Microsoft Azure 用カスタマー ロックボックスCustomer Lockbox for Microsoft Azure

注意

この機能を使用するには、Developer レベル以上の Azure サポート プランが組織に必要です。To use this feature, your organization must have an Azure support plan with a minimal level of Developer.

Microsoft Azure 用カスタマー ロックボックスには、お客様が顧客データへのアクセス要求を承認または拒否するインターフェイスが用意されています。Customer Lockbox for Microsoft Azure provides an interface for customers to review and approve or reject customer data access requests. これは、Microsoft のエンジニアがサポート リクエストの際に顧客データにアクセスする必要がある場合に使用されます。It is used in cases where a Microsoft engineer needs to access customer data during a support request.

この記事では、カスタマー ロックボックス要求の開始、追跡、後のレビューと監査のための保存の方法について説明します。This article covers how Customer Lockbox requests are initiated, tracked, and stored for later reviews and audits.

カスタマー ロックボックスは一般提供が開始され、現在は仮想マシンへのリモート デスクトップ アクセスに使用できます。Customer Lockbox is now generally available and currently enabled for remote desktop access to virtual machines.

ワークフローWorkflow

次の手順は、カスタマー ロックボックス要求の一般的なワークフローの概要です。The following steps outline a typical workflow for a Customer Lockbox request.

  1. 組織の誰かに Azure のワークロードの問題があります。Someone at an organization has an issue with their Azure workload.

  2. このユーザーが問題のトラブルシューティング行っても解決できない場合、Azure portal からサポート チケットを開きます。After this person troubleshoots the issue, but can't fix it, they open a support ticket from the Azure portal. このチケットは Azure カスタマー サポート エンジニアに割り当てられます。The ticket is assigned to an Azure Customer Support Engineer.

  3. Azure サポート エンジニアがサービス要求を確認し、問題を解決するための次の手順を判断します。An Azure Support Engineer reviews the service request and determines the next steps to resolve the issue.

  4. サポート エンジニアが標準のツールとテレメトリを使用して問題のトラブルシューティングを行うことができない場合、次の手順は、Just-In-Time (JIT) アクセス サービスを使用して管理者特権のアクセス許可を要求することです。If the support engineer can't troubleshoot the issue by using standard tools and telemetry, the next step is to request elevated permissions by using a Just-In-Time (JIT) access service. この要求は、元のサポート エンジニアが行うことができます。This request can be from the original support engineer. また、問題が Azure DevOps チームにエスカレートされるため、別のエンジニアが行うこともあります。Or, it can be from a different engineer because the problem is escalated to the Azure DevOps team.

  5. Azure エンジニアがアクセス要求を送信した後、Just-In-Time サービスは次のような要素を考慮して要求を評価します。After the access request is submitted by the Azure Engineer, Just-In-Time service evaluates the request taking into account factors such as:

    • リソースのスコープThe scope of the resource
    • 要求送信者が分離 ID か、多要素認証を使用しているかWhether the requester is an isolated identity or using multi-factor authentication
    • アクセス許可レベルPermissions levels

    JIT ルールに基づき、この要求には Microsoft 社内承認者からの承認も含まれる場合があります。Based on the JIT rule, this request may also include an approval from Internal Microsoft Approvers. たとえば、承認者は、カスタマー サポートのリーダーや DevOps マネージャーの場合があります。For example, the approver might be the Customer support lead or the DevOps Manager.

  6. 要求に顧客データへの直接アクセスが必要な場合、カスタマー ロックボックス要求が開始されます。When the request requires direct access to customer data, a Customer Lockbox request is initiated. たとえば、お客様の仮想マシンへのリモート デスクトップ アクセスです。For example, remote desktop access to a customer's virtual machine.

    要求が [Customer Notified](お客様に通知済み) 状態になり、アクセスを許可する前のお客様の承認待ちになります。The request is now in a Customer Notified state, waiting for the customer's approval before granting access.

  7. お客様の組織で、Azure サブスクリプションの所有者ロールを持つユーザーに、保留中のアクセス要求について通知するメールが Microsoft から送信されます。At the customer organization, the user who has the Owner role for the Azure subscription receives an email from Microsoft, to notify them about the pending access request. カスタマー ロックボックス要求では、このユーザーが承認者に指定されます。For Customer Lockbox requests, this person is the designated approver.

