تكوين تخويل متعدد المستخدمين باستخدام Resource Guard في النسخ الاحتياطي في Azure

توضح هذه المقالة كيفية تكوين التخويل متعدد المستخدمين (MUA) ل Azure Backup لإضافة طبقة إضافية من الحماية إلى العمليات الهامة على مخازن خدمات الاسترداد.

توضح هذه المقالة إنشاء Resource Guard في مستأجر مختلف يوفر أقصى قدر من الحماية. كما يوضح كيفية طلب طلبات تنفيذ العمليات الهامة والموافقة عليها باستخدام Microsoft Entra إدارة الهويات المتميزة في المستأجر الذي يضم Resource Guard. يمكنك اختيارياً استخدام آليات أخرى لإدارة أذونات JIT على Resource Guard حسب الإعداد.

إشعار

• التخويل متعدد المستخدمين لـ Azure Backup متوفر في جميع مناطق Azure العامة.
• يتوفر الآن تخويل متعدد المستخدمين باستخدام Resource Guard لخزنة النسخ الاحتياطي بشكل عام. اعرف المزيد.

قبل أن تبدأ

• يجب التأكد من أن Resource Guard ومخزن خدمات الاسترداد في نفس المنطقة على Azure.
• تأكد من أن مسؤول النسخ الاحتياطي ليس لديه أذونات Contributor أو Backup MUA Admin أو Backup MUA Operator على Resource Guard. يمكنك اختيار أن يكون Resource Guard في اشتراك آخر لنفس الدليل أو في دليل آخر لضمان أقصى عزلة.
• تأكد من تسجيل اشتراكاتك التي تحتوي على مخزن Recovery Services بالإضافة إلى Resource Guard (في اشتراكات أو مستأجرين مختلفين) لاستخدام الموفرين - Microsoft.RecoveryServices وMicrosoft.DataProtection . لمزيد من المعلومات، راجع موفري موارد Azure وأنواعها.

تعرّف على سيناريوهات استخدام التخويل متعدد المستخدمين المتعددة.

إنشاء Resource Guard

ينشئ مسؤول الأمان Resource Guard. نوصيك بإنشائه في اشتراك مختلف أو مستأجر مختلف مثل المخزن. ومع ذلك، ينبغي أن يكون في المنطقة نفسها مثل المخزن. يجب ألا يكون لدى مسؤول النسخ الاحتياطي حق الوصول إلى Contributor أو Backup MUA Admin أو Backup MUA Operator على Resource Guard أو الاشتراك الذي يحتوي عليه.

اختيار عميل

مدخل Microsoft Azure

لإنشاء Resource Guard في مستأجر مختلف عن مستأجر المخزن، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى الدليل الذي تريد إنشاء Resource Guard ضمنه.

   

2. ابحث عن Resource Guards في شريط البحث، ثم حدد العنصر المقابل من القائمة المنسدلة.

   

   • حدد Create لبدء إنشاء Resource Guard.
   • في شفرة الإنشاء، املأ التفاصيل المطلوبة لـ Resource Guard.
     • تأكد من أن Resource Guard موجود في نفس مناطق Azure مثل مخزن خدمات الاسترداد.
     • كما أنه من المفيد إضافة وصف لكيفية الحصول على أو طلب الوصول لتنفيذ الإجراءات على الخزائن المقترنة عند الحاجة. كما سيظهر هذا الوصف في الخزائن المقترنة لتوجيه مسؤول النسخ الاحتياطي للحصول على الأذونات المطلوبة. يمكنك تحرير الوصف لاحقاً إذا لزم الأمر، ولكن يوصى بالحصول على وصف محدد جيداً في جميع الأوقات.

3. في علامة التبويب عمليات محمية، حدد العمليات التي تحتاج إلى حمايتها باستخدام resource guard هذه.

   يمكنك أيضا تحديد عمليات الحماية بعد إنشاء حماية الموارد.

4. اختيارياً، قم بإضافة أي علامات إلى Resource Guard وفقا للمتطلبات

5. حدد Review + Create واتبع الإشعارات للحالة والإنشاء الناجح ل Resource Guard.

