Sistema de Proteção de Dados do Cliente para o Microsoft Fabric

Use o Sistema de Proteção de Dados do Cliente para o Microsoft Azure para controlar como os engenheiros da Microsoft acessam seus dados. Neste artigo, você aprenderá como as solicitações do Customer Lockbox são iniciadas, acompanhadas e armazenadas para análises e auditorias futuras.

Normalmente, o Customer Lockbox é usado para ajudar os engenheiros da Microsoft a solucionar problemas em uma solicitação de suporte para o serviço Microsoft Fabric. O Customer Lockbox também pode ser usado quando a Microsoft identifica um problema e um evento iniciado pela Microsoft é aberto para investigar a questão.

Habilitar o Sistema de Proteção de Dados do Cliente para o Microsoft Fabric

Para habilitar o Customer Lockbox no Microsoft Fabric, você deve ser um Administrador Global do Microsoft Entra. Para atribuir funções no Microsoft Entra ID, consulte Atribuir funções do Microsoft Entra a usuários.

  1. Abra o Portal do Azure.

  2. Acesse Customer Lockbox para o Microsoft Azure.

  3. Na guia Administração, selecione Habilitado.

    Captura de tela da habilitação do Customer Lockbox para Microsoft Azure na guia de administração do Customer Lockbox para Microsoft Azure.

Solicitação de acesso da Microsoft

Note

Para garantir que a solicitação esteja visível, o usuário deve ter uma função de Administrador Global ativa no Entra ID antes que a solicitação do lockbox seja iniciada por Microsoft.

Nos casos em que o engenheiro da Microsoft não consegue solucionar problemas usando ferramentas padrão, são solicitadas permissões elevadas usando o serviço de acesso Just-In-Time (JIT). A solicitação pode vir do engenheiro de suporte original ou de um engenheiro diferente.

Após o envio da solicitação de acesso, o serviço JIT avalia a solicitação, considerando fatores como:

  • O escopo do recurso

  • Se o solicitante é uma identidade isolada ou usa autenticação multifator

  • Níveis de permissões

Com base na função do JIT, essa solicitação também pode incluir uma aprovação de aprovadores internos da Microsoft. Por exemplo, o aprovador pode ser o Líder de atendimento ao cliente ou o Gerente de DevOps.

Quando a solicitação requer acesso direto aos dados do cliente, uma solicitação de Customer Lockbox é iniciada. Por exemplo, nos casos em que o acesso de área de trabalho remota à máquina virtual de um cliente é necessário. Depois que a solicitação do Customer Lockbox for enviada, ela fica aguardando a aprovação do cliente antes que o acesso seja concedido.

Essas etapas descrevem uma solicitação do Customer Lockbox iniciada pela Microsoft para o serviço Microsoft Fabric.

  1. O administrador global do Microsoft Entra recebe um email de notificação de solicitação de acesso pendente da Microsoft. O administrador que recebeu o email se torna o aprovador designado.

  2. O e-mail fornece um link para o Customer Lockbox no módulo Administração do Azure. Usando o link, o aprovador designado faz login no portal do Azure para visualizar quaisquer solicitações pendentes do Customer Lockbox. A solicitação permanece na fila do cliente por quatro dias. Após esse período, a solicitação de acesso expira automaticamente e nenhum acesso é concedido aos engenheiros da Microsoft.

  3. Para obter os detalhes da solicitação pendente, o aprovador designado pode selecionar a solicitação do Customer Lockbox na opção de menu Solicitações pendentes.

  4. Depois de examinar a solicitação, o aprovador designado insere uma justificativa e seleciona uma das opções abaixo. Para fins de auditoria, as ações são registradas nos logs do Customer Lockbox.

    • Aprovar: o acesso é concedido ao engenheiro da Microsoft por um período padrão de oito horas.

    • Negar - A solicitação de acesso feita pelo engenheiro da Microsoft é rejeitada e nenhuma outra ação é tomada.

