title | date | tags |
---|---|---|
お問い合わせ発行時と「異なる」サブスクリプションならびに AAD テナントの調査依頼に対してのセキュリティ チェックが強化されます |
2021-11-26 04:30:00 -0800 |
Information |
こんにちは、Azure サポート チームです。
2021 年 12 月より、Azure ポータルから「サブスクリプション A」でお問い合わせを起票し、お問い合わせ初期あるいは途中に「サブスクリプション B」のリソースの調査を依頼されるケースにおいて、「サブスクリプション B」 側のアクセス権の有無のチェックの徹底が行われます。アクセス権を持たない場合には例外無くお問い合わせ対応を中座させていただくこととなります。
このため、適切なサポート リクエスト発行のための権限の付与がされたアカウントから、正しいサブスクリプションとリソース名を選択してお問い合わせを起票いただきますようお願いします。
※ Azure Active Directory (AAD) に関しても同様で、正しい AAD テナントからのお問い合わせの発行をお願いいたします。
後述の詳細では、この背景ならびに設定方法、また例外的なシナリオについてご説明します。
マイクロソフトのクラウド プラットフォームではお客様の情報保護を最優先に運営しております。
サポートにおいても GDPR などの各国・地域におけるセキュリティ要件に準拠し、サポート担当者や使用ツールなどのセキュリティ ホールが無いようにつとめています。
Azure サポートにおいても原則として、影響があったサブスクリプションから、適切な権限を持つユーザーからのお問い合わせのみを受け付けるというポリシーとなっています。
Azure サポート要求を作成する
https://docs.microsoft.com/ja-jp/azure/azure-portal/supportability/how-to-create-azure-support-request
Azure ロールベースのアクセス制御
サポート リクエストを作成するには、所有者か、共同作成者か、またはサブスクリプション レベルでサポート リクエスト共同作成者ロールが割り当てられている必要があります。
Azure Active Directory シナリオなどのサブスクリプションを使用せずにサポート リクエストを作成するには、管理者である必要があります。
本ポリシーは数年来存在しており、原則としてこのポリシーに従って運用を行ってまいりましたが、
これまで、例外的に、ユーザーからの権限を有する証跡などの提示などがなされた場合に対応が許容されるケースが存在しました。
一方で、昨今の大規模なサイバー攻撃に代表される、顧客情報漏洩のリスクが日々高まる状況となっています。
上記ポリシーをあらためてシステマチックに実装し、徹底することで、サポート経由でのソーシャル ハッキング、あるいはサポート担当者のクレデンシャル漏洩時のサポート ツールの悪用によるリスクを回避します。
上記 URL に記載のとおり、Azure サポートをご利用いただくお客様には、適切な権限 (サブスクリプション レベルにて "所有者"、"共同作成者"、ないしは "サポート リクエスト共同作成者") を設定の上、適切なサブスクリプションとリソース名を選択してお問い合わせください。
ご用件によって、異なるサブスクリプションの調査が必要となるシナリオが存在します。
一例として、同じ問題ではあるが、複数のサブスクリプションの参照が求められるトラブルシュートが発生する場合が挙げられます。
例えば、「サブスクリプション A」上の VM と「サブスクリプション B」上の VM の間での接続不良が発生し、両方の調査が求められるという状況です。
この場合、1 件で異なるサブスクリプションの調査が行える場合がございますが、その際には必ず、異なるサブスクリプション側にも、お問い合わせ起票者と同じユーザー アカウントが、"所有者"、"共同作成者"、ないしは "サポート リクエスト共同作成者"として設定されている必要があります。
※この設定がない場合、解析を行うツール側でのセキュリティ チェックが行えないため、調査が行えません。
そのような場合、以下のワークアラウンドにご協力ください。
サブスクリプション A、サブスクリプション B それぞれから、合計 2 件のお問い合わせを起票してください。後から起票したサブスクリプションには、先に起票したお問い合わせ番号を記入してください。サポート担当者より、2件が関連していることを把握し、スムースに対応させていただきます。 サブスクリプション A、サブスクリプション B の管理者が異なる場合も、連携して調査行うことが可能ですが、必ず後からお問い合わせを起票した側のサブスクリプション側では、「先に発行したお問い合わせ番号」と、「情報開示・連携を行ってもよい」という一言を併記ください。
CSP パートナーは、CSP エンド ユーザー サブスクリプションの環境で発生した問題についてファースト ラインのサポートを提供し、解決が難しい場合にマイクロソフトにお問い合わせをいただくこととなります。
この際も、必ず、問題が発生した CSP エンド ユーザー サブスクリプションからお問い合わせを発行してください。
なお、この際には CSP パートナーとして、CSP エンド ユーザー サブスクリプションに対しての代理管理者 (AOBO = Admin On Behalf Of) の権限を有し、環境にアクセスできる状態としていただく必要があります。
適切なアクセス権を有しないお客様において、無関係なサブスクリプションからお問い合わせを起票し、サポート担当者に対して調査対象サブスクリプションを要請される場合がございますが、前述のセキュリティ上の制限に抵触する場合には調査続行が不可能なため、対応を中座させていただくこととなります。