    電子メールの例:Example email:

    Azure カスタマー ロックボックス - メール通知

  8. メール通知には、Azure portal のカスタマー ロックボックス ブレードへのリンクが記載されます。The email notification provides a link to the Customer Lockbox blade in the Azure portal. 指定された承認者は、このリンクを使用し、Azure portal にサインインして、組織がカスタマー ロックボックスについて保留しているすべての要求を表示します。Using this link, the designated approver signs in to the Azure portal to view any pending requests that their organization has for Customer Lockbox:

    Azure カスタマー ロックボックス - ランディング ページ

    要求は、カスタマー キューに 4 日間残ります。The request remains in the customer queue for four days. この時間が経過すると、アクセス要求は自動的に期限切れになり、Microsoft のエンジニアにはアクセスが許可されません。After this time, the access request automatically expires and no access is granted to Microsoft engineers.

  9. 保留中の要求の詳細を取得するにために、指定された承認者は [保留中の要求] からロックボックス要求を選択できます。To get the details of the pending request, the designated approver can select the lockbox request from Pending Requests:

    Azure カスタマー ロックボックス - 保留中の要求を表示する

  10. 指定された承認者は [サービス要求 ID] を選択して、元のユーザーが作成したサポート チケット要求を表示することもできます。The designated approver can also select the SERVICE REQUEST ID to view the support ticket request that was created by the original user. この情報には、Microsoft サポートが対応している理由と、報告された問題の履歴に関する状況が提供されます。This information provides context for why Microsoft Support is engaged, and the history of the reported problem. 例:For example:

    Azure カスタマー ロックボックス - サポート チケット要求を表示する

  11. 要求を確認した後、指定された承認者は [承認] または [拒否] を選択します。After reviewing the request, the designated approver selects Approve or Deny:

    Azure カスタマー ロックボックス - [承認] または [拒否] を選択する

    選択の結果は次のようになります。As a result of the selection:

    • 承認:Microsoft のエンジニアにアクセスが許可されます。Approve: Access is granted to the Microsoft engineer. アクセスが許可されるのは既定の 8 時間です。The access is granted for a default period of eight hours.
    • 拒否:Microsoft のエンジニアによる管理者特権のアクセス要求は拒否され、以降の操作は行われません。Deny: The elevated access request by the Microsoft engineer is rejected and no further action is taken.

監査のために、このワークフローで実行されたアクションは [Customer Lockbox request logs](カスタマー ロックボックス要求ログ) に記録されます。For auditing purposes, the actions taken in this workflow are logged in Customer Lockbox request logs.

監査ログAuditing logs

カスタマー ロックボックス ログはアクティビティ ログに格納されます。Customer Lockbox logs are stored in activity logs. Azure portal で [アクティビティ ログ] を選択し、カスタマー ロックボックス要求に関連する監査情報を表示します。In the Azure portal, select Activity Logs to view auditing information related to Customer Lockbox requests. 次のように特定のアクションをフィルター処理することができます。You can filter for specific actions, such as:

  • [Deny Lockbox Request](ロックボックス要求を拒否する)Deny Lockbox Request
  • [Create Lockbox Request](ロックボックス要求を作成する)Create Lockbox Request
  • [Approve Lockbox Request](ロックボックス要求を承認する)Approve Lockbox Request
  • [Lockbox Request Expiry](ロックボックス要求の有効期限)Lockbox Request Expiry

As an example:

Azure カスタマー ロックボックス - アクティビティ ログ

一般提供でサポートされるサービスとシナリオSupported services and scenarios in general availability

次のサービスとシナリオは、現在、カスタマー ロックボックスで一般提供されています。The following services and scenarios are currently in general availability for Customer Lockbox.

