Udostępnij za pośrednictwem

Funkcja Skrytka klienta dla platformy Microsoft Azure

Uwaga

Aby korzystać z tej funkcji, organizacja musi mieć plan wsparcia technicznego platformy Azure z minimalnym poziomem Developer.

Większość operacji i pomocy technicznej wykonywanych przez personel i podprocesory firmy Microsoft nie wymaga dostępu do danych klientów. W tych rzadkich okolicznościach, gdy taki dostęp jest wymagany, skrytka klienta dla platformy Microsoft Azure udostępnia interfejs umożliwiający klientom przeglądanie i zatwierdzanie i odrzucanie żądań dostępu do danych klientów. Jest on używany w przypadkach, w których inżynier firmy Microsoft musi uzyskać dostęp do danych klienta, niezależnie od tego, czy jest to bilet pomocy technicznej zainicjowany przez klienta, czy problem zidentyfikowany przez firmę Microsoft.

W tym artykule opisano sposób włączania blokady klienta dla platformy Microsoft Azure oraz sposobu inicjowania, śledzenia i przechowywania żądań na potrzeby późniejszych przeglądów i inspekcji.

Obsługiwane usługi

Następujące usługi są obecnie obsługiwane dla funkcji Customer Lockbox na platformie Microsoft Azure:

  • Usługa Azure API Management
  • Azure App Service
  • Wyszukiwanie AI platformy Azure
  • Usługi platformy Azure AI
  • Azure Chaos Studio - platforma do zarządzania chaosem
  • Azure Communications Gateway
  • Azure Container Registry (Rejestr Kontenerów Azure)
  • Azure Data Box
  • Eksplorator Danych Azure
  • Azure Data Factory
  • Menedżer Danych Azure dla Energetyki
  • Usługa Azure Database dla MySQL
  • Usługa Azure Database for MySQL — serwer elastyczny
  • Baza danych Azure dla PostgreSQL
  • Platforma magazynowania Azure Edge Zone
  • Energia lazurowa
  • Funkcje platformy Azure
  • Azure HDInsight
  • Azure Health Bot
  • Azure Inteligentne Rekomendacje
  • Azure Information Protection (usługa ochrony informacji od Azure)
  • Azure Kubernetes Service
  • Testowanie obciążenia platformy Azure (testowanie w chmurze)
  • Azure Logic Apps
  • Azure Monitor (analiza dzienników)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Zarządzana instancja Azure SQL
  • Azure Storage
  • Transfery subskrypcji platformy Azure
  • Azure Synapse Analytics
  • Commerce AI (Inteligentne rekomendacje)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (pulpity nawigacyjne)
  • Usługa Microsoft Azure Attestation
  • Microsoft Entra Dane Diagnostyczne
  • OpenAI
  • Spring Cloud
  • Ujednolicona usługa wizyjna
  • Maszyny wirtualne na platformie Azure

Włączanie skrytki klienta dla platformy Microsoft Azure

Teraz możesz włączyć Customer Lockbox dla platformy Microsoft Azure w module Administracja.

Uwaga

Aby włączyć blokadę klienta dla platformy Microsoft Azure, konto użytkownika musi mieć przypisaną rolę administratora globalnego.

Przepływ pracy

W poniższych krokach opisano typowy przepływ pracy dla żądania Customer Lockbox na platformie Microsoft Azure.

  1. Ktoś w organizacji ma problem z obciążeniem platformy Azure.

  2. Gdy ta osoba rozwiąże ten problem, ale nie może go rozwiązać, otworzy bilet pomocy technicznej w witrynie Azure Portal. Bilet jest przypisywany do inżyniera pomocy technicznej platformy Azure.

  3. Inżynier pomocy technicznej platformy Azure przegląda żądanie obsługi i określa następne kroki w celu rozwiązania problemu.

  4. Jeśli inżynier pomocy technicznej nie może rozwiązać problemu przy użyciu standardowych narzędzi i wygenerowanych danych usługi, następnym krokiem jest zażądanie podwyższonych uprawnień przy użyciu usługi dostępu Just-In-Time (JIT). To żądanie może pochodzić od oryginalnego inżyniera pomocy technicznej lub innego inżyniera, ponieważ problem jest eskalowany do zespołu usługi Azure DevOps.

  5. Po przesłaniu żądania dostępu przez inżyniera platformy Azure usługa Just In Time ocenia żądanie, uwzględniając takie czynniki jak:

    • Zakres zasobu.
    • Niezależnie od tego, czy obiekt żądający jest tożsamością izolowaną, czy używa uwierzytelniania wieloskładnikowego.
    • Poziomy uprawnień. Na podstawie reguły JIT to żądanie może również zawierać zatwierdzenie od wewnętrznych osób zatwierdzających firmy Microsoft. Na przykład osobą zatwierdzającą może być lider zespołu wsparcia klienta lub menedżer DevOps.

