Microsoft Azure 用カスタマー ロックボックス

注意

この機能を使用するには、Developer レベル以上の Azure サポート プランが組織に必要です。

Microsoft の担当者および副処理者によって実行されるほとんどの操作やサポートでは、お客様のデータにアクセスする必要はありません。 そのようなアクセスが必要となるまれな状況では、Microsoft Azure 用カスタマー ロックボックスに、お客様が顧客データへのアクセス要求を承認または拒否するインターフェイスが用意されます。 これは、お客様から開始されたサポート チケットまたは Microsoft によって特定された問題に対応しているかどうかにかかわらず、Microsoft のエンジニアが顧客データにアクセスする必要がある場合に使用されます。

この記事では、Microsoft Azure のカスタマー ロックボックスを有効にする方法、要求を開始および追跡する方法、後のレビューと監査のために要求を保存する方法について説明します。

サポートされているサービス

Microsoft Azure のカスタマー ロックボックスでは、現在、次のサービスがサポートされています。

  • Azure API Management
  • Azure App Service
  • Azure AI Search
  • Azure AI サービス
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry
  • Azure Data Box
  • Azure Data Explorer
  • Azure Data Factory
  • Azure Data Manager for Energy
  • Azure Database for MySQL
  • Azure Database for MySQL フレキシブル サーバー
  • Azure Database for PostgreSQL
  • Azure Edge Zone Platform Storage
  • Azure Energy
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Azure Intelligent Recommendations
  • Azure Information Protection
  • Azure Kubernetes Service
  • Azure Load Testing (CloudNative Testing)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL Managed Instance
  • Azure Storage
  • Azure サブスクリプションの譲渡
  • Azure Synapse Analytics
  • Commerce AI (Intelligent Recommendations)
  • DevCenter/DevBox
  • ElasticSan
  • Kusto (ダッシュボード)
  • Microsoft Azure Attestation
  • OpenAI
  • Spring Cloud
  • Unified Vision Service
  • Azure の Virtual Machines

Microsoft Azure 用カスタマー ロックボックスを有効にする

Microsoft Azure のカスタマー ロックボックスを管理モジュールから有効にすることができるようになりました。

Note

Microsoft Azure のカスタマー ロックボックスを有効にするには、ユーザー アカウントに全体管理者ロールが割り当てられている必要があります。

ワークフロー

次の手順は、Microsoft Azure のカスタマー ロックボックス要求の一般的なワークフローの概要です。

  1. 組織の誰かに Azure のワークロードの問題があります。

  2. このユーザーが問題のトラブルシューティング行っても解決できない場合、Azure portal からサポート チケットを開きます。 このチケットは Azure カスタマー サポート エンジニアに割り当てられます。

  3. Azure サポート エンジニアがサービス要求を確認し、問題を解決するための次の手順を判断します。

  4. サポート エンジニアが標準のツールとサービスで生成されたデータを使用して問題のトラブルシューティングを行うことができない場合、次の手順は、Just-In-Time (JIT) アクセス サービスを使用して管理者特権のアクセス許可を要求することです。 問題は Azure DevOps チームにエスカレートされているため、これは元のサポート エンジニアまたは別のエンジニアからの要求である可能性があります。

  5. Azure エンジニアがアクセス要求を送信すると、Just-In-Time サービスによって次のような要素を考慮して要求が評価されます。

    • リソースのスコープ。
    • 要求者が分離 ID であるか、または多要素認証を使用しているか。
    • アクセス許可レベル。 JIT ルールに基づき、この要求には Microsoft 社内承認者からの承認も含まれる場合があります。 たとえば、承認者は、カスタマー サポートのリーダーや DevOps マネージャーの場合があります。
  6. 要求に顧客データへの直接アクセスが必要な場合、カスタマー ロックボックス要求が開始されます。

