共用方式為

Customer Lockbox for Microsoft Fabric

  • 發行項

使用適用於 Microsoft Azure 的客戶加密箱,控制 Microsoft 工程師如何存取您的資料。 在本文,您將了解客戶加密箱要求如何起始、追蹤及儲存,以供稍後檢閱與稽核。

一般而言,客戶加密箱用於協助 Microsoft 工程師疑難排解 Microsoft Fabric 服務支援要求。 Microsoft 發現問題時也可以使用客戶加密箱,並開啟 Microsoft 起始的事件調查問題。

啟用適用於 Microsoft Fabric 的客戶加密箱

若要啟用適用於 Microsoft Fabric 的客戶加密箱,您必須是 Microsoft Entra 全域系統管理員。 若要在 Microsoft Entra ID 中指派使用者,請參閱將 Microsoft Entra 角色指派給使用者

  1. 開啟 Azure 入口網站。

  2. 前往 [Microsoft Azure 的客戶加密箱]

  3. 在 [系統管理] 索引標籤上,選取 [已啟用]

    在適用於 Microsoft Azure 的客戶加密箱的 [管理] 索引標籤中,啟用適用於 Microsoft Azure 的客戶加密箱的螢幕擷取畫面。

Microsoft 存取要求

如果 Microsoft 工程師無法使用標準工具對問題進行疑難排解,則會使用 Just-In-Time (JIT) 存取服務要求提高的權限。 要求可能來自原始支援工程師,或來自不同的工程師。

提交存取要求之後,JIT 服務會評估要求,並考慮下列因素:

  • 資源的範圍

  • 要求者是隔離的身分識別,還是使用多重要素驗證

  • 權限層級

根據 JIT 角色,要求也可能包含來自內部 Microsoft 核准者的核准。 例如,核准者可能是客戶支援主管或 DevOps 經理。

當要求需要直接存取客戶資料時,便會起始客戶加密箱要求。 例如,若需要對客戶虛擬機器進行遠端桌面存取。 提出客戶加密箱要求後,授與存取權之前,必須等候客戶核准。

這些步驟說明 Microsoft 針對 Microsoft Fabric 服務所啟動的客戶加密箱要求。

  1. Microsoft Entra 全域系統管理員會收到來自 Microsoft 的擱置存取要求通知電子郵件。 收到電子郵件的系統管理員會成為指定的核准者。

  2. 電子郵件提供 Azure 系統管理模組中客戶加密箱的連結。 指定的核准者使用連結可登入 Azure 入口網站,檢視任何擱置中的客戶加密箱要求。 要求會保留在客戶佇列四天。 之後,存取要求會自動過期,也不會將存取權授與 Microsoft 工程師。

  3. 若要取得擱置要求的詳細資料,指定的核准者可以從 [擱置要求] 功能表選項選取 [客戶加密箱] 要求。

  4. 指定的核准者檢閱要求之後輸入理由,然後選取下列其中一個選項。 基於稽核目的,客戶加密箱記錄會記錄動作。

    • 核准 - 為 Microsoft 工程師授與八小時預設期間的存取權。

    • 拒絕 - 拒絕 Microsoft 工程師的存取要求,也不會採取進一步動作。

    Microsoft Azure 要求之擱置客戶加密箱的核准和拒絕按鈕螢幕擷取畫面。

記錄

客戶加密箱有兩種類型的記錄:

  • 活動記錄 - 可從 Azure 監視器活動記錄取得。

    客戶加密箱提供下列活動記錄:

    • 拒絕加密箱要求
    • 建立加密箱要求
    • 核准加密箱要求
    • 加密箱要求到期

    若要存取活動記錄,請在 Azure 入口網站選取 [活動記錄]。 您可以篩選特定動作的結果。

    Microsoft Azure 客戶加密箱中活動記錄的螢幕擷取畫面。

  • 稽核記錄 - 您可以從 Microsoft Purview 合規性入口網站取得。 您可以在管理入口網站中查看稽核記錄。

    適用於 Microsoft Fabric 的客戶加密箱有四個稽核記錄

    稽核記錄 易記名稱
    GetRefreshHistoryViaLockbox 透過加密箱取得重新整理歷程記錄
    DeleteAdminUsageDashboardsViaLockbox 透過加密箱刪除管理員使用方式儀錶板
    DeleteUsageMetricsv2PackageViaLockbox 透過加密箱刪除使用計量 v2 套件
    DeleteAdminMonitoringFolderViaLockbox 透過加密箱刪除管理員監視資料夾
    GetQueryTextTelemetryViaLockbox 透過 Lockbox 從受保護的遙測存放區取得查詢文字

排除

下列工程支援案例不會觸發客戶加密箱要求:

  • 超出標準作業程序的緊急案例。 例如,主要服務中斷需要立即處理,在發生非預期案例時復原或還原服務。 這類事件很少見,通常不需要存取客戶資料。

  • Microsoft 工程師在疑難排解時存取 Azure 平台,不小心看到客戶資料。 例如,針對 Azure 網路小組進行疑難排解期間,擷取網路裝置上的封包。 這類案例通常不會導致存取有意義的客戶資料。

  • 外部法律資料需求。 如需詳細資料,請參閱 Microsoft 信任中心的政府資料要求

資料存取

對資料的存取因您要求的 Microsoft Fabric 體驗而有所不同。 本節列出在您核准客戶加密箱要求之後,Microsoft 工程師可以存取的資料。

  • Power BI - 執行下列操作時,Microsoft 工程師將可以存取連結至您的要求的幾個資料表。 Microsoft 工程師使用的每個操作都會反映在稽核記錄中。

    • 取得模型重新整理記錄
    • 刪除管理員使用方式儀表板
    • 刪除使用計量 v2 套件
    • 刪除管理員監視資料夾
    • 刪除管理員工作區
    • 存取儲存體中的特定資料集
    • 從受保護的遙測存放區取得查詢文字

  • 即時智慧 - 實時智慧工程師將可存取連結至您要求的 KQL 資料庫中的資料。

  • 資料工程 - 資料工程的工程師將可存取連結至您要求的下列 Spark 記錄:

    • 驅動程式記錄
    • 事件記錄檔
    • 執行程式記錄

  • 資料處理站 - 如果授與權限,資料處理站工程師將有權存取連結至您要求的資料管線定義。

相關內容