بوويرشيل

لإنشاء حماية موارد، قم بتشغيل الأمر cmdlet التالي:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

المبادره القطريه

لإنشاء حماية موارد، قم بتشغيل الأمر التالي:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

حدد العمليات التي يجب حمايتها باستخدام Resource Guard

اختر العمليات التي تريد حمايتها باستخدام Resource Guard من بين جميع العمليات الهامة المعتمدة. يتم تمكين جميع العمليات الهامة المعتمدة بشكل افتراضي. ومع ذلك، يمكنك (بصفتك مسؤول الأمان) إعفاء عمليات معينة من الوقوع ضمن نطاق MUA باستخدام Resource Guard.

اختيار عميل

مدخل Microsoft Azure

لإعفاء العمليات، اتبع الخطوات التالية:

1. في Resource Guard الذي تم إنشاؤه أعلاه، انتقل إلى علامة التبويب Properties>Recovery Services vault.

2. حدد تعطيل للعمليات التي تريد استبعادها من التفويض باستخدام Resource Guard.

   إشعار

   لا يمكنك تعطيل العمليات المحمية - تعطيل الحذف المبدئي وإزالة حماية MUA.

3. اختيارياً، يمكنك أيضاً تحديث وصف Resource Guard باستخدام هذه الشفرة.

4. حدد حفظ.

   

بوويرشيل

لتحديث العمليات. تستثني هذه العمليات من الحماية بواسطة حماية الموارد، قم بتشغيل أوامر cmdlets التالية:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• يجلب الأمر الأول حماية الموارد التي تحتاج إلى تحديث.
• يجلب الأمران الثاني والثالث العمليات الهامة التي تريد تحديثها.
• يستثني الأمر الرابع بعض العمليات الهامة من حماية الموارد.

المبادره القطريه

لتحديث العمليات التي سيتم استبعادها من الحماية بواسطة حماية الموارد، قم بتشغيل الأوامر التالية:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

مثال:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

تعيين أذونات لمسؤول النسخ الاحتياطي على Resource Guard لتمكين التخويل متعدد المستخدمين

لتمكين التخويل متعدد المستخدمين على مخزن، يجب أن يكون لدى مسؤول المخزن دور القارئ على Resource Guard أو الاشتراك الذي يحتوي على Resource Guard. لتعيين دور القارئ على Resource Guard:

1. في Resource Guard الذي تم إنشاؤه أعلاه، انتقل إلى شفرة Access Control (IAM)، ثم انتقل إلى Add role assignment.

   

2. حدد Reader من قائمة الأدوار المضمنة، وحدد Next.

   

3. انقر على Select members وأضف مُعرف البريد الإلكتروني لمسؤول النسخة الاحتياطية لإضافته كـ قارئ. نظرا لأن مسؤول النسخ الاحتياطي في مستأجر آخر في هذه الحالة، ستتم إضافته كضيوف إلى المستأجر الذي يحتوي على Resource Guard.

4. انقر فوق Select ثم انتقل إلى Review + assign لإكمال تعيين الدور.

   

تمكين التخويل متعدد المستخدمين على مخزن خدمات الاسترداد

بعد اكتمال تعيين دور القارئ على Resource Guard، قم بتمكين تخويل متعدد المستخدمين على المخازن (كمسؤول النسخ الاحتياطي) التي تديرها.

اختيار عميل

مدخل Microsoft Azure

لتمكين التخويل متعدد المستخدمين على الخزائن، اتبع هذه الخطوات.

1. انتقل إلى (مخزن خدمات الاسترداد). انتقل إلى Properties على لوحة التنقل اليسرى، ثم إلى Multi-User Authorization وحدد Update.

   

2. الآن، يتم تقديم خيار تمكين التخويل متعدد المستخدمين واختيار Resource Guard باستخدام إحدى الطرق التالية:

   • يمكنك تحديد معرف الموارد المنتظم من Resource Guard، وتأكد من تحديد معرف الموارد المنتظم لـ Resource Guard الذي لديك حق الوصول إليه كـ قارئ، وأنه في المناطق نفسها مثل المخزن. يمكنك العثور على معرف الموارد المنتظم (معرف Resource Guard) من Resource Guard في شاشة Overview:

     

   • أو يمكنك تحديد حارس الموارد من قائمة حارس الموارد التي لديك حق الوصول إليها كـ قارئ، وتلك المتوفرة في المنطقة.

     1. انقر على Select Resource Guard
     2. حدد القائمة المنسدلة، ثم اختر الدليل الذي يوجد فيه Resource Guard.
     3. حدد المصادقة للتحقق من هويتك والوصول.
     4. بعد المصادقة، اختر Resource Guard من القائمة المعروضة.