    要求が [Customer Notified](お客様に通知済み) 状態になり、アクセスを許可する前のお客様の承認待ちになります。

  7. 特定のカスタマー ロックボックス要求に対するお客様の組織の承認者は、次のように決定されます。

    • サブスクリプション スコープが設定された要求 (サブスクリプションに含まれる特定のリソースへのアクセス要求) の場合、関連付けられているサブスクリプションの所有者ロール、またはサブスクリプションの Azure カスタマー ロックボックス承認者ロールを持つユーザー。
    • テナント スコープ要求 (Microsoft Entra テナントへのアクセス要求) の場合、そのテナントの全体管理者ロールを持つユーザー。

    Note

    ロールの割り当ては、Microsoft Azure のカスタマー ロックボックスで要求の処理が開始される前に行う必要があります。 Microsoft Azure のカスタマー ロックボックスで特定の要求の処理が開始された後に行われたロールの割り当ては認識されません。 このため、サブスクリプション所有者ロールに PIM の適格な割り当てを使用するには、ユーザーはカスタマー ロックボックス要求が開始される前にロールをアクティブにする必要があります。 PIM 対象ロールのアクティブ化の詳細については、PIM での Microsoft Entra ロールのアクティブ化、または PIM での Azure リソース ロールのアクティブ化に関する各ページを参照してください。

    現時点では、管理グループをスコープとするロールの割り当ては、Microsoft Azure のカスタマー ロックボックスではサポートされていません。

  8. お客様の組織では、指定されたロックボックス承認者 (Azure サブスクリプション所有者Microsoft Entra 全体管理者、またはサブスクリプションの Azure カスタマー ロックボックス承認者) が、保留中のアクセス要求について通知する電子メールを Microsoft から受け取ります。 また、Azure アカウントでメールが有効になっていないシナリオ、またはサービス プリンシパルがロックボックス承認者として定義されている場合は、Azure ロックボックスの代替メール通知機能を使って、ロックボックス通知を受け取るための代替メール アドレスを構成することもできます。

    電子メールの例: 電子メール通知のスクリーンショット。

  9. メール通知には、カスタマー ロックボックス ブレードの [Administration](管理) モジュールへのリンクが記載されます。 指定された承認者は、Azure portal にサインインして、組織が Microsoft Azure のカスタマー ロックボックスについて保留しているすべての要求を表示します。Microsoft Azure のカスタマー ロックボックスのランディング ページを示すスクリーンショット。 要求は顧客キューに 4 日間残ります。 この時間が経過すると、アクセス要求は自動的に期限切れになり、Microsoft のエンジニアにはアクセスが許可されません。

  10. 保留中の要求の詳細を取得するために、指定された承認者は [保留中の要求] からカスタマー ロックボックス要求を選択できます。保留中の要求のスクリーンショット。

  11. 指定された承認者は [サービス要求 ID] を選択して、元のユーザーが作成したサポート チケット要求を表示することもできます。 この情報には、Microsoft サポートが対応している理由と、報告された問題の履歴に関する状況が提供されます。 例: サポート チケット要求のスクリーンショット。

  12. 指定された承認者は要求を確認し、[承認] または [拒否] を選択します。[承認] または [拒否] の UI のスクリーンショット。 選択の結果は次のようになります。

    • 承認: 要求の詳細で指定された期間 (これは電子メール通知と Azure portal に表示されます)、Microsoft エンジニアにアクセスが許可されます。
    • 拒否:Microsoft のエンジニアによる管理者特権のアクセス要求は拒否され、以降の操作は行われません。

    監査のために、このワークフローで実行されたアクションは [Customer Lockbox request logs](カスタマー ロックボックス要求ログ) に記録されます。

監査ログ

Azure のカスタマー ロックボックスの監査ログは、サブスクリプションスコープ要求のアクティビティ ログと、テナントスコープ要求の Entra 監査ログに書き込まれます。