仮想マシンへのリモート デスクトップ アクセスRemote desktop access to virtual machines

カスタマー ロックボックスは、現在、仮想マシンへのリモート デスクトップ アクセス要求に対して使用できます。Customer Lockbox is currently enabled for remote desktop access requests to virtual machines. 次のワークロードがサポートされています。The following workloads are supported:

  • サービスとしてのプラットフォーム (PaaS) - Azure Cloud Services (Web ロールと worker ロール)Platform as a service (PaaS) - Azure Cloud Services (web role and worker role)
  • サービスとしてのインフラストラクチャ (IaaS) - Windows と Linux (Azure Resource Manager のみ)Infrastructure as a service (IaaS) - Windows and Linux (Azure Resource Manager only)
  • 仮想マシン スケール セット - Windows と LinuxVirtual machine scale set - Windows and Linux

注意

IaaS クラシック インスタンスは、カスタマー ロックボックスではサポートされていません。IaaS Classic instances are not supported by Customer Lockbox. IaaS Classic インスタンス上でワークロードを実行している場合は、それらを Classic から Resource Manager デプロイ モデルに移行することをお勧めします。If you have workloads running on IaaS Classic instances, we recommend you migrate them from Classic to Resource Manager deployment models. 手順については、「プラットフォームでサポートされているクラシックから Azure Resource Manager への IaaS リソースの移行の概要」を参照してください。For instructions, see Platform-supported migration of IaaS resources from classic to Azure Resource Manager.

詳細な監査ログDetailed audit logs

リモート デスクトップ アクセスが関係するシナリオでは、Windows イベント ログを使用して Microsoft のエンジニアが行ったアクションを確認できます。For scenarios that involve remote desktop access, you can use Windows event logs to review the actions taken by the Microsoft engineer. Azure Security Center を使用してイベント ログを収集し、データをワークスペースにコピーして分析することを検討してください。Consider using Azure Security Center to collect your event logs and copy the data to your workspace for analysis. 詳細については、「Azure Security Center でのデータ収集」を参照してください。For more information, see Data collection in Azure Security Center.

プレビューでサポートされるサービスとシナリオSupported services and scenarios in preview

カスタマー ロックボックスのプレビューで現在提供されているサービスは次のとおりです。The following services are now currently in preview for Customer Lockbox:

  • Azure StorageAzure Storage

  • Azure SQL DBAzure SQL DB

  • Azure Data ExplorerAzure Data Explorer

  • 仮想マシン (現在、メモリ ダンプとマネージド ディスクへのアクセスも含まれます)Virtual machines (now also covering access to memory dumps and managed disks)

  • Azure サブスクリプションの譲渡Azure subscription transfers

組織でこれらのプレビュー オファリングのカスタマー ロックボックスを有効にするには、Azure パブリック プレビュー用カスタマー ロックボックスにサインアップします。To enable Customer Lockbox for these preview offerings for your organization, sign up for Customer Lockbox for Azure Public Preview.

除外Exclusions

カスタマー ロックボックス要求は、次のエンジニアリング サポート シナリオではトリガーされません。Customer Lockbox requests aren't triggered in the following engineering support scenarios:

  • Microsoft のエンジニアは、標準的な操作手順から外れるアクティビティを実行する必要があります。A Microsoft engineer needs to do an activity that falls outside of standard operating procedures. たとえば、予期しないシナリオや予測不可能なシナリオでサービスを回復または復元する場合などです。For example, to recover or restore services in unexpected or unpredictable scenarios.

  • Microsoft のエンジニアは、トラブルシューティングの一環として Azure プラットフォームにアクセスし、意図せずに顧客データへのアクセス権を持ちます。A Microsoft engineer accesses the Azure platform as part of troubleshooting and inadvertently has access to customer data. たとえば、Azure Network チームはトラブルシューティングを行い、その結果、ネットワーク デバイスでパケット キャプチャが行われます。For example, the Azure Network Team performs troubleshooting that results in a packet capture on a network device. ただし、お客様が送信中のデータを暗号化した場合、エンジニアはデータを読み取ることができません。However, if the customer encrypted the data while it was in transit, the engineer cannot read the data.

次の手順Next steps

カスタマー ロックボックスは、Developer レベル以上の Azure サポート プランをお持ちのすべてのお客様が自動的に利用できます。Customer Lockbox is automatically available for all customers who have an Azure support plan with a minimal level of Developer.

対象となるサポート プランをお持ちの場合は、カスタマー ロックボックスを有効にするための操作は不要です。When you have an eligible support plan, no action is required by you to enable Customer Lockbox. カスタマー ロックボックス要求は、組織内の誰かから提出されたサポート チケットを進めるためにこの操作が必要な場合に Microsoft のエンジニアによって開始されます。Customer Lockbox requests are initiated by a Microsoft engineer if this action is needed to progress a support ticket that is filed from somebody in your organization.