Dela via


Customer Lockbox för Microsoft Azure

Kommentar

Om du vill använda den här funktionen måste din organisation ha en Azure Support plan med en minimal nivå av utvecklare.

De flesta åtgärder och support som utförs av Microsofts personal och underprocessorer kräver inte åtkomst till kunddata. I de sällsynta fall där sådan åtkomst krävs tillhandahåller Customer Lockbox för Microsoft Azure ett gränssnitt för kunder att granska och godkänna eller avvisa begäranden om åtkomst till kunddata. Den används i fall där en Microsoft-tekniker behöver komma åt kunddata, oavsett om det är ett svar på ett kundinitierat supportärende eller ett problem som microsoft har identifierat.

Den här artikeln beskriver hur du aktiverar Customer Lockbox för Microsoft Azure och hur begäranden initieras, spåras och lagras för senare granskningar och granskningar.

Tjänster som stöds

Följande tjänster stöds för närvarande för Customer Lockbox för Microsoft Azure:

  • Azure API Management
  • Azure App Service
  • Azure AI-sökning
  • Azure AI Services
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry
  • Azure Data Box
  • Azure-datautforskaren
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database for MySQL
  • Azure Database for MySQL – flexibel server
  • Azure Database for PostgreSQL
  • Azure Edge Zone-plattformslagring
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Azure Information Protection
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Program-program
  • Azure Monitor (logganalys)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Hanterad Azure SQL-instans
  • Azure Storage
  • Azure-prenumerationsöverföringar
  • Azure Synapse Analytics
  • Handels-AI (Intelligent Recommendations)
  • DevCenter/DevBox
  • ElasticSan
  • Kusto (instrumentpaneler)
  • Microsoft Azure Attestation
  • OpenAI
  • Azure Spring Cloud
  • Unified Vision Service
  • Virtuella datorer i Azure

Aktivera Customer Lockbox för Microsoft Azure

Nu kan du aktivera Customer Lockbox för Microsoft Azure från modulen Administration.

Kommentar

För att aktivera Customer Lockbox för Microsoft Azure måste användarkontot ha rollen Global administratör tilldelad.

Arbetsflöde

Följande steg beskriver ett typiskt arbetsflöde för en Kundlåsbox för Microsoft Azure-begäran.

  1. Någon i en organisation har problem med sin Azure-arbetsbelastning.

  2. När den här personen har felsökt problemet, men inte kan åtgärda det, öppnar de ett supportärende från Azure Portal. Biljetten tilldelas till en Azure-kundsupporttekniker.

  3. En Azure-supporttekniker granskar tjänstbegäran och bestämmer nästa steg för att lösa problemet.

  4. Om supportteknikern inte kan felsöka problemet med hjälp av standardverktyg och tjänstgenererade data är nästa steg att begära utökade behörigheter med hjälp av en JIT-åtkomsttjänst (Just-In-Time). Den här begäran kan komma från den ursprungliga supportteknikern eller från en annan tekniker eftersom problemet eskaleras till Azure DevOps-teamet.

  5. När Azure Engineer har skickat en åtkomstbegäran utvärderar Just-In-Time-tjänsten begäran med hänsyn till faktorer som:

    • Resursens omfång.
    • Om beställaren är en isolerad identitet eller använder multifaktorautentisering.
    • Behörighetsnivåer. Baserat på JIT-regeln kan den här begäran även innehålla ett godkännande från interna Microsoft-godkännare. Godkännaren kan till exempel vara kundsupportansvarig eller DevOps Manager.
  6. När begäran kräver direkt åtkomst till kunddata initieras en kundlåsbox-begäran.

    Begäran är nu i ett kundanmält tillstånd och väntar på kundens godkännande innan åtkomst beviljas.

  7. En eller flera godkännare i kundorganisationen för en viss kundlåsbox-begäran bestäms på följande sätt:

    • För prenumerationsomfångsbegäranden (begäranden om åtkomst till specifika resurser som ingår i en prenumeration), användare med rollen Ägare eller Azure Customer Lockbox-godkännare för prenumerationsrollen för den associerade prenumerationen.
    • För begäranden om klientomfång (begäranden om åtkomst till Microsoft Entra-klientorganisationen) användare med rollen Global administratör i klientorganisationen.

    Kommentar

    Rolltilldelningar måste finnas på plats innan Customer Lockbox för Microsoft Azure börjar bearbeta en begäran. Rolltilldelningar som görs efter att Customer Lockbox för Microsoft Azure börjar bearbeta en viss begäran identifieras inte. För att kunna använda PIM-berättigade tilldelningar för rollen Prenumerationsägare måste användarna aktivera rollen innan customer lockbox-begäran initieras. Mer information om hur du aktiverar PIM-berättigade roller finns i Aktivera Microsoft Entra-roller i PIM / Aktivera Azure-resursroller i PIM.

    Rolltilldelningar som är begränsade till hanteringsgrupper stöds för närvarande inte i Customer Lockbox för Microsoft Azure.

  8. Hos kundorganisationen får utsedda godkännare av låsboxar (Azure-prenumerationsägare/Microsoft Entra Global administratör/Azure Customer Lockbox-godkännare för prenumeration ett e-postmeddelande från Microsoft för att meddela dem om den väntande åtkomstbegäran. Du kan också använda funktionen alternativa e-postmeddelanden i Azure Lockbox för att konfigurera en alternativ e-postadress för att ta emot lockbox-meddelanden i scenarier där Azure-kontot inte är e-postaktiverat eller om ett huvudnamn för tjänsten har definierats som lockbox-godkännare.

    Exempel på e-post: En skärmbild av e-postmeddelandet.

  9. E-postmeddelandet innehåller en länk till bladet Kundlåsbox i modulen Administration. Den utsedda godkännaren loggar in på Azure Portal för att visa eventuella väntande begäranden som organisationen har för Customer Lockbox för Microsoft Azure:En skärmbild av customer lockbox för Microsoft Azure-landningssidan. Begäran finns kvar i kundkön i fyra dagar. Efter den här tiden upphör åtkomstbegäran automatiskt att gälla och ingen åtkomst beviljas till Microsoft-tekniker.

  10. För att få information om den väntande begäran kan den utsedda godkännaren välja kundlåsbox-begäran från Väntande begäranden: En skärmbild av den väntande begäran.

  11. Den utsedda godkännaren kan också välja tjänstbegärans-ID för att visa supportbegäran som skapades av den ursprungliga användaren. Den här informationen ger kontext för varför Microsoft Support är engagerat och historiken för det rapporterade problemet. Till exempel: En skärmbild av supportbegäran.

  12. Den utsedda godkännaren granskar begäran och väljer Godkänn eller Neka: En skärmbild av användargränssnittet Godkänn eller Neka. Som ett resultat av markeringen:

    • Godkänn: Åtkomst beviljas till Microsoft-teknikern under den tid som anges i begärandeinformationen, som visas i e-postmeddelandet och i Azure Portal.
    • Neka: Begäran om förhöjd åtkomst från Microsoft-teknikern avvisas och inga ytterligare åtgärder vidtas.

    I granskningssyfte loggas de åtgärder som vidtas i det här arbetsflödet i kundlåsboxens begärandeloggar.

Granskning av loggar

Granskningsloggarna för Customer Lockbox för Azure skrivs till aktivitetsloggarna för prenumerationsomfångsbegäranden och till Entra-granskningsloggen för klientomfattande begäranden.

Begäranden om prenumerationsomfång – aktivitetsloggar

På bladet Azure Portal, Customer Lockbox for Microsoft Azure, väljer du Aktivitetsloggar för att visa granskningsinformation som rör kundlåsbox-begäranden. Du kan också visa aktivitetsloggarna på bladet prenumerationsinformation för den aktuella prenumerationen. I båda fallen kan du filtrera efter specifika åtgärder, till exempel:

  • Neka Lockbox-begäran
  • Skapa lockbox-begäran
  • Godkänn lockbox-begäran
  • Förfallodatum för lockbox-begäran

Som exempel:

En skärmbild av aktivitetsloggarna.

Klientomfattande begäranden – granskningslogg

För klientomfattande kundlåsbox-begäranden skrivs loggposter till Entra-granskningsloggen. Dessa loggposter skapas av tjänsten Åtkomstgranskningar med aktiviteter som:

  • Skapa begäran
  • Begäran godkänd
  • Begäran nekad

Du kan fiiter för Service = Access Reviews och Activity = one of the above activities.

Som exempel:

En skärmbild av granskningsloggen.

Kommentar

Fliken Historik i Azure Lockbox-portalen har tagits bort på grund av befintliga tekniska begränsningar. Om du vill se historiken för kundlåsbox-begäranden använder du aktivitetsloggen för prenumerationsomfångsbegäranden och Entra-granskningsloggen för klientomfattande begäranden.

Customer Lockbox för Microsoft Azure-integrering med Microsoft cloud security benchmark

Vi har introducerat en ny baslinjekontroll (PA-8: Fastställa åtkomstprocess för molnleverantörssupport) i Microsofts molnsäkerhetsmått som omfattar kundlåsbox-tillämplighet. Kunder kan nu använda riktmärket för att granska kundens lockbox-tillämplighet för en tjänst.

Exkluderingar

Customer Lockbox-begäranden utlöses inte i följande scenarier:

  • Nödsituationsscenarier som ligger utanför standardrutiner och kräver brådskande åtgärder från Microsoft för att återställa åtkomsten till onlinetjänster eller för att förhindra skada eller förlust av kunddata, eller för att undersöka en säkerhets- eller missbruksincident. Ett större avbrott i tjänsten eller en säkerhetsincident kräver till exempel omedelbar uppmärksamhet för att återställa eller återställa tjänster under oväntade eller oförutsägbara omständigheter. Dessa "break glass"-händelser är sällsynta och kräver i de flesta fall inte åtkomst till kunddata för lösning. De kontroller och processer som styr Microsofts åtkomst till kunddata i kärn- onlinetjänster överensstämmer med NIST 800-53 och verifieras via SOC 2-granskningar. Mer information finns i Azure-säkerhetsbaslinjen för Customer Lockbox för Microsoft Azure.
  • En Microsoft-tekniker får åtkomst till Azure-plattformen som en del av felsökningen och exponeras oavsiktligt för kunddata. Till exempel kan Azures nätverksteam utföra felsökning som resulterar i en paketavbildning på en nätverksenhet. Det är ovanligt att sådana scenarier skulle leda till tillgång till meningsfulla mängder kunddata. Kunder kan ytterligare skydda sina data med hjälp av kundhanterade nycklar (CMK), som är tillgängliga för vissa Azure-tjänster. Mer information finns i Översikt över nyckelhantering i Azure.

Externa juridiska krav på data. utlöser heller inte Customer Lockbox-begäranden. Mer information finns i diskussion om begäranden om data från myndigheter i Microsofts säkerhetscenter.

Nästa steg

Aktivera Customer Lockbox från modulen Administration på bladet Customer Lockbox. Customer Lockbox för Microsoft Azure är tillgängligt för alla kunder som har en Azure Support-plan med en minsta nivå som utvecklare.