Funkcja Skrytka klienta dla platformy Microsoft Azure
Uwaga
Aby korzystać z tej funkcji, organizacja musi mieć plan pomoc techniczna platformy Azure z minimalnym poziomem dewelopera.
Większość operacji i pomocy technicznej wykonywanych przez personel i podprocesory firmy Microsoft nie wymaga dostępu do danych klientów. W tych rzadkich okolicznościach, gdy taki dostęp jest wymagany, skrytka klienta dla platformy Microsoft Azure udostępnia interfejs umożliwiający klientom przeglądanie i zatwierdzanie i odrzucanie żądań dostępu do danych klientów. Jest on używany w przypadkach, w których inżynier firmy Microsoft musi uzyskać dostęp do danych klienta, niezależnie od tego, czy jest to bilet pomocy technicznej zainicjowany przez klienta, czy problem zidentyfikowany przez firmę Microsoft.
W tym artykule opisano sposób włączania blokady klienta dla platformy Microsoft Azure oraz sposobu inicjowania, śledzenia i przechowywania żądań na potrzeby późniejszych przeglądów i inspekcji.
Obsługiwane usługi
Następujące usługi są obecnie obsługiwane w przypadku blokady klienta dla platformy Microsoft Azure:
- Usługa Azure API Management
- Azure App Service
- Wyszukiwanie AI platformy Azure
- Usługi platformy Azure AI
- Azure Chaos Studio
- Azure Communications Gateway
- Azure Container Registry
- Azure Data Box
- Azure Data Explorer
- Azure Data Factory
- Azure Data Manager for Energy
- Azure Database for MySQL
- Usługa Azure Database for MySQL — serwer elastyczny
- Azure Database for PostgreSQL
- Azure Edge Zone Platform Storage
- Azure Energy
- Azure Functions
- Azure HDInsight
- Azure Health Bot
- Azure Intelligent Recommendations
- Azure Information Protection
- Azure Kubernetes Service
- Testowanie obciążenia platformy Azure (testowanie w chmurze)
- Azure Logic Apps
- Azure Monitor (analiza dzienników)
- Azure Red Hat OpenShift
- Azure Spring Apps
- Azure SQL Database
- Wystąpienie zarządzane Azure SQL
- Azure Storage
- Transfery subskrypcji platformy Azure
- Azure Synapse Analytics
- Commerce AI (Intelligent Recommendations)
- DevCenter / DevBox
- ElasticSan
- Kusto (pulpity nawigacyjne)
- Usługa Microsoft Azure Attestation
- OpenAI
- Spring Cloud
- Unified Vision Service
- Maszyny wirtualne na platformie Azure
Włączanie skrytki klienta dla platformy Microsoft Azure
Teraz możesz włączyć blokadę klienta dla platformy Microsoft Azure z modułu Administracja.
Uwaga
Aby włączyć blokadę klienta dla platformy Microsoft Azure, konto użytkownika musi mieć przypisaną rolę administratora globalnego.
Przepływ pracy
W poniższych krokach opisano typowy przepływ pracy dla żądania klienta dla żądania platformy Microsoft Azure.
Ktoś w organizacji ma problem z obciążeniem platformy Azure.
Gdy ta osoba rozwiąże ten problem, ale nie może go rozwiązać, otworzy bilet pomocy technicznej w witrynie Azure Portal. Bilet jest przypisywany do inżyniera pomocy technicznej platformy Azure.
Inżynier pomocy technicznej platformy Azure przegląda żądanie obsługi i określa następne kroki w celu rozwiązania problemu.
Jeśli inżynier pomocy technicznej nie może rozwiązać problemu przy użyciu standardowych narzędzi i wygenerowanych danych usługi, następnym krokiem jest zażądanie podwyższonych uprawnień przy użyciu usługi dostępu Just-In-Time (JIT). To żądanie może pochodzić od oryginalnego inżyniera pomocy technicznej lub innego inżyniera, ponieważ problem jest eskalowany do zespołu usługi Azure DevOps.
Po przesłaniu żądania dostępu przez inżyniera platformy Azure usługa Just In Time ocenia żądanie, uwzględniając takie czynniki jak:
- Zakres zasobu.
- Niezależnie od tego, czy obiekt żądający jest tożsamością izolowanym, czy też przy użyciu uwierzytelniania wieloskładnikowego.
- Poziomy uprawnień. Na podstawie reguły JIT to żądanie może również zawierać zatwierdzenie od wewnętrznych osób zatwierdzających firmy Microsoft. Na przykład osoba zatwierdzająca może być potencjalnym klientem pomocy technicznej lub menedżerem DevOps.
