Microsoft Fabric 客户密码箱

使用 Microsoft Azure 客户密码箱控制 Microsoft 工程师访问你的数据的方式。 本文介绍如何启动、跟踪客户密码箱请求并存储这些请求供以后进行审查和审核。

通常,客户密码箱用于帮助 Microsoft 工程师排查 Microsoft Fabric 服务支持请求问题。 Microsoft 发现问题,并打开 Microsoft 发起的事件来调查该问题时,还可以使用客户密码箱。

启用 Microsoft Fabric 客户密码箱

若要启用 Microsoft Fabric 客户密码箱,你必须是 Microsoft Entra 全局管理员。 要在 Microsoft Entra ID 中分配角色,请参阅将 Microsoft Entra 角色分配给用户

  1. 打开 Azure 门户。

  2. 转到 Microsoft Azure 客户密码箱

  3. 在“管理”选项卡中,选择“已启用”。

    在“Microsoft Azure 客户密码箱管理”选项卡中启用 Microsoft Azure 客户密码箱的屏幕截图。

Microsoft 访问请求

如果 Microsoft 工程师无法使用标准工具排查问题,则会使用实时 (JIT) 访问服务请求提升的权限。 请求可以来自原始支持工程师,也可以来自其他工程师。

在提交访问请求后,JIT 服务将在考虑到下列因素的前提下评估该请求:

  • 资源的范围

  • 请求者是独立的标识还是使用多重身份验证

  • 权限级别

基于 JIT 角色,此请求还可能包括内部 Microsoft 审批者做出的审批。 例如,审批者可能是客户支持主管或 DevOps 经理。

当请求需要直接访问客户数据时,将启动客户密码箱请求。 例如,在需要从远程桌面访问客户的虚拟机的情况下。 发出客户密码箱请求后,它会在授予访问权限之前等待客户的批准。

这些步骤描述了 Microsoft 为 Microsoft Fabric 服务发起的客户密码箱请求。

  1. Microsoft Entra 全局管理员收到来自 Microsoft 的挂起访问请求通知电子邮件。 收到电子邮件的管理员将成为指定的审批者。

  2. 电子邮件提供了 Azure 管理模块中客户密码箱的链接。 指定的审批者可以使用此链接登录到 Azure 门户,查看任何挂起的客户密码箱请求。 请求将在客户队列中保留四天。 之后,访问请求将自动过期,且不会向 Microsoft 工程师授予任何访问权限。

  3. 若要获取挂起请求的详细信息,指定的审批者可以从“挂起的请求”菜单选项中选择客户密码箱请求。

  4. 查看请求后,指定的审批者输入理由并选择以下选项之一。 出于审核目的,操作将记录到客户密码箱日志中。

    • 批准 - 向 Microsoft 工程师授予访问权限,默认期间为八个小时。

    • 拒绝 - 拒绝 Microsoft 工程师提出的访问请求,且不执行进一步的操作。

    挂起的 Microsoft Azure 客户密码箱请求的“批准”和“拒绝”按钮的屏幕截图。

日志

客户密码箱有两种类型的日志:

  • 活动日志 - 可从 Azure Monitor 活动日志获取。

    以下活动日志可用于客户密码箱:

    • 拒绝密码箱请求
    • 创建密码箱请求
    • 批准密码箱请求
    • 密码箱请求过期

    若要访问活动日志,请在 Azure 门户中选择“活动日志”。 可以对特定操作的结果进行筛选。

    Microsoft Azure 客户密码箱中的活动日志的屏幕截图。

  • 审核日志 - 可从 Microsoft Purview 合规性门户获取。 可以在管理门户中查看审核日志。

    Microsoft Fabric 客户密码箱有 4 个审核日志

    审核日志 友好名称
    GetRefreshHistoryViaLockbox 通过密码箱获取刷新历史记录
    DeleteAdminUsageDashboardsViaLockbox 通过密码箱删除管理员使用情况仪表板
    DeleteUsageMetricsv2PackageViaLockbox 通过密码箱删除使用指标 v2 包
    DeleteAdminMonitoringFolderViaLockbox 通过密码箱删除管理员监视文件夹
    GetQueryTextTelemetryViaLockbox 通过密码箱从受保护的遥测存储获取查询文本

排除项

在以下工程支持情况中不会触发客户密码箱请求:

  • 不属于标准操作过程的紧急情况。 例如,在意外的情况下,需要立即恢复或还原重大服务中断。 这些事件很少见,通常不需要访问客户数据。

  • Microsoft 工程师在故障排除过程中访问 Azure 平台,意外接触到客户数据。 例如,在故障排除过程中,Azure 网络团队会在网络设备上捕获数据包。 此类方案通常不会导致访问有意义的客户数据。

  • 数据的外部法律需求。 有关详细信息,请参阅 Microsoft 信任中心上的政府数据请求

数据访问

数据访问权限因你请求的 Microsoft Fabric 体验而有所不同。 本部分列出了在批准客户密码箱请求后,Microsoft 工程师可以访问哪些数据。

  • Power BI - 运行下面列出的操作时,Microsoft 工程师将有权访问链接到请求的几个表。 Microsoft 工程师使用的每个操作都会反映在审核日志中。

    • 获取模型刷新历史记录
    • 删除管理员使用情况仪表板
    • 箱删除使用指标 v2 包
    • 删除管理员监视文件夹
    • 删除管理员工作区
    • 访问存储中的特定数据集
    • 从受保护的遥测存储获取查询文本
  • Real-Time Intelligence – Real-Time Intelligence 工程师将有权访问 KQL 数据库中链接到请求的数据。

  • 数据工程 - 数据工程工程师将有权访问以下链接到请求的 Spark 日志:

    • 驱动程序日志
    • 事件日志
    • 执行程序日志
  • 数据工厂 - 如果已授予权限,数据工厂工程师将有权访问与请求关联的数据管道定义。