Skrytka klienta dla usługi Microsoft Fabric
Użyj skrytki klienta dla platformy Microsoft Azure , aby kontrolować sposób uzyskiwania dostępu do danych przez inżynierów firmy Microsoft. W tym artykule dowiesz się, jak żądania skrytki klienta są inicjowane, śledzone i przechowywane na potrzeby późniejszych przeglądów i inspekcji.
Zazwyczaj skrytka klienta służy do pomocy inżynierom firmy Microsoft w rozwiązywaniu problemów z żądaniem pomocy technicznej usługi Microsoft Fabric. Skrytka klienta może być również używana, gdy firma Microsoft identyfikuje problem, a zdarzenie zainicjowane przez firmę Microsoft jest otwierane w celu zbadania problemu.
Włączanie skrytki klienta dla usługi Microsoft Fabric
Aby włączyć blokadę klienta dla usługi Microsoft Fabric, musisz być administratorem globalnym firmy Microsoft Entra. Aby przypisać role w identyfikatorze Entra firmy Microsoft, zobacz Przypisywanie ról firmy Microsoft do użytkowników.
Otwórz witrynę Azure Portal.
Przejdź do obszaru Blokada klienta dla platformy Microsoft Azure.
Na karcie Administracja wybierz pozycję Włączone.
Żądanie dostępu firmy Microsoft
W przypadkach, gdy inżynier firmy Microsoft nie może rozwiązać problemu przy użyciu standardowych narzędzi, wymagane są podniesione uprawnienia przy użyciu usługi dostępu Just In Time (JIT). Żądanie może pochodzić od oryginalnego inżyniera pomocy technicznej lub innego inżyniera.
Po przesłaniu żądania dostępu usługa JIT ocenia żądanie, biorąc pod uwagę takie czynniki jak:
Zakres zasobu
Czy obiekt żądający jest tożsamością izolowanym, czy też z uwierzytelnianiem wieloskładnikowym
Poziomy uprawnień
Na podstawie roli JIT żądanie może również zawierać zatwierdzenie od wewnętrznych osób zatwierdzających firmy Microsoft. Na przykład osoba zatwierdzająca może być potencjalnym klientem pomocy technicznej lub menedżerem DevOps.
Gdy żądanie wymaga bezpośredniego dostępu do danych klienta, zostanie zainicjowane żądanie skrytki klienta. Na przykład w przypadkach, gdy wymagany jest dostęp pulpitu zdalnego do maszyny wirtualnej klienta. Po złożeniu żądania skrytki klienta oczekuje na zatwierdzenie przez klienta przed udzieleniem dostępu.
W tych krokach opisano żądanie skrytki klienta zainicjowane przez firmę Microsoft dla usługi Microsoft Fabric.
Administrator globalny firmy Microsoft Entra otrzymuje oczekującą wiadomość e-mail z powiadomieniem o żądaniu dostępu od firmy Microsoft. Administrator, który otrzymał wiadomość e-mail, staje się wyznaczonym osobam zatwierdzającym.
Wiadomość e-mail zawiera link do skrytki klienta w module Administracja platformy Azure. Korzystając z linku, wyznaczony osoba zatwierdzająca loguje się do witryny Azure Portal, aby wyświetlić wszelkie oczekujące żądania skrytki klienta. Żądanie pozostaje w kolejce klienta przez cztery dni. Następnie żądanie dostępu automatycznie wygasa i nie ma dostępu do inżynierów firmy Microsoft.
Aby uzyskać szczegóły oczekującego żądania, wyznaczona osoba zatwierdzająca może wybrać żądanie skrytki klienta z opcji menu Oczekujące żądania .
Po przejrzeniu żądania wyznaczony osoba zatwierdzająca wprowadza uzasadnienie i wybiera jedną z poniższych opcji. W celach inspekcji akcje są rejestrowane w dziennikach skrytki klienta.
Zatwierdź — dostęp jest udzielany inżynierowi firmy Microsoft przez domyślny okres ośmiu godzin.
Odmowa — żądanie dostępu przez inżyniera firmy Microsoft zostanie odrzucone i nie zostanie podjęta żadna dalsza akcja.
