次の方法で共有


Microsoft Fabric 用カスタマー ロックボックス

Microsoft Azure 用カスタマー ロックボックスを使用すると、Microsoft エンジニアがデータにアクセスする方法を制御できます。 この記事では、カスタマー ロックボックス要求を開始する、追跡する、後のレビューと監査のために保存する方法について説明します。

通常、カスタマー ロックボックスは、Microsoft エンジニアが Microsoft Fabric サービスのサポート要求に対してトラブルシューティングを行うために使用されます。 また、カスタマー ロックボックスは、Microsoft によって問題が特定され、その問題を調査するために、Microsoft によって開始されたイベントが開かれたときにも使用されることがあります。

Microsoft Fabric のカスタマー ロックボックスを有効にする

Microsoft Fabric 用カスタマー ロックボックスを有効にするには、Microsoft Entra 全体管理者である必要があります。 Microsoft Entra ID で役割を割り当てるには、「ユーザーに Microsoft Entra ロールを割り当てる」を参照してください。

  1. Azure portal を開きます。

  2. [Customer Lockbox for Microsoft Azure] (Microsoft Azure 用カスタマー ロックボックス) に移動します。

  3. [管理] タブで、[有効] を選択します。

    [Customer Lockbox for Microsoft Azure] (Microsoft Azure 用カスタマー ロックボックス) 管理タブで [Customer Lockbox for Microsoft Azure] (Microsoft Azure 用カスタマー ロックボックス) が有効になっている画面のスクリーンショット。

Microsoft のアクセス要求

Microsoft エンジニアが標準のツールで問題をトラブルシューティングできない場合は、Just-In-Time (JIT) アクセス サービスを使用して、高度な権限が要求されます。 この要求は、元のサポート エンジニアから送信されることも、別のエンジニアから送信されることもあります。

アクセス要求が送信されると、JIT サービスによって要求が評価されます。その際、次のような要素が考慮されます。

  • リソースのスコープ

  • 要求者が分離 ID であるか、多要素認証を使用しているか

  • アクセス許可レベル

JIT ロールに基づき、この要求には Microsoft 社内承認者からの承認も含まれる場合があります。 たとえば、承認者は、カスタマー サポートのリーダーや DevOps マネージャーの場合があります。

要求に顧客データへの直接アクセスが必要な場合、カスタマー ロックボックス要求が開始されます。 たとえば、お客様の仮想マシンへのリモート デスクトップ アクセスが必要な場合などです。 カスタマー ロックボックス要求が行われると、要求はお客様の承認待ちとなり、承認の後、アクセスが許可されます。

以下の手順では、Microsoft Fabric サービスについて、Microsoft によって開始されたカスタマー ロックボックス要求について説明します。

  1. Microsoft Entra 全体管理者が、保留中アクセス要求の通知メールをマイクロソフトから受け取ります。 メールを受信した管理者が、指定された承認者になります。

  2. メールには、Azure 管理モジュールのカスタマー ロックボックスへのリンクが記載されます。 指定された承認者は、このリンクを使用し、Azure portal にサインインして、保留中のカスタマー ロックボックス要求を表示します。 要求は、カスタマー キューに 4 日間残ります。 その後、アクセス要求は自動的に期限切れになり、Microsoft のエンジニアにはアクセスが許可されません。

  3. 保留中の要求の詳細を取得するにために、指定された承認者は [保留中の要求] メニュー オプションからカスタマー ロックボックス要求を選択できます。

  4. 要求を確認した後、指定された承認者は正当な理由を入力し、次のいずれかのオプションを選択します。 これらのアクションは、監査のためにカスタマー ロックボックスのログに記録されます。

