Customer Lockbox per Microsoft Fabric
Usare Customer Lockbox per Microsoft Azure per controllare il modo in cui i tecnici Microsoft accedono ai dati. In questo articolo si apprenderà come vengono avviate, monitorate e archiviate le richieste di Customer Lockbox per revisioni e controlli successivi.
In genere, Customer Lockbox viene usato per aiutare i tecnici Microsoft a risolvere una richiesta di supporto del servizio Microsoft Fabric. Customer Lockbox può essere usato anche quando Microsoft identifica un problema e viene aperto un evento avviato da Microsoft per analizzare il problema.
Abilitare Customer Lockbox per Microsoft Fabric
Per abilitare Customer Lockbox per Microsoft Fabric, è necessario essere un amministratore globale di Microsoft Entra. Per assegnare ruoli in Microsoft Entra ID, vedere Assegnare ruoli di Microsoft Entra agli utenti.
Apri il portale di Azure.
Passare a Customer Lockbox per Microsoft Azure.
Nella scheda Amministrazione selezionare Abilitato.
Richiesta di accesso Microsoft
Nei casi in cui il tecnico Microsoft non riesce a risolvere il problema usando gli strumenti standard, vengono richieste autorizzazioni elevate usando il servizio di accesso Just-In-Time (JIT). La richiesta può provenire dal tecnico del supporto originale o da un tecnico diverso.
Dopo l'invio della richiesta di accesso, il servizio JIT valuta la richiesta, considerando fattori come:
Ambito della risorsa
Indica se il richiedente è un'identità isolata o usa l'autenticazione a più fattori.
Livelli di autorizzazioni
In base al ruolo JIT, la richiesta può includere anche un'approvazione da parte dei responsabili approvazione interni di Microsoft. Ad esempio, il responsabile approvazione potrebbe essere il responsabile del supporto clienti o DevOps Manager.
Quando la richiesta richiede l'accesso diretto ai dati dei clienti, viene avviata una richiesta di Customer Lockbox. Ad esempio, nei casi in cui è necessario l'accesso desktop remoto alla macchina virtuale di un cliente. Dopo aver effettuato la richiesta Customer Lockbox, attende l'approvazione del cliente prima che venga concesso l'accesso.
Questi passaggi descrivono una richiesta di Customer Lockbox avviata da Microsoft per il servizio Microsoft Fabric.
L'amministratore globale di Microsoft Entra riceve un messaggio di posta elettronica di notifica delle richieste di accesso in sospeso da Microsoft. L'amministratore che ha ricevuto il messaggio di posta elettronica diventa il responsabile approvazione designato.
Il messaggio di posta elettronica fornisce un collegamento a Customer Lockbox nel modulo Amministrazione di Azure. Usando il collegamento, il responsabile approvazione designato accede al portale di Azure per visualizzare eventuali richieste di Customer Lockbox in sospeso. La richiesta rimane nella coda del cliente per quattro giorni. Successivamente, la richiesta di accesso scade automaticamente e non viene concesso alcun accesso ai tecnici Microsoft.
Per ottenere i dettagli della richiesta in sospeso, il responsabile approvazione designato può selezionare la richiesta Customer Lockbox dall'opzione di menu Richieste in sospeso.
Dopo aver esaminato la richiesta, il responsabile approvazione designato immette una giustificazione e seleziona una delle opzioni seguenti. A scopo di controllo, le azioni vengono registrate nei log di Customer Lockbox.
Approva: l'accesso viene concesso al tecnico Microsoft per un periodo predefinito di otto ore.
Nega: la richiesta di accesso da parte del tecnico Microsoft viene rifiutata e non viene eseguita alcuna ulteriore azione.
Registri
Customer Lockbox ha due tipi di log:
Log attività: disponibile nel log attività di Monitoraggio di Azure.
Per Customer Lockbox sono disponibili i log attività seguenti:
- Nega richiesta di Lockbox
- Crea richiesta di Lockbox
- Approva richiesta di Lockbox
- Scadenza richiesta Lockbox
Per accedere ai log attività, nel portale di Azure selezionare Log attività. È possibile filtrare i risultati per azioni specifiche.
Log di controllo: disponibile nel portale di conformità di Microsoft Purview. È possibile visualizzare i log di controllo nel portale di amministrazione.
Customer Lockbox per Microsoft Fabric ha quattro log di controllo:
Log di audit Nome descrittivo GetRefreshHistoryViaLockbox Ottenere la cronologia degli aggiornamenti tramite lockbox DeleteAdminUsageDashboardsViaLockbox Eliminare i dashboard di utilizzo dell'amministratore tramite lockbox DeleteUsageMetricsv2PackageViaLockbox Eliminare il pacchetto delle metriche di utilizzo v2 tramite lockbox DeleteAdminMonitoringFolderViaLockbox Eliminare la cartella di monitoraggio dell'amministratore tramite lockbox GetQueryTextTelemetryViaLockbox Ottenere il testo della query dall'archivio di telemetria protetto tramite Lockbox
Esclusioni
Le richieste di Customer Lockbox non vengono attivate negli scenari di supporto tecnico seguenti:
Scenari di emergenza che non rientrano nelle procedure operative standard. Ad esempio, un'interruzione del servizio principale richiede un'attenzione immediata per ripristinare o ripristinare i servizi in uno scenario imprevisto. Questi eventi sono rari e in genere non richiedono l'accesso ai dati dei clienti.
Un tecnico Microsoft accede alla piattaforma Azure come parte della risoluzione dei problemi e viene accidentalmente esposto ai dati dei clienti. Ad esempio, durante la risoluzione dei problemi il team di rete di Azure acquisisce un pacchetto in un dispositivo di rete. Questi scenari non comportano in genere l'accesso ai dati significativi dei clienti.
Richieste legali esterne per i dati. Per informazioni dettagliate, vedere Richieste di dati per enti pubblici nel Centro protezione Microsoft.
Accesso ai dati
L'accesso ai dati varia a seconda dell'esperienza di Microsoft Fabric a cui si rivolge la richiesta. Questa sezione elenca i dati a cui il tecnico Microsoft può accedere dopo l'approvazione di una richiesta di Customer Lockbox.
Power BI: quando si eseguono le operazioni elencate di seguito, il tecnico Microsoft avrà accesso a alcune tabelle collegate alla richiesta. Ogni operazione usata dal tecnico Microsoft si riflette nei log di controllo.
- Ottenere la cronologia degli aggiornamenti del modello
- Eliminare il dashboard di utilizzo dell'amministratore
- Eliminare il pacchetto delle metriche di utilizzo v2
- Eliminare la cartella di monitoraggio dell'amministratore
- Eliminare un'area di lavoro di amministrazione
- Accedere a un set di dati specifico nell'archiviazione
- Ottenere il testo della query dall'archivio di telemetria protetto
Intelligenza in tempo reale: il tecnico di intelligenza in tempo reale avrà accesso ai dati nel database KQL collegato alla richiesta.
Ingegneria dei dati: il tecnico di ingegneria dei dati avrà accesso ai log spark seguenti collegati alla richiesta:
- Log dei driver
- Registri eventi
- Log di executor
Data Factory: il tecnico di Data Factory avrà accesso alle definizioni della pipeline di dati collegate alla richiesta, se viene concessa l'autorizzazione.