Partilhar via

Customer Lockbox para Microsoft Fabric

  • Artigo

Use o Customer Lockbox for Microsoft Azure para controlar como os engenheiros da Microsoft acessam seus dados. Neste artigo, você aprenderá como as solicitações do Customer Lockbox são iniciadas, controladas e armazenadas para revisões e auditorias posteriores.

Normalmente, o Customer Lockbox é usado para ajudar os engenheiros da Microsoft a solucionar problemas de uma solicitação de suporte de serviço do Microsoft Fabric. O Customer Lockbox também pode ser usado quando a Microsoft identifica um problema e um evento iniciado pela Microsoft é aberto para investigar o problema.

Habilitar o Customer Lockbox para Microsoft Fabric

Para habilitar o Customer Lockbox for Microsoft Fabric, você deve ser um Administrador Global do Microsoft Entra. Para atribuir funções na ID do Microsoft Entra, consulte Atribuir funções do Microsoft Entra aos usuários.

  1. Abra o portal do Azure.

  2. Vá para Customer Lockbox for Microsoft Azure.

  3. Na guia Administração, selecione Habilitado.

    Captura de ecrã a mostrar a ativação do Customer Lockbox para Microsoft Azure no separador de administração Customer Lockbox para Microsoft Azure.

Pedido de acesso da Microsoft

Nos casos em que o engenheiro da Microsoft não pode solucionar o problema usando ferramentas padrão, permissões elevadas são solicitadas usando o serviço de acesso Just-In-Time (JIT). A solicitação pode vir do engenheiro de suporte original ou de um engenheiro diferente.

Após o envio do pedido de acesso, o serviço JIT avalia o pedido, considerando fatores como:

  • O âmbito do recurso

  • Se o solicitante é uma identidade isolada ou usando autenticação multifator

  • Níveis de permissões

Com base na função JIT, a solicitação também pode incluir uma aprovação de aprovadores internos da Microsoft. Por exemplo, o aprovador pode ser o líder de suporte ao cliente ou o Gerente de DevOps.

Quando a solicitação requer acesso direto aos dados do cliente, uma solicitação do Customer Lockbox é iniciada. Por exemplo, nos casos em que o acesso à área de trabalho remota à máquina virtual de um cliente é necessário. Uma vez que a solicitação do Customer Lockbox é feita, ela aguarda a aprovação do cliente antes que o acesso seja concedido.

Estas etapas descrevem uma solicitação do Customer Lockbox iniciada pela Microsoft para o serviço Microsoft Fabric.

  1. O Administrador Global do Microsoft Entra recebe um e-mail de notificação de solicitação de acesso pendente da Microsoft. O administrador que recebeu o e-mail, torna-se o aprovador designado.

  2. O email fornece um link para o Customer Lockbox no módulo Administração do Azure. Usando o link, o aprovador designado entra no portal do Azure para exibir todas as solicitações pendentes do Customer Lockbox. A solicitação permanece na fila do cliente por quatro dias. Depois disso, a solicitação de acesso expira automaticamente e nenhum acesso é concedido aos engenheiros da Microsoft.

  3. Para obter os detalhes da solicitação pendente, o aprovador designado pode selecionar a solicitação do Customer Lockbox na opção do menu Solicitações pendentes .

  4. Depois de analisar o pedido, o aprovador designado introduz uma justificação e seleciona uma das opções abaixo. Para fins de auditoria, as ações são registradas nos logs do Customer Lockbox.

    • Aprovar - O acesso é concedido ao engenheiro da Microsoft por um período padrão de oito horas.

    • Negar - A solicitação de acesso feita pelo engenheiro da Microsoft é rejeitada e nenhuma ação adicional é tomada.

    Captura de tela dos botões aprovar e negar de uma solicitação pendente do Customer Lockbox for Microsoft Azure.

Registos

O Customer Lockbox tem dois tipos de logs:

  • Logs de atividades - Disponível no log de atividades do Azure Monitor.

    Os seguintes logs de atividades estão disponíveis para o Customer Lockbox:

    • Recusar o Pedido do Sistema de Proteção de Dados
    • Criar o Pedido do Sistema de Proteção de Dados
    • Aprovar o Pedido do Sistema de Proteção de Dados
    • Expiração do Pedido do Sistema de Proteção de Dados

    Para acessar os logs de atividades, no portal do Azure, selecione Log de atividades. Você pode filtrar os resultados para ações específicas.

    Captura de ecrã dos registos de atividade no Customer Lockbox para Microsoft Azure.

  • Logs de auditoria - Disponível no portal de conformidade do Microsoft Purview. Você pode ver os logs de auditoria no portal de administração.

    O Customer Lockbox for Microsoft Fabric tem quatro logs de auditoria:

    Registo de auditoria Nome amigável
    GetRefreshHistoryViaLockbox Obtenha o histórico de atualizações através do cofre
    DeleteAdminUsageDashboardsViaLockbox Excluir painéis de uso do administrador via lockbox
    DeleteUsageMetricsv2PackageViaLockbox Excluir métricas de uso v2 pacote via lockbox
    DeleteAdminMonitoringFolderViaLockbox Excluir pasta de monitoramento admin via lockbox
    GetQueryTextTelemetryViaLockbox Obter texto de consulta do armazenamento de telemetria seguro via Lockbox

Exclusões

Os pedidos do Sistema de Proteção de Dados do Cliente não são acionados nos seguintes cenários de suporte de engenharia:

  • Cenários de emergência fora dos procedimentos operacionais padrão. Por exemplo, uma grande interrupção de serviço requer atenção imediata para recuperar ou restaurar serviços em um cenário inesperado. Esses eventos são raros e geralmente não exigem acesso aos dados do cliente.

  • Um engenheiro da Microsoft acessa a plataforma Azure como parte da solução de problemas e é acidentalmente exposto aos dados do cliente. Por exemplo, durante a solução de problemas, a Equipe de Rede do Azure captura um pacote em um dispositivo de rede. Esses cenários geralmente não resultam em acesso a dados significativos do cliente.

  • Demandas legais externas por dados. Para obter detalhes, consulte Solicitações governamentais de dados na Central de Confiabilidade da Microsoft.

Acesso a dados

O acesso aos dados varia de acordo com a experiência do Microsoft Fabric para a qual sua solicitação se destina. Esta seção lista quais dados o engenheiro da Microsoft pode acessar, depois de aprovar uma solicitação do Customer Lockbox.

  • Power BI - Ao executar as operações listadas abaixo, o engenheiro da Microsoft terá acesso a algumas tabelas vinculadas à sua solicitação. Cada operação usada pelo engenheiro da Microsoft é refletida nos logs de auditoria.

    • Obter histórico de atualização do modelo
    • Excluir painel de uso do administrador
    • Excluir métricas de uso do pacote v2
    • Excluir pasta de monitoramento de administrador
    • Excluir espaço de trabalho de administrador
    • Acessar conjunto de dados específico no armazenamento
    • Obter texto de consulta do armazenamento de telemetria seguro

  • Inteligência em Tempo Real - O engenheiro de Inteligência em Tempo Real terá acesso aos dados do banco de dados KQL vinculado à sua solicitação.

  • Engenharia de Dados - O engenheiro de Engenharia de Dados terá acesso aos seguintes logs do Spark vinculados à sua solicitação:

    • Registos do controlador
    • Registos de eventos
    • Registos do executor

  • Data Factory - O engenheiro do Data Factory terá acesso às definições de pipeline de dados vinculadas à sua solicitação, se a permissão for concedida.

Conteúdos relacionados