Защищенное хранилище для Microsoft Fabric

Важно!

Microsoft Fabric находится в предварительной версии.

Используйте защищенное хранилище для Microsoft Azure, чтобы контролировать доступ инженеров Майкрософт к вашим данным. В этой статье вы узнаете, как инициируются, отслеживаются и хранятся запросы защищенного защищенного хранилища для последующих проверок и аудита.

Как правило, защищенное хранилище используется для помощи инженерам Майкрософт в устранении неполадок, связанных с запросом в службу поддержки Microsoft Fabric. Защищенное хранилище также можно использовать, когда корпорация Майкрософт определяет проблему и открывает событие, инициированное корпорацией Майкрософт, для изучения проблемы.

Включение защищенного защищенного хранилища для Microsoft Fabric

Чтобы включить защищенное хранилище для Microsoft Fabric, необходимо быть глобальным администратором Azure AD. Сведения о назначении ролей в Azure AD см. в статье Назначение Azure AD ролей пользователям.

  1. Откройте портал Azure.

  2. Перейдите в раздел Защищенное хранилище для Microsoft Azure.

  3. На вкладке Администрирование выберите Включено.

    Снимок экрана: включение защищенного хранилища для Microsoft Azure на вкладке администрирования

Запрос доступа Майкрософт

В тех случаях, когда инженеру Майкрософт не удается устранить проблему с помощью стандартных средств, запрашиваются повышенные разрешения с помощью службы JIT-доступа . Запрос может поступать от исходного инженера службы поддержки или от другого инженера.

После отправки запроса на доступ JIT-служба оценивает запрос с учетом таких факторов, как:

  • Область действия ресурса

  • Является ли инициатор запроса изолированной идентификационной единицей или использует многофакторную проверку подлинности

  • Уровни разрешений

В зависимости от роли JIT запрос может также включать утверждение от внутренних утверждающих майкрософт. Например, утверждающий может быть руководителем службы поддержки клиентов или DevOps Manager.

Когда запросу требуется прямой доступ к данным клиента, инициируется запрос на доступ к защищенному хранилищу. Например, в случаях, когда требуется доступ к виртуальной машине клиента на удаленном рабочем столе. После выполнения запроса защищенного защищенного хранилища он ожидает утверждения клиента перед предоставлением доступа.

Эти действия описывают запрос защищенного защищенного хранилища для службы Microsoft Fabric, инициированный корпорацией Майкрософт.

  1. Глобальный администратор Azure AD получает от корпорации Майкрософт уведомление об ожидающем запросе доступа. Администратор, который получил сообщение электронной почты, становится назначенным утверждающим.

    Снимок экрана: сообщение электронной почты с уведомлением об ожидающем запросе доступа от корпорации Майкрософт.

  2. Сообщение электронной почты содержит ссылку на защищенное хранилище в модуле администрирования Azure. Используя ссылку, назначенный утверждающий входит в портал Azure, чтобы просмотреть все ожидающие запросы к защищенному хранилищу. Запрос остается в очереди клиента в течение четырех дней. После этого срок действия запроса на доступ автоматически истекает, и инженерам Майкрософт не предоставляется никакого доступа.

  3. Чтобы получить сведения об ожидающем запросе, назначенный утверждающий может выбрать запрос защищенного хранилища в меню Ожидающие запросы .

  4. После проверки запроса назначенный утверждающий вводит обоснование и выбирает один из вариантов ниже. В целях аудита действия регистрируются в журналах защищенного хранилища.

    • Утвердить — доступ предоставляется инженеру Майкрософт в течение восьми часов по умолчанию.

    • Запрет — запрос на доступ от инженера Майкрософт отклоняется, и дальнейшие действия не предпринимаются.

    Снимок экрана: кнопки

Журналы

Защищенное хранилище имеет два типа журналов:

  • Журналы действий — доступны в журнале действий Azure Monitor.

    Для защищенного хранилища доступны следующие журналы действий:

    • Deny Lockbox Request (Отклонить запрос на доступ к защищенному хранилищу).
    • Create Lockbox Request (Создать запрос на доступ к защищенному хранилищу).
    • Approve Lockbox Request (Утвердить запрос на доступ к защищенному хранилищу).
    • Lockbox Request Expiry (Срок действия запроса к защищенному хранилищу)

    Чтобы получить доступ к журналам действий, в портал Azure выберите Журнал действий. Вы можете отфильтровать результаты по определенным действиям.

    Снимок экрана: журналы действий в защищенном хранилище для Microsoft Azure.

  • Журналы аудита доступны в Портал соответствия требованиям Microsoft Purview. Журналы аудита можно просмотреть на портале администрирования.

    Защищенное хранилище для Microsoft Fabric содержит четыре журнала аудита:

    Журнал аудита Понятное имя
    GetRefreshHistoryViaLockbox Получение журнала обновлений через защищенное хранилище
    DeleteAdminUsageDashboardsViaLockbox Удаление панелей мониторинга использования администратора через защищенное хранилище
    DeleteUsageMetricsv2PackageViaLockbox Удаление пакета метрик использования версии 2 с помощью защищенного хранилища
    DeleteAdminMonitoringFolderViaLockbox Удаление папки мониторинга администратора с помощью защищенного хранилища

Исключения

Запросы на доступ к защищенному хранилищу не активируются в следующих сценариях поддержки специалистов:

  • Аварийные ситуации, которые выходят за пределы стандартных операционных процедур. Например, крупный сбой службы требует немедленного внимания к восстановлению или восстановлению служб в непредвиденном сценарии. Эти события редки и обычно не требуют доступа к данным клиента.

  • Инженер Майкрософт обращается к платформе Azure в рамках устранения неполадок и случайно получает доступ к данным клиента. Например, во время устранения неполадок команда сети Azure записывает пакет на сетевом устройстве. Такие сценарии обычно не приводят к доступу к значимым данным клиентов.

  • Внешние юридические требования к данным. Дополнительные сведения см. в статье Запросы государственных организаций на данные в Центре управления безопасностью Майкрософт.

Дальнейшие действия