Microsoft Azure için Müşteri Kasası

  • Makale

Not

Bu özelliği kullanabilmek için kuruluşunuzun en az Geliştirici düzeyine sahip bir Azure desteği planı olmalıdır.

Microsoft personeli ve alt işlemcileri tarafından gerçekleştirilen çoğu işlem ve destek için müşteri verilerine erişim gerekmez. Bu tür bir erişimin gerekli olduğu nadir durumlarda, Microsoft Azure için Müşteri Kasası müşterilerin müşteri veri erişim isteklerini gözden geçirmesi ve onaylaması veya reddetmesi için bir arabirim sağlar. Microsoft mühendisinin müşteri tarafından başlatılan destek biletine veya Microsoft tarafından tanımlanan bir soruna yanıt olarak müşteri verilerine erişmesi gerektiğinde kullanılır.

Bu makalede, Microsoft Azure için Müşteri Kasası'nın nasıl etkinleştirileceği ve isteklerin daha sonraki gözden geçirmeler ve denetimler için nasıl başlatıldığı, izlendiği ve depolandığı ele alınmaktadır.

Desteklenen hizmetler

Şu anda Microsoft Azure için Müşteri Kasası için aşağıdaki hizmetler desteklenmektedir:

  • Azure API Management
  • Azure App Service
  • Azure Yapay Zeka Arama
  • Azure Chaos Studio
  • Azure Bilişsel Hizmetler
  • Azure Container Registry
  • Azure Data Box
  • Azure Veri Gezgini
  • Azure Data Factory
  • Azure Data Manager for Energy
  • MySQL için Azure Veritabanı
  • MySQL için Azure Veritabanı Esnek Sunucu
  • PostgreSQL için Azure Veritabanı
  • Azure Edge Bölge Platformu Depolama
  • Azure Enerji
  • Azure İşlevleri
  • Azure HDInsight
  • Azure Health Bot
  • Azure Akıllı Öneriler
  • Azure Kubernetes Service
  • Azure Yük Testi (CloudNative Testing)
  • Azure Logic Apps
  • Azure İzleyici (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Veritabanı
  • Azure SQL Yönetilen Örnek
  • Azure Depolama
  • Azure Abonelik Aktarımları
  • Azure Synapse Analytics
  • Ticaret yapay zekası (Akıllı Öneriler)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (Panolar)
  • Microsoft Azure Doğrulama
  • OpenAI
  • Spring Cloud
  • Birleşik Görüntü İşleme Hizmeti
  • Azure'da Sanal Makineler

Microsoft Azure için Müşteri Kasası'nı etkinleştirme

Artık Yönetici istration modülünden Microsoft Azure için Müşteri Kasası'nı etkinleştirebilirsiniz.

Not

Microsoft Azure için Müşteri Kasası'nı etkinleştirmek için kullanıcı hesabının Genel Yönetici istrator rolü atanmış olması gerekir.

İş Akışı

Aşağıdaki adımlar, Microsoft Azure için Müşteri Kasası isteği için tipik bir iş akışını özetler.

  1. Bir kuruluşta birinin Azure iş yüküyle ilgili bir sorunu vardır.

  2. Bu kişi sorunu giderdikten ancak düzeltemedikten sonra Azure portalından bir destek bileti açar. Bilet bir Azure Müşteri Destek Mühendisine atanır.

  3. Azure Destek Mühendisi hizmet isteğini gözden geçirin ve sorunu çözmek için sonraki adımları belirler.

  4. Destek mühendisi standart araçları ve hizmet tarafından oluşturulan verileri kullanarak sorunu gideremiyorsa, sonraki adım Tam Zamanında (JIT) erişim hizmetini kullanarak yükseltilmiş izinler istemektir. Bu istek özgün destek mühendisinden veya farklı bir mühendisten olabilir çünkü sorun Azure DevOps ekibine iletilir.

  5. Azure Mühendisi bir erişim isteği gönderdikten sonra Tam Zamanında hizmet, isteği aşağıdakiler gibi faktörleri dikkate alarak değerlendirir:

    • Kaynağın kapsamı.
    • İstekte bulunanın yalıtılmış bir kimlik mi yoksa çok faktörlü kimlik doğrulaması mı kullandığı.
    • İzin düzeyleri. Bu istek, JIT kuralına bağlı olarak İç Microsoft Onaylayanları'nın onayını da içerebilir. Örneğin, onaylayan Müşteri destek sorumlusu veya DevOps Yöneticisi olabilir.

  6. İstek, müşteri verilerine doğrudan erişim gerektirdiğinde bir Müşteri Kasası isteği başlatılır. Örneğin, müşterinin sanal makinesine uzak masaüstü erişimi.

    İstek şimdi Müşteri Tarafından Bildirildi durumundadır ve erişim vermeden önce müşterinin onayını bekler.

  7. Belirli bir Müşteri Kasası isteği için müşteri kuruluşunda bir veya daha fazla onaylayan aşağıdaki gibi belirlenir:

    • Abonelik kapsamındaki istekler (bir abonelik içinde yer alan belirli kaynaklara erişme istekleri), sahip rolüne sahip kullanıcılar veya ilişkili abonelikte Abonelik için Azure Müşteri Kasası Onaylayıcısı rolü (şu anda genel önizleme aşamasındadır).
    • Kiracı kapsam istekleri (Microsoft Entra kiracısına erişim istekleri) için Kiracıda Genel Yönetici istrator rolüne sahip kullanıcılar.

    Not

    Microsoft Azure için Müşteri Kasası bir isteği işlemeye başlamadan önce rol atamalarının yerinde olması gerekir. Microsoft Azure için Müşteri Kasası belirli bir isteği işlemeye başladıktan sonra yapılan rol atamaları tanınmaz. Bu nedenle, Abonelik Sahibi rolü için PIM uygun atamalarını kullanmak için, kullanıcıların Müşteri Kasası isteği başlatılmadan önce rolü etkinleştirmeleri gerekir. PIM'de Microsoft Entra rollerini etkinleştirme PIM'e / uygun rolleri etkinleştirme hakkında daha fazla bilgi için PIM'de Azure kaynak rollerini etkinleştirme bölümüne bakın.

    Yönetim grupları kapsamındaki rol atamaları şu anda Microsoft Azure için Müşteri Kasası'nda desteklenmemektedir.

  8. Müşteri kuruluşunda, belirlenen kilit kutusu onaylayanları (Azure Abonelik Sahibi/Microsoft Entra Global yöneticisi/Abonelik için Azure Müşteri Kasası Onaylayanı, bekleyen erişim isteği hakkında bilgilendirmek üzere Microsoft'tan bir e-posta alır. Azure hesabının e-postanın etkinleştirilmediği veya hizmet sorumlusunun kasa onaylayıcısı olarak tanımlandığı senaryolarda kilit kutusu bildirimleri almak üzere alternatif bir e-posta adresi yapılandırmak için Azure Lockbox alternatif e-posta bildirimleri özelliğini de kullanabilirsiniz (şu anda genel önizleme aşamasındadır).

    Örnek e-posta: E-posta bildiriminin ekran görüntüsü.

  9. E-posta bildirimi, Yönetici istrasyon modülündeki Müşteri Kasası dikey penceresine bir bağlantı sağlar. Atanan onaylayan, kuruluşunun Microsoft Azure için Müşteri Kasası'na yönelik bekleyen isteklerini görüntülemek için Azure portalında oturum açar: Microsoft Azure için Müşteri Kasası giriş sayfasının ekran görüntüsü. İstek dört gün boyunca müşteri kuyruğunda kalır. Bu süreden sonra erişim isteğinin süresi otomatik olarak dolar ve Microsoft mühendislerine erişim verilmez.

  10. Bekleyen isteğin ayrıntılarını almak için, belirlenen onaylayan Bekleyen İstekler'den Müşteri Kasası isteğini seçebilir:Bekleyen isteğin ekran görüntüsü.

  11. Belirlenen onaylayan, özgün kullanıcı tarafından oluşturulan destek bileti isteğini görüntülemek için HİzMET İstek Kimliğini de seçebilir. Bu bilgiler, Microsoft Desteği neden devreye girdiğine ve bildirilen sorunun geçmişine ilişkin bağlam sağlar. Örneğin: Destek bileti isteğinin ekran görüntüsü.

  12. Belirlenen onaylayan isteği inceler ve Onayla veya Reddet'i seçer:Onayla veya Reddet kullanıcı arabiriminin ekran görüntüsü. Seçimin sonucu olarak:

    • Onayla: Microsoft mühendisine, e-posta bildiriminde ve Azure portalında gösterilen istek ayrıntılarında belirtilen süre boyunca erişim verilir.
    • Reddet: Microsoft mühendisinin yükseltilmiş erişim isteği reddedilir ve başka işlem yapılmaz.

    Denetim amacıyla, bu iş akışında yapılan eylemler Müşteri Kasası istek günlüklerine kaydedilir.

Denetim günlükleri

Müşteri Kasası günlükleri etkinlik günlüklerine depolanır. Azure portalında Etkinlik Günlükleri'ni seçerek Müşteri Kasası istekleriyle ilgili denetim bilgilerini görüntüleyin. Belirli eylemler için filtreleyebilirsiniz, örneğin:

  • Kilit Kutusu İsteğini Reddet
  • Kasa İsteği Oluştur
  • Kasa İsteğini Onayla
  • Kilit Kutusu İsteğiNin Süre Sonu

Örneğin:

Etkinlik günlüklerinin ekran görüntüsü.

Microsoft bulut güvenliği karşılaştırması ile Microsoft Azure tümleştirmesi için Müşteri Kasası

Microsoft bulut güvenliği karşılaştırmasında Müşteri Kasası uygulanabilirliğini kapsayan yeni bir temel denetim (PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme) kullanıma sunulmuştur. Müşteriler artık bir hizmetin Müşteri Kasası uygulanabilirliğini gözden geçirmek için karşılaştırmayı kullanabilir.

Hariç tutulanlar

Müşteri Kasası istekleri aşağıdaki senaryolarda tetiklenmez:

  • Standart işletim yordamlarının dışında kalan acil durum senaryoları. Örneğin, önemli bir hizmet kesintisi, beklenmeyen veya öngörülemeyen bir senaryoda hizmetleri kurtarmak veya geri yüklemek için hemen dikkat edilmesi gerekir. Bu "kesme camı" olayları nadirdir ve çoğu durumda çözümlenmesi için müşteri verilerine erişim gerektirmez.
  • Microsoft mühendisi, sorun giderme kapsamında Azure platformuna erişir ve istemeden müşteri verilerine sunulur. Örneğin Azure Ağ Ekibi sorun giderme işlemi yapıyor ve bu işlem sonucunda ağ cihazında bir paket yakalanıyor olabilir. Bu tür senaryoların anlamlı miktarda müşteri verilerine erişime neden olması nadirdir. Müşteriler, bazı Azure hizmetlerinde kullanılabilen Müşteri tarafından yönetilen anahtarları (CMK) kullanarak verilerini daha fazla koruyabilir. Daha fazla bilgi için bkz . Azure'da Anahtar Yönetimine Genel Bakış.

Veriler için dış yasal talepler de Müşteri Kasası isteklerini tetiklemez. Ayrıntılar için Bkz. Microsoft Güven Merkezi'nden veri için kamu istekleri tartışması.

Sonraki adımlar

Müşteri Kasası dikey penceresindeki Yönetici istrasyon modülünden Müşteri Kasası'nı etkinleştirin. Microsoft Azure için Müşteri Kasası, en düşük Geliştirici düzeyine sahip bir Azure desteği planı olan tüm müşteriler tarafından kullanılabilir.