Zdieľať cez

Customer Lockbox pre Microsoft Fabric

  • Článok

Použite customer Lockbox pre Microsoft Azure na kontrolu toho, ako inžinieri spoločnosti Microsoft pristupujú k vašim údajom. V tomto článku sa dozviete, ako sa spúšťajú, sledujú a ukladajú žiadosti o uzamknutie zákazníkov pre neskoršie revízie a audity.

Služba Customer Lockbox sa zvyčajne používa na pomoc inžinierom spoločnosti Microsoft pri riešení problémov so žiadosťou o podporu služby Microsoft Fabric. Možnosť Customer Lockbox možno použiť aj pri identifikácii problému spoločnosťou Microsoft a otvorením udalosti iniciovanej spoločnosťou Microsoft na preskúmanie problému.

Povolenie customer Lockbox pre Microsoft Fabric

Ak chcete povoliť customer lockbox pre Microsoft Fabric, musíte byť globálnym správcom služby Microsoft Entra. Ak chcete priradiť roly v aplikácii Microsoft Entra ID, pozrite si tému Priradenie rolí Microsoft Entra používateľom.

  1. Otvorte Azure portál.

  2. Prejdite do customer Lockbox pre Microsoft Azure.

  3. Na karte Spravovanie vyberte možnosť Povolené.

    Snímka obrazovky znázorňujúca povolenie customer Lockbox pre Microsoft Azure v karte Customer Lockbox for Microsoft Azure Administration.

Žiadosť spoločnosti Microsoft o prístup

V prípadoch, keď inžinier spoločnosti Microsoft nemôže vyriešiť váš problém pomocou štandardných nástrojov, sa prostredníctvom služby prístupu Just-In-Time (JIT) vyžiadajú zvýšené povolenia. Žiadosť môže pochádzať od pôvodného inžiniera podpory alebo od iného inžiniera.

Po odoslaní žiadosti o prístup služba JIT vyhodnotí požiadavku s prihliadnutím na tieto faktory:

  • Rozsah zdroja

  • Určuje, či je žiadateľ izolovanou identitou alebo používa viacfaktorové overovanie

  • Úrovne povolení

Na základe roly JIT môže žiadosť zahŕňať aj schválenie od interných schvaľovateľov spoločnosti Microsoft. Schvaľovateľom môže byť napríklad vedúci oddelenia podpory pre zákazníkov alebo Manažér DevOps.

Keď žiadosť vyžaduje priamy prístup k údajom zákazníka, spustí sa žiadosť Customer Lockbox. Napríklad v prípadoch, keď je potrebný vzdialený prístup pracovnej plochy k virtuálnemu počítaču zákazníka. Keď sa podá žiadosť Customer Lockbox, zákazníka pred získaním prístupu čaká na schválenie.

Tieto kroky popisujú požiadavku Customer Lockbox iniciovanú spoločnosťou Microsoft pre službu Microsoft Fabric.

  1. Globálny správca spoločnosti Microsoft Entra dostane od spoločnosti Microsoft e-mailové oznámenie so žiadosťou o prístup čakajúce na prístup. Správca, ktorý e-mail dostal, sa stane určeným schvaľovateľom.

  2. E-mail obsahuje prepojenie na e-mail Customer Lockbox v module Azure Administration. Ak použijete prepojenie, určený schvaľovateľ sa prihlási na portál Azure a zobrazí všetky čakajúce žiadosti o uzamknutie zákazníka. Žiadosť zostáva vo fronte zákazníka štyri dni. Potom automaticky uplynie platnosť žiadosti o prístup a inžinierom spoločnosti Microsoft sa neudelí žiaden prístup.

  3. Ak chcete získať podrobnosti o žiadosti čakajúcej na schválenie, určený schvaľovateľ môže vybrať žiadosť Customer Lockbox z ponuky Žiadosti čakajúce na schválenie.

  4. Po preskúmaní žiadosti uvedený schvaľovateľ zadá odôvodnenie a vyberie jednu z možností uvedených nižšie. Na účely auditovania sa akcie zaznamenávajú do denníkov customer lockbox.

    • Schváliť – prístup sa udeľuje inžinierovi spoločnosti Microsoft na predvolené obdobie osem hodín.

    • Zamietnuť – žiadosť o prístup, ktorú technik spoločnosti Microsoft odmietne, a nie je vykonané žiadne ďalšie kroky.

