Microsoft Fabric용 고객 Lockbox

  • 아티클

Microsoft Azure용 고객 Lockbox를 사용하여 Microsoft 엔지니어가 데이터에 액세스하는 방법을 제어합니다. 이 문서에서는 추후 검토 및 감사를 위해 고객 Lockbox 요청을 시작, 추적 및 저장하는 방법에 대해 알아봅니다.

일반적으로 고객 Lockbox는 Microsoft 엔지니어가 Microsoft Fabric 서비스 지원 요청 문제를 해결하는 데 사용됩니다. Microsoft에서 문제를 식별하고 Microsoft에서 시작한 이벤트를 열어 문제를 조사할 때 고객 Lockbox를 사용할 수도 있습니다.

Microsoft Fabric에 고객 Lockbox 사용

Microsoft Fabric에 고객 Lockbox를 사용하도록 설정하려면 Microsoft Entra 전역 관리자여야 합니다. Microsoft Entra ID에서 역할을 할당하려면 사용자에게 Microsoft Entra 역할 할당을 참조 하세요.

  1. Azure Portal을 엽니다.

  2. Microsoft Azure용 고객 Lockbox로 이동합니다.

  3. 관리 탭에서 사용을 선택합니다.

    Microsoft Azure용 고객 Lockbox 관리 탭에서 Microsoft Azure용 고객 Lockbox를 사용하도록 설정하는 스크린샷.

Microsoft 액세스 요청

Microsoft 엔지니어가 표준 도구를 사용하여 문제를 해결할 수 없는 경우 JIT(Just-In-Time) 액세스 서비스를 사용하여 상승된 권한을 요청합니다. 요청은 원래 지원 엔지니어 또는 다른 엔지니어로부터 가져올 수 있습니다.

액세스 요청이 제출된 후 JIT 서비스는 다음과 같은 요소를 고려하여 요청을 평가합니다.

  • 리소스의 범위

  • 요청자가 격리된 ID인지 아니면 다단계 인증을 사용하는지 여부

  • 사용 권한 수준

JIT 역할에 따라 요청에는 내부 Microsoft 승인자의 승인도 포함될 수 있습니다. 예를 들어 승인자는 고객 지원 리더 또는 DevOps 관리자가 될 수 있습니다.

요청이 고객 데이터에 직접 액세스해야 할 경우 고객 Lockbox 요청이 시작됩니다. 예를 들어 고객의 가상 머신에 대한 원격 데스크톱 액세스가 필요한 경우입니다. 고객 Lockbox 요청이 이루어지면 액세스 권한이 부여되기 전에 고객의 승인을 기다립니다.

다음 단계에서는 Microsoft Fabric 서비스에 대해 Microsoft에서 시작한 고객 Lockbox 요청을 설명합니다.

  1. Microsoft Entra 전역 관리자는 Microsoft로부터 보류 중인 액세스 요청 알림 이메일을 받습니다. 이메일을 받은 관리자는 지정된 승인자가 됩니다.

  2. 이메일은 Azure 관리 모듈의 고객 Lockbox에 대한 링크를 제공합니다. 지정된 승인자는 링크를 사용하여 Azure Portal에 로그인하여 보류 중인 고객 Lockbox 요청을 확인합니다. 요청은 4일 동안 고객 큐에 유지됩니다. 그 후에는 액세스 요청이 자동으로 만료되고 Microsoft 엔지니어에게 액세스 권한이 부여되지 않습니다.

  3. 보류 중인 요청의 세부 정보를 가져오기 위해 지정된 승인자는 보류 중인 요청 메뉴 옵션에서 고객 Lockbox 요청을 선택할 수 있습니다.

  4. 요청을 검토한 후 지정된 승인자가 근거를 입력하고 아래 옵션 중 하나를 선택합니다. 감사를 위해 작업은 고객 Lockbox 로그에 기록됩니다.

    • 승인 - 기본 8시간 동안 Microsoft 엔지니어에게 액세스 권한이 부여됩니다.

    • 거부 - Microsoft 엔지니어의 액세스 권한 요청이 거부되고 추가 작업은 수행되지 않습니다.

    Microsoft Azure 요청에 대해 보류 중인 고객 Lockbox의 승인 및 거부 단추 스크린샷.

