適用於 Microsoft Azure 的客戶加密箱

文章
08/14/2024

注意

若要使用這項功能，您的組織所擁有的 Azure 支援方案必須具有開發人員的最低層級。

Microsoft 人員和次處理者所執行的大部分作業和支援都不需要存取客戶資料。在需要進行這類存取的罕見情況下，Microsoft Azure 的客戶加密箱可提供介面讓客戶檢閱及核准 (或拒絕) 存取客戶資料的要求。當 Microsoft 工程師需要存取客戶資料時，無論其目的是為了回應客戶起始的支援票證還是 Microsoft 所發現的問題，就會使用此技術。

本文會說明如何啟用適用於 Microsoft Azure 的客戶加密箱，以及如何起始、追蹤和儲存要求，以供日後進行檢閱和稽核。

支援的服務

適用於 Microsoft Azure 客戶加密箱目前支援下列服務：

Azure API 管理
Azure App Service
Azure AI 搜尋服務
Azure AI 服務
Azure Chaos Studio
Azure Communications Gateway
Azure Container Registry
Azure 資料箱
Azure 資料總管
Azure Data Factory
Azure Data Manager for Energy
適用於 MySQL 的 Azure 資料庫
適用於 MySQL 的 Azure 資料庫彈性伺服器
適用於 PostgreSQL 的 Azure 資料庫
Azure Edge Zone 平台儲存體
Azure Energy
Azure Functions
Azure HDInsight
Azure Health Bot
Azure 智慧建議
Azure 資訊保護
Azure Kubernetes Service
Azure 負載測試 (CloudNative 測試)
Azure Logic 應用程式
Azure 監視器 (記錄分析)
Azure Red Hat OpenShift
Azure Spring Apps
Azure SQL Database
Azure SQL 受控執行個體
Azure 儲存體
Azure 訂用帳戶轉移
Azure Synapse Analytics
商業 AI (智慧建議)
DevCenter / DevBox
ElasticSan
Kusto (儀表板)
Microsoft Azure 證明
OpenAI
Spring Cloud
整合視覺服務
Azure 中的虛擬機器

啟用適用於 Microsoft Azure 的客戶加密箱

您現在可以從管理模組啟用適用於 Microsoft Azure 客戶加密箱。

注意

若要啟用適用於 Microsoft Azure 客戶加密箱，使用者帳戶必須獲派全域管理員角色。

工作流程

下列步驟概述適用於 Microsoft Azure 客戶加密箱要求的一般工作流程。

組織中的某人在使用其 Azure 工作負載時發生問題。
此人員針對問題進行疑難排解，卻無法修正問題，於是便從 Azure 入口網站開啟支援票證。系統將支援票證指派給 Azure 客戶支援工程師。
Azure 支援工程師檢閱服務要求，並判斷可用來解決問題的後續步驟。
如果支援工程師無法使用標準工具和服務產生的資料對問題進行疑難排解，下一個步驟是使用 Just-In-Time (JIT) 存取服務來要求提高的權限。此要求可能來自原本的支援工程師，也可能來自不同工程師，因為此問題會呈報給 Azure DevOps 小組。
Azure 工程師提將存取要求之後，Just-In-Time 服務會評估要求以考慮下列因素：
- 資源的範圍。
- 要求者是隔離的身分識別，還是使用多重要素驗證。
- 權限層級。根據 JIT 規則，此要求也可能包含來自內部 Microsoft 核准者的核准。例如，核准者可能是客戶支援服務主管或 DevOps 經理。
當要求需要直接存取客戶資料時，便會起始客戶加密箱要求。

要求現在會處於已通知客戶的狀態，等到客戶核准後才會授與存取權。
指定客戶加密箱要求客戶組織的一個或多個核准者取決於下列項目：
- 針對訂用帳戶範圍內的要求 (要求存取訂用帳戶中包含的特定資源)：在相關聯的訂用帳戶上具有擁有者角色或 Azure 訂閱客戶加密箱核准者角色的使用者。
- 針對租用戶範圍要求 (Microsoft Entra 租用戶的存取要求)，核准者為已在租用戶中的全域管理員角色使用者。
注意

