次の方法で共有

Microsoft Azureのカスタマー ロックボックス

Note

この機能を使用するには、Azure サポートプランで最低レベルがDeveloperである必要があります。

Microsoft の担当者および副処理者によって実行されるほとんどの操作やサポートでは、お客様のデータにアクセスする必要はありません。 このようなアクセスが必要なまれな状況では、Microsoft Azureのカスタマー ロックボックスは、顧客が顧客データ アクセス要求を確認および承認または拒否するためのインターフェイスを提供します。 これは、お客様から開始されたサポート チケットまたは Microsoft によって特定された問題に対応しているかどうかにかかわらず、Microsoft のエンジニアが顧客データにアクセスする必要がある場合に使用されます。

この記事では、Microsoft Azureのカスタマー ロックボックスを有効にする方法と、後でレビューと監査のために要求を開始、追跡、および格納する方法について説明します。

サポートされているサービス

現在、Microsoft Azureのカスタマー ロックボックスでは、次のサービスがサポートされています。

  • Azure API Management
  • Azure App Service
  • Azure AI Search
  • 鋳造ツール
  • Azure Chaos Studio
  • Azure Communications Gateway
  • Azure Container Registry
  • Azure Data Box
  • Azure Data Explorer(データ探索サービス)
  • Azure Data Factory
  • Azure エネルギー業界向けデータ マネージャー
  • Azure Database for MySQL(アジュール データベース for MySQL)
  • フレキシブル サーバー Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Edge Zone プラットフォームのストレージ
  • Azureエネルギー
  • Azure Functions
  • Azure HDInsight
  • Azure Health Bot
  • Azureのインテリジェント レコメンデーション
  • Azure Information Protection
  • Azure Kubernetes Service
  • Azure ロードテスト (クラウドネイティブ テスト)
  • Azure Logic Apps
  • Azure Monitor (Log Analytics)
  • Azure Red Hat OpenShift
  • Azure Spring Apps
  • Azure SQL Database
  • Azure SQL Managed Instance
  • Azure Storage
  • Azure サブスクリプションの転送
  • Azure Synapse Analytics
  • Commerce AI (インテリジェントな推奨事項)
  • DevCenter/DevBox
  • ElasticSan
  • Kusto (ダッシュボード)
  • Microsoft Azure Attestation
  • Microsoft Entra の診断データ
  • OpenAI
  • Spring Cloud
  • Unified Vision Service
  • Azureでの仮想マシン

Microsoft Azureのカスタマー ロックボックスを有効にする

Administration モジュールからMicrosoft Azureのカスタマー ロックボックスを有効にできるようになりました。

Note

Microsoft Azureのカスタマー ロックボックスを有効にするには、ユーザー アカウントに グローバル管理者ロールが割り当てられている必要があります

Workflow

次の手順では、Microsoft Azure要求のカスタマー ロックボックスの一般的なワークフローの概要を示します。

  1. 組織の誰かが、Azureワークロードに問題があります。

  2. このユーザーは問題のトラブルシューティングを行ったが、解決できない場合は、Azure ポータルからサポート チケットを開きます。 チケットは、Azureカスタマー サポート エンジニアに割り当てられます。

  3. Azure サポート エンジニアがサービス要求を確認し、問題を解決するための次の手順を決定します。

  4. サポート エンジニアが標準のツールとサービスで生成されたデータを使用して問題のトラブルシューティングを行うことができない場合、次の手順は、Just-In-Time (JIT) アクセス サービスを使用して管理者特権のアクセス許可を要求することです。 問題はAzure DevOps チームにエスカレートされるため、この要求は元のサポート エンジニアまたは別のエンジニアから行うことができます。

  5. Azure エンジニアがアクセス要求を送信すると、Just-In-Time サービスは、次のような要因を考慮して要求を評価します。

    • リソースのスコープ。
    • 要求者が分離 ID であるか、または多要素認証を使用しているか。
    • アクセス許可レベル。 JIT ルールに基づき、この要求には Microsoft 社内承認者からの承認も含まれる場合があります。 たとえば、承認者は、カスタマー サポートのリーダーや DevOps マネージャーの場合があります。