    • 承認 - 既定の期間である 8 時間を期限として、Microsoft エンジニアにアクセス権が付与されます。

    • 拒否 - Microsoft エンジニアによるアクセス要求は拒否され、以降のアクションは行われません。

    保留中の Microsoft Azure 用カスタマー ロックボックス要求の [承認] ボタンと [拒否] ボタンのスクリーンショット。

ログ

カスタマー ロックボックスには、次の 2 種類のログがあります。

  • アクティビティ ログ - Azure Monitor アクティビティ ログからアクセスできます。

    カスタマー ロックボックスについて、次のアクティビティ ログを確認できます。

    • [Deny Lockbox Request](ロックボックス要求を拒否する)
    • [Create Lockbox Request](ロックボックス要求を作成する)
    • [Approve Lockbox Request](ロックボックス要求を承認する)
    • [Lockbox Request Expiry](ロックボックス要求の有効期限)

    アクティビティ ログにアクセスするには、Azure portal で [アクティビティ ログ] を選択します。 結果をフィルター処理して、特定のアクションを参照することもできます。

    Microsoft Azure 用カスタマー ロックボックスのアクティビティ ログのスクリーンショット。

  • 監査ログ - Microsoft Purview コンプライアンス ポータルからアクセスできます。 監査ログは、管理ポータルで参照できます。

    Microsoft Fabric のカスタマー ロックボックスには、次の 4 つの監査ログがあります。

    監査ログ フレンドリ名
    GetRefreshHistoryViaLockbox Get refresh history via lockbox (ロックボックスを使用して更新履歴を取得する)
    DeleteAdminUsageDashboardsViaLockbox Delete admin usage dashboards via lockbox (ロックボックスを使用して管理者の使用状況ダッシュボードを削除する)
    DeleteUsageMetricsv2PackageViaLockbox Delete usage metrics v2 package via lockbox (ロックボックスを使用して使用状況メトリック v2 パッケージを削除する)
    DeleteAdminMonitoringFolderViaLockbox Delete admin monitoring folder via lockbox (ロックボックスを使用して管理者監視フォルダーを削除する)
    GetQueryTextTelemetryViaLockbox Lockbox を使用してセキュリティで保護されたテレメトリ ストアからクエリ テキストを取得する

除外

カスタマー ロックボックス要求は、次のエンジニアリング サポート シナリオではトリガーされません。

  • 標準的な運用手順から外れた緊急シナリオ。 たとえば、サービスの大規模な停止では、突発的なシナリオでサービスを復旧または復元するために早急に対処する必要があります。 これらのイベントはまれであり、通常はお客様のデータへのアクセスは必要ありません。

  • Microsoft のエンジニアが、トラブルシューティングの一環として Azure プラットフォームにアクセスし、意図せずお客様のデータを目にした場合。 たとえば、Azure Network チームがトラブルシューティング中にネットワーク デバイス上のパケット キャプチャした場合などです。 このようなシナリオでは、通常、意味のあるお客様データにアクセスすることはありません。

  • データに対する外部の法的要求。 詳細については、Microsoft Trust Center の 政府機関によるデータの要求に関するページを参照してください。

データ アクセス

データへのアクセスは、要求の対象となる Microsoft Fabric エクスペリエンスによって異なります。 このセクションでは、カスタマー ロックボックス要求を承認した後に Microsoft エンジニアがアクセスできるデータの一覧を示します。

  • Power BI - 以下に示す操作を実行すると、Microsoft エンジニアは要求にリンクされたいくつかのテーブルにアクセスできます。 Microsoft エンジニアが使用する各操作は、監査ログに反映されます。

    • モデルの更新履歴を取得する
    • 管理者の使用状況ダッシュボードを削除する
    • 使用状況メトリック v2 パッケージを削除する
    • 管理者監視フォルダーを削除する
    • 管理者ワークスペースを削除する
    • ストレージ内の特定のデータセットにアクセスする
    • セキュリティで保護されたテレメトリ ストアからクエリ テキストを取得する
  • リアルタイムインテリジェンス - リアルタイムインテリジェンスエンジニアは、要求にリンクされている KQL データベース内のデータにアクセスできます。

  • Data Engineering - Data Engineeringのエンジニアは、リクエストにリンクされている次の Spark ログにアクセスできます。

    • ドライバー ログ
    • イベント ログ
    • Executor ログ
  • データ ファクトリ - データ ファクトリ エンジニアは、アクセス許可が付与されている場合、要求にリンクされているデータ パイプライン定義にアクセスできるようになります。