適用於 Microsoft Azure 的客戶加密箱
注意
若要使用這項功能,您的組織必須擁有 Azure 支援 方案,且層級最少的開發人員。
Microsoft 人員和轉包處理者所執行的大部分作業和支援都不需要存取客戶數據。 在這些需要這類存取的罕見情況下,Microsoft Azure 的客戶加密箱會提供一個介面,讓客戶檢閱和核准或拒絕客戶數據存取要求。 當 Microsoft 工程師需要存取客戶數據、回應客戶起始的支援票證或 Microsoft 所識別的問題時,就會使用。
本文涵蓋如何啟用 Microsoft Azure 的客戶加密箱,以及如何起始、追蹤和儲存要求,以供稍後檢閱和稽核使用。
支援的服務
Microsoft Azure 的客戶加密箱目前支援下列服務:
- Azure API 管理
- Azure App Service
- Azure AI 搜尋服務
- Azure Chaos Studio
- Azure 認知服務
- Azure Container Registry
- Azure 資料箱
- Azure 資料總管
- Azure Data Factory
- Azure Data Manager for Energy
- 適用於 MySQL 的 Azure 資料庫
- 適用於 MySQL 的 Azure 資料庫彈性伺服器
- 適用於 PostgreSQL 的 Azure 資料庫
- Azure Edge 區域平臺 儲存體
- Azure Energy
- Azure Functions
- Azure HDInsight
- Azure Health Bot
- Azure Intelligent 建議
- Azure Kubernetes Service
- Azure 負載測試 (CloudNative Testing)
- Azure Logic 應用程式
- Azure 監視器 (Log Analytics)
- Azure Red Hat OpenShift
- Azure Spring Apps
- Azure SQL Database
- Azure SQL 受控執行個體
- Azure 儲存體
- Azure 訂用帳戶轉移
- Azure Synapse Analytics
- 商業 AI (智慧型 建議)
- DevCenter / DevBox
- ElasticSan
- Kusto (儀錶板)
- Microsoft Azure 證明
- OpenAI
- Spring Cloud
- 整合視覺服務
- Azure 中的 虛擬機器
啟用 Microsoft Azure 的客戶加密箱
您現在可以從 管理員 istration 模組啟用 Microsoft Azure 的客戶加密箱。
注意
若要啟用 Microsoft Azure 的客戶加密箱,使用者帳戶必須獲指派全域 管理員 istrator 角色。
工作流程
下列步驟概述 Microsoft Azure 要求之客戶加密箱的一般工作流程。
組織中的某人有其 Azure 工作負載的問題。
此人針對問題進行疑難解答但無法修正之後,他們會從 Azure 入口網站 開啟支援票證。 票證會指派給 Azure 客戶支持工程師。
Azure 支援工程師會檢閱服務要求,並判斷解決問題的後續步驟。
如果支援工程師無法使用標準工具和服務產生的數據對問題進行疑難解答,下一個步驟是使用 Just-In-Time (JIT) 存取服務來要求提高的許可權。 此要求可以來自原始支持工程師,或來自不同的工程師,因為問題會呈報給 Azure DevOps 小組。
在 Azure 工程師提交存取要求之後,Just-In-Time 服務會評估要求,並考慮下列因素:
- 資源的範圍。
- 要求者是隔離的身分識別,還是使用多重要素驗證。
- 許可權層級。 根據 JIT 規則,此要求也可能包含來自內部 Microsoft 核准者的核准。 例如,核准者可能是客戶支持潛在客戶或 DevOps Manager。
當要求需要直接存取客戶數據時,就會起始客戶加密箱要求。 例如,對客戶的虛擬機進行遠端桌面存取。
要求現在處於 客戶通知 狀態,在授與存取權之前等待客戶的核准。
針對指定的客戶加密箱要求,在客戶組織中決定一或多個核准者,如下所示:
- 針對訂用帳戶範圍要求(要求存取訂用帳戶中包含的特定資源),具有擁有者角色的使用者或訂用帳戶角色的 Azure 客戶加密箱核准者(目前為公開預覽版)在相關聯的訂用帳戶上。
- 針對租用戶範圍要求(存取 Microsoft Entra 租使用者的要求),具有租使用者上全域 管理員 istrator 角色的使用者。
注意
必須先就地指派角色,Microsoft Azure 的客戶加密箱才能開始處理要求。 在 Microsoft Azure 客戶加密箱開始處理指定要求之後所做的任何角色指派,都將無法辨識。 因此,若要針對訂用帳戶擁有者角色使用 PIM 合格指派,用戶必須在起始客戶加密箱要求之前啟用角色。 如需啟用 PIM 合格角色的詳細資訊,請參閱在 PIM 中啟用 Microsoft Entra 角色在 PIM / 中啟用 Azure 資源角色。
目前 Microsoft Azure 的客戶加密箱不支援範圍設定為管理群組的角色指派。
在客戶組織,指定的加密箱核准者 (Azure 訂用帳戶擁有/者 Microsoft Entra Global admin/Azure Customer Lockbox Approver for Subscription)會收到 Microsoft 的電子郵件,以通知他們擱置的存取要求。 您也可以使用 Azure 加密箱替代電子郵件通知 功能(目前為公開預覽版)來設定替代電子郵件位址,以在 Azure 帳戶未啟用電子郵件的情況下或服務主體定義為加密箱核准者的情況下接收加密箱通知。
範例電子郵件:
電子郵件通知提供 管理員 istration 模組中 [客戶加密箱] 刀鋒視窗的連結。 指定的核准者登入 Azure 入口網站,以檢視其組織對於 Microsoft Azure 客戶加密箱的任何擱置要求:
要求會保留在客戶佇列中四天。 在此時間過後,存取要求會自動過期,且不會將存取權授與 Microsoft 工程師。若要取得擱置要求的詳細數據,指定的核准者可以從擱置要求中選取客戶加密箱要求:
指定的核准者也可以選取 服務要求標識符 ,以檢視原始使用者所建立的支援票證要求。 此資訊提供參與 Microsoft 支援服務 的原因,以及所回報問題歷程記錄的內容。 例如:
指定的核准者會檢閱要求,然後選取 [核准] 或 [拒絕]:
選取結果:- 核准:存取權會在要求詳細數據中指定的期間授與 Microsoft 工程師,如電子郵件通知和 Azure 入口網站 所示。
- 拒絕:Microsoft 工程師提升許可權的存取要求遭到拒絕,不會採取任何進一步的動作。
為了進行稽核,此工作流程中所採取的動作會記錄在客戶加密箱要求記錄中。
稽核記錄
客戶加密箱記錄會儲存在活動記錄中。 在 Azure 入口網站 中,選取 [活動記錄] 以檢視與客戶加密箱要求相關的稽核資訊。 您可以篩選特定動作,例如:
- 拒絕加密箱要求
- 建立加密箱要求
- 核准加密箱要求
- 加密箱要求到期
例如:
適用於 Microsoft Azure 的客戶加密箱與 Microsoft 雲端安全性效能評定整合
我們在 Microsoft 雲端安全性基準中引進了新的基準控制 (PA-8:判斷雲端提供者支援的存取程式),涵蓋客戶加密箱適用性。 客戶現在可以使用基準檢驗來檢閱服務的客戶加密箱適用性。
排除項目
客戶加密箱要求不會在下列案例中觸發:
- 超出標準作業程序的緊急案例。 例如,主要服務中斷需要立即注意在非預期或無法預測的情況下復原或還原服務。 這些「打破玻璃」事件很少見,而且在大多數情況下,不需要任何客戶數據的存取權才能解決。
- Microsoft 工程師會存取 Azure 平台作為疑難解答的一部分,並無意中向客戶數據公開。 例如,Azure 網路小組執行疑難排解而導致在網路裝置上擷取到封包。 這類案例很少會導致存取有意義的客戶數據數量。 客戶可以透過使用適用於某些 Azure 服務的客戶管理金鑰 (CMK),進一步保護其資料。 如需詳細資訊,請參閱 Azure 中的金鑰管理概觀。
對數據的外部法律要求也不會觸發客戶加密箱要求。 如需詳細資訊,請參閱 Microsoft 信任中心上政府要求數據的討論。
下一步
從 [客戶加密箱] 刀鋒視窗中的 [管理員 istration] 模組啟用客戶加密箱。 Microsoft Azure 的客戶加密箱適用於所有擁有 Azure 支援 方案且最低層級開發人員的客戶。