     

3. حدد حفظ بمجرد الانتهاء لتمكين التخويل متعدد المستخدمين.

   

بوويرشيل

لتمكين التخويل متعدد المستخدمين على مخزن خدمات الاسترداد، قم بتشغيل cmdlet التالي:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• يجلب الأمر الأول الرمز المميز للوصول لمستأجر حماية الموارد حيث يوجد حارس المورد.
• ينشئ الأمر الثاني تعيينا بين $vault RSVault و Resource guard.

إشعار

معلمة الرمز المميز اختيارية وهي مطلوبة فقط لمصادقة العمليات المحمية عبر المستأجرين.

المبادره القطريه

لتمكين التخويل متعدد المستخدمين على مخزن خدمات الاسترداد، قم بتشغيل الأمر التالي:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

معرف المستأجر مطلوب إذا كان حماية المورد موجودا في مستأجر مختلف.

مثال:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

العمليات المحمية باستخدام التخويل متعدد المستخدمين

بمجرد تمكين التخويل متعدد المستخدمين، سيتم تقييد العمليات في النطاق على المخزن، إذا حاول مسؤول النسخ الاحتياطي تنفيذها دون أن يكون له الدور المطلوب (أي دور عامل تشغيل النسخ الاحتياطي MUA) على Resource Guard.

إشعار

نوصي بشدة باختبار الإعداد الخاص بك بعد تمكين التخويل متعدد المستخدمين لضمان حظر العمليات المحمية كما هو متوقع وضمان تكوين التخويل متعدد المستخدمين بشكل صحيح.

الموضح أدناه هو توضيح لما يحدث عندما يحاول مسؤول النسخ الاحتياطي تنفيذ مثل هذه العملية المحمية (على سبيل المثال، تعطيل الحذف المبدئي موضح هنا. العمليات المحمية الأخرى لها تجربة مماثلة). يقوم مسؤول النسخ الاحتياطي بتنفيذ الخطوات التالية دون الحصول على الأذونات المطلوبة.

1. لتعطيل الحذف المبدئي، انتقل إلى مخزن >خدمات الاسترداد خصائص>إعدادات الأمان وحدد تحديث، الذي يظهر إعدادات الأمان.

2. قم بتعطيل الحذف المبدئي باستخدام شريط التمرير. يتم إعلامك بأن هذه عملية محمية، وتحتاج إلى التحقق من وصولهم إلى Resource Guard.

3. حدد الدليل الذي يحتوي على Resource Guard وقم بمصادقة نفسك. قد لا تكون هذه الخطوة مطلوبة إذا كان Resource Guard في الدليل نفسه مثل المخزن.

4. تابع لتحديد حفظ. سيفشل الطلب مع ظهور خطأ يوضح عدم وجود أذونات كافية على Resource Guard للسماح بتنفيذ هذه العملية.

   

تخويل العمليات الهامة (المحمية) باستخدام Microsoft Entra إدارة الهويات المتميزة

تناقش الأقسام التالية تخويل هذه الطلبات باستخدام PIM. هناك حالات قد تحتاج فيها إلى إجراء عمليات هامة على النسخ الاحتياطية الخاصة بك ويمكن أن يساعدك التخويل متعدد المستخدمين على التأكد من أن هذه العمليات يتم تنفيذها فقط عندما تكون الموافقات أو الأذونات الصحيحة موجودة. كما تمت مناقشته سابقا، يحتاج مسؤول النسخ الاحتياطي إلى دور عامل تشغيل النسخ الاحتياطي MUA على Resource Guard لتنفيذ العمليات الهامة الموجودة في نطاق Resource Guard. إحدى الطرق للسماح في الوقت المناسب لمثل هذه العمليات هي من خلال استخدام Microsoft Entra إدارة الهويات المتميزة.

إشعار

على الرغم من أن استخدام Microsoft Entra PIM هو الأسلوب الموصى به، يمكنك استخدام أساليب يدوية أو مخصصة لإدارة الوصول لمسؤول النسخ الاحتياطي على Resource Guard. لإدارة الوصول إلى Resource Guard يدويا، استخدم إعداد "التحكم في الوصول (IAM)" على شريط التنقل الأيسر من Resource Guard وامنح دور عامل تشغيل MUA للنسخ الاحتياطي لمسؤول النسخ الاحتياطي.

