniu, wyznaczona osoba zatwierdzająca może wybrać żądanie skrytki klienta z oczekujących żądań:
Wyznaczony osoba zatwierdzająca może również wybrać identyfikator ŻĄDANIA OBSŁUGI, aby wyświetlić żądanie biletu pomocy technicznej utworzone przez oryginalnego użytkownika. Te informacje zawierają kontekst, dlaczego pomoc techniczna firmy Microsoft jest zaangażowany i historia zgłoszonego problemu. Na przykład:
.
Wyznaczony osoba zatwierdzająca przegląda żądanie i wybiera pozycję Zatwierdź lub Odmów:
W wyniku zaznaczenia:- Zatwierdź: dostęp jest udzielany inżynierowi firmy Microsoft przez czas określony w szczegółach żądania, który jest wyświetlany w powiadomieniu e-mail i w witrynie Azure Portal.
- Odmów: Żądanie dostępu z podwyższonym poziomem uprawnień przez inżyniera firmy Microsoft jest odrzucane i nie są podejmowane żadne dalsze działania.
W celach inspekcji akcje wykonywane w tym przepływie pracy są rejestrowane w dziennikach żądań skrytki klienta.
Dzienniki inspekcji
Dzienniki funkcji Skrytka klienta są przechowywane w dziennikach aktywności. W witrynie Azure Portal wybierz pozycję Dzienniki aktywności, aby wyświetlić informacje inspekcji związane z żądaniami skrytki klienta. Można odfiltrować określone akcje, takie jak:
- Odmowa żądania skrytki
- Tworzenie żądania skrytki
- Zatwierdzanie żądania skrytki
- Wygaśnięcie żądania skrytki
Przykład:
Blokada klienta dla integracji platformy Microsoft Azure z testem porównawczym zabezpieczeń w chmurze firmy Microsoft
Wprowadziliśmy nową kontrolę punktu odniesienia (PA-8: Określanie procesu dostępu do pomocy technicznej dostawcy usług w chmurze) w temie porównawczym zabezpieczeń w chmurze firmy Microsoft, który obejmuje możliwość stosowania rozwiązania Lockbox klienta. Klienci mogą teraz korzystać z testu porównawczego, aby przejrzeć możliwość stosowania skrytki klienta dla usługi.
Wykluczenia
Żądania skrytki klienta nie są wyzwalane w następujących scenariuszach:
- Scenariusze awaryjne, które wykraczają poza standardowe procedury operacyjne. Na przykład duża awaria usługi wymaga natychmiastowej uwagi na odzyskiwanie lub przywracanie usług w nieoczekiwanym lub nieprzewidywalnym scenariuszu. Te zdarzenia "break glass" są rzadkie i, w większości przypadków, nie wymagają dostępu do danych klientów w celu rozwiązania problemu.
- Inżynier firmy Microsoft uzyskuje dostęp do platformy Azure w ramach rozwiązywania problemów i przypadkowo uwidacznia dane klientów. Na przykład zespół ds. sieci platformy Azure wykonuje procedurę rozwiązywania problemów, której rezultatem jest przechwycenie pakietów na urządzeniu sieciowym. Rzadko zdarza się, że takie scenariusze spowodują dostęp do znaczących ilości danych klientów. Klienci mogą dodatkowo chronić swoje dane za pomocą kluczy zarządzanych przez klienta (CMK), które są dostępne dla niektórych usług platformy Azure. Aby uzyskać więcej informacji, zobacz Omówienie zarządzania kluczami na platformie Azure.
Zewnętrzne wymagania prawne dotyczące danych nie wyzwalają również żądań skrytki klienta. Aby uzyskać szczegółowe informacje, zobacz dyskusję na temat żądań instytucji rządowych dotyczących danych w Centrum zaufania firmy Microsoft.
Następne kroki
Włącz blokadę klienta z modułu Administracja istration w bloku Skrytka klienta. Skrytka klienta dla platformy Microsoft Azure jest dostępna dla wszystkich klientów, którzy mają plan pomoc techniczna platformy Azure z minimalnym poziomem dewelopera.