Блокировка клиента для Microsoft Fabric

  • Статья

Используйте хранилище клиентов для Microsoft Azure для управления доступом инженеров Майкрософт к вашим данным. В этой статье вы узнаете, как инициируются, отслеживаются и хранятся запросы на блокировку клиентов для последующих проверок и аудита.

Как правило, блокировка клиента используется для устранения неполадок с запросом на поддержку службы Microsoft Fabric инженерами Майкрософт. Блокировка клиента также может использоваться, когда корпорация Майкрософт определяет проблему, а событие, инициированное корпорацией Майкрософт, открывается для изучения проблемы.

Включение блокировки клиента для Microsoft Fabric

Чтобы включить блокировку клиента для Microsoft Fabric, необходимо быть глобальной Администратор istrator Microsoft Entra. Сведения о назначении ролей в идентификаторе Microsoft Entra см. в статье "Назначение ролей Microsoft Entra пользователям".

  1. Откройте портал Azure.

  2. Перейдите в папку "Блокировка клиента" для Microsoft Azure.

  3. На вкладке Администратор istration выберите "Включено".

    Screenshot of enabling Customer Lockbox for Microsoft Azure in the Customer Lockbox for Microsoft Azure administration tab.

Запрос доступа Майкрософт

В случаях, когда инженер Майкрософт не может устранить проблему с помощью стандартных средств, запрашиваются повышенные разрешения с помощью службы JIT-доступа . Запрос может поступать от исходного инженера поддержки или от другого инженера.

После отправки запроса на доступ служба JIT оценивает запрос, учитывая такие факторы, как:

  • Область действия ресурса

  • Является ли инициатор запроса изолированной идентификационной единицей или использует многофакторную проверку подлинности

  • Уровни разрешений

На основе роли JIT запрос также может включать утверждение от внутренних утверждающих Майкрософт. Например, утверждающий может быть руководителем службы поддержки клиентов или Диспетчером DevOps.

Когда запросу требуется прямой доступ к данным клиента, инициируется запрос на доступ к защищенному хранилищу. Например, в случаях, когда требуется доступ к виртуальной машине клиента удаленного рабочего стола. После того как запрос на блокировку клиента будет выполнен, он ожидает утверждения клиента перед предоставлением доступа.

В этих шагах описан запрос на блокировку клиента, инициированный Корпорацией Майкрософт, для службы Microsoft Fabric.

  1. Microsoft Entra Global Администратор istrator получает сообщение электронной почты уведомления о запросе на доступ от Корпорации Майкрософт. Администратор, который получил сообщение электронной почты, становится назначенным утверждающим.

    Screenshot of pending access request notification email from Microsoft.

  2. Электронная почта предоставляет ссылку на папку "Блокировка клиента" в модуле Администратор istration Azure. Используя ссылку, назначенный утверждающий войдите в портал Azure, чтобы просмотреть все ожидающие запросы на блокировку клиента. Запрос остается в очереди клиента в течение четырех дней. После этого срок действия запроса на доступ автоматически истекает, и доступ к инженерам Майкрософт не предоставляется.

  3. Чтобы получить сведения о ожидающем запросе, назначенный утверждающий может выбрать запрос на блокировку клиента в меню "Ожидающие запросы ".

  4. После проверки запроса назначенный утверждающий вводит обоснование и выбирает один из следующих вариантов. В целях аудита действия регистрируются в журналах блокировки клиента.

    • Утверждение . Доступ предоставляется инженеру Майкрософт в течение восьми часов по умолчанию.

    • Запрет . Запрос на доступ инженером Майкрософт отклоняется, и дальнейшие действия не принимаются.

    Screenshot of the approve and deny buttons of a pending Customer Lockbox for Microsoft Azure request.

Журналы

В папке "Блокировка клиента" есть два типа журналов:

  • Журналы действий — доступные из журнала действий Azure Monitor.

    Для блокировки клиента доступны следующие журналы действий:

    • Deny Lockbox Request (Отклонить запрос на доступ к защищенному хранилищу).
    • Create Lockbox Request (Создать запрос на доступ к защищенному хранилищу).
    • Approve Lockbox Request (Утвердить запрос на доступ к защищенному хранилищу).
    • Lockbox Request Expiry (Срок действия запроса к защищенному хранилищу)

    Чтобы получить доступ к журналам действий, в портал Azure выберите "Журнал действий". Результаты можно отфильтровать для определенных действий.

    Screenshot of the activity logs in Customer Lockbox for Microsoft Azure.

  • Журналы аудита — доступные из Портал соответствия требованиям Microsoft Purview. Журналы аудита можно просмотреть на портале администрирования.

    В папке "Блокировка клиента" для Microsoft Fabric есть четыре журнала аудита:

    Журнал аудита Понятное имя
    GetRefreshHistoryViaLockbox Получение журнала обновления с помощью блокировки
    Delete Администратор UsageDashboardsViaLockbox Удаление панелей мониторинга использования администратора с помощью блокировки
    DeleteUsageMetricsv2PackageViaLockbox Удаление пакета метрик использования версии 2 с помощью блокировки
    Delete Администратор MonitoringFolderViaLockbox Удаление папки мониторинга администратора с помощью блокировки

Исключения

Запросы на доступ к защищенному хранилищу не активируются в следующих сценариях поддержки специалистов:

  • Аварийные ситуации, которые выходят за пределы стандартных операционных процедур. Например, в крупном сбое службы требуется немедленное внимание для восстановления или восстановления служб в непредвиденном сценарии. Эти события являются редкими и обычно не требуют доступа к данным клиента.

  • Инженер Майкрософт обращается к платформе Azure в рамках устранения неполадок и случайно предоставляется данным клиента. Например, во время устранения неполадок группа сети Azure записывает пакет на сетевом устройстве. Такие сценарии обычно не приводят к доступу к значимым данным клиента.

  • Внешние юридические требования к данным. Дополнительные сведения см . в запросах государственных организаций на данные в Центре управления безопасностью Майкрософт.

Доступ к данным

Доступ к данным зависит от вашего запроса в Microsoft Fabric. В этом разделе перечислены данные, к которым инженер Майкрософт может получить доступ после утверждения запроса на блокировку клиента.

  • Power BI . При выполнении операций, перечисленных ниже, инженер Майкрософт получит доступ к нескольким таблицам, связанным с вашим запросом. Каждая операция, используется инженером Майкрософт, отражается в журналах аудита.

    • Получение журнала обновления
    • Удаление панели мониторинга использования администратора
    • Удаление пакета метрик использования версии 2
    • Удаление папки мониторинга администратора

  • Аналитика в режиме реального времени. Инженер аналитики в режиме реального времени получит доступ к данным в базе данных KQL, связанной с вашим запросом.

  • Инжиниринг данных . Инженер Инжиниринг данных получит доступ к следующим журналам Spark, связанным с вашим запросом:

    • Журналы драйверов
    • Журналы событий
    • Журналы исполнителя

  • Фабрика данных — инженер фабрики данных получит доступ к определениям конвейера данных, связанным с вашим запросом, если разрешение предоставлено.

Связанный контент