必須先設置好角色指派，再讓適用於 Microsoft Azure 客戶加密箱開始處理要求。在適用於 Microsoft Azure 客戶加密箱開始處理指定要求後，任何角色指派都不會被辨識。因此，若要將符合 PIM 資格的指派用於訂用帳戶擁有者角色，使用者必須在起始客戶加密箱要求前啟用角色。請參閱在 PIM 中啟用 Microsoft Entra 角色 (部分機器翻譯) / 在 PIM 中啟用 Azure 資源角色 (部分機器翻譯) 以深入了解如何啟用符合 PIM 資格的角色。

適用於 Microsoft Azure 客戶加密箱目前不支援管理群組範圍中的角色指派。
在客戶組織中，指定的加密箱核准者 (Azure 訂用帳戶擁有者/Microsoft Entra 全域管理員/適用於定用帳戶的 Azure 客戶加密箱核准者) 會收到 Microsoft 寄來的電子郵件，通知他們有待決的存取要求。您也可以使用 Azure Lockbox 替代電子郵件通知功能來設定替代電子郵件地址，以在 Azure 帳戶未啟用電子郵件的情況下，或服務主體定義為加密箱核准者時，接收加密箱通知。

範例電子郵件：
電子郵件通知中會提供連結，可供前往「管理模組」中的 [客戶加密箱] 刀鋒視窗。指定的核准者可登入 Azure 入口網站，以檢視其組織對於適用於 Microsoft Azure 客戶加密箱的待決要求：該要求會在客戶佇列中保留四天。四天過後，存取要求便會自動到期，而不會向 Microsoft 工程師授與存取權。
若要取得待決要求的詳細資料，指定的核准者可以從 [待決要求] 中選取客戶加密箱要求：
指定的核准者也可以選取 [服務要求識別碼]，以檢視原始使用者所建立的支援票證要求。此資訊會提供為何會聯繫 Microsoft 支援服務的背後原因，以及所回報問題的歷程記錄。例如：
在指定的核准者檢閱要求，並選取 [核准] 或 [拒絕]：選取結果如下：
- 核准：在要求詳細資料中指定的期間，存取權會授與 Microsoft 工程師，如電子郵件通知和 Azure 入口網站所示。
- 拒絕：Microsoft 工程師的提升存取權要求遭到拒絕，也因此不會再採取任何動作。
為了進行稽核，此工作流程中所採取的動作會記錄在客戶加密箱要求記錄中。

稽核記錄

適用於 Azure 的客戶加密箱稽核記錄會寫入訂用帳戶範圍要求的活動記錄，以及租用戶範圍要求的 Entra Audit Log。

訂用帳戶範圍的要求 - 活動記錄

在 Azure 入口網站適用於 Microsoft Azure 客戶加密箱刀鋒視窗中，選取 [活動記錄] 以檢視與客戶加密箱要求相關的稽核資訊。您也可以在有問題的訂用帳戶詳細資料刀鋒視窗中檢視活動記錄。在這兩種情況下，您可以篩選特定作業，例如：

拒絕加密箱要求
建立加密箱要求
核准加密箱要求
加密箱要求到期

例如：

租用戶範圍的要求 - 稽核記錄

對於租使用者範圍的客戶加密箱要求，記錄專案會寫入 Entra Audit Log。這些記錄項目是由存取權檢閱服務所建立，其活動如下：

建立要求
要求已核准
要求遭拒

您可以虛構 Service = Access Reviews 和 Activity = one of the above activities。

例如：

注意

Azure Lockbox 入口網站中的 [歷程記錄] 索引標籤已移除，因為現有的技術限制。若要檢視客戶加密箱的要求記錄，請針對訂用帳戶範圍要求使用活動記錄和租用戶範圍要求的 Entra Audit Log。