  6. 要求に顧客データへの直接アクセスが必要な場合、カスタマー ロックボックス要求が開始されます。

    要求が [Customer Notified]\(お客様に通知済み\) 状態になり、アクセスを許可する前のお客様の承認待ちになります。

  7. 特定のカスタマー ロックボックス要求に対するお客様の組織の承認者は、次のように決定されます。

    • サブスクリプション スコープ要求 (サブスクリプションに含まれる特定のリソースへのアクセス要求) の場合、関連付けられているサブスクリプションの所有者ロールまたは Azure Customer Lockbox Approver for Subscription ロールを持つユーザー。
    • テナント スコープ要求 (Microsoft Entra テナントへのアクセス要求) の場合、テナントのグローバル管理者ロールを持つユーザー。

    Note

    Microsoft Azureのカスタマー ロックボックスが要求の処理を開始する前に、ロールの割り当てを行う必要があります。 Microsoft Azureのカスタマー ロックボックスが特定の要求の処理を開始した後に行われたロールの割り当ては認識されません。 このため、サブスクリプション所有者ロールに PIM の適格な割り当てを使用するには、ユーザーはカスタマー ロックボックス要求が開始される前にロールをアクティブにする必要があります。 PIM 適格ロールのアクティブ化の詳細については、「 PIM でMicrosoft Entraロールをアクティブ化する / PIM でAzureリソース ロールをアクティブ化するを参照してください。

    管理グループを対象にしたロール割り当ては、現時点では、Microsoft Azureのカスタマー ロックボックスではサポートされていません

  8. 顧客組織で、指定されたロックボックス承認者 (Azure サブスクリプション所有者/Microsoft Entra 全体管理者/Azureサブスクリプションのカスタマー ロックボックス承認者は、保留中のアクセス要求について Microsoft から電子メールを受け取ります。 Azure Lockbox 代替メール通知 機能を使用して、Azure アカウントが電子メールで有効になっていない場合や、サービス プリンシパルがロックボックス承認者として定義されている場合に、ロックボックス通知を受信するように代替メール アドレスを構成することもできます。

    電子メールの例: メール通知のスクリーンショット。

  9. メール通知には、カスタマー ロックボックス ブレードの [Administration]\(管理\) モジュールへのリンクが記載されます。 指定された承認者は、Azure ポータルにサインインして、組織がMicrosoft Azureのカスタマー ロックボックスに対して持っている保留中の要求を表示します。 Microsoft Azure ランディング ページのカスタマー ロックボックスのスクリーンショット。 要求は 4 日間顧客キューに残ります。 この時間が経過すると、アクセス要求は自動的に期限切れになり、Microsoft のエンジニアにはアクセスが許可されません。

  10. 保留中の要求の詳細を取得するために、指定された承認者は [保留中の要求] からカスタマー ロックボックス要求を選択できます。保留中の要求のスクリーンショット。

  11. 指定された承認者は [サービス要求 ID] を選択して、元のユーザーが作成したサポート チケット要求を表示することもできます。 この情報は、Microsoft Supportが関与している理由と、報告された問題の履歴のコンテキストを提供します。 例: サポート チケット要求のスクリーンショット。

  12. 指定された承認者は要求を確認し、[承認] または [拒否] を選択します。 [承認] または [拒否] の UI のスクリーンショット。 選択の結果は次のようになります。

    • Approve: 要求の詳細で指定された期間、Microsoft エンジニアにアクセス権が付与されます。これは、電子メール通知とAzure ポータルに表示されます。
    • 拒否: Microsoft のエンジニアによる管理者特権のアクセス要求は拒否され、以降の操作は行われません。

    監査のために、このワークフローで実行されたアクションは [Customer Lockbox request logs]\(カスタマー ロックボックス要求ログ\) に記録されます。

監査ログ

Azureのカスタマー ロックボックスの監査ログは、サブスクリプション スコープ要求のアクティビティ ログと、テナント スコープ要求のEntra 監査ログに書き込まれます。

