Sdílet prostřednictvím


Customer Lockbox pro Microsoft Fabric

Pomocí Customer Lockboxu pro Microsoft Azure můžete řídit, jak technici Microsoftu přistupují k vašim datům. V tomto článku se dozvíte, jak se žádosti Customer Lockboxu inicialují, sledují a ukládají pro pozdější kontroly a audity.

Customer Lockbox se obvykle používá k tomu, aby technici Microsoftu pomohli řešit potíže s žádostí o podporu služeb Microsoft Fabric. Customer Lockbox se dá použít také v případě, že Microsoft identifikuje problém a otevře se událost iniciovaná Microsoftem, která problém prošetří.

Povolení Customer Lockboxu pro Microsoft Fabric

Pokud chcete povolit Customer Lockbox pro Microsoft Fabric, musíte být globálním správcem Microsoft Entra. Pokud chcete přiřadit role v Microsoft Entra ID, přečtěte si téma Přiřazení rolí Microsoft Entra uživatelům.

  1. Otevřete Azure Portal.

  2. Přejděte do Customer Lockboxu pro Microsoft Azure.

  3. Na kartě Správa vyberte Povoleno.

    Snímek obrazovky s povolením Customer Lockboxu pro Microsoft Azure na kartě Customer Lockbox pro správu Microsoft Azure

Žádost o přístup microsoftu

V případech, kdy technik Microsoftu nemůže váš problém vyřešit pomocí standardních nástrojů, se zvýšená oprávnění požadují pomocí služby přístupu ZA běhu (JIT). Žádost může pocházet od původního pracovníka podpory nebo od jiného inženýra.

Po odeslání žádosti o přístup služba JIT žádost vyhodnotí vzhledem k faktorům, jako jsou:

  • Rozsah prostředku

  • Jestli je žadatel izolovaná identita nebo použití vícefaktorového ověřování

  • Úrovně oprávnění

Na základě role JIT může žádost zahrnovat také schválení interních schvalovatelů Microsoftu. Schvalovatel může být například vedoucí zákaznické podpory nebo Správce DevOps.

Pokud žádost vyžaduje přímý přístup k zákaznickým datům, zahájí se žádost Customer Lockboxu. Například v případech, kdy je potřeba vzdálený přístup ke vzdálené ploše k virtuálnímu počítači zákazníka. Jakmile se žádost Customer Lockboxu odešle, před udělením přístupu čeká na schválení zákazníka.

Tento postup popisuje požadavek Customer Lockbox iniciovaný Microsoftem pro službu Microsoft Fabric.

  1. Globální správce Microsoft Entra obdrží od Microsoftu e-mail s oznámením o čekající žádosti o přístup. Správcem, který e-mail obdržel, se stane určeným schvalovatelem.

  2. E-mail obsahuje odkaz na Customer Lockbox v modulu správa Azure. Pomocí odkazu se určený schvalovatel přihlásí k webu Azure Portal a zobrazí všechny nevyřízené žádosti Customer Lockboxu. Požadavek zůstane ve frontě zákazníka čtyři dny. Potom platnost žádosti o přístup vyprší automaticky a technikům Microsoftu se neudělí žádný přístup.

  3. Pokud chcete získat podrobnosti o čekající žádosti, může určený schvalovatel vybrat žádost Customer Lockbox z možnosti nabídky Čekající žádosti .

  4. Po kontrole žádosti zadá určený schvalovatel odůvodnění a vybere jednu z níže uvedených možností. Pro účely auditování se akce protokolují do protokolů Customer Lockboxu.

    • Schválit – Přístup je udělen technikovi Microsoftu na výchozí dobu osmi hodin.

    • Odepřít – Žádost o přístup technika Microsoftu se odmítne a neprovedou se žádné další kroky.

    Snímek obrazovky s tlačítky schválit a odepřít čekající customer Lockbox pro žádost Microsoft Azure

Protokoly

Customer Lockbox má dva typy protokolů:

  • Protokoly aktivit – K dispozici v protokolu aktivit služby Azure Monitor.

    Pro Customer Lockbox jsou k dispozici následující protokoly aktivit:

    • Zamítnutí požadavku Lockboxu
    • Vytvoření požadavku Lockboxu
    • Schválení požadavku Lockboxu
    • Vypršení platnosti požadavku Lockboxu

    Pokud chcete získat přístup k protokolům aktivit, vyberte na webu Azure Portal protokol aktivit. Výsledky můžete filtrovat pro konkrétní akce.

    Snímek obrazovky s protokoly aktivit v Customer Lockboxu pro Microsoft Azure

  • Protokoly auditu – K dispozici v Portál dodržování předpisů Microsoft Purview. Protokoly auditu můžete zobrazit na portálu pro správu.

    Customer Lockbox pro Microsoft Fabric má čtyři protokoly auditu:

    Protokol auditu Popisný název
    GetRefreshHistoryViaLockbox Získání historie aktualizací prostřednictvím lockboxu
    DeleteAdminUsageDashboardsViaLockbox Odstranění řídicích panelů využití správce prostřednictvím lockboxu
    DeleteUsageMetricsv2PackageViaLockbox Odstranění balíčku metrik využití v2 prostřednictvím lockboxu
    DeleteAdminMonitoringFolderViaLockbox Odstranění složky monitorování správce prostřednictvím lockboxu
    GetQueryTextTelemetryViaLockbox Získání textu dotazu ze zabezpečeného úložiště telemetrie přes Lockbox

Vyloučení

Požadavky Customer Lockboxu se neaktivují v následujících scénářích technické podpory:

  • Nouzové scénáře, které spadají mimo standardní provozní postupy. Například velký výpadek služby vyžaduje okamžitou pozornost k obnovení nebo obnovení služeb v neočekávaném scénáři. Tyto události jsou vzácné a obvykle nevyžadují přístup k zákaznickým datům.

  • Technik Microsoftu přistupuje k platformě Azure jako součást řešení potíží a omylem je vystavený zákaznickým datům. Například při řešení potíží se síťovým týmem Azure zachytí paket na síťovém zařízení. Takové scénáře obvykle nemají za následek přístup k smysluplných zákaznickým datům.

  • Externí právní požadavky na data. Podrobnosti najdete v žádostech státní správy o data v Centru zabezpečení Microsoftu.

Přístup k datům

Přístup k datům se liší podle prostředí Microsoft Fabric, pro které vaše žádost platí. Tato část uvádí, ke kterým datům může technik Microsoftu získat přístup po schválení žádosti Customer Lockboxu.

  • Power BI – Při spouštění níže uvedených operací bude mít technik Microsoftu přístup k několika tabulkám propojeným s vaší žádostí. Každá operace, která technik Microsoftu používá, se odráží v protokolech auditu.

    • Získání historie aktualizace modelu
    • Odstranění řídicího panelu využití správce
    • Odstranění balíčku metrik využití v2
    • Odstranění složky monitorování správce
    • Odstranění pracovního prostoru správce
    • Přístup ke konkrétní datové sadě v úložišti
    • Získání textu dotazu ze zabezpečeného úložiště telemetrie
  • Inteligence v reálném čase – technik analýzy v reálném čase bude mít přístup k datům v databázi KQL, která jsou propojená s vaším požadavkem.

  • Datoví technici – technik Datoví technici bude mít přístup k následujícím protokolům Sparku propojeným s vaší žádostí:

    • Protokoly ovladače
    • Protokoly událostí
    • Protokoly exekutoru
  • Data Factory – Inženýr služby Data Factory bude mít přístup k definicům datového kanálu propojenému s vaší žádostí, pokud je udělené oprávnění.