로그

고객 Lockbox에는 두 가지 유형의 로그가 있습니다.

  • 활동 로그 - Azure Monitor 활동 로그에서 사용할 수 있습니다.

    고객 Lockbox에 사용할 수 있는 활동 로그는 다음과 같습니다.

    • Lockbox 요청 거부
    • Lockbox 요청 만들기
    • Lockbox 요청 승인
    • Lockbox 요청 만료

    활동 로그에 액세스하려면 Azure Portal에서 활동 로그를 선택합니다. 특정 작업에 대한 결과를 필터링할 수 있습니다.

    Microsoft Azure용 Customer Lockbox의 활동 로그 스크린샷.

  • 감사 로그 - Microsoft Purview 규정 준수 포털에서 사용할 수 있습니다. 관리 포털에서 감사 로그를 볼 수 있습니다.

    Microsoft Fabric용 고객 Lockbox에는 다음과 같은 4개의 감사 로그가 있습니다.

    감사 로그 식별 이름
    GetRefreshHistoryViaLockbox lockbox를 통해 새로 고침 기록 가져오기
    DeleteAdminUsageDashboardsViaLockbox lockbox를 통해 관리자 사용 대시보드 삭제
    DeleteUsageMetricsv2PackageViaLockbox lockbox를 통해 사용 현황 메트릭 v2 패키지 삭제
    DeleteAdminMonitoringFolderViaLockbox lockbox를 통해 관리자 모니터링 폴더 삭제
    GetQueryTextTelemetryViaLockbox Lockbox를 통해 보안 원격 분석 저장소에서 쿼리 텍스트 가져오기

제외 항목

다음 엔지니어링 지원 시나리오에서는 고객 Lockbox 요청이 트리거되지 않습니다.

  • 표준 운영 절차를 벗어난 응급 시나리오 예를 들어 주요 서비스 중단 시 예기치 않은 시나리오에서 서비스를 복구하거나 복원하려면 즉각적인 주의가 필요합니다. 이러한 이벤트는 드물며 일반적으로 고객 데이터에 액세스할 필요가 없습니다.

  • Microsoft 엔지니어가 문제 해결의 일환으로 Azure 플랫폼에 액세스하고 실수로 고객 데이터에 노출될 수 있습니다. 예를 들어 문제 해결 중에 Azure 네트워크 팀은 네트워크 디바이스에서 패킷을 캡처합니다. 이러한 시나리오는 일반적으로 의미 있는 고객 데이터에 액세스하지 않습니다.

  • 데이터에 대한 외부 법적 요구 사항. 자세한 내용은 Microsoft 보안 센터의 데이터에 대한 정부 요청을 참조하세요.

데이터 액세스

데이터에 대한 액세스는 요청에 대한 Microsoft Fabric 환경에 따라 달라집니다. 이 섹션에서는 고객 Lockbox 요청을 승인한 후 Microsoft 엔지니어가 액세스할 수 있는 데이터를 나열합니다.

  • Power BI - 아래에 나열된 작업을 실행할 때 Microsoft 엔지니어는 요청에 연결된 몇 개의 테이블에 액세스할 수 있습니다. Microsoft 엔지니어가 사용하는 각 작업은 감사 로그에 반영됩니다.

    • 모델 새로 고침 기록 가져오기
    • 관리자 사용 대시보드 삭제
    • 사용 메트릭 v2 패키지 삭제
    • 관리자 모니터링 폴더 삭제
    • 관리자 작업 영역 삭제
    • 스토리지의 특정 데이터 세트에 액세스
    • 보안 원격 분석 저장소에서 쿼리 텍스트 가져오기

  • 실시간 인텔리전스 - 실시간 인텔리전스 엔지니어는 요청에 연결된 KQL 데이터베이스의 데이터에 액세스할 수 있습니다.

  • 데이터 엔지니어 - 데이터 엔지니어 엔지니어는 요청에 연결된 다음 Spark 로그에 액세스할 수 있습니다.

    • 드라이버 로그
    • 이벤트 로그
    • 실행기 로그

  • Data Factory - 권한이 부여된 경우 Data Factory 엔지니어는 요청에 연결된 데이터 파이프라인 정의에 액세스할 수 있습니다.

관련 콘텐츠