サブスクリプションスコープ要求 - アクティビティ ログ

Azure ポータルの [Customer Lockbox for Microsoft Azure] ブレードで、Activity Logs を選択して、カスタマー ロックボックス要求に関連する監査情報を表示します。 また、対象のサブスクリプションの [サブスクリプションの詳細] ブレードで [アクティビティ ログ] を表示することもできます。 どちらの場合も、以下のように特定の操作を抽出するようにフィルター処理を行うことができます。

  • [Deny Lockbox Request]\(ロックボックス要求を拒否する\)
  • [Create Lockbox Request]\(ロックボックス要求を作成する\)
  • [Approve Lockbox Request]\(ロックボックス要求を承認する\)
  • [Lockbox Request Expiry]\(ロックボックス要求の有効期限\)

アクティビティ ログのスクリーンショット。

テナントスコープ要求 - 監査ログ

テナントスコープのカスタマー ロックボックス要求の場合、ログ エントリは Entra 監査ログに書き込まれます。 これらのログ エントリは、以下のようなアクティビティを含む Access Reviews サービスによって作成されます。

  • 要求の作成
  • 要求の承認
  • 要求の拒否

Service = Access ReviewsActivity = one of the above activities をフィルター処理できます。

監査ログのスクリーンショット。

Note

Azure ロックボックス ポータルの [履歴] タブは、既存の技術的な制限により削除されました。 カスタマー ロックボックスの要求履歴を表示するには、サブスクリプションスコープ要求のアクティビティ ログと、テナントスコープ要求の Entra 監査ログを使用してください。

Microsoft クラウド セキュリティ ベンチマークとのMicrosoft Azure統合のためのカスタマー ロックボックス

カスタマー ロックボックスの適用性をカバーする Microsoft クラウド セキュリティ ベンチマークに、新しいベースライン制御 (「PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する」) が導入されました。 お客様は、このベンチマークを使用して、サービスに対するカスタマー ロックボックスの適用性を確認できるようになりました。

除外

カスタマー ロックボックス要求は、次のシナリオではトリガーされません。

  • 標準的な運用手順に該当しない緊急シナリオで、online servicesへのアクセスを復元したり、顧客データの破損や損失を防いだり、セキュリティや不正使用のインシデントを調査したりするために、Microsoft から緊急の措置が必要になります。 たとえば、大規模なサービス停止やセキュリティ インシデントが発生した場合は、予期しない状況や予測できない状況でサービスを復旧または復元するために直ちに対応する必要があります。 このような "緊急"イベントはまれであり、ほとんどの場合、解決のために顧客データにアクセスする必要はありません。 コア online servicesの顧客データへの Microsoft のアクセスを制御する制御とプロセスは、NIST 800-53 に準拠し、SOC 2 監査を通じて検証されます。 詳細については、Microsoft Azure のカスタマー ロックボックスのAzureセキュリティ ベースラインを参照してください。
  • Microsoft のエンジニアは、トラブルシューティングの一環としてAzure プラットフォームにアクセスし、誤って顧客データに公開されます。 たとえば、Azure ネットワーク チームは、ネットワーク デバイスでパケット キャプチャを行うトラブルシューティングを実行します。 このようなシナリオで、多くの重要な顧客データがアクセスされることはめったにありません。 お客様は、一部のAzure サービスで使用できるカスタマー マネージド キー (CMK) を使用して、データをさらに保護できます。 詳細については、 Azureを参照してください。

データに対する外部の法的な要求によって、カスタマー ロックボックス要求がトリガーされることもありません。 詳細については、Microsoft Trust Center の 政府機関によるデータの要求についての説明を参照してください。

次のステップ

カスタマー ロックボックス ブレードの [管理] モジュールからカスタマー ロックボックスを有効にします。 Microsoft Azureのカスタマー ロックボックスは、最小限の開発者レベルでAzure supportプランを持つすべての顧客が利用できます。

  • Last updated on