你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Azure 客户密码箱

注意

若要使用此功能,组织必须具有一个最低级别为“开发人员”的 Azure 支持计划

Microsoft 人员和子处理器执行的大多数操作和支持都不需要访问客户数据。 只有在极少数的情况下需要访问,Microsoft Azure 客户密码箱为客户提供查看、同意或拒绝客户数据访问请求的接口。 适用于 Microsoft 工程师为了响应客户发起的支持票证或是出现由 Microsoft 识别的问题时,需要访问客户数据的情况。

本文介绍如何为 Microsoft Azure 启用客户密码箱,以及如何启动、跟踪请求和存储这些请求供以后进行审查和审核。

支持的服务

Microsoft Azure 客户密码箱目前支持以下服务:

  • Azure API 管理
  • Azure 应用服务
  • Azure AI 搜索
  • Azure AI 服务
  • Azure Chaos Studio
  • Azure 通信网关
  • Azure 容器注册表
  • Azure Data Box
  • Azure 数据资源管理器
  • Azure 数据工厂
  • Azure Data Manager for Energy
  • Azure Database for MySQL
  • Azure Database for MySQL 灵活服务器
  • Azure Database for PostgreSQL
  • Azure Edge Zone 平台存储
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Azure 智能建议
  • Azure 信息保护
  • Azure Kubernetes 服务
  • Azure 负载测试(CloudNative 测试)
  • Azure 逻辑应用
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL 数据库
  • Azure SQL 托管实例
  • Azure 存储
  • Azure 订阅转移
  • Azure Synapse Analytics
  • 商业 AI(智能建议)
  • DevCenter/DevBox
  • ElasticSan
  • Kusto(仪表板)
  • Microsoft Azure 证明
  • OpenAI
  • Spring Cloud
  • 统一视觉服务
  • Azure 中的虚拟机

启用 Microsoft Azure 客户密码箱

现在可以通过管理模块为 Microsoft Azure 启用客户密码箱。

注意

若要为 Microsoft Azure 启用客户密码箱,需要为用户帐户分配“全局管理员”角色

Workflow

以下步骤概述了 Microsoft Azure 客户密码箱请求的典型工作流。

  1. 组织中某人的 Azure 工作负载出现了问题。

  2. 此人排查了该问题,但无法予以解决,于是通过 Azure 门户开具了支持票证。 该票证分配到了某位 Azure 客户支持工程师。

  3. Azure 支持工程师在审查服务请求后,确定了解决该问题的后续步骤。

  4. 如果支持工程师无法使用标准工具和服务生成的数据排除问题故障,下一步应使用实时 (JIT) 访问服务请求提升权限。 此请求可能来自最初的支持工程师或其他工程师,因为问题已上报到 Azure DevOps 团队。

  5. 在 Azure 工程师提交访问请求后,即时服务将在考虑到如下所述因素的前提下评估该请求:

    • 资源的范围。
    • 请求者是独立的标识还是使用多重身份验证。
    • 权限级别。 基于 JIT 规则,此请求还可能包括内部 Microsoft 审批者做出的审批。 例如,审批者可能是客户支持主管或 DevOps 经理。
  6. 当请求需要直接访问客户数据时,将启动客户密码箱请求。

    请求现在处于“已通知客户”状态,正在等待客户审批然后授予访问权限。

  7. 客户组织中给定客户密码箱请求的一个或多个审批者确定如下:

    • 对于订阅范围的请求(访问订阅中包含的特定资源的请求),在关联订阅上具有所有者角色或 Azure 订阅客户密码箱审批者角色的用户。
    • 对于租户范围请求(访问 Microsoft Entra 租户的请求),在租户上具有全局管理员角色的用户。

    注意

    在 Microsoft Azure 客户密码箱开始处理请求之前,角色分配必须就位。 在 Microsoft Azure 客户密码箱开始处理给定请求后进行的任何角色分配都不会被识别。 因此,若要对订阅所有者角色使用 PIM 合格分配,用户必须先激活该角色,然后才能启动客户密码箱请求。 有关激活符合 PIM 条件的角色的详细信息,请参阅在 PIM 中激活 Microsoft Entra 角色 / 在 PIM 中激活 Azure 资源角色

    Microsoft Azure 客户密码箱目前不支持作用域为管理组的角色分配。

  8. 在客户组织中,指定的密码箱审批者(Azure 订阅所有者/Microsoft Entra 全局管理员/Azure 订阅客户密码箱审批者会收到来自 Microsoft 的电子邮件,通知他们待定的访问请求。 还可以使用 Azure 密码箱备用电子邮件通知功能来配置备用电子邮件地址,以便在 Azure 帐户未启用电子邮件或服务主体定义为密码箱审批者的情况下接收密码箱通知。

    示例电子邮件:通知电子邮件的屏幕截图。

  9. 电子邮件通知中提供了管理模块中“客户密码箱”边栏选项卡的链接。 指定的审批者可以登录到 Azure 门户,查看其组织收到的、与 Microsoft Azure 客户密码箱相关的任何待定请求:Microsoft Azure 客户密码箱登录页面的屏幕截图。 请求将在客户队列中保留四天。 此时间过后,访问请求将自动过期,且不会向 Microsoft 工程师授予任何访问权限。

  10. 若要获取待定请求的详细信息,指定的审批者可以从“待定的请求”中选择客户密码箱请求待定请求的屏幕截图。

  11. 指定的审批者还可以选择“服务请求 ID”查看原始用户创建的支持票证请求。 此信息提供有关 Microsoft 支持部门为何要介入此请求的上下文,以及所报告问题的历史记录。 例如:支持工单请求的屏幕截图。

  12. 指定的审批者审查请求并选择“批准”或“拒绝”:批准或拒绝 UI 的屏幕截图。 作为选择的结果:

    • 批准:在电子邮件通知和 Azure 门户中显示的请求详细信息中指定的持续时间内,向 Microsoft 工程师授予访问权限。
    • 拒绝:拒绝 Microsoft 工程师提出的访问权限提升请求,且不执行进一步的操作。

    出于审核目的,在此工作流中执行的操作将记录到客户密码箱请求日志中。

审核日志

Azure 客户密码箱的审核日志会写入到订阅范围请求的活动日志和租户范围请求的 Entra 审核日志

订阅范围的请求 - 活动日志

在 Azure 门户的“Microsoft Azure 客户密码箱”边栏选项卡中,选择“活动日志”可查看与客户密码箱请求相关的审核信息。 还可以在相关订阅的订阅详细信息边栏选项卡中查看“活动日志”。 在这两种情况下,你都可以针对特定操作进行筛选,例如:

  • 拒绝密码箱请求
  • 创建密码箱请求
  • 批准密码箱请求
  • 密码箱请求过期

示例:

活动日志的屏幕截图。

租户范围的请求 - 审核日志

对于租户范围的客户密码箱请求,日志条目会写入到 Entra 审计日志。 这些日志条目由访问评审服务通过以下活动创建:

  • 创建请求
  • 已批准请求
  • 已拒绝请求

可以针对 Service = Access ReviewsActivity = one of the above activities 进行筛选。

示例:

审核日志的屏幕截图。

注意

由于现有的技术限制,Azure 密码箱门户中的“历史记录”选项卡已被删除。 若要查看客户密码箱请求历史记录,请对订阅范围的请求使用活动日志,对租户范围的请求使用 Entra 审计日志

Microsoft Azure 客户密码箱与 Microsoft 云安全基准的集成

我们在涵盖客户密码箱适用性的 Microsoft 云安全基准中引入了新的基线控制(PA-8:确定云提供商支持的访问流程)。 客户现在可以使用该基准来审查服务的客户密码箱适用性。

排除项

以下情况不会触发客户密码箱请求:

  • 以下紧急情况:不能采用标准操作程序,需要 Microsoft 采取紧急行动以恢复对联机服务的访问或防止客户数据损坏或丢失,或调查安全或滥用事件。 例如,重大服务中断或安全事件需要立即关注,以便在意外或不可预测的情况下恢复或还原服务。 此类极为紧急的事件很少见,在大多数情况下,不需要访问客户数据即可解决。 管理 Microsoft 访问核心联机服务中客户数据的控制和流程符合 NIST 800-53,并通过 SOC 2 审核进行验证。 有关详细信息,请参阅适用于 Microsoft Azure 的客户密码箱的 Azure 安全基线
  • Microsoft 工程师在故障排除过程中访问 Azure 平台,无意中接触到客户数据。 例如,Azure 网络团队会执行故障排除,导致在网络设备上捕获数据包。 这种情况很少会导致对有意义数量的客户数据的访问。 客户可以通过使用客户管理的密钥 (CMK) 进一步保护其数据,该密钥可用于某些 Azure 服务。 有关详细信息,请参阅 Azure 中的密钥管理概述

对数据的外部法律要求也不会触发客户密码箱请求。 有关详细信息,请参阅 Microsoft 信任中心上有关政府数据请求的讨论。

后续步骤

通过管理模块中的“客户密码箱”边栏选项卡启用客户密码箱。 Microsoft Azure 客户密码箱适用于具有一个最低级别为“开发人员”的 Azure 支持计划的所有客户。