  6. Gdy żądanie wymaga bezpośredniego dostępu do danych klienta, zostanie zainicjowane żądanie Customer Lockbox.

    Żądanie jest teraz w stanie Klient powiadomiony, oczekuje na zatwierdzenie przez klienta, zanim dostęp zostanie przyznany.

  7. Co najmniej jedna osoba zatwierdzająca w organizacji klienta dla danego żądania Customer Lockbox jest określana w następujący sposób:

    • W przypadku żądań dotyczących zasobów w subskrypcji (żądań dostępu do określonych zasobów zawartych w subskrypcji), użytkownicy z rolą Właściciela lub Zatwierdzającego Azure Customer Lockbox dla subskrypcji w powiązanej subskrypcji.
    • W przypadku żądań zakresu dzierżawy (żądań uzyskania dostępu do dzierżawy Microsoft Entra), użytkownicy, którzy mają rolę Administratora Globalnego w dzierżawie.

    Uwaga

    Przypisania ról muszą być skonfigurowane przed rozpoczęciem przetwarzania żądania przez Customer Lockbox dla Microsoft Azure. Wszystkie przypisania ról wykonane po tym, jak Customer Lockbox dla platformy Microsoft Azure rozpocznie przetwarzanie określonego żądania, nie zostaną rozpoznane. W związku z tym, aby używać kwalifikujących się przypisań usługi PIM dla roli Właściciel subskrypcji, użytkownicy muszą aktywować rolę przed zainicjowaniem żądania skrytki klienta. Aby uzyskać więcej informacji na temat aktywowania kwalifikujących się ról usługi PIM, zobacz Aktywowanie ról Microsoft Entra w usłudze PIM, a także / .

    Przypisania ról obejmujące grupy zarządzania nie są obecnie obsługiwane w zamku dostępu klienta Microsoft Azure.

  8. W organizacji klienta, wyznaczeni zatwierdzający skrytkę (Właściciel subskrypcji platformy Azure/Administrator globalny Microsoft Entra/Osoba zatwierdzająca Klienta platformy Azure dla subskrypcji) otrzymują wiadomość e-mail od firmy Microsoft, aby powiadomić ich o oczekującym żądaniu dostępu. Możesz również użyć funkcji alternatywnych powiadomień e-mail usługi Azure Lockbox, aby skonfigurować alternatywny adres e-mail do odbierania powiadomień skrytki w scenariuszach, w których konto platformy Azure nie jest włączone lub jeśli jednostka usługi jest zdefiniowana jako osoba zatwierdzająca skrytkę.

    Przykładowa wiadomość e-mail: Zrzut ekranu przedstawiający powiadomienie e-mail.

  9. Powiadomienie e-mail zawiera link do panelu Customer Lockbox w module Administracyjnym. Wyznaczony zatwierdzający loguje się do portalu Azure, aby wyświetlić wszelkie oczekujące żądania, które ich organizacja ma dla Customer Lockbox dla Microsoft Azure. Zrzut ekranu przedstawiający stronę główną Customer Lockbox dla Microsoft Azure. Żądanie pozostaje w kolejce klienta przez cztery dni. Po tym czasie żądanie dostępu automatycznie wygasa i nie ma dostępu do inżynierów firmy Microsoft.

  10. Aby uzyskać szczegółowe informacje o oczekującym żądaniu, wyznaczona osoba zatwierdzająca może wybrać żądanie Customer Lockbox z Oczekujących Żądań: Zrzut ekranu przedstawiający oczekujące żądanie.

  11. Wyznaczony zatwierdzający może również wybrać ID ŻĄDANIA USŁUGI, aby wyświetlić zgłoszenie do pomocy technicznej utworzone przez oryginalnego użytkownika. Ta informacja zawiera kontekst, dlaczego pomoc techniczna firmy Microsoft jest zaangażowana, oraz historia zgłoszonego problemu. Na przykład: Zrzut ekranu zgłoszenia do pomocy technicznej..

  12. Wyznaczony osoba zatwierdzająca przegląda żądanie i wybiera pozycję Zatwierdź lub Odmów: Zrzut ekranu przedstawiający interfejs 'Zatwierdź lub Odrzuć'. W wyniku zaznaczenia:

    • Zatwierdź: dostęp jest udzielany inżynierowi firmy Microsoft przez czas określony w szczegółach żądania, który jest wyświetlany w powiadomieniu e-mail i w witrynie Azure Portal.
    • Odmów: Żądanie dostępu z podwyższonym poziomem uprawnień przez inżyniera firmy Microsoft jest odrzucane i nie są podejmowane żadne dalsze działania.

    W celach audytu działania podejmowane w tym przepływie pracy są rejestrowane w dziennikach żądań Customer Lockbox.

