Microsoft Fabric 客户密码箱

使用 Microsoft Azure 客户密码箱控制 Microsoft 工程师访问你的数据的方式。本文介绍如何启动、跟踪客户密码箱请求并存储这些请求供以后进行审查和审核。

通常，客户密码箱用于帮助 Microsoft 工程师排查 Microsoft Fabric 服务支持请求问题。当 Microsoft 发现问题并创建由 Microsoft 发起的事件以调查该问题时，也可以使用客户密码箱。

启用 Microsoft Fabric 客户密码箱

若要启用 Microsoft Fabric 客户密码箱，你必须是 Microsoft Entra 全局管理员。要在 Microsoft Entra ID 中分配角色，请参阅将 Microsoft Entra 角色分配给用户。

注释

若要确保该请求可见，用户必须在 Microsoft 发起 Lockbox 请求之前，在 Entra ID 中具有处于活动状态的全局管理员角色。

如果 Microsoft 工程师无法使用标准工具排查您的问题，则会通过 Just-In-Time (JIT) 访问服务申请提升的权限。请求可以来自原始支持工程师，也可以来自其他工程师。

在提交访问请求后，JIT 服务将在考虑到下列因素的前提下评估该请求：

根据 JIT 角色，此请求还可能需要 Microsoft 内部审批人的批准。例如，审批者可能是客户支持主管或 DevOps 经理。

当请求需要直接访问客户数据时，将启动客户密码箱请求。例如，在需要从远程桌面访问客户的虚拟机的情况下。发出客户密码箱请求后，它会在授予访问权限之前等待客户的批准。

这些步骤描述了 Microsoft 为 Microsoft Fabric 服务发起的客户密码箱请求。

Microsoft Entra 全局管理员会收到一封来自 Microsoft 的待处理访问请求通知电子邮件。收到电子邮件的管理员将成为指定的审批者。
电子邮件提供了 Azure 管理模块中客户密码箱的链接。指定的审批者通过该链接登录 Azure 门户，以查看所有待处理的客户保管箱请求。该请求会在客户队列中保留四天。之后，访问请求将自动过期，且不会向 Microsoft 工程师授予任何访问权限。
若要查看待处理请求的详细信息，指定审批人可以从 Pending Requests 菜单选项中选择 Customer Lockbox 请求。
查看请求后，指定的审批者输入理由并选择以下选项之一。出于审核目的，操作将记录到客户密码箱日志中。
- 批准 - 向 Microsoft 工程师授予访问权限，默认期间为八个小时。
- 拒绝 - 拒绝 Microsoft 工程师提出的访问请求，且不执行进一步的操作。

客户密码箱有两种类型的日志：

审核日志 - 可从Microsoft Purview 门户获取。可以在管理门户中查看审核日志。

Microsoft Fabric 客户密码箱有 4 个审核日志：

审核日志	友好名称
GetRefreshHistoryViaLockbox	通过锁箱获取刷新历史记录
通过 Lockbox 删除管理员使用情况仪表板	通过密码箱删除管理员使用情况仪表板
DeleteUsageMetricsv2PackageViaLockbox	通过锁箱删除使用情况指标 v2 软件包
通过 Lockbox 删除管理员监视文件夹	通过密码箱删除管理员监视文件夹
通过锁箱获取查询文本遥测	通过 Lockbox 从受保护的遥测存储库中获取查询文本

在以下工程支持情况中不会触发客户密码箱请求：

不属于标准操作过程的紧急情况。例如，在突发情况下，重大服务中断需要立即处理，以恢复服务。这些事件很少见，通常不需要访问客户数据。
Microsoft 工程师在故障排除过程中访问 Azure 平台，意外接触到客户数据。例如，在故障排除过程中，Azure 网络团队会在网络设备上捕获数据包。此类方案通常不会导致访问有意义的客户数据。
针对数据的外部法律要求。有关详细信息，请参阅 Microsoft 信任中心上的政府数据请求。

数据访问权限因你请求的 Microsoft Fabric 体验而有所不同。本部分列出了在批准客户密码箱请求后，Microsoft 工程师可以访问哪些数据。

此页面是否有帮助？