إنشاء تعيين مؤهل لمسؤول النسخ الاحتياطي (إذا كنت تستخدم Microsoft Entra إدارة الهويات المتميزة)

يمكن لمسؤول الأمان استخدام إدارة الهويات المتميزة (PIM) لإنشاء تعيين مؤهل لمسؤول النسخ الاحتياطي وتوفير دور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي إلى Resource Guard. وهذا يمكن مسؤول النسخ الاحتياطي من رفع طلب (لدور عامل تشغيل النسخ الاحتياطي MUA) عندما يحتاج إلى تنفيذ عملية محمية. للقيام بذلك، يقوم مسؤول الأمان بتنفيذ ما يلي:

1. في مستأجر الأمان (الذي يحتوي على Resource Guard)، انتقل إلى إدارة الهويات المتميزة (ابحث عن هذا في شريط البحث في مدخل Azure) ثم انتقل إلى موارد Azure (ضمن إدارة في القائمة اليمنى).

2. حدد المورد (Resource Guard أو الاشتراك/RG المحتوي) الذي تريد تعيين دور عامل تشغيل MUA للنسخ الاحتياطي إليه.

   إذا لم تشاهد المورد المطابق في قائمة الموارد، فتأكد من إضافة الاشتراك الذي يمكن إدارته بواسطة PIM.

3. في المورد المحدد، انتقل إلى التعيينات (ضمن إدارة في القائمة اليمنى) وانتقل إلى إضافة التعيينات.

   

4. في إضافة تعيينات:

   1. حدد الدور كعامل تشغيل النسخ الاحتياطي MUA.
   2. انتقل إلى Select members وأضف اسم المستخدم (أو معرفات البريد الإلكتروني) لمسؤول النسخ الاحتياطي.
   3. حدد التالي.

   

5. في الشاشة التالية:

   1. ضمن نوع التعيين، اختر Eligible.
   2. حدد المدة التي يكون فيها الإذن المؤهل صالحاً.
   3. حدد تعيين لإنهاء إنشاء التعيين المؤهل.

   

إعداد الموافقين لتنشيط دور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي

بشكل افتراضي، قد لا يحتوي الإعداد أعلاه على موافق (ومتطلبات تدفق الموافقة) تم تكوينه في PIM. للتأكد من أن الموافقين لديهم دور عامل تشغيل النسخ الاحتياطي MUA لطلب الموافقة، يجب على مسؤول الأمان اتباع الخطوات التالية:

إشعار

إذا لم يتم تكوين هذا، الموافقة على أي طلبات تلقائيا دون المرور عبر مسؤولي الأمان أو مراجعة الموافق المعين. يمكن العثور على مزيد من التفاصيل عن هذا الموضوع هنا

1. في Microsoft Entra PIM، حدد Azure Resources على شريط التنقل الأيسر وحدد Resource Guard.

2. انتقل إلى الإعدادات ثم انتقل إلى دور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي.

   

3. حدد تحرير لإضافة المراجعين الذين يجب عليهم مراجعة طلب التنشيط لدور عامل تشغيل MUA للنسخ الاحتياطي والموافقة عليه في حالة العثور على أن الموافقين يعرضون بلا أو يعرضون موافقين غير صحيحين.

4. في علامة التبويب التنشيط ، حدد طلب الموافقة لتنشيط وإضافة الموافق (الموافقين) الذين يحتاجون إلى الموافقة على كل طلب.

5. حدد خيارات الأمان، مثل المصادقة متعددة العوامل (MFA)، تذكرة إدارة لتنشيط دور عامل تشغيل MUA للنسخ الاحتياطي.

6. حدد الخيارات المناسبة في علامة التبويب الواجب والإعلامكما هو مطلوب.

   

7. حدد تحديث لإكمال إعداد الموافقين لتنشيط دور عامل تشغيل MUA للنسخ الاحتياطي.

اطلب تنشيط تعيين مؤهل لتنفيذ العمليات الهامة

بعد أن ينشئ مسؤول الأمان تعيينا مؤهلا، يحتاج مسؤول النسخ الاحتياطي إلى تنشيط التعيين لدور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي لكي يتمكن من تنفيذ إجراءات محمية.

لتنشيط تعيين الدور، اتبع الخطوات التالية:

1. انتقل إلى Microsoft Entra إدارة الهويات المتميزة. إذا كان Resource Guard في دليل آخر، قم بالتبديل إلى هذا الدليل ثم انتقل إلى Microsoft Entra إدارة الهويات المتميزة.