Gdy żądanie wymaga bezpośredniego dostępu do danych klienta, zostanie zainicjowane żądanie skrytki klienta.
Żądanie jest teraz w stanie Powiadomienie o kliencie, czekając na zatwierdzenie klienta przed udzieleniem dostępu.
Co najmniej jeden osoba zatwierdzająca w organizacji klienta dla danego żądania skrytki klienta jest określany w następujący sposób:
- W przypadku żądań z zakresem subskrypcji (żądań uzyskania dostępu do określonych zasobów zawartych w ramach subskrypcji) użytkownicy z rolą Właściciel lub Osoba zatwierdzająca klienta platformy Azure dla subskrypcji w skojarzonej subskrypcji.
- W przypadku żądań zakresu dzierżawy (żądań uzyskania dostępu do dzierżawy firmy Microsoft Entra) użytkownicy z rolą administratora globalnego w dzierżawie.
Uwaga
Przypisania ról muszą znajdować się przed rozpoczęciem przetwarzania żądania przez blokadę klienta dla platformy Microsoft Azure. Wszystkie przypisania ról wykonane po rozpoczęciu przetwarzania danego żądania przez klienta skrytki klienta dla platformy Microsoft Azure nie zostaną rozpoznane. W związku z tym, aby używać kwalifikujących się przypisań usługi PIM dla roli Właściciel subskrypcji, użytkownicy muszą aktywować rolę przed zainicjowaniem żądania skrytki klienta. Aby uzyskać więcej informacji na temat aktywowania kwalifikujących się ról usługi PIM, zobacz Aktywowanie ról zasobów platformy Azure w usłudze PIM / w usłudze Microsoft Entra.
Przypisania ról ograniczone do grup zarządzania nie są obecnie obsługiwane w skrytce klienta dla platformy Microsoft Azure.
W organizacji klienta wyznaczone osoby zatwierdzające skrytkę (właściciel/subskrypcji platformy Azure Microsoft Entra Global admin/Osoba zatwierdzająca klienta platformy Azure dla subskrypcji otrzymują wiadomość e-mail od firmy Microsoft, aby powiadomić ich o oczekującym żądaniu dostępu. Możesz również użyć funkcji alternatywnych powiadomień e-mail usługi Azure Lockbox, aby skonfigurować alternatywny adres e-mail do odbierania powiadomień skrytki w scenariuszach, w których konto platformy Azure nie jest włączone lub jeśli jednostka usługi jest zdefiniowana jako osoba zatwierdzająca skrytkę.
Powiadomienie e-mail zawiera link do bloku Blokada klienta w module Administracja. Wyznaczony osoba zatwierdzająca loguje się do witryny Azure Portal, aby wyświetlić wszelkie oczekujące żądania, które ich organizacja ma dla blokady klienta dla platformy Microsoft Azure: Żądanie pozostaje w kolejce klienta przez cztery dni. Po tym czasie żądanie dostępu automatycznie wygasa i nie ma dostępu do inżynierów firmy Microsoft.
Aby uzyskać szczegółowe informacje o oczekującym żądaniu, wyznaczona osoba zatwierdzająca może wybrać żądanie skrytki klienta z oczekujących żądań:
Wyznaczony osoba zatwierdzająca może również wybrać identyfikator ŻĄDANIA OBSŁUGI, aby wyświetlić żądanie biletu pomocy technicznej utworzone przez oryginalnego użytkownika. Te informacje zawierają kontekst, dlaczego pomoc techniczna firmy Microsoft jest zaangażowany i historia zgłoszonego problemu. Na przykład: .
Wyznaczony osoba zatwierdzająca przegląda żądanie i wybiera pozycję Zatwierdź lub Odmów: W wyniku zaznaczenia:
- Zatwierdź: dostęp jest udzielany inżynierowi firmy Microsoft przez czas określony w szczegółach żądania, który jest wyświetlany w powiadomieniu e-mail i w witrynie Azure Portal.
- Odmów: Żądanie dostępu z podwyższonym poziomem uprawnień przez inżyniera firmy Microsoft jest odrzucane i nie są podejmowane żadne dalsze działania.
W celach inspekcji akcje wykonywane w tym przepływie pracy są rejestrowane w dziennikach żądań skrytki klienta.
Dzienniki inspekcji
Dzienniki inspekcji dla skrytki klienta dla platformy Azure są zapisywane w dziennikach aktywności dla żądań z zakresem subskrypcji i w dzienniku inspekcji entra dla żądań o zakresie dzierżawy.
Żądania o zakresie subskrypcji — dzienniki aktywności
W witrynie Azure Portal blok Blokada klienta dla platformy Microsoft Azure wybierz pozycję Dzienniki aktywności, aby wyświetlić informacje inspekcji związane z żądaniami skrytki klienta. Dzienniki aktywności można również wyświetlić w bloku szczegółów subskrypcji dla danej subskrypcji. W obu przypadkach można filtrować pod kątem określonych operacji, takich jak:
- Odmowa żądania skrytki
- Tworzenie żądania skrytki
- Zatwierdzanie żądania skrytki
- Wygaśnięcie żądania skrytki
Przykład:
Żądania o zakresie dzierżawy — dziennik inspekcji
W przypadku żądań skrytki klienta o zakresie dzierżawy wpisy dziennika są zapisywane w dzienniku inspekcji entra. Te wpisy dziennika są tworzone przez usługę Przeglądy dostępu z działaniami, takimi jak:
- Tworzenie żądania
- Żądanie zatwierdzone
- Odmowa żądania
Można fiiter dla Service = Access Reviews
i Activity = one of the above activities
.
Przykład:
Uwaga
Karta Historia w portalu Azure Lockbox została usunięta z powodu istniejących ograniczeń technicznych. Aby wyświetlić historię żądań skrytki klienta, użyj dziennika aktywności dla żądań o zakresie subskrypcji i dziennika inspekcji entra dla żądań o zakresie dzierżawy.
Blokada klienta dla integracji platformy Microsoft Azure z testem porównawczym zabezpieczeń w chmurze firmy Microsoft
Wprowadziliśmy nową kontrolę punktu odniesienia (PA-8: Określanie procesu dostępu do pomocy technicznej dostawcy usług w chmurze) w temie porównawczym zabezpieczeń w chmurze firmy Microsoft, który obejmuje możliwość stosowania rozwiązania Lockbox klienta. Klienci mogą teraz korzystać z testu porównawczego, aby przejrzeć możliwość stosowania skrytki klienta dla usługi.
Wykluczenia
Żądania skrytki klienta nie są wyzwalane w następujących scenariuszach:
- Scenariusze awaryjne, które wykraczają poza standardowe procedury operacyjne i wymagają pilnej akcji od firmy Microsoft w celu przywrócenia dostępu do Usługi online lub zapobiegania uszkodzeniu lub utracie danych klienta albo badania zdarzenia związanego z zabezpieczeniami lub nadużyciami. Na przykład duża awaria usługi lub zdarzenie zabezpieczeń wymaga natychmiastowej uwagi na odzyskiwanie lub przywracanie usług w nieoczekiwanych lub nieprzewidywalnych okolicznościach. Te zdarzenia "break glass" są rzadkie i, w większości przypadków, nie wymagają dostępu do danych klientów w celu rozwiązania problemu. Mechanizmy kontroli i procesów zarządzających dostępem firmy Microsoft do danych klientów w podstawowych Usługi online są zgodne z NIST 800-53 i są weryfikowane za pośrednictwem inspekcji SOC 2. Aby uzyskać więcej informacji, zobacz Punkt odniesienia zabezpieczeń platformy Azure dla skrytki klienta dla platformy Microsoft Azure.
- Inżynier firmy Microsoft uzyskuje dostęp do platformy Azure w ramach rozwiązywania problemów i przypadkowo uwidacznia dane klientów. Na przykład zespół ds. sieci platformy Azure wykonuje procedurę rozwiązywania problemów, której rezultatem jest przechwycenie pakietów na urządzeniu sieciowym. Rzadko zdarza się, że takie scenariusze spowodują dostęp do znaczących ilości danych klientów. Klienci mogą dodatkowo chronić swoje dane za pomocą kluczy zarządzanych przez klienta (CMK), które są dostępne dla niektórych usług platformy Azure. Aby uzyskać więcej informacji, zobacz Omówienie zarządzania kluczami na platformie Azure.
Zewnętrzne wymagania prawne dotyczące danych również nie wyzwalają żądań usługi Customer Lockbox. Szczegółowe informacje znajdują się w omówieniu żądań instytucji rządowych dotyczących danych w Centrum zaufania Microsoft.
Następne kroki
Włącz funkcję Skrytka klienta z poziomu modułu administracyjnego w bloku Skrytka klienta. Skrytka klienta dla platformy Microsoft Azure jest dostępna dla wszystkich klientów posiadających plan pomocy technicznej platformy Azure na poziomie „Deweloper” lub wyższym.