サブスクリプションスコープ要求 - アクティビティ ログ

Azure portal の [Microsoft Azure 用カスタマー ロックボックス] ブレードで、[アクティビティ ログ] を選択して、カスタマー ロックボックス要求に関連する監査情報を表示します。 また、対象のサブスクリプションの [サブスクリプションの詳細] ブレードで [アクティビティ ログ] を表示することもできます。 どちらの場合も、以下のように特定の操作を抽出するようにフィルター処理を行うことができます。

  • [Deny Lockbox Request](ロックボックス要求を拒否する)
  • [Create Lockbox Request](ロックボックス要求を作成する)
  • [Approve Lockbox Request](ロックボックス要求を承認する)
  • [Lockbox Request Expiry](ロックボックス要求の有効期限)

アクティビティ ログのスクリーンショット。

テナントスコープ要求 - 監査ログ

テナントスコープのカスタマー ロックボックス要求の場合、ログ エントリは Entra 監査ログに書き込まれます。 これらのログ エントリは、以下のようなアクティビティを含む Access Reviews サービスによって作成されます。

  • 要求の作成
  • 要求の承認
  • 要求の拒否

Service = Access Reviews かつ Activity = one of the above activities でフィルター処理を行うことができます。

監査ログのスクリーンショット。

Note

Azure ロックボックス ポータルの [履歴] タブは、既存の技術的な制限が原因で削除されました。 カスタマー ロックボックスの要求履歴を表示するには、サブスクリプションスコープ要求のアクティビティ ログと、テナントスコープ要求の Entra 監査ログを使用してください。

Microsoft Azure のカスタマー ロックボックスと Microsoft クラウド セキュリティ ベンチマークの統合

カスタマー ロックボックスの適用性をカバーする Microsoft クラウド セキュリティ ベンチマークに、新しいベースライン制御 (「PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する」) が導入されました。 お客様は、このベンチマークを使用して、サービスに対するカスタマー ロックボックスの適用性を確認できるようになりました。

除外

カスタマー ロックボックス要求は、次のシナリオではトリガーされません。

  • 標準の運用手順には含まれておらず、オンライン サービスへのアクセスを回復するため、顧客データの破損や損失を防ぐため、またはセキュリティや不正使用のインシデントを調査するための Microsoft による緊急の措置を必要とする緊急シナリオ。 たとえば、大規模なサービス停止やセキュリティ インシデントが発生した場合は、予期しない状況や予測できない状況でサービスを復旧または復元するために直ちに対応する必要があります。 このような "緊急"イベントはまれであり、ほとんどの場合、解決のために顧客データにアクセスする必要はありません。 コア オンライン サービスにおける顧客データへの Microsoft のアクセスを管理する制御とプロセスは、NIST 800-53 に準拠しており、SOC 2 監査を通じて検証されています。 詳細については、「Microsoft Azure 用カスタマー ロックボックスの Azure セキュリティ ベースライン」を参照してください。
  • Microsoft のエンジニアは、トラブルシューティングの一環として Azure プラットフォームにアクセスし、意図せず顧客データを目にします。 たとえば、Azure Network チームはトラブルシューティングを行い、その結果、ネットワーク デバイスでパケット キャプチャが行われます。 このようなシナリオで、多くの重要な顧客データがアクセスされることはめったにありません。 お客様は、一部の Azure サービスで利用できるカスタマー マネージド キー (CMK) を使用して、データの保護を強化できます。 詳細については、Azure でのキー管理の概要を参照してください。

データに対する外部の法的な要求によって、カスタマー ロックボックス要求がトリガーされることもありません。 詳細については、Microsoft Trust Center の 政府機関によるデータの要求についての説明を参照してください。

次のステップ

カスタマー ロックボックス ブレードの [管理] モジュールからカスタマー ロックボックスを有効にします。 Microsoft Azure のカスタマー ロックボックスは、Developer レベル以上の Azure サポート プランをお持ちのすべてのお客様が利用できます。