    Snímka obrazovky znázorňujúca tlačidlá Schváliť a zamietnuť čakajúce na zamykanie zákazníka pre žiadosť Microsoft Azure.

Denníky

Customer Lockbox má dva typy denníkov:

  • Denníky aktivity – k dispozícii z denníka aktivity služby Azure Monitor.

    Pre customer Lockbox sú k dispozícii nasledujúce denníky aktivity:

    • Zamietnuť požiadavku na uzamknutie
    • Vytvorenie požiadavky uzamknutia
    • Žiadosť o schválenie lockboxu
    • Platnosť požiadavky pre lockbox

    Ak chcete získať prístup k denníkom aktivity, na portáli Azure vyberte položku Denník aktivity. Výsledky môžete filtrovať pre konkrétne akcie.

    Snímka obrazovky znázorňujúca denníky aktivity v customer lockbox pre Microsoft Azure.

  • Denníky auditu – k dispozícii od portál na správu dodržiavania súladu Microsoft Purview. Denníky auditu nájdete na portáli na správu.

    Customer Lockbox pre Microsoft Fabric má štyri denníky auditu:

    Denník auditu Popisný názov
    GetRefreshHistoryViaLockbox Získanie histórie obnovení cez lockbox
    OdstrániťAdminUsageDashboardsViaLockbox Odstránenie tabúľ používania správcom prostredníctvom lockboxu
    DeleteUsageMetricsv2PackageViaLockbox Odstránenie balíka metrík používania v2 cez lockbox
    OdstrániťPrieskumMonitoringFolderViaLockbox Odstránenie priečinka monitorovania správcom pomocou lockboxu
    Pole GetQueryTextTelemetryViaLockbox Získanie textu dotazu zo zabezpečeného ukladacieho priestoru telemetrie cez lockbox

Vylúčenia

Požiadavky customer Lockbox sa nespustí v nasledujúcich scenároch technickej podpory:

  • Núdzové scenáre, ktoré nepatria do štandardných prevádzkových postupov. Napríklad hlavný výpadok služby vyžaduje okamžitú pozornosť na obnovenie alebo obnovenie služieb v neočakávanom scenári. Tieto udalosti sú zriedkavé a zvyčajne nevyžadujú prístup k údajom o zákazníkoch.

  • Inžinier spoločnosti Microsoft pristupuje k platforme Azure ako súčasť riešenia problémov a je náhodne vystavený zákazníckym údajom. Napríklad počas riešenia problémov tím siete platformy Azure zachytí paket v sieťovom zariadení. Takéto scenáre zvyčajne nevedú k prístupu k zmysluplnými zákazníckym údajom.

  • Externé právne požiadavky na údaje. Podrobnosti nájdete v téme Žiadosti orgánov štátnej správy o údaje v Centre dôveryhodnosti spoločnosti Microsoft.

Prístup k údajom

Prístup k údajom sa líši v závislosti od prostredia služby Microsoft Fabric, o ktoré žiadate. Táto časť uvádza zoznam údajov, ku ktorým môže inžinier spoločnosti Microsoft získať prístup po schválení žiadosti Customer Lockbox.

  • Power BI – Pri spúšťaní operácií uvedených nižšie bude mať inžinier spoločnosti Microsoft prístup k niekoľkým tabuľkám prepojeným s vašou požiadavkou. Každá operácia, ktoré inžinier spoločnosti Microsoft použije, sa odráža v denníkoch auditu.

    • Získanie histórie obnovení modelu
    • Odstránenie tabule používania správcom
    • Odstránenie balíka metrík používania v2
    • Odstránenie priečinka monitorovania správcom
    • Odstránenie pracovného priestoru správcu
    • Prístup ku konkrétnej množine údajov v úložisku
    • Získanie textu dotazu zo zabezpečeného ukladacieho priestoru telemetrie

  • Inteligencia v reálnom čase – inžinier inteligencie v reálnom čase bude mať prístup k údajom v databáze KQL, ktorá je prepojená s vašou požiadavkou.

  • Dátový inžinier ing – Dátový inžinier inžinier bude mať prístup k nasledujúcim denníkom služby Spark prepojeným s vašou požiadavkou:

    • Denníky ovládačov
    • Denníky udalostí
    • Denníky spustiteľného súboru

  • Data Factory – inžinier Data Factory bude mať prístup k definíciám kanála údajov prepojeným s vašou požiadavkou, ak im bude udelené povolenie.

Súvisiaci obsah