    Captura de tela dos botões Aprovar e Negar de uma solicitação pendente do Customer Lockbox para Microsoft Azure.

Logs

O Customer Lockbox tem dois tipos de logs:

  • Logs de atividades: disponíveis no log de atividades do Azure Monitor.

    Os seguintes logs de atividade estão disponíveis para o Customer Lockbox:

    • Negar solicitação de Lockbox
    • Criar solicitação de Lockbox
    • Aprovar solicitação de Lockbox
    • Expiração da solicitação do Lockbox

    Para acessar os logs de atividades, selecione Log de atividades no portal do Azure. Você pode filtrar os resultados para ações específicas.

    Captura de tela dos logs de atividades no Customer Lockbox do Microsoft Azure.

  • Logs de auditoria – Disponíveis no portal do Microsoft Purview. Você pode ver os logs de auditoria no portal de administração.

    O Lockbox do Cliente para o Microsoft Fabric tem quatro logs de auditoria:

    Log de auditoria Nome amigável
    GetRefreshHistoryViaLockbox Obter o histórico de atualizações via lockbox
    DeleteAdminUsageDashboardsViaLockbox Excluir painéis de uso do administrador via lockbox
    DeleteUsageMetricsv2PackageViaLockbox Excluir o pacote de métricas de uso v2 via Lockbox
    Excluir pasta de monitoramento do administrador via Lockbox Excluir pasta de monitoramento de administração via lockbox
    GetQueryTextTelemetryViaLockbox Obter texto de consulta do repositório de telemetria seguro via Lockbox

Exclusões

As solicitações do Lockbox do Cliente não são acionadas nos seguintes cenários de suporte de engenharia:

  • Cenários de emergência que estão fora dos procedimentos operacionais padrão. Por exemplo, uma grande paralisação de serviço requer atenção imediata para recuperar ou restaurar serviços em um cenário inesperado ou imprevisível. Esses eventos são raros e geralmente não exigem acesso aos dados do cliente.

  • Um engenheiro da Microsoft acessa a plataforma do Azure como parte da solução de problemas e é exposto aos dados do cliente. Por exemplo, durante a solução de problemas, a Equipe de Rede do Azure captura um pacote em um dispositivo de rede. Esses cenários geralmente não resultam em acesso a dados significativos do cliente.

  • Demandas legais externas por dados. Para obter detalhes, consulte a discussão sobre solicitações governamentais de dados na Central de Confiabilidade da Microsoft.

Acesso de dados

O acesso aos dados varia de acordo com a experiência do Microsoft Fabric para a qual sua solicitação se destina. Esta seção lista a quais dados o engenheiro da Microsoft pode acessar após sua aprovação de uma solicitação de Lockbox do Cliente.

  • Power BI: ao executar as operações listadas abaixo, o engenheiro da Microsoft terá acesso a algumas tabelas vinculadas à sua solicitação. Cada operação que o engenheiro da Microsoft usa é refletida nos logs de auditoria.

    • Obter o histórico de atualização de modelo
    • Excluir o dashboard de uso do administrador
    • Excluir o pacote v2 de métricas de uso
    • Excluir pasta de monitoramento do administrador
    • Excluir espaço de trabalho do administrador
    • Acessar um conjunto de dados específico no armazenamento
    • Obter texto de consulta do repositório de telemetria seguro

  • Inteligência em Tempo Real: o engenheiro da Inteligência em Tempo Real terá acesso aos dados no banco de dados KQL vinculado à sua solicitação.

  • Engenharia de Dados: o engenheiro de Engenharia de Dados terá acesso aos seguintes logs do Spark vinculados à sua solicitação:

    • Registros do controlador
    • Logs de eventos
    • Logs do executor

  • Data Factory – O engenheiro do Data Factory terá acesso a definições de pipeline vinculadas à sua solicitação, se a permissão for concedida.

Conteúdo relacionado

  • Last updated on