Dzienniki inspekcji

Dzienniki inspekcji dla skrytki klienta dla platformy Azure są zapisywane w dziennikach aktywności dla żądań z zakresem subskrypcji i w Dzienniku audytowym Entra dla żądań o zakresie najemcy.

Żądania o zakresie subskrypcji — dzienniki aktywności

W witrynie Azure Portal w sekcji "Customer Lockbox" dla platformy Microsoft Azure wybierz pozycję dzienniki aktywności, aby wyświetlić informacje o inspekcjach związanych z żądaniami Customer Lockbox. Dzienniki aktywności można również wyświetlić w panelu szczegółów dla danej subskrypcji. W obu przypadkach można filtrować pod kątem określonych operacji, takich jak:

  • Odrzuć żądanie skrytki depozytowej
  • Utwórz żądanie blokady
  • Zatwierdź żądanie skrytki
  • Wygaśnięcie prośby o skrytkę depozytową

Przykład:

Zrzut ekranu przedstawiający dzienniki aktywności.

Żądania ograniczone do najemcy — log audytu

W przypadku żądań Customer Lockbox o zakresie dzierżawy wpisy dziennika są zapisywane w Entra Audit Log. Te wpisy dziennika są tworzone przez usługę Przeglądy dostępu z działaniami, takimi jak:

  • Tworzenie żądania
  • Żądanie zatwierdzone
  • Odmowa żądania

Można filtrować wartości Service = Access Reviews i Activity = one of the above activities.

Przykład:

Zrzut ekranu przedstawiający dziennik inspekcji.

Uwaga

Karta Historia w portalu Azure Lockbox została usunięta z powodu istniejących ograniczeń technicznych. Aby wyświetlić historię żądań skrytki klienta, użyj dziennika aktywności dla żądań o zakresie subskrypcji i dziennika inspekcji entra dla żądań o zakresie dzierżawy.

Narzędzie Customer Lockbox dla Microsoft Azure w integracji z wzorcem bezpieczeństwa w chmurze Microsoft

Wprowadziliśmy nową podstawową kontrolę (PA-8: Określenie procesu dostępu do pomocy technicznej dostawcy chmury) w ramach benchmarku zabezpieczeń chmury Microsoft, który obejmuje zastosowanie Lockbox klienta. Klienci mogą teraz korzystać z wskaźnika, aby przejrzeć zastosowanie Customer Lockbox dla usługi.

Wykluczenia

Żądania Customer Lockbox nie są uruchamiane w następujących scenariuszach:

  • Scenariusze awaryjne, które wykraczają poza standardowe procedury operacyjne i wymagają pilnej akcji od firmy Microsoft w celu przywrócenia dostępu do Usługi online lub zapobiegania uszkodzeniu lub utracie danych klienta albo badania zdarzenia związanego z zabezpieczeniami lub nadużyciami. Na przykład duża awaria usługi lub zdarzenie zabezpieczeń wymaga natychmiastowej uwagi na odzyskiwanie lub przywracanie usług w nieoczekiwanych lub nieprzewidywalnych okolicznościach. Te "awaryjne" zdarzenia są rzadkie i w większości przypadków nie wymagają dostępu do danych klientów do rozwiązania problemu. Mechanizmy kontroli i procesów zarządzających dostępem firmy Microsoft do danych klientów w podstawowych Usługi online są zgodne z NIST 800-53 i są weryfikowane za pośrednictwem inspekcji SOC 2. Aby uzyskać więcej informacji, zobacz Podstawowe zasady zabezpieczeń dla Customer Lockbox w Microsoft Azure.
  • Inżynier firmy Microsoft uzyskuje dostęp do platformy Azure w ramach rozwiązywania problemów i przypadkowo uwidacznia dane klientów. Na przykład zespół ds. sieci platformy Azure wykonuje procedurę rozwiązywania problemów, której rezultatem jest przechwycenie pakietów na urządzeniu sieciowym. Rzadko zdarza się, że takie scenariusze spowodują dostęp do znaczących ilości danych klientów. Klienci mogą dodatkowo chronić swoje dane za pomocą kluczy zarządzanych przez klienta (CMK), które są dostępne dla niektórych usług platformy Azure. Aby uzyskać więcej informacji, zobacz Omówienie zarządzania kluczami na platformie Azure.

Zewnętrzne wymagania prawne dotyczące danych również nie wyzwalają żądań usługi Customer Lockbox. Szczegółowe informacje znajdują się w omówieniu żądań instytucji rządowych dotyczących danych w Centrum zaufania Microsoft.

Następne kroki

Włącz funkcję Skrytka klienta z poziomu modułu administracyjnego w bloku Skrytka klienta. Lockbox klienta dla platformy Microsoft Azure jest dostępny dla wszystkich klientów posiadających plan pomocy technicznej platformy Azure na minimalnym poziomie Deweloper.