こんにちは、Azure サポート チームです。
12/8 (水) より、Premier サポートなどの電話経由におけるお問い合わせ発行の際、Azure サブスクリプション上のリソースに対して調査を行う必要がある場合、セキュリティ チェックが厳格化されます。
※リソースに依存しない、一般的な Q&A の内容の場合には無関係です。
電話経由でサポート リクエストの起票を行う場合には、お問い合わせ起票の際にご連絡いただくメール アドレス (= ユーザー アカウント) が、調査対象となるサブスクリプションの所有者か、共同作成者か、またはサブスクリプション レベルでサポート リクエスト共同作成者ロールに割り当てられている必要があります。
※この権限を有さない場合、調査が困難となりますので、対応を中座し適切な権限を持つユーザーからのお問い合わせの再起票をお願いすることとなります。
なお、Azure サポートにおいては、可能な限り Azure ポータル経由でのお問い合わせを推奨します。
電話経由でのサポートは、Azure ポータルに何らかの理由でアクセスできない場合に備え残っておりますが、効率性は低い方法となります。 電話の場合、お問い合わせ起票の後のサポート担当者の決定後、サブスクリプション ID や影響のあったリソース名のヒアリングが行われた後に調査となります。
Azure ポータルの場合、サブスクリプション ID とリソース名があらかじめ指定いただける上、サポートで用いる自動解析ツールが事前に実行されるなど内部的な効率化も図られていることから、Azure ポータルのほうがより効果的な解決を行えるものとなります。
[詳細]
マイクロソフトのクラウド プラットフォームではお客様の情報保護を最優先に運営しております。
サポートにおいても GDPR などの各国・地域におけるセキュリティ要件に準拠し、サポート担当者や使用ツールなどのセキュリティ ホールが無いようにつとめています。Azure サポートにおいても原則として、影響があったサブスクリプションから、適切な権限を持つユーザーからのお問い合わせのみを受け付けるというポリシーとなっています。
Azure サポート要求を作成する
https://docs.microsoft.com/ja-jp/azure/azure-portal/supportability/how-to-create-azure-support-request
Azure ロールベースのアクセス制御
サポート リクエストを作成するには、所有者か、共同作成者か、またはサブスクリプション レベルでサポート リクエスト共同作成者ロールが割り当てられている必要があります。
Azure Active Directory シナリオなどのサブスクリプションを使用せずにサポート リクエストを作成するには、管理者である必要があります。
本ポリシーは数年来存在しており、原則としてこのポリシーに従って運用を行ってまいりましたが、これまで、例外的に、ユーザーからの権限を有する証跡などの提示などがなされた場合に対応が許容されるケースが存在しました。
一方で、昨今の大規模なサイバー攻撃に代表される、顧客情報漏洩のリスクが日々高まる状況となっています。
上記ポリシーをあらためてシステマチックに実装し、徹底することで、サポート経由でのソーシャル ハッキング、あるいはサポート担当者のクレデンシャル漏洩時のサポート ツールの悪用によるリスクを回避します。
Premier サポートによる電話起票においては、上記のようなシステム的なセキュリティ チェックが行えない関係上、一部のサポート シナリオにおける調査方法が制限される場合があるため、Azure ポータルからの起票を推奨します。
また、電話起票の場合にも、必ずお問い合わせ起票者のユーザー アカウント = お問い合わせ時に指定いただく E-mail アドレス にて、対象サブスクリプションの調査権限を設定いただいていることをご確認ください。電話でのお問い合わせ起票後の担当者変更によるセキュリティの再チェックは行えません。
(例: ユーザー A が電話にてお問い合わせを起票したが、対象サブスクリプションに調査権限が無い場合に、あとから口頭あるいはメールなどにて適切な権限を持つユーザー B を紹介いただくケース。この場合も調査続行は行えませんので、正しいアクセス権を持つユーザー B からお問い合わせを発行してください。)
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。