Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте Customer Lockbox for Microsoft Azure, чтобы контролировать, как инженеры Microsoft получают доступ к вашим данным. В этой статье вы узнаете, как создаются, отслеживаются и сохраняются запросы Customer Lockbox для последующих проверок и аудита.
Как правило, Customer Lockbox используется, чтобы помочь инженерам Microsoft устранять неполадки по запросу в службу поддержки Microsoft Fabric. Функцию Customer Lockbox также можно использовать, когда Microsoft обнаруживает проблему и открывается инициированный Microsoft инцидент для расследования этой проблемы.
Включить Customer Lockbox для Microsoft Fabric
Чтобы включить блокировку клиента для Microsoft Fabric, необходимо быть глобальным администратором Microsoft Entra. Сведения о назначении ролей в идентификаторе Microsoft Entra см. в статье "Назначение ролей Microsoft Entra пользователям".
Откройте портал Azure.
Перейдите в папку "Блокировка клиента" для Microsoft Azure.
На вкладке "Администрирование" выберите "Включено".
Запрос доступа Майкрософт
Note
Чтобы запрос был видимым, у пользователя должна быть активная роль «Глобальный администратор» в Entra ID до того, как Microsoft инициирует запрос Lockbox.
В случаях, когда инженер Майкрософт не может устранить проблему с помощью стандартных средств, запрашиваются повышенные разрешения с помощью службы JIT-доступа . Запрос может поступать от исходного инженера поддержки или от другого инженера.
После отправки запроса на доступ служба JIT оценивает запрос, учитывая такие факторы, как:
Область действия ресурса
Является ли инициатор запроса автономной учетной записью или использует многофакторную аутентификацию
Уровни разрешений
В зависимости от роли JIT запрос также может включать одобрение от внутренних утверждающих лиц Microsoft. Например, утверждающий может быть руководителем службы поддержки клиентов или Диспетчером DevOps.
Когда запросу требуется прямой доступ к данным клиента, инициируется запрос на доступ к защищенному хранилищу. Например, в случаях, когда требуется удалённый доступ к виртуальной машине клиента. После отправки запроса Customer Lockbox он ожидает одобрения клиента, прежде чем будет предоставлен доступ.
В этих шагах описан запрос Customer Lockbox, инициированный Microsoft, для службы Microsoft Fabric.
Глобальный администратор Microsoft Entra получает от Microsoft уведомление по электронной почте об ожидающем запросе на доступ. Администратор, который получил сообщение электронной почты, становится назначенным утверждающим.
Электронная почта предоставляет ссылку на папку "Блокировка клиента" в модуле администрирования Azure. Перейдя по ссылке, назначенное утверждающее лицо входит на портал Azure, чтобы просмотреть все ожидающие запросы Customer Lockbox. Запрос остается в очереди заказчика в течение четырех дней. После этого срок действия запроса на доступ автоматически истекает, и доступ к инженерам Майкрософт не предоставляется.
Чтобы получить сведения об ожидающем запросе, назначенный утверждающий может выбрать запрос Customer Lockbox в пункте меню Ожидающие запросы.
После проверки запроса назначенный утверждающий вводит обоснование и выбирает один из следующих вариантов. В целях аудита действия регистрируются в журналах Customer Lockbox.
Утверждение . Доступ предоставляется инженеру Майкрософт в течение восьми часов по умолчанию.
Запрет . Запрос на доступ инженером Майкрософт отклоняется, и дальнейшие действия не принимаются.
Журналы
Customer Lockbox включает два типа журналов:
Журналы действий — доступные из журнала действий Azure Monitor.
Для Customer Lockbox доступны следующие журналы действий:
- Deny Lockbox Request (Отклонить запрос на доступ к защищенному хранилищу).
- Create Lockbox Request (Создать запрос на доступ к защищенному хранилищу).
- Approve Lockbox Request (Утвердить запрос на доступ к защищенному хранилищу).
- Lockbox Request Expiry (Срок действия запроса к защищенному хранилищу)
Чтобы получить доступ к журналам действий, на портале Azure выберите Журнал действий. Результаты можно отфильтровать для определенных действий.
Журналы аудита — доступные из Портал Microsoft Purview. Журналы аудита можно просмотреть на портале администрирования.
Customer Lockbox для Microsoft Fabric имеет четыре журнала аудита:
Журнал аудита Удобное имя GetRefreshHistoryViaLockbox Получить историю обновлений через Lockbox Удаление панелей мониторинга использования администратора через Lockbox Удалить панели мониторинга использования администратором через Lockbox DeleteUsageMetricsv2PackageViaLockbox Удалить пакет Usage Metrics v2 через Lockbox Удалить папку мониторинга администратора через Lockbox Удаление папки мониторинга администратора с помощью блокировки GetQueryTextTelemetryViaLockbox Получить текст запроса из защищённого хранилища телеметрии через Lockbox
Исключения
Запросы Customer Lockbox не инициируются в следующих сценариях инженерной поддержки:
Аварийные ситуации, которые выходят за пределы стандартных операционных процедур. Например, серьёзный сбой в работе службы требует немедленного вмешательства для возобновления работы или восстановления служб в непредвиденной ситуации. Эти события являются редкими и обычно не требуют доступа к данным клиента.
Инженер Microsoft получает доступ к платформе Azure в рамках устранения неполадок и случайно получает доступ к данным клиента. Например, во время устранения неполадок группа сети Azure записывает пакет на сетевом устройстве. Такие сценарии обычно не приводят к доступу к значимым данным клиента.
Внешние юридические требования к данным. Дополнительные сведения см. в разделе запросы государственных органов на предоставление данных в Центре управления безопасностью Майкрософт.
Доступ к данным
Доступ к данным различается в зависимости от того, для какого интерфейса Microsoft Fabric предназначен ваш запрос. В этом разделе перечислено, к каким данным инженер Microsoft может получить доступ после того, как вы утвердите запрос Customer Lockbox.
Power BI . При выполнении операций, перечисленных ниже, инженер Майкрософт получит доступ к нескольким таблицам, связанным с вашим запросом. Каждая операция, которую использует инженер Microsoft, отражается в журналах аудита.
- Получить журнал обновления модели
- Удалить панель статистики использования для администратора
- Удаление пакета метрик использования версии 2
- Удаление папки мониторинга администратора
- Удаление рабочей области администратора
- Доступ к конкретному набору данных в хранилище
- Получение текста запроса из защищенного хранилища телеметрии
Аналитика в режиме реального времени — инженер аналитики в режиме реального времени получит доступ к данным в базе данных KQL, связанной с вашим запросом.
Инжиниринг данных . Инженер Инжиниринг данных получит доступ к следующим журналам Spark, связанным с вашим запросом:
- Журналы драйверов
- Журналы событий
- Журналы исполнителя
Фабрика данных — инженер фабрики данных получит доступ к определениям конвейера, связанным с вашим запросом, если разрешение предоставлено.