2. انتقل إلى My roles>Azure resources في القائمة اليسرى.

3. حدد تنشيط لتنشيط التعيين المؤهل لدور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي.

   يظهر إعلام يخطر بإرسال الطلب للموافقة عليه.

   

الموافقة على تنشيط الطلبات لتنفيذ العمليات الهامة

بمجرد أن يرفع مسؤول النسخ الاحتياطي طلبا لتنشيط دور عامل تشغيل MUA للنسخ الاحتياطي، ستتم مراجعة الطلب والموافقة عليه من قبل مسؤول الأمان.

1. في مستأجر الأمان، انتقل إلى Microsoft Entra إدارة الهويات المتميزة.
2. انتقل إلى الموافقة على الطلبات.
3. ضمن موارد Azure، يمكن رؤية الطلب الذي رفعه مسؤول النسخ الاحتياطي الذي يطلب التنشيط كعامل تشغيل النسخ الاحتياطي MUA.
4. راجع الطلب. إذا كان أصليا، فحدد الطلب وحدد Approve للموافقة عليه.
5. يتم إعلام مسؤول النسخ الاحتياطي عن طريق البريد الإلكتروني (أو آليات التنبيه التنظيمية الأخرى) بأن طلبه قد تمت الموافقة عليه الآن.
6. وبمجرد الموافقة، يمكن لمسؤول النسخ الاحتياطي إجراء عمليات محمية للفترة المطلوبة.

تنفيذ عملية محمية بعد الموافقة

بمجرد الموافقة على طلب مسؤول النسخ الاحتياطي لدور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي على Resource Guard، يمكنه تنفيذ عمليات محمية على المخزن المقترن. إذا كان Resource Guard في دليل آخر، سيحتاج مسؤول النسخ الاحتياطي إلى مصادقة نفسه.

إشعار

إذا تم تعيين الوصول باستخدام آلية JIT، يتم التراجع عن دور عامل تشغيل MUA للنسخ الاحتياطي في نهاية الفترة المعتمدة. وإلا، يقوم مسؤول الأمان يدويا بإزالة دور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي المعين إلى مسؤول النسخ الاحتياطي لتنفيذ العملية الهامة.

تُظهر لقطة الشاشة التالية مثالاً على تعطيل الحذف المبدئي لمخزن يُمكّن MUA.

تعطيل التخويل متعدد المستخدمين على مخزن خدمات الاسترداد

تعطيل التخويل متعدد المستخدمين عملية محمية، لذلك، فإن الخزائن محمية باستخدام التخويل متعدد المستخدمين. إذا كنت (مسؤول النسخ الاحتياطي) تريد تعطيل MUA، يجب أن يكون لديك دور عامل تشغيل MUA للنسخ الاحتياطي المطلوب في Resource Guard.

اختيار عميل

مدخل Microsoft Azure

لتعطيل التخويل متعدد المستخدمين على مخزن، اتبع الخطوات التالية:

1. يطلب مسؤول النسخ الاحتياطي مسؤول الأمان لدور عامل تشغيل MUA للنسخ الاحتياطي على Resource Guard. يمكنهم طلب ذلك لاستخدام الأساليب التي وافقت عليها المؤسسة مثل إجراءات JIT، مثل Microsoft Entra إدارة الهويات المتميزة، أو الأدوات والإجراءات الداخلية الأخرى.

2. يوافق مسؤول الأمان على الطلب (إذا وجد أنه يستحق الموافقة) ويبلغ مسؤول النسخ الاحتياطي. الآن مسؤول النسخ الاحتياطي لديه دور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي على Resource Guard.

3. ينتقل مسؤول النسخ الاحتياطي إلى التخويل متعدد المستخدمين لخصائص>المخزن.>

4. حدد تحديث.

   1. قم بإلغاء تحديد خانة الاختيار حماية باستخدام Resource Guard .
   2. اختر الدليل الذي يحتوي على Resource Guard وتحقق من الوصول باستخدام زر Authenticate (إن وجد).
   3. بعد المصادقة، حدد حفظ. ومع حق الوصول، يجب أن يكتمل الطلب بنجاح.

   

بوويرشيل

لتعطيل التخويل متعدد المستخدمين على مخزن خدمات الاسترداد، استخدم cmdlet التالي:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• يجلب الأمر الأول الرمز المميز للوصول لمستأجر حماية الموارد، حيث يوجد حماية الموارد.
• يحذف الأمر الثاني التعيين بين مخزن خدمات الاسترداد وحارس الموارد.

