Customer Lockbox para Microsoft Fabric

Utilize o Customer Lockbox for Microsoft Azure para controlar como os engenheiros da Microsoft acedem aos seus dados. Neste artigo, você aprenderá como as solicitações do Customer Lockbox são iniciadas, controladas e armazenadas para revisões e auditorias posteriores.

Normalmente, o Customer Lockbox é usado para ajudar os engenheiros da Microsoft a solucionar problemas de uma solicitação de suporte de serviço do Microsoft Fabric. O Customer Lockbox também pode ser usado quando a Microsoft identifica um problema e um evento iniciado pela Microsoft é aberto para investigar o problema.

Ativar o Customer Lockbox para o Microsoft Fabric

Para habilitar o Customer Lockbox for Microsoft Fabric, você deve ser um Administrador Global do Microsoft Entra. Para atribuir funções na ID do Microsoft Entra, consulte Atribuir funções do Microsoft Entra aos usuários.

  1. Abra o portal do Azure.

  2. Vá para Customer Lockbox for Microsoft Azure.

  3. Na guia Administração, selecione Habilitado.

    Captura de ecrã a mostrar a ativação do Customer Lockbox para Microsoft Azure no separador de administração Customer Lockbox para Microsoft Azure.

Pedido de acesso da Microsoft

Note

Para garantir que o pedido é visível, o utilizador deve ter um papel ativo de Administrador Global no Entra ID antes de o pedido lockbox ser iniciado pela Microsoft.

Nos casos em que o engenheiro da Microsoft não pode solucionar o problema usando ferramentas padrão, permissões elevadas são solicitadas usando o serviço de acesso Just-In-Time (JIT). A solicitação pode vir do engenheiro de suporte original ou de um engenheiro diferente.

Após o envio do pedido de acesso, o serviço JIT avalia o pedido, considerando fatores como:

  • O âmbito do recurso

  • Se o solicitante é uma identidade isolada ou usando autenticação multifator

  • Níveis de permissões

Com base na função JIT, a solicitação também pode incluir uma aprovação de aprovadores internos da Microsoft. Por exemplo, o aprovador pode ser o líder de suporte ao cliente ou o Gerente de DevOps.

Quando a solicitação requer acesso direto aos dados do cliente, uma solicitação do Customer Lockbox é iniciada. Por exemplo, em casos em que seja necessário acesso remoto ao ambiente de trabalho da máquina virtual de um cliente. Uma vez que a solicitação do Customer Lockbox é feita, ela aguarda a aprovação do cliente antes que o acesso seja concedido.

Estas etapas descrevem uma solicitação do Customer Lockbox iniciada pela Microsoft para o serviço Microsoft Fabric.

  1. O Administrador Global do Microsoft Entra recebe um e-mail de notificação de solicitação de acesso pendente da Microsoft. O administrador que recebeu o e-mail, torna-se o aprovador designado.

  2. O email fornece um link para o Customer Lockbox no módulo Administração do Azure. Usando o link, o aprovador designado entra no portal do Azure para exibir todas as solicitações pendentes do Customer Lockbox. A solicitação permanece na fila do cliente por quatro dias. Depois disso, a solicitação de acesso expira automaticamente e nenhum acesso é concedido aos engenheiros da Microsoft.

  3. Para obter os detalhes da solicitação pendente, o aprovador designado pode selecionar a solicitação do Customer Lockbox na opção do menu Solicitações pendentes .

  4. Depois de analisar o pedido, o aprovador designado introduz uma justificação e seleciona uma das opções abaixo. Para fins de auditoria, as ações são registradas nos logs do Customer Lockbox.

    • Aprovar - O acesso é concedido ao engenheiro da Microsoft por um período padrão de oito horas.

    • Negar - A solicitação de acesso feita pelo engenheiro da Microsoft é rejeitada e nenhuma ação adicional é tomada.

    Captura de tela dos botões aprovar e negar de uma solicitação pendente do Customer Lockbox for Microsoft Azure.

Registos

O Customer Lockbox tem dois tipos de logs:

  • Registos de atividade - Disponível no registo de atividade do Azure Monitor.

    Os seguintes logs de atividades estão disponíveis para o Customer Lockbox:

    • Rejeitar Pedido de Lockbox
    • Criar solicitação de Lockbox
    • Aprovar Pedido de Lockbox
    • Expiração do pedido de lockbox

    Para aceder aos registos de atividade, no portal do Azure, selecione Registo de Atividades. Você pode filtrar os resultados para ações específicas.

    Captura de ecrã dos registos de atividade no Customer Lockbox para Microsoft Azure.

  • Registos de auditoria - Disponíveis no portal do Microsoft Purview. Pode consultar os registos de auditoria no portal de administração.

    O Customer Lockbox for Microsoft Fabric tem quatro registos de auditoria:

    Registo de auditoria Nome amigável
    GetRefreshHistoryViaLockbox Obter o histórico de atualização via Lockbox
    Eliminar painéis de utilização do administrador através do Lockbox Eliminar painéis de utilização de administrador através do lockbox
    DeleteUsageMetricsv2PackageViaLockbox Eliminar o pacote de métricas de utilização v2 via lockbox
    DeleteAdminMonitoringFolderViaLockbox Excluir pasta de monitoramento admin via lockbox
    GetQueryTextTelemetryViaLockbox Obter o texto da consulta do repositório de telemetria seguro via Lockbox

Exclusões

Os pedidos de Customer Lockbox não são acionados nos seguintes cenários de suporte de engenharia:

  • Cenários de emergência fora dos procedimentos operacionais padrão. Por exemplo, uma grande interrupção de serviço requer atenção imediata para recuperar ou restaurar serviços em um cenário inesperado. Esses eventos são raros e geralmente não exigem acesso aos dados do cliente.

  • Um engenheiro da Microsoft acessa a plataforma Azure como parte da solução de problemas e é acidentalmente exposto aos dados do cliente. Por exemplo, durante a solução de problemas, a Equipe de Rede do Azure captura um pacote em um dispositivo de rede. Esses cenários geralmente não resultam em acesso a dados significativos do cliente.

  • Demandas legais externas por dados. Para obter detalhes, consulte Solicitações governamentais de dados na Central de Confiabilidade da Microsoft.

Acesso a dados

O acesso aos dados varia de acordo com a experiência do Microsoft Fabric para a qual sua solicitação se destina. Esta seção lista quais dados o engenheiro da Microsoft pode acessar, depois de aprovar uma solicitação do Customer Lockbox.

  • Power BI - Ao executar as operações listadas abaixo, o engenheiro da Microsoft terá acesso a algumas tabelas vinculadas à sua solicitação. Cada operação usada pelo engenheiro da Microsoft é refletida nos logs de auditoria.

    • Obter histórico de atualização do modelo
    • Excluir painel de uso do administrador
    • Eliminar pacote v2 de métricas de utilização
    • Excluir pasta de monitoramento de administrador
    • Excluir espaço de trabalho de administrador
    • Acessar conjunto de dados específico no armazenamento
    • Obter texto de consulta do armazenamento de telemetria seguro

  • Inteligência em Tempo Real - O engenheiro de Inteligência em Tempo Real terá acesso aos dados do banco de dados KQL vinculado à sua solicitação.

  • Engenharia de Dados - O engenheiro de Engenharia de Dados terá acesso aos seguintes logs do Spark vinculados à sua solicitação:

    • Registos do controlador
    • Registos de eventos
    • Registos do executor

  • Data Factory - O engenheiro do Data Factory terá acesso às definições de pipeline vinculadas à sua solicitação, se a permissão for concedida.

Conteúdos relacionados

  • Last updated on