Del via

Kundelåsekasse til Microsoft Fabric

  • Artikel

Brug Customer Lockbox til Microsoft Azure til at styre, hvordan Microsoft-teknikere får adgang til dine data. I denne artikel får du mere at vide om, hvordan kunde lockbox-anmodninger startes, spores og gemmes til senere korrekturer og revisioner.

Customer Lockbox bruges typisk til at hjælpe Microsoft-teknikere med at foretage fejlfinding af en supportanmodning fra Microsoft Fabric-tjenesten. Customer Lockbox kan også bruges, når Microsoft identificerer et problem, og der åbnes en Microsoft-initieret hændelse for at undersøge problemet.

Aktivér kundelåseboks til Microsoft Fabric

Hvis du vil aktivere Customer Lockbox til Microsoft Fabric, skal du være global Microsoft Entra-administrator. Hvis du vil tildele roller i Microsoft Entra-id, skal du se Tildel Microsoft Entra-roller til brugere.

  1. Åbn Azure-portalen.

  2. Gå til Customer Lockbox til Microsoft Azure.

  3. Vælg Aktiveret under fanen Administration.

    Skærmbillede af aktivering af Customer Lockbox til Microsoft Azure under fanen Customer Lockbox til Microsoft Azure-administration.

Microsoft-anmodning om adgang

I tilfælde, hvor Microsoft-tekniker ikke kan foretage fejlfinding af dit problem ved hjælp af standardværktøjer, anmodes der om udvidede tilladelser ved hjælp af JIT-adgangstjenesten (Just-In-Time ). Anmodningen kan komme fra den oprindelige supporttekniker eller fra en anden tekniker.

Når anmodningen om adgang er sendt, evaluerer JIT-tjenesten anmodningen under hensyntagen til faktorer som:

  • Ressourcens omfang

  • Om anmoderen er en isoleret identitet eller bruger multifaktorgodkendelse

  • Tilladelsesniveauer

Baseret på JIT-rollen kan anmodningen også omfatte en godkendelse fra interne Microsoft-godkendere. Godkenderen kan f.eks. være kundesupportlederen eller DevOps Manager.

Når anmodningen kræver direkte adgang til kundedata, startes en kundelåseboksanmodning. I tilfælde, hvor der f.eks. er behov for fjernskrivebordsadgang til en kundes virtuelle maskine. Når kundens Lockbox-anmodning er foretaget, afventer den kundens godkendelse, før der gives adgang.

Disse trin beskriver en Microsoft-initieret kundelåseboksanmodning til Microsoft Fabric-tjenesten.

  1. Den globale Microsoft Entra-administrator modtager en mail med besked om ventende adgangsanmodninger fra Microsoft. Den administrator, der har modtaget mailen, bliver den udpegede godkender.

  2. Mailen indeholder et link til Customer Lockbox i Azure Administration-modulet. Ved hjælp af linket logger den udpegede godkender på Azure-portal for at få vist alle ventende kundelåseboksanmodninger. Anmodningen forbliver i kundekøen i fire dage. Derefter udløber adgangsanmodningen automatisk, og Microsoft-teknikere får ikke adgang.

  3. Hvis du vil have oplysninger om den ventende anmodning, kan den udpegede godkender vælge kundelåsekasseanmodningen i menuindstillingen Ventende anmodninger .

  4. Når anmodningen er gennemset, angiver den udpegede godkender en begrundelse og vælger en af indstillingerne nedenfor. I overvågningsøjemed logføres handlingerne i kundelåsekasselogfilerne.

    • Godkend – Microsoft-tekniker får adgang i en standardperiode på otte timer.

    • Afvis – Microsoft-teknikerens anmodning om adgang afvises, og der udføres ingen yderligere handling.

    Skærmbillede af knapperne Godkend og afvis for en ventende Kundelåseboks til Microsoft Azure-anmodning.

Logfiler

Customer Lockbox har to typer logge:

  • Aktivitetslogge – tilgængelige fra aktivitetsloggen i Azure Monitor.

    Følgende aktivitetslogge er tilgængelige for Customer Lockbox:

    • Afvis Lockbox-anmodning
    • Opret Lockbox-anmodning
    • Godkend lockboxanmodning
    • Udløb af lockboxanmodning

    Hvis du vil have adgang til aktivitetslogfilerne, skal du vælge Aktivitetslog i Azure-portal. Du kan filtrere resultaterne for bestemte handlinger.

    Skærmbillede af aktivitetsloggene i Customer Lockbox til Microsoft Azure.

  • Overvågningslogge – tilgængelige fra Microsoft Purview-compliance-portal. Du kan se overvågningslogfilerne på administrationsportalen.

    Customer Lockbox til Microsoft Fabric har fire overvågningslogge:

    Overvågningslog Fuldt navn
    GetRefreshHistoryViaLockbox Hent opdateringshistorik via lockbox
    DeleteAdminUsageDashboardsViaLockbox Slet dashboards til administration af forbrug via låseboks
    DeleteUsageMetricsv2PackageViaLockbox Slet forbrugsdata v2-pakke via lockbox
    DeleteAdminMonitoringFolderViaLockbox Slet administrationsovervågningsmappe via låseboks
    GetQueryTextTelemetryViaLockbox Hent forespørgselstekst fra sikret telemetrilager via Lockbox

Undtagelser

Kunde lockboxanmodninger udløses ikke i følgende tekniske supportscenarier:

  • Nødscenarier, der falder uden for standardprocedurerne. En større tjenesteafbrydelse kræver f.eks. øjeblikkelig opmærksomhed for at genoprette eller gendanne tjenester i et uventet scenarie. Disse hændelser er sjældne og kræver normalt ikke adgang til kundedata.

  • En Microsoft-tekniker får adgang til Azure-platformen som en del af fejlfindingen og udsættes ved et uheld for kundedata. Under fejlfinding henter Azure Network Team f.eks. en pakke på en netværksenhed. Sådanne scenarier resulterer normalt ikke i adgang til meningsfulde kundedata.

  • Eksterne juridiske krav til data. Du kan finde flere oplysninger under Offentlige anmodninger om data i Microsoft Center for sikkerhed og rettighedsadministration.

Dataadgang

Adgangen til data varierer afhængigt af den Microsoft Fabric-oplevelse, som din anmodning er til. I dette afsnit kan du se, hvilke data Microsoft-tekniker kan få adgang til, når du har godkendt en kundelåseboksanmodning.

  • Power BI – Når du kører de handlinger, der er angivet nedenfor, har Microsoft-tekniker adgang til nogle få tabeller, der er knyttet til din anmodning. Hver handling, som Microsoft-tekniker bruger, afspejles i overvågningsloggene.

    • Hent historik for modelopdatering
    • Slet dashboard til administration af forbrug
    • Slet v2-pakke med forbrugsdata
    • Slet administrationsovervågningsmappe
    • Slet administratorarbejdsområde
    • Få adgang til et bestemt datasæt i lageret
    • Hent forespørgselstekst fra sikret telemetrilager

  • Realtidsintelligens – Realtidsintelligensteknikeren har adgang til de data i KQL-databasen, der er knyttet til din anmodning.

  • Dataudvikler – Dataudvikler teknikeren har adgang til følgende Spark-logge, der er knyttet til din anmodning:

    • Driverlogge
    • Hændelseslogge
    • Eksekveringslogge

  • Data Factory – Data Factory-teknikeren har adgang til definitioner af datapipelines, der er knyttet til din anmodning, hvis der gives tilladelse.

Relateret indhold