إشعار

معلمة الرمز المميز اختيارية وهي مطلوبة فقط لمصادقة العمليات المحمية عبر المستأجرين.

المبادره القطريه

لتعطيل التخويل متعدد المستخدمين على مخزن خدمات الاسترداد، قم بتشغيل الأمر التالي:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

معرف المستأجر مطلوب إذا كان حماية المورد موجودا في مستأجر مختلف.

مثال:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

توضح هذه المقالة كيفية تكوين التخويل متعدد المستخدمين (MUA) ل Azure Backup لإضافة طبقة إضافية من الحماية إلى العمليات الهامة على مخزن النسخ الاحتياطي.

توضح هذه المقالة إنشاء Resource Guard في مستأجر مختلف يوفر أقصى قدر من الحماية. كما يوضح كيفية طلب طلبات تنفيذ العمليات الهامة والموافقة عليها باستخدام Microsoft Entra إدارة الهويات المتميزة في المستأجر الذي يضم Resource Guard. يمكنك اختيارياً استخدام آليات أخرى لإدارة أذونات JIT على Resource Guard حسب الإعداد.

إشعار

• يتوفر الآن تخويل متعدد المستخدمين باستخدام Resource Guard لخزنة النسخ الاحتياطي بشكل عام.
• التخويل متعدد المستخدمين لـ Azure Backup متوفر في جميع مناطق Azure العامة.

قبل أن تبدأ

• تأكد من وجود Resource Guard وخزنة النسخ الاحتياطي في نفس منطقة Azure.
• تأكد من أن مسؤول النسخ الاحتياطي ليس لديه أذونات Contributor أو Backup MUA Admin أو Backup MUA Operator على Resource Guard. يمكنك اختيار أن يكون Resource Guard في اشتراك آخر لنفس الدليل أو في دليل آخر لضمان أقصى عزلة.
• تأكد من أن اشتراكاتك تحتوي على مخزن النسخ الاحتياطي بالإضافة إلى Resource Guard (في اشتراكات أو مستأجرين مختلفين) مسجلة لاستخدام الموفر - Microsoft.DataProtection4. لمزيد من المعلومات، راجع موفري موارد Azure وأنواعها.

تعرّف على سيناريوهات استخدام التخويل متعدد المستخدمين المتعددة.

إنشاء Resource Guard

ينشئ مسؤول الأمان Resource Guard. نوصيك بإنشائه في اشتراك مختلف أو مستأجر مختلف مثل المخزن. ومع ذلك، ينبغي أن يكون في المنطقة نفسها مثل المخزن.

يجب ألا يكون لدى مسؤول النسخ الاحتياطي مساهم أو مسؤول خدمة التخويل متعدد المستخدمين للنسخ الاحتياطي أو وصول عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي على Resource Guard أو الاشتراك الذي يحتوي عليه.

لإنشاء Resource Guard في مستأجر مختلف عن مستأجر المخزن كمسؤول أمان، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى الدليل الذي تريد إنشاء Resource Guard ضمنه.

   

2. ابحث عن Resource Guards في شريط البحث، ثم حدد العنصر المقابل من القائمة المنسدلة.

   

   1. حدد Create لإنشاء Resource Guard.
   2. في شفرة Create، املأ التفاصيل المطلوبة ل Resource Guard هذا.
      • تأكد من أن Resource Guard في نفس منطقة Azure مثل مخزن النسخ الاحتياطي.
      • أضف وصفا حول كيفية طلب الوصول لتنفيذ الإجراءات على الخزائن المقترنة عند الحاجة. يظهر هذا الوصف في الخزائن المقترنة لتوجيه مسؤول النسخ الاحتياطي حول كيفية الحصول على الأذونات المطلوبة.

3. في علامة التبويب العمليات المحمية، حدد العمليات التي تحتاج إلى حمايتها باستخدام حماية الموارد هذه ضمن علامة التبويب مخزن النسخ الاحتياطي.

   حاليا، تتضمن علامة التبويب العمليات المحمية خيار حذف مثيل النسخ الاحتياطي فقط لتعطيله.

   يمكنك أيضا تحديد عمليات الحماية بعد إنشاء حماية الموارد.

   

4. اختياريا، أضف أي علامات إلى Resource Guard وفقا للمتطلبات.

5. حدد Review + Create ثم اتبع الإعلامات لمراