Customer Lockbox per Microsoft Azure

La maggior parte delle operazioni e del supporto eseguite dal personale Microsoft e dai sub-responsabili del trattamento non richiede l'accesso ai dati dei clienti. Nei rari casi in cui è necessario tale accesso, Customer Lockbox per Microsoft Azure offre ai clienti un'interfaccia per esaminare e approvare o rifiutare le richieste di accesso ai dati. Viene usato nei casi in cui un tecnico Microsoft deve accedere ai dati dei clienti in risposta a un ticket di supporto avviato dal cliente o a un problema identificato da Microsoft.

Questo articolo illustra come abilitare Customer Lockbox per Microsoft Azure e come vengono avviate, rilevate e archiviate le richieste per revisioni e controlli successivi.

Servizi supportati

I servizi seguenti sono attualmente supportati per Customer Lockbox per Microsoft Azure:

• Gestione API di Azure
• Servizio app di Azure
• Azure AI Search
• Azure Chaos Studio
• Servizi cognitivi di Azure
• Gateway di comunicazioni di Azure
• Registro Azure Container
• Azure Data Box
• Esplora dati di Azure
• Azure Data Factory
• Azure Data Manager for Energy
• Database di Azure per MySQL
• Server flessibile di Database di Azure per MySQL
• Database di Azure per PostgreSQL
• Archiviazione piattaforma Azure Edge Zone
• Azure Energy
• Funzioni di Azure
• Azure HDInsight
• Azure Health Bot
• Raccomandazioni intelligenti di Azure
• Azure Information Protection
• Servizio Azure Kubernetes
• Test di carico di Azure (test CloudNative)
• App per la logica di azure
• Monitoraggio di Azure (analisi dei log)
• Azure Red Hat OpenShift
• Azure Spring Apps
• database SQL di Azure
• Istanza gestita di SQL di Azure
• Archiviazione di Azure
• Trasferimenti di sottoscrizioni di Azure
• Azure Synapse Analytics
• IA commerce (Raccomandazioni intelligenti)
• DevCenter/DevBox
• ElasticSan
• Kusto (dashboard)
• Attestazione di Microsoft Azure
• OpenAI
• Spring Cloud
• Unified Vision Service
• Macchine virtuali in Azure

Abilitare Customer Lockbox per Microsoft Azure

È ora possibile abilitare Customer Lockbox per Microsoft Azure dal modulo Amministrazione.

Workflow

I passaggi seguenti descrivono un flusso di lavoro tipico per una richiesta Customer Lockbox per Microsoft Azure.

1. Un utente di un'organizzazione riscontra un problema con il carico di lavoro di Azure.

2. Dopo che questa persona prova a risolvere il problema, ma non riesce, apre un ticket di supporto dal portale di Azure. Il ticket viene assegnato a un tecnico del supporto tecnico di Azure.

3. Un tecnico del supporto tecnico di Azure esamina la richiesta di assistenza e determina i passaggi successivi per risolvere il problema.

4. Se il tecnico del supporto non riesce a risolvere il problema usando gli strumenti standard e i dati generati dal servizio, il passaggio successivo consiste nel richiedere autorizzazioni elevate usando un servizio di accesso JIT (Just-In-Time). Questa richiesta può essere inviata dal tecnico del supporto originale o da un tecnico diverso perché il problema viene inoltrato al team di Azure DevOps.

5. Dopo che il tecnico di Azure ha inviato una richiesta di accesso, il servizio JUST-In-Time valuta la richiesta tenendo conto di fattori come:

   • Ambito della risorsa.
   • Indica se il richiedente è un'identità isolata o isa l'autenticazione a più fattori.
   • Livelli di autorizzazioni. In base alla regola JIT, questa richiesta potrebbe includere anche un'approvazione da responsabili approvazione interni di Microsoft. Ad esempio, il responsabile approvazione potrebbe essere il responsabile del supporto clienti o DevOps Manager.

6. Quando la richiesta richiede l'accesso diretto ai dati dei clienti, viene avviata una richiesta di Customer Lockbox. Ad esempio, l'accesso desktop remoto alla macchina virtuale di un cliente.

   La richiesta è ora nello stato notifica inviata al cliente in attesa dell'approvazione del cliente prima di concedere l'accesso.

7. Uno o più responsabili approvazione dell'organizzazione del cliente per una determinata richiesta di Customer Lockbox vengono determinati come segue:

   • Per le richieste con ambito sottoscrizione (richieste di accesso a risorse specifiche contenute all'interno di una sottoscrizione), gli utenti con il ruolo Proprietario o il responsabile approvazione di Customer Lockbox di Azure per il ruolo Sottoscrizione nella sottoscrizione associata.
   • Per le richieste di ambito tenant (richieste di accesso al tenant di Microsoft Entra), gli utenti con il ruolo di amministratore globale nel tenant.

   Nota

   Le assegnazioni di ruolo devono essere applicate prima che Customer Lockbox per Microsoft Azure inizi a elaborare una richiesta. Eventuali assegnazioni di ruolo effettuate dopo che Customer Lockbox per Microsoft Azure inizia a elaborare una determinata richiesta non verranno riconosciute. Per questo motivo, per usare le assegnazioni idonee di PIM per il ruolo di Proprietario della sottoscrizione, gli utenti devono attivare il ruolo prima dell'avvio della richiesta Customer Lockbox. Per altre informazioni sull'attivazione dei ruoli idonei di PIM, vedere Attivare i ruoli delle risorse di Microsoft Entra in PIM / .

   Le assegnazioni di ruolo con ambito ai gruppi di gestione non sono attualmente supportate in Customer Lockbox per Microsoft Azure.

8. Nell'organizzazione del cliente, i responsabili approvazione del lockbox designati (proprietario della sottoscrizione di Azure/Amministratore globale di Microsoft Entra/responsabile approvazione Azure Customer Lockbox for Subscription ricevono un messaggio di posta elettronica da Microsoft per notificare la richiesta di accesso in sospeso. È anche possibile usare la funzionalità di notifiche di posta elettronica alternative di Azure Lockbox per configurare un indirizzo di posta elettronica alternativo per ricevere notifiche lockbox in scenari in cui l'account Azure non è abilitato o se un'entità servizio è definita come responsabile approvazione lockbox.

   Messaggio di posta elettronica di esempio:

9. La notifica tramite posta elettronica fornisce un collegamento al pannello Customer Lockbox nel modulo Amministrazione. Il responsabile approvazione designato accede al portale di Azure per visualizzare le richieste in sospeso che l'organizzazione ha per Customer Lockbox per Microsoft Azure: La richiesta rimane nella coda del cliente per quattro giorni. Dopo questo periodo, la richiesta di accesso scade automaticamente e non viene concesso alcun accesso ai tecnici Microsoft.

10. Per ottenere i dettagli della richiesta in sospeso, il responsabile approvazione designato può selezionare la richiesta Customer Lockbox da Richiestein sospeso:

11. Il responsabile approvazione designato può anche selezionare l'ID RICHIESTA DI SERVIZIO per visualizzare la richiesta di ticket di supporto creata dall'utente originale. Queste informazioni forniscono il contesto per cui il supporto tecnico Microsoft è coinvolto e la cronologia del problema segnalato. Ad esempio:

12. Il responsabile approvazione designato esamina la richiesta e seleziona Approva o Nega: Come risultato della selezione:

    • Approva: l'accesso viene concesso al tecnico Microsoft per la durata specificata nei dettagli della richiesta visualizzati nella notifica tramite posta elettronica e nel portale di Azure.
    • Nega: la richiesta di accesso con privilegi elevati da parte del tecnico Microsoft viene rifiutata e non viene eseguita alcuna ulteriore azione.

    Ai fini del controllo, le azioni eseguite in questo flusso di lavoro vengono registrate nei log delle richieste di Customer Lockbox.

Log di controllo

I log di controllo per Customer Lockbox per Azure vengono scritti nei log attività per le richieste con ambito sottoscrizione e nel log di controllo Entra per le richieste con ambito tenant.

Richieste con ambito sottoscrizione - Log attività

Nel portale di Azure, nel pannello Customer Lockbox per Microsoft Azure, selezionare Log attività per visualizzare le informazioni di controllo correlate alle richieste di Customer Lockbox. È anche possibile visualizzare i log attività nel pannello dei dettagli della sottoscrizione per la sottoscrizione in questione. In entrambi i casi, è possibile filtrare per operazioni specifiche, ad esempio:

• Nega richiesta di Lockbox
• Crea richiesta di Lockbox
• Approva richiesta di Lockbox
• Scadenza richiesta Lockbox

Ad esempio:

Richieste con ambito tenant - Log di controllo

Per le richieste Customer Lockbox con ambito tenant, le voci di log vengono inserite nel log di controllo Entra. Queste voci di log vengono create dal servizio Verifiche di accesso con attività quali:

• Crea richiesta
• Richiesta approvata
• Richiesta negata

È possibile filtrare per Service = Access Reviews e Activity = one of the above activities.

Ad esempio:

Integrazione di Customer Lockbox per Microsoft Azure con il benchmark della sicurezza del cloud Microsoft

È stato introdotto un nuovo controllo di base (PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud) nel benchmark di sicurezza cloud Microsoft che copre l'applicabilità di Customer Lockbox. I clienti possono ora usare il benchmark per esaminare l'applicabilità di Customer Lockbox per un servizio.

Esclusioni

Le richieste di Customer Lockbox non vengono attivate negli scenari seguenti:

• Scenari di emergenza che non rientrano nelle procedure operative standard e richiedono un'azione urgente da Parte di Microsoft per ripristinare l'accesso ai servizi online o per evitare danneggiamenti o perdite di dati dei clienti. Ad esempio, un'interruzione del servizio principale o un incidente di sicurezza richiede attenzione immediata per il recupero o il ripristino dei servizi in circostanze impreviste o imprevedibili. Questi eventi "break glass" sono rari e, nella maggior parte dei casi, non richiedono l'accesso ai dati dei clienti per la risoluzione. I controlli e i processi che regolano l'accesso di Microsoft ai dati dei clienti nei servizi online principali sono allineati a NIST 800-53 e vengono convalidati tramite i controlli SOC 2. Per altre informazioni, vedere la baseline di sicurezza di Azure per Customer Lockbox per Microsoft Azure.
• Un tecnico Microsoft accede alla piattaforma Azure nell'ambito della risoluzione dei problemi e viene inavvertitamente esposto ai dati dei clienti. Ad esempio, il team di rete di Azure esegue la risoluzione dei problemi che genera un'acquisizione di pacchetti in un dispositivo di rete. È raro che tali scenari comportino l'accesso a quantità significative di dati dei clienti. I clienti possono proteggere ulteriormente i dati tramite l'uso di chiavi gestite dal cliente (CMK), disponibile per alcuni servizi di Azure. Per altre informazioni, vedere Panoramica della gestione delle chiavi in Azure.

Le richieste legali esterne per ottenere i dati non attivano richieste Customer Lockbox. Per i dettagli, fare riferimento alla discussione sulle richieste di dati da parte del governo nel Centro protezione Microsoft.

Passaggi successivi

Abilitare Customer Lockbox dal modulo di Amministrazione nel pannello Customer Lockbox. Customer Lockbox per Microsoft Azure è disponibile per tutti i clienti che dispongono di un piano di supporto di Azure con un livello minimo di sviluppatore.

• Customer Lockbox per le notifiche di posta elettronica alternativa di Microsoft Azure
• Domande frequenti su Customer Lockbox per Microsoft Azure