Dzienniki
Skrytka klienta ma dwa typy dzienników:
Dzienniki aktywności — dostępne w dzienniku aktywności usługi Azure Monitor.
Następujące dzienniki aktywności są dostępne dla skrytki klienta:
- Odmowa żądania skrytki
- Utworzenie żądania skrytki
- Zatwierdzenie żądania skrytki
- Wygaśnięcie żądania blokady
Aby uzyskać dostęp do dzienników aktywności, w witrynie Azure Portal wybierz pozycję Dziennik aktywności. Wyniki można filtrować pod kątem określonych akcji.
Dzienniki inspekcji — dostępne z portal zgodności Microsoft Purview. Dzienniki inspekcji można wyświetlić w portalu administracyjnym.
Skrytka klienta dla usługi Microsoft Fabric ma cztery dzienniki inspekcji:
Dziennik inspekcji Przyjazna nazwa GetRefreshHistoryViaLockbox Uzyskiwanie historii odświeżania za pośrednictwem skrytki DeleteAdminUsageDashboardsViaLockbox Usuwanie pulpitów nawigacyjnych użycia administratora za pośrednictwem skrytki DeleteUsageMetricsv2PackageViaLockbox Usuwanie pakietu metryk użycia w wersji 2 za pośrednictwem skrytki DeleteAdminMonitoringFolderViaLockbox Usuwanie folderu monitorowania administratora za pośrednictwem skrytki GetQueryTextTelemetryViaLockbox Pobieranie tekstu zapytania z zabezpieczonego magazynu telemetrii za pośrednictwem skrytki
Wykluczenia
Żądania funkcji Skrytka klienta nie są wyzwalane w następujących scenariuszach dotyczących pomocy technicznej inżynierów:
Scenariusze awaryjne, które wykraczają poza standardowe procedury operacyjne. Na przykład duża awaria usługi wymaga natychmiastowej uwagi na odzyskiwanie lub przywracanie usług w nieoczekiwanym scenariuszu. Te zdarzenia są rzadkie i zwykle nie wymagają dostępu do danych klientów.
Inżynier firmy Microsoft uzyskuje dostęp do platformy Azure w ramach rozwiązywania problemów i jest przypadkowo uwidoczniony na danych klientów. Na przykład podczas rozwiązywania problemów zespół sieci platformy Azure przechwytuje pakiet na urządzeniu sieciowym. Takie scenariusze zwykle nie powodują dostępu do znaczących danych klientów.
Zewnętrzne wymagania prawne dotyczące danych. Aby uzyskać szczegółowe informacje, zobacz Żądania instytucji rządowych dotyczące danych w Centrum zaufania firmy Microsoft.
Dostęp do danych
Dostęp do danych różni się w zależności od środowiska usługi Microsoft Fabric, dla którego żądasz. W tej sekcji wymieniono dane, do których inżynier firmy Microsoft może uzyskać dostęp po zatwierdzeniu żądania skrytki klienta.
Power BI — podczas uruchamiania operacji wymienionych poniżej inżynier firmy Microsoft będzie miał dostęp do kilku tabel połączonych z twoim żądaniem. Każda operacja używana przez inżyniera firmy Microsoft jest odzwierciedlana w dziennikach inspekcji.
- Uzyskiwanie historii odświeżania modelu
- Usuwanie pulpitu nawigacyjnego użycia administratora
- Usuwanie pakietu metryk użycia w wersji 2
- Usuń folder monitorowania administratora
- Usuwanie obszaru roboczego administratora
- Uzyskiwanie dostępu do określonego zestawu danych w magazynie
- Pobieranie tekstu zapytania z zabezpieczonego magazynu telemetrii
Analiza w czasie rzeczywistym — inżynier analizy w czasie rzeczywistym będzie miał dostęp do danych w bazie danych KQL połączonej z twoim żądaniem.
inżynierowie danych ing — inżynier ds. inżynierowie danych będzie miał dostęp do następujących dzienników platformy Spark połączonych z żądaniem:
- Dzienniki sterowników
- Dzienniki zdarzeń
- Dzienniki funkcji wykonawczej
Data Factory — inżynier usługi Data Factory będzie miał dostęp do definicji potoków danych połączonych z żądaniem, jeśli udzielono uprawnień.