共用方式為


適用於 Microsoft Azure 的客戶加密箱

注意

若要使用這項功能,您的組織所擁有的 Azure 支援方案必須具有開發人員的最低層級。

Microsoft 人員和次處理者所執行的大部分作業和支援都不需要存取客戶資料。 在需要進行這類存取的罕見情況下,Microsoft Azure 的客戶加密箱可提供介面讓客戶檢閱及核准 (或拒絕) 存取客戶資料的要求。 當 Microsoft 工程師需要存取客戶資料時,無論其目的是為了回應客戶起始的支援票證還是 Microsoft 所發現的問題,就會使用此技術。

本文會說明如何啟用適用於 Microsoft Azure 的客戶加密箱,以及如何起始、追蹤和儲存要求,以供日後進行檢閱和稽核。

支援的服務

適用於 Microsoft Azure 客戶加密箱目前支援下列服務:

  • Azure API 管理
  • Azure App Service
  • Azure AI 搜尋服務
  • Azure AI 服務
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry
  • Azure 資料箱
  • Azure 資料總管
  • Azure Data Factory
  • Azure Data Manager for Energy
  • 適用於 MySQL 的 Azure 資料庫
  • 適用於 MySQL 的 Azure 資料庫彈性伺服器
  • 適用於 PostgreSQL 的 Azure 資料庫
  • Azure Edge Zone 平台儲存體
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Azure 智慧建議
  • Azure 資訊保護
  • Azure Kubernetes Service
  • Azure 負載測試 (CloudNative 測試)
  • Azure Logic 應用程式
  • Azure 監視器 (記錄分析)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL 受控執行個體
  • Azure 儲存體
  • Azure 訂用帳戶轉移
  • Azure Synapse Analytics
  • 商業 AI (智慧建議)
  • DevCenter / DevBox
  • ElasticSan
  • Kusto (儀表板)
  • Microsoft Azure 證明
  • OpenAI
  • Spring Cloud
  • 整合視覺服務
  • Azure 中的虛擬機器

啟用適用於 Microsoft Azure 的客戶加密箱

您現在可以從管理模組啟用適用於 Microsoft Azure 客戶加密箱。

注意

若要啟用適用於 Microsoft Azure 客戶加密箱,使用者帳戶必須獲派全域管理員角色

工作流程

下列步驟概述適用於 Microsoft Azure 客戶加密箱要求的一般工作流程。

  1. 組織中的某人在使用其 Azure 工作負載時發生問題。

  2. 此人員針對問題進行疑難排解,卻無法修正問題,於是便從 Azure 入口網站開啟支援票證。 系統將支援票證指派給 Azure 客戶支援工程師。

  3. Azure 支援工程師檢閱服務要求,並判斷可用來解決問題的後續步驟。

  4. 如果支援工程師無法使用標準工具和服務產生的資料對問題進行疑難排解,下一個步驟是使用 Just-In-Time (JIT) 存取服務來要求提高的權限。 此要求可能來自原本的支援工程師,也可能來自不同工程師,因為此問題會呈報給 Azure DevOps 小組。

  5. Azure 工程師提將存取要求之後,Just-In-Time 服務會評估要求以考慮下列因素:

    • 資源的範圍。
    • 要求者是隔離的身分識別,還是使用多重要素驗證。
    • 權限層級。 根據 JIT 規則,此要求也可能包含來自內部 Microsoft 核准者的核准。 例如,核准者可能是客戶支援服務主管或 DevOps 經理。
  6. 當要求需要直接存取客戶資料時,便會起始客戶加密箱要求。

    要求現在會處於已通知客戶的狀態,等到客戶核准後才會授與存取權。

  7. 指定客戶加密箱要求客戶組織的一個或多個核准者取決於下列項目:

    • 針對訂用帳戶範圍內的要求 (要求存取訂用帳戶中包含的特定資源):在相關聯的訂用帳戶上具有擁有者角色或 Azure 訂閱客戶加密箱核准者角色的使用者。
    • 針對租用戶範圍要求 (Microsoft Entra 租用戶的存取要求),核准者為已在租用戶中的全域管理員角色使用者。

    注意

    必須先設置好角色指派,再讓適用於 Microsoft Azure 客戶加密箱開始處理要求。 在適用於 Microsoft Azure 客戶加密箱開始處理指定要求後,任何角色指派都不會被辨識。 因此,若要將符合 PIM 資格的指派用於訂用帳戶擁有者角色,使用者必須在起始客戶加密箱要求前啟用角色。 請參閱在 PIM 中啟用 Microsoft Entra 角色 (部分機器翻譯) / 在 PIM 中啟用 Azure 資源角色 (部分機器翻譯) 以深入了解如何啟用符合 PIM 資格的角色。

    適用於 Microsoft Azure 客戶加密箱目前不支援管理群組範圍中的角色指派。

  8. 在客戶組織中,指定的加密箱核准者 (Azure 訂用帳戶擁有者/Microsoft Entra 全域管理員/適用於定用帳戶的 Azure 客戶加密箱核准者) 會收到 Microsoft 寄來的電子郵件,通知他們有待決的存取要求。 您也可以使用 Azure Lockbox 替代電子郵件通知功能來設定替代電子郵件地址,以在 Azure 帳戶未啟用電子郵件的情況下,或服務主體定義為加密箱核准者時,接收加密箱通知。

    範例電子郵件:電子郵件通知的螢幕擷取畫面。

  9. 電子郵件通知中會提供連結,可供前往「管理模組」中的 [客戶加密箱] 刀鋒視窗。 指定的核准者可登入 Azure 入口網站,以檢視其組織對於適用於 Microsoft Azure 客戶加密箱的待決要求:Microsoft Azure 登陸頁面的客戶加密箱螢幕擷取畫面。該要求會在客戶佇列中保留四天。 四天過後,存取要求便會自動到期,而不會向 Microsoft 工程師授與存取權。

  10. 若要取得待決要求的詳細資料,指定的核准者可以從 [待決要求] 中選取客戶加密箱要求:取消擱置要求的螢幕擷取畫面。

  11. 指定的核准者也可以選取 [服務要求識別碼],以檢視原始使用者所建立的支援票證要求。 此資訊會提供為何會聯繫 Microsoft 支援服務的背後原因,以及所回報問題的歷程記錄。 例如:支援票證要求的螢幕擷取畫面。

  12. 在指定的核准者檢閱要求,並選取 [核准] 或 [拒絕]核准或拒絕 UI 的螢幕擷取畫面。選取結果如下:

    • 核准:在要求詳細資料中指定的期間,存取權會授與 Microsoft 工程師,如電子郵件通知和 Azure 入口網站所示。
    • 拒絕:Microsoft 工程師的提升存取權要求遭到拒絕,也因此不會再採取任何動作。

    為了進行稽核,此工作流程中所採取的動作會記錄在客戶加密箱要求記錄中。

稽核記錄

適用於 Azure 的客戶加密箱稽核記錄會寫入訂用帳戶範圍要求的活動記錄,以及租用戶範圍要求的 Entra Audit Log

訂用帳戶範圍的要求 - 活動記錄

在 Azure 入口網站 適用於 Microsoft Azure 客戶加密箱刀鋒視窗中,選取 [活動記錄] 以檢視與客戶加密箱要求相關的稽核資訊。 您也可以在有問題的訂用帳戶詳細資料刀鋒視窗中檢視活動記錄。 在這兩種情況下,您可以篩選特定作業,例如:

  • 拒絕加密箱要求
  • 建立加密箱要求
  • 核准加密箱要求
  • 加密箱要求到期

例如:

活動記錄的螢幕擷取畫面。

租用戶範圍的要求 - 稽核記錄

對於租使用者範圍的客戶加密箱要求,記錄專案會 寫入 Entra Audit Log。 這些記錄項目是由存取權檢閱服務所建立,其活動如下:

  • 建立要求
  • 要求已核准
  • 要求遭拒

您可以虛構 Service = Access ReviewsActivity = one of the above activities

例如:

稽核記錄的螢幕擷取畫面。

注意

Azure Lockbox 入口網站中的 [歷程記錄] 索引標籤已移除,因為現有的技術限制。 若要檢視客戶加密箱的要求記錄,請針對訂用帳戶範圍要求使用活動記錄和租用戶範圍要求的 Entra Audit Log

適用於 Microsoft Azure 的客戶加密箱與 Microsoft 雲端安全性基準整合

我們在 Microsoft 雲端安全性基準中引進了新的基準控制 (PA-8:決定雲端提供者支援的存取程序),涵蓋客戶加密箱適用性。 客戶現在可以利用效能評定來檢閱服務是否適合利用客戶加密箱。

排除項目

下列案例不會觸發客戶加密箱要求:

  • 超出標準作業程序的緊急案例,需要Microsoft緊急採取行動,以還原對 線上服務 的存取,或防止損毀或遺失客戶數據,或調查安全性或濫用事件。 例如,重大服務中斷或安全性事件需要立即注意在非預期或無法預期的情況下復原或還原服務。 這些「急用」事件很少見,在大部分情況下,不需要存取客戶資料就能解決。 控制 Microsoft 核心線上服務中客戶資料存取權的控件和程式與 NIST 800-53 一致,並透過 SOC 2 稽核進行驗證。 如需詳細資訊,請參閱適用於 Microsoft Azure 的客戶加密箱Azure 安全性基準
  • Microsoft 工程師在進行疑難排解時存取 Azure 平台,而不小心接觸到客戶資料。 例如,Azure 網路小組執行疑難排解而導致在網路裝置上擷取到封包。 這類案例很少見,但會導致其存取到大量客戶資料。 客戶可以透過使用適用於某些 Azure 服務的客戶管理金鑰 (CMK),進一步保護其資料。 如需詳細資訊,請參閱 Azure 中的金鑰管理概觀

外部法律對資料的要求也不會觸發客戶加密箱要求。 如需詳細資訊,請參閱 Microsoft 信任中心的政府要求資料討論。

下一步

在 [客戶加密箱] 刀鋒視窗中,從 管理員模組啟用客戶加密箱。 Microsoft Azure 客戶加密箱會提供給所有具有 Azure 支援方案 (且最低層級是開發人員) 的客戶。