Skrytka klienta dla usługi Microsoft Fabric

  • Artykuł

Ważne

Usługa Microsoft Fabric jest dostępna w wersji zapoznawczej.

Użyj skrytki klienta dla platformy Microsoft Azure , aby kontrolować sposób uzyskiwania dostępu do danych przez inżynierów firmy Microsoft. W tym artykule dowiesz się, jak żądania skrytki klienta są inicjowane, śledzone i przechowywane na potrzeby późniejszych przeglądów i inspekcji.

Zazwyczaj skrytka klienta służy do pomocy inżynierom firmy Microsoft w rozwiązywaniu problemów z żądaniem pomocy technicznej usługi Microsoft Fabric. Skrytka klienta może być również używana, gdy firma Microsoft identyfikuje problem, a zdarzenie zainicjowane przez firmę Microsoft jest otwierane w celu zbadania problemu.

Włączanie skrytki klienta dla usługi Microsoft Fabric

Aby włączyć funkcję Skrytka klienta dla usługi Microsoft Fabric, musisz być administratorem globalnym Azure AD. Aby przypisać role w Azure AD, zobacz Przypisywanie ról Azure AD do użytkowników.

  1. Otwórz witrynę Azure Portal.

  2. Przejdź do obszaru Skrytka klienta dla platformy Microsoft Azure.

  3. Na karcie Administracja wybierz pozycję Włączone.

    Zrzut ekranu przedstawiający włączanie skrytki klienta dla platformy Microsoft Azure na karcie Blokada klienta dla administrowania platformą Microsoft Azure.

Żądanie dostępu firmy Microsoft

W przypadkach, gdy inżynier firmy Microsoft nie może rozwiązać problemu przy użyciu narzędzi standardowych, wymagane są podniesione uprawnienia przy użyciu usługi dostępu just in time (JIT). Żądanie może pochodzić od oryginalnego inżyniera pomocy technicznej lub od innego inżyniera.

Po przesłaniu żądania dostępu usługa JIT ocenia żądanie, biorąc pod uwagę następujące czynniki:

  • Zakres zasobu

  • Określa, czy obiekt żądający jest tożsamością izolowanym, czy przy użyciu uwierzytelniania wieloskładnikowego

  • Poziomy uprawnień

Na podstawie roli JIT żądanie może również zawierać zatwierdzenie od wewnętrznych osób zatwierdzających firmy Microsoft. Na przykład osoba zatwierdzająca może być potencjalnym klientem pomocy technicznej lub menedżerem DevOps.

Jeśli żądanie wymaga bezpośredniego dostępu do danych klienta, inicjowane jest żądanie skrytki klienta. Na przykład w przypadkach, gdy wymagany jest dostęp pulpitu zdalnego do maszyny wirtualnej klienta. Po złożeniu żądania skrytki klienta oczekuje ona na zatwierdzenie przez klienta przed udzieleniem dostępu.

W tych krokach opisano żądanie skrytki klienta zainicjowane przez firmę Microsoft dla usługi Microsoft Fabric.

  1. Administrator globalny Azure AD otrzymuje wiadomość e-mail z powiadomieniem o żądaniu dostępu oczekujących od firmy Microsoft. Administrator, który otrzymał wiadomość e-mail, staje się wyznaczonym osobam zatwierdzającym.

    Zrzut ekranu przedstawiający wiadomość e-mail z powiadomieniem o oczekujących żądaniach dostępu od firmy Microsoft.

  2. Wiadomość e-mail zawiera link do skrytki klienta w module administrowania platformą Azure. Za pomocą linku wyznaczona osoba zatwierdzająca loguje się do Azure Portal, aby wyświetlić wszystkie oczekujące żądania skrytki klienta. Żądanie pozostaje w kolejce klienta przez cztery dni. Następnie żądanie dostępu automatycznie wygasa i nie ma dostępu do inżynierów firmy Microsoft.

  3. Aby uzyskać szczegóły oczekującego żądania, wyznaczona osoba zatwierdzająca może wybrać żądanie skrytki klienta z opcji menu Oczekujące żądania .

  4. Po przejrzeniu żądania wyznaczony osoba zatwierdzająca wprowadza uzasadnienie i wybiera jedną z poniższych opcji. W celach inspekcji akcje są rejestrowane w dziennikach skrytki klienta.

    • Zatwierdź — dostęp jest udzielany inżynierowi firmy Microsoft przez domyślny okres ośmiu godzin.

    • Odmów — żądanie dostępu inżyniera firmy Microsoft jest odrzucane i nie są podejmowane żadne dalsze działania.

    Zrzut ekranu przedstawiający przyciski zatwierdź i odmów oczekującego skrytki klienta dla żądania platformy Microsoft Azure.

Dzienniki

Skrytka klienta ma dwa typy dzienników:

  • Dzienniki aktywności — dostępne w dzienniku aktywności usługi Azure Monitor.

    Następujące dzienniki aktywności są dostępne dla skrytki klienta:

    • Odmowa żądania skrytki
    • Utworzenie żądania skrytki
    • Zatwierdzenie żądania skrytki
    • Wygaśnięcie żądania skrytki

    Aby uzyskać dostęp do dzienników aktywności, w Azure Portal wybierz pozycję Dziennik aktywności. Wyniki można filtrować pod kątem określonych akcji.

    Zrzut ekranu przedstawiający dzienniki aktywności w polu blokady klienta dla platformy Microsoft Azure.

  • Dzienniki inspekcji — dostępne z portal zgodności Microsoft Purview. Dzienniki inspekcji są widoczne w portalu administracyjnym.

    Skrytka klienta dla usługi Microsoft Fabric ma cztery dzienniki inspekcji:

    Dziennik inspekcji Przyjazna nazwa
    GetRefreshHistoryViaLockbox Pobieranie historii odświeżania za pośrednictwem skrytki
    DeleteAdminUsageDashboardsViaLockbox Usuwanie pulpitów nawigacyjnych użycia administratora za pośrednictwem skrytki
    DeleteUsageMetricsv2PackageViaLockbox Usuwanie pakietu metryk użycia w wersji 2 za pośrednictwem skrytki
    DeleteAdminMonitoringFolderViaLockbox Usuwanie folderu monitorowania administratora za pośrednictwem skrytki

Wykluczenia

Żądania funkcji Skrytka klienta nie są wyzwalane w następujących scenariuszach dotyczących pomocy technicznej inżynierów:

  • Scenariusze awaryjne, które wykraczają poza standardowe procedury operacyjne. Na przykład duża awaria usługi wymaga natychmiastowej uwagi na odzyskiwanie lub przywracanie usług w nieoczekiwanym scenariuszu. Te zdarzenia są rzadkie i zwykle nie wymagają dostępu do danych klientów.

  • Inżynier firmy Microsoft uzyskuje dostęp do platformy Azure w ramach rozwiązywania problemów i jest przypadkowo narażony na dane klientów. Na przykład podczas rozwiązywania problemów zespół ds. sieci platformy Azure przechwytuje pakiet na urządzeniu sieciowym. Takie scenariusze zwykle nie powodują dostępu do istotnych danych klientów.

  • Zewnętrzne wymagania prawne dotyczące danych. Aby uzyskać szczegółowe informacje, zobacz Żądania instytucji rządowych dotyczące danych w Centrum zaufania firmy Microsoft.

Dostęp do danych

Dostęp do danych różni się w zależności od środowiska usługi Microsoft Fabric, dla którego żądasz. Ta sekcja zawiera listę danych, do których inżynier firmy Microsoft może uzyskać dostęp po zatwierdzeniu żądania skrytki klienta.

  • Power BI — podczas uruchamiania operacji wymienionych poniżej inżynier firmy Microsoft będzie miał dostęp do kilku tabel połączonych z twoim żądaniem. Każda operacja używana przez inżyniera firmy Microsoft jest odzwierciedlana w dziennikach inspekcji.

    • Pobieranie historii odświeżania
    • Usuwanie pulpitu nawigacyjnego użycia administratora
    • Usuwanie pakietu metryk użycia w wersji 2
    • Usuń folder monitorowania administratora

  • Analiza w czasie rzeczywistym — inżynier usługi Real-Time Analytics będzie miał dostęp do danych w bazie danych KQL połączonej z twoim żądaniem.

Następne kroki