Customer Lockbox för Microsoft Azure

  • Artikel

Kommentar

Om du vill använda den här funktionen måste din organisation ha en Azure-supportplan med en minimal nivå av utvecklare.

De flesta åtgärder och support som utförs av Microsofts personal och underprocessorer kräver inte åtkomst till kunddata. I de sällsynta fall där sådan åtkomst krävs tillhandahåller Customer Lockbox för Microsoft Azure ett gränssnitt för kunder att granska och godkänna eller avvisa begäranden om åtkomst till kunddata. Den används i fall där en Microsoft-tekniker behöver komma åt kunddata, oavsett om det är ett svar på ett kundinitierat supportärende eller ett problem som microsoft har identifierat.

Den här artikeln beskriver hur du aktiverar Customer Lockbox för Microsoft Azure och hur begäranden initieras, spåras och lagras för senare granskningar och granskningar.

Tjänster som stöds

Följande tjänster stöds för närvarande för Customer Lockbox för Microsoft Azure:

  • Azure API Management
  • Azure App Service
  • Azure AI-sökning
  • Azure Chaos Studio
  • Azure Cognitive Services
  • Azure Container Registry
  • Azure Data Box
  • Azure-datautforskaren
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database for MySQL
  • Azure Database for MySQL – flexibel server
  • Azure Database for PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Azure Intelligent Rekommendationer
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Program-program
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Hanterad Azure SQL-instans
  • Azure Storage
  • Azure-prenumerationsöverföringar
  • Azure Synapse Analytics
  • Handels-AI (Intelligent Rekommendationer)
  • DevCenter/DevBox
  • ElasticSan
  • Kusto (instrumentpaneler)
  • Microsoft Azure Attestation
  • OpenAI
  • Azure Spring Cloud
  • Unified Vision Service
  • Virtuella datorer i Azure

Aktivera Customer Lockbox för Microsoft Azure

Nu kan du aktivera Customer Lockbox för Microsoft Azure från modulen Administration.

Kommentar

För att aktivera Customer Lockbox för Microsoft Azure måste användarkontot ha rollen Global administratör tilldelad.

Arbetsflöde

Följande steg beskriver ett typiskt arbetsflöde för en Kundlåsbox för Microsoft Azure-begäran.

  1. Någon i en organisation har problem med sin Azure-arbetsbelastning.

  2. När den här personen har felsökt problemet, men inte kan åtgärda det, öppnar de ett supportärende från Azure-portalen. Biljetten tilldelas till en Azure-kundsupporttekniker.

  3. En Azure-supporttekniker granskar tjänstbegäran och bestämmer nästa steg för att lösa problemet.

  4. Om supportteknikern inte kan felsöka problemet med hjälp av standardverktyg och tjänstgenererade data är nästa steg att begära utökade behörigheter med hjälp av en JIT-åtkomsttjänst (Just-In-Time). Den här begäran kan komma från den ursprungliga supportteknikern eller från en annan tekniker eftersom problemet eskaleras till Azure DevOps-teamet.

  5. När Azure Engineer har skickat en åtkomstbegäran utvärderar Just-In-Time-tjänsten begäran med hänsyn till faktorer som:

    • Resursens omfång.
    • Om beställaren är en isolerad identitet eller använder multifaktorautentisering.
    • Behörighetsnivåer. Baserat på JIT-regeln kan den här begäran även innehålla ett godkännande från interna Microsoft-godkännare. Godkännaren kan till exempel vara kundsupportansvarig eller DevOps Manager.

  6. När begäran kräver direkt åtkomst till kunddata initieras en kundlåsbox-begäran. Till exempel fjärrskrivbordsåtkomst till en kunds virtuella dator.

    Begäran är nu i ett kundanmält tillstånd och väntar på kundens godkännande innan åtkomst beviljas.

  7. En eller flera godkännare i kundorganisationen för en viss kundlåsbox-begäran bestäms på följande sätt:

    • För prenumerationsomfångsbegäranden (begäranden om åtkomst till specifika resurser som ingår i en prenumeration), användare med rollen Ägare eller Azure Customer Lockbox-godkännare för prenumeration (för närvarande i offentlig förhandsversion) för den associerade prenumerationen.
    • För begäranden om klientomfång (begäranden om åtkomst till Microsoft Entra-klientorganisationen) användare med rollen Global administratör i klientorganisationen.

    Kommentar

    Rolltilldelningar måste finnas på plats innan Customer Lockbox för Microsoft Azure börjar bearbeta en begäran. Rolltilldelningar som görs efter att Customer Lockbox för Microsoft Azure börjar bearbeta en viss begäran identifieras inte. För att kunna använda PIM-berättigade tilldelningar för rollen Prenumerationsägare måste användarna aktivera rollen innan customer lockbox-begäran initieras. Mer information om hur du aktiverar PIM-berättigade roller finns i Aktivera Microsoft Entra-roller i PIM / Aktivera Azure-resursroller i PIM.

    Rolltilldelningar som är begränsade till hanteringsgrupper stöds för närvarande inte i Customer Lockbox för Microsoft Azure.

  8. Hos kundorganisationen får utsedda godkännare av låsboxar (Azure-prenumerationsägare/Microsoft Entra Global administratör/Azure Customer Lockbox-godkännare för prenumeration ett e-postmeddelande från Microsoft för att meddela dem om den väntande åtkomstbegäran. Du kan också använda funktionen för alternativa e-postmeddelanden i Azure Lockbox (för närvarande i offentlig förhandsversion) för att konfigurera en alternativ e-postadress för att ta emot lockbox-meddelanden i scenarier där Azure-kontot inte är e-postaktiverat eller om ett tjänsthuvudnamn definieras som lockbox-godkännare.

    Exempel på e-post: En skärmbild av e-postmeddelandet.

  9. E-postmeddelandet innehåller en länk till bladet Kundlåsbox i modulen Administration. Den utsedda godkännaren loggar in på Azure-portalen för att visa eventuella väntande begäranden som organisationen har för Customer Lockbox för Microsoft Azure: En skärmbild av customer lockbox för Microsoft Azure-landningssidan. Begäran finns kvar i kundkön i fyra dagar. Efter den här tiden upphör åtkomstbegäran automatiskt att gälla och ingen åtkomst beviljas till Microsoft-tekniker.

  10. För att få information om den väntande begäran kan den utsedda godkännaren välja kundlåsbox-begäran från Väntande begäranden: En skärmbild av den väntande begäran.

  11. Den utsedda godkännaren kan också välja tjänstbegärans-ID för att visa supportbegäran som skapades av den ursprungliga användaren. Den här informationen ger kontext för varför Microsoft Support är engagerat och historiken för det rapporterade problemet. Till exempel: En skärmbild av supportbegäran.

  12. Den utsedda godkännaren granskar begäran och väljer Godkänn eller Neka: En skärmbild av användargränssnittet Godkänn eller Neka. Som ett resultat av markeringen:

    • Godkänn: Åtkomst beviljas till Microsoft-teknikern under den tid som anges i begärandeinformationen, som visas i e-postmeddelandet och i Azure-portalen.
    • Neka: Begäran om förhöjd åtkomst från Microsoft-teknikern avvisas och inga ytterligare åtgärder vidtas.

    I granskningssyfte loggas de åtgärder som vidtas i det här arbetsflödet i kundlåsboxens begärandeloggar.

Granskning av loggar

Customer Lockbox-loggar lagras i aktivitetsloggar. I Azure-portalen väljer du Aktivitetsloggar för att visa granskningsinformation som rör kundlåsbox-begäranden. Du kan filtrera på vissa åtgärder, till exempel:

  • Neka Lockbox-begäran
  • Skapa lockbox-begäran
  • Godkänn lockbox-begäran
  • Förfallodatum för lockbox-begäran

Som exempel:

En skärmbild av aktivitetsloggarna.

Customer Lockbox för Microsoft Azure-integrering med Microsoft cloud security benchmark

Vi har introducerat en ny baslinjekontroll (PA-8: Fastställa åtkomstprocess för molnleverantörssupport) i Microsofts molnsäkerhetsmått som omfattar kundlåsbox-tillämplighet. Kunder kan nu använda riktmärket för att granska kundens lockbox-tillämplighet för en tjänst.

Exkluderingar

Customer Lockbox-begäranden utlöses inte i följande scenarier:

  • Nödsituationsscenarier som ligger utanför standardrutiner. Ett större avbrott i tjänsten kräver till exempel omedelbar uppmärksamhet för att återställa eller återställa tjänster i ett oväntat eller oförutsägbart scenario. Dessa "break glass"-händelser är sällsynta och kräver i de flesta fall inte någon åtkomst till kunddata för att lösa problemet.
  • En Microsoft-tekniker får åtkomst till Azure-plattformen som en del av felsökningen och exponeras oavsiktligt för kunddata. Till exempel kan Azures nätverksteam utföra felsökning som resulterar i en paketavbildning på en nätverksenhet. Det är ovanligt att sådana scenarier skulle leda till tillgång till meningsfulla mängder kunddata. Kunder kan ytterligare skydda sina data med hjälp av kundhanterade nycklar (CMK), som är tillgängliga för vissa Azure-tjänster. Mer information finns i Översikt över nyckelhantering i Azure.

Externa juridiska krav på data utlöser inte heller kundlåsbox-begäranden. Mer information finns i diskussionen om myndighetsbegäranden om data i Microsoft Trust Center.

Nästa steg

Aktivera Customer Lockbox från modulen Administration på bladet Kundlåsbox. Customer Lockbox för Microsoft Azure är tillgängligt för alla kunder som har en Azure-supportplan med en minimal nivå av utvecklare.