Microsoft Azure için Müşteri Kasası
Not
Bu özelliği kullanabilmek için kuruluşunuzun en az Geliştirici düzeyine sahip bir Azure desteği planı olmalıdır.
Microsoft personeli ve alt işlemcileri tarafından gerçekleştirilen çoğu işlem ve destek için müşteri verilerine erişim gerekmez. Bu tür bir erişimin gerekli olduğu nadir durumlarda, Microsoft Azure için Müşteri Kasası müşterilerin müşteri veri erişim isteklerini gözden geçirmesi ve onaylaması veya reddetmesi için bir arabirim sağlar. Microsoft mühendisinin müşteri tarafından başlatılan destek biletine veya Microsoft tarafından tanımlanan bir soruna yanıt olarak müşteri verilerine erişmesi gerektiğinde kullanılır.
Bu makalede, Microsoft Azure için Müşteri Kasası'nın nasıl etkinleştirileceği ve isteklerin daha sonraki gözden geçirmeler ve denetimler için nasıl başlatıldığı, izlendiği ve depolandığı ele alınmaktadır.
Desteklenen hizmetler
Şu anda Microsoft Azure için Müşteri Kasası için aşağıdaki hizmetler desteklenmektedir:
- Azure API Management
- Azure App Service
- Azure Yapay Zeka Arama
- Azure Yapay Zeka Hizmetleri
- Azure Chaos Studio
- Azure İletişim Ağ Geçidi
- Azure Container Registry
- Azure Data Box
- Azure Veri Gezgini
- Azure Data Factory
- Azure Data Manager for Energy
- MySQL için Azure Veritabanı
- MySQL için Azure Veritabanı Esnek Sunucu
- PostgreSQL için Azure Veritabanı
- Azure Edge Zone Platform Depolama
- Azure Energy
- Azure İşlevleri
- Azure HDInsight
- Azure Health Bot
- Azure Akıllı Öneriler
- Azure Information Protection
- Azure Kubernetes Service
- Azure Yük Testi (CloudNative Testing)
- Azure Logic Apps
- Azure İzleyici (Günlük Analizi)
- Azure Red Hat OpenShift
- Azure Spring Apps
- Azure SQL Veritabanı
- Azure SQL Yönetilen Örnek
- Azure Depolama
- Azure Abonelik Aktarımları
- Azure Synapse Analytics
- Commerce AI (Akıllı Öneriler)
- DevCenter / DevBox
- ElasticSan
- Kusto (Panolar)
- Microsoft Azure Doğrulama
- OpenAI
- Spring Cloud
- Birleşik Görüntü İşleme Hizmeti
- Azure’da Sanal Makineler
Microsoft Azure için Müşteri Kasası'nı etkinleştirme
Artık Yönetim modülünden Microsoft Azure için Müşteri Kasası'nı etkinleştirebilirsiniz.
Not
Microsoft Azure için Müşteri Kasası'nı etkinleştirmek için kullanıcı hesabının Genel Yönetici rolü atanmış olması gerekir.
İş Akışı
Aşağıdaki adımlar, Microsoft Azure için Müşteri Kasası isteği için tipik bir iş akışını özetler.
Bir kuruluşta birinin Azure iş yüküyle ilgili bir sorunu vardır.
Bu kişi sorunu giderdikten ancak düzeltemedikten sonra Azure portalından bir destek bileti açar. Bilet bir Azure Müşteri Destek Mühendisine atanır.
Azure Destek Mühendisi hizmet isteğini gözden geçirin ve sorunu çözmek için sonraki adımları belirler.
Destek mühendisi standart araçları ve hizmet tarafından oluşturulan verileri kullanarak sorunu gideremiyorsa, sonraki adım Tam Zamanında (JIT) erişim hizmetini kullanarak yükseltilmiş izinler istemektir. Bu istek özgün destek mühendisinden veya farklı bir mühendisten olabilir çünkü sorun Azure DevOps ekibine iletilir.
Azure Mühendisi bir erişim isteği gönderdikten sonra Tam Zamanında hizmet, isteği aşağıdakiler gibi faktörleri dikkate alarak değerlendirir:
- Kaynağın kapsamı.
- İstekte bulunanın yalıtılmış bir kimlik mi yoksa çok faktörlü kimlik doğrulaması mı kullandığı.
- İzin düzeyleri. Bu istek, JIT kuralına bağlı olarak İç Microsoft Onaylayanları'nın onayını da içerebilir. Örneğin, onaylayan Müşteri destek sorumlusu veya DevOps Yöneticisi olabilir.
İstek, müşteri verilerine doğrudan erişim gerektirdiğinde bir Müşteri Kasası isteği başlatılır.
İstek şimdi Müşteri Tarafından Bildirildi durumundadır ve erişim vermeden önce müşterinin onayını bekler.
Belirli bir Müşteri Kasası isteği için müşteri kuruluşunda bir veya daha fazla onaylayan aşağıdaki gibi belirlenir:
- Abonelik kapsamındaki istekler (bir abonelik içinde yer alan belirli kaynaklara erişme istekleri), Sahip rolüne sahip kullanıcılar veya ilişkili abonelikte Abonelik için Azure Müşteri Kasası Onaylayıcısı rolü.
- Kiracı kapsamı istekleri (Microsoft Entra kiracısına erişim istekleri) için Kiracıda Genel Yönetici rolüne sahip kullanıcılar.
Not
Microsoft Azure için Müşteri Kasası bir isteği işlemeye başlamadan önce rol atamalarının yerinde olması gerekir. Microsoft Azure için Müşteri Kasası belirli bir isteği işlemeye başladıktan sonra yapılan rol atamaları tanınmaz. Bu nedenle, Abonelik Sahibi rolü için PIM uygun atamalarını kullanmak için, kullanıcıların Müşteri Kasası isteği başlatılmadan önce rolü etkinleştirmeleri gerekir. PIM'de Microsoft Entra rollerini etkinleştirme PIM'e / uygun rolleri etkinleştirme hakkında daha fazla bilgi için PIM'de Azure kaynak rollerini etkinleştirme bölümüne bakın.
Yönetim grupları kapsamındaki rol atamaları şu anda Microsoft Azure için Müşteri Kasası'nda desteklenmemektedir.
Müşteri kuruluşunda, belirlenen kilit kutusu onaylayanları (Azure Abonelik Sahibi/Microsoft Entra Global yöneticisi/Abonelik için Azure Müşteri Kasası Onaylayanı, bekleyen erişim isteği hakkında bilgilendirmek üzere Microsoft'tan bir e-posta alır. Azure hesabının e-postanın etkinleştirilmediği veya hizmet sorumlusunun kasa onaylayıcısı olarak tanımlandığı senaryolarda kilit kutusu bildirimleri almak üzere alternatif bir e-posta adresi yapılandırmak için Azure Kasası alternatif e-posta bildirimleri özelliğini de kullanabilirsiniz.
E-posta bildirimi, Yönetim modülündeki Müşteri Kasası dikey penceresine bir bağlantı sağlar. Atanan onaylayan, kuruluşunun Microsoft Azure için Müşteri Kasası'na yönelik bekleyen isteklerini görüntülemek için Azure portalında oturum açar: İstek dört gün boyunca müşteri kuyruğunda kalır. Bu süreden sonra erişim isteğinin süresi otomatik olarak dolar ve Microsoft mühendislerine erişim verilmez.
Bekleyen isteğin ayrıntılarını almak için, belirlenen onaylayan Bekleyen İstekler'den Müşteri Kasası isteğini seçebilir:
Belirlenen onaylayan, özgün kullanıcı tarafından oluşturulan destek bileti isteğini görüntülemek için HİzMET İstek Kimliğini de seçebilir. Bu bilgiler, Microsoft Desteği neden devreye girdiğine ve bildirilen sorunun geçmişine ilişkin bağlam sağlar. Örneğin:
Belirlenen onaylayan isteği inceler ve Onayla veya Reddet'i seçer: Seçimin sonucu olarak:
- Onayla: Microsoft mühendisine, e-posta bildiriminde ve Azure portalında gösterilen istek ayrıntılarında belirtilen süre boyunca erişim verilir.
- Reddet: Microsoft mühendisinin yükseltilmiş erişim isteği reddedilir ve başka işlem yapılmaz.
Denetim amacıyla, bu iş akışında yapılan eylemler Müşteri Kasası istek günlüklerine kaydedilir.
Denetim günlükleri
Azure için Müşteri Kasası denetim günlükleri abonelik kapsamındaki isteklerin etkinlik günlüklerine ve kiracı kapsamındaki istekler için Denetim Günlüğü'ne yazılır.
Abonelik kapsamlı istekler - Etkinlik Günlükleri
Microsoft Azure için Müşteri Kasası dikey penceresinde, Müşteri Kasası istekleriyle ilgili denetim bilgilerini görüntülemek için Etkinlik Günlükleri'ni seçin. Etkinlik Günlüklerini söz konusu aboneliğin abonelik ayrıntıları dikey penceresinde de görüntüleyebilirsiniz. Her iki durumda da, belirli işlemler için filtreleyebilirsiniz, örneğin:
- Kilit Kutusu İsteğini Reddet
- Kasa İsteği Oluştur
- Kasa İsteğini Onayla
- Kilit Kutusu İsteğiNin Süre Sonu
Örneğin:
Kiracı Kapsamlı istekler - Denetim Günlüğü
Kiracı kapsamlı Müşteri Kasası istekleri için günlük girişleri Entra Denetim Günlüğü'ne yazılır. Bu Günlük girdileri Access Gözden Geçirmeleri hizmeti tarafından aşağıdaki gibi etkinliklerle oluşturulur:
- İstek oluşturma
- İstek onaylandı
- İstek reddedildi
ve Activity = one of the above activities
için Service = Access Reviews
fiiter yapabilirsiniz.
Örneğin:
Not
Mevcut teknik sınırlamalar nedeniyle Azure Lockbox portalındaki Geçmiş sekmesi kaldırıldı. Müşteri Kasası istek geçmişini görmek için lütfen abonelik kapsamlı istekler için Etkinlik Günlüğü'nü ve kiracı kapsamındaki istekler için Kayıt Denetim Günlüğü'nü kullanın.
Microsoft bulut güvenliği karşılaştırması ile Microsoft Azure tümleştirmesi için Müşteri Kasası
Microsoft bulut güvenliği karşılaştırmasında Müşteri Kasası uygulanabilirliğini kapsayan yeni bir temel denetim (PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme) kullanıma sunulmuştur. Müşteriler artık bir hizmetin Müşteri Kasası uygulanabilirliğini gözden geçirmek için karşılaştırmayı kullanabilir.
Hariç tutulanlar
Müşteri Kasası istekleri aşağıdaki senaryolarda tetiklenmez:
- Standart işletim yordamlarının dışında kalan ve çevrimiçi hizmetler erişimi geri yüklemek ya da müşteri verilerinin bozulmasını veya kaybını önlemek ya da bir güvenlik veya uygunsuz kullanım olayını araştırmak için Microsoft'tan acil eylem gerektiren acil durum senaryoları. Örneğin, önemli bir hizmet kesintisi veya güvenlik olayı, beklenmeyen veya öngörülemeyen koşullar altında hizmetleri kurtarmak veya geri yüklemek için hemen dikkat edilmesi gerekir. Bu "kesme camı" olayları nadirdir ve çoğu durumda çözüm için müşteri verilerine erişimi zorunlu kılmaz. Microsoft'un çekirdek çevrimiçi hizmetler müşteri verilerine erişimini yöneten denetimler ve işlemler NIST 800-53 ile uyumlu olur ve SOC 2 denetimleri aracılığıyla doğrulanır. Daha fazla bilgi için Microsoft Azure için Müşteri Kasası için Azure güvenlik temeline bakın.
- Microsoft mühendisi, sorun giderme kapsamında Azure platformuna erişir ve istemeden müşteri verilerine sunulur. Örneğin Azure Ağ Ekibi sorun giderme işlemi yapıyor ve bu işlem sonucunda ağ cihazında bir paket yakalanıyor olabilir. Bu tür senaryoların anlamlı miktarda müşteri verilerine erişime neden olması nadirdir. Müşteriler, bazı Azure hizmetlerinde kullanılabilen Müşteri tarafından yönetilen anahtarları (CMK) kullanarak verilerini daha fazla koruyabilir. Daha fazla bilgi için bkz . Azure'da Anahtar Yönetimine Genel Bakış.
Harici yasal veri talepleri de Müşteri Kasası isteklerini tetiklemez. Ayrıntılı bilgi için Microsoft Güven Merkezi'ndeki kamu veri istekleri konusuna bakın.
Sonraki adımlar
Müşteri Kasası dikey penceresindeki Yönetici modülünden Müşteri Kasası'nı etkinleştirin. Microsoft Azure için Müşteri Kasası, en azından Geliştirici düzeyinde bir Azure destek planı olan tüm müşteriler tarafından kullanılabilir.