Журналы прозрачности (предварительная версия)
Важно
Это предварительная версия функции. Эта информация относится к предварительной версии функции, которая может быть существенно изменена до ее выпуска. Майкрософт не предоставляет никаких гарантий, явных или подразумеваемых, относительно приведенных здесь сведений.
Правительства во всем мире хотят использовать преимущества гипермасштабируемого облака, но требуют гарантий того, что Microsoft, как их поставщик облачных услуг, обрабатывает данные при соблюдении их требований к суверенитету, а также позволяет им проверять доступ инженеров Microsoft к их облачным ресурсам.
Чтобы завоевать доверие суверенных клиентов, Майкрософт использует журналы прозрачности, в которых предоставляет клиентам информацию о случаях, когда инженеры Майкрософт получали доступ к ресурсам клиентов с помощью службы JIT-доступа. Эти журналы прозрачности предоставляют суверенным клиентам более полную информацию, чем в настоящее время обеспечивает коммерческое облако Azure.
В редких случаях инженерам Microsoft требуется прямой доступ к ресурсам клиентов. Доступ обычно требуется в ответ на запросы в службу поддержки клиентов. В таких ситуациях инженерам Microsoft может быть предоставлен временный доступ с действительным бизнес-обоснованием. Помимо предоставления подробной информации о доступе к ресурсам клиента, журналы прозрачности также информируют вас о том, что доступ не осуществлялся (это является наиболее вероятным случаем).
Что можно делать с журналами прозрачности
Журналы прозрачности содержат подробную информацию о том, когда инженеры Microsoft получали доступ к вашим ресурсам, что помогает обеспечить соответствие требованиям к суверенитету и другим нормативным требованиям. Журналы помогают ответить на следующие вопросы, связанные с доступными ресурсами и инженерами Microsoft, которые к ним обращались:
Сведения о ресурсах:
- К каким подпискам был получен доступ?
- Когда был получен доступ?
- В какой службе Azure был получен доступ?
Сведения об инженере Microsoft:
- Какова роль инженера, получившего доступ к ресурсу?
- Каково местонахождение офиса инженера?
- Как долго инженер имел доступ к ресурсу?
Подробности, отражаемые в журналах прозрачности
На следующем снимке экрана показаны сведения о сеансе доступа инженера службы поддержки к службе Azure Kubernetes в среде клиента.
Журналы прозрачности обычно содержат следующую информацию:
- Идентификатор клиента: уникальный идентификатор клиента, для которого был создан отчет.
- Имя клиента: имя клиента, для которого был создан отчет.
- Дата сеанса. Дата и время предоставления доступа.
- Длительность. Максимальная длительность доступа.
- Идентификатор группы управления. Идентификатор группы управления, к которой принадлежит подписка. Значение этого поля может быть Недоступно в тех случаях, когда эта информация недоступна.
- Имя группы управления. Имя группы управления, к которой принадлежит подписка. Значение этого поля может быть Недоступно в тех случаях, когда эта информация недоступна.
- Идентификатор подписки. Уникальный идентификатор подписки, к которой был получен доступ.
- Роль инженера. Инженер службы поддержки клиентов или инженер DevOps.
- Местоположение инженера. Назначенное местоположение офиса инженера, запросившего доступ.
- Имя службы. Общедоступное имя службы Azure.
Сфера применения журналов прозрачности
Журналы прозрачности данных ограничены службами Microsoft Azure Service и вашим клиентом Azure. Журналы предоставляют сведения о доступе инженеров Microsoft в течение 90 дней с даты создания отчета. Вы будете получать обновленные журналы в первую среду каждого месяца.
Отчет не содержит сведений о доступе инженеров Майкрософт к следующим ресурсам и службам:
- Оборудование в центре обработки данных Azure. Чтобы узнать о привилегиях доступа для инженеров центров обработки данных Microsoft, см. Команды сервисного управления и обслуживания.
- Службы Microsoft 365
- Службы Microsoft Dynamics 365
- Microsoft Power Platform
В отчете также нет информации о следующих случаях доступа и запросах:
- Доступ со стороны инженеров заказчика или других лиц. См. Журналы входа в систему Entra.
- Запросы данных от правительства. Дополнительные сведения о том, как Microsoft отвечает на запросы правительства о предоставлении данных, см. в Отчете о запросах правоохранительных органов.
Включение
Чтобы запросить доступ к этой предварительной версии функции, следуйте инструкциям ниже:
Важно
Чтобы мы могли вас зарегистрировать, вам должна быть назначена роль глобального администратора, и с вашей учетной записью пользователя должен быть связан действительный адрес электронной почты.
- Чтобы запросить доступ, создайте запрос на поддержку, как показано на следующем снимке экрана. Кроме того, вы можете перейти по ссылке службы поддержки, чтобы заполнить форму автоматически.
Выберите Далее, чтобы просмотреть страницу Дополнительные сведения запроса на поддержку и ответить на несколько вопросов.
Убедитесь, что параметр Разрешить сбор расширенной диагностической информации? включен и для него установлено значение Да (рекомендуется). В противном случае мы не сможем вас зарегистрировать.
- Выберите Создать на странице Проверка + создание, чтобы создать новый запрос на поддержку для регистрации.
Вопросы и ответы о журналах прозрачности данных
1. Что журналы прозрачности добавляют к возможностям наблюдаемости, которые уже предлагает Microsoft?
Журналы прозрачности предоставляют клиентам возможность просматривать деятельность инженеров Майкрософт по обслуживанию клиентов и решению проблем с надежностью обслуживания, включая запись о доступе к их ресурсам через службу JIT-доступа. Записи о доступе дополняют информацию, доступную в других журналах, например журналах действий, журналах ресурсов, журналах событий безопасности, журналах Microsoft Entra и защищенном хранилище для журналов Azure.
2. Кто является предполагаемыми клиентами и пользователями?
Журналы прозрачности поддерживают государственный сектор и регулируемые отраслевые организации. Эти клиенты предъявляют строгие требования к проверяемости и контролю доступа.
3. В чем разница между журналами прозрачности и защищенным хранилищем для Azure?
Защищенное хранилище для Azure — это платная служба, предоставляющая клиентам интерфейс для просмотра и утверждения или отклонения запросов инженеров Microsoft на доступ к данным и ресурсам клиентов. Журналы прозрачности бесплатны для клиентов, соответствующих требованиям. Они охватывают сценарии поддержки клиентов, в которых защищенное хранилище не используется, и ситуации, когда инженеру сервисной группы необходим доступ к ресурсу клиента.
4. Представлено ли каждое обращение в службу поддержки клиентов в журналах прозрачности?
№ Большинство обращений в службу поддержки клиентов решаются без необходимости прямого доступа инженера к ресурсам клиента. Таким образом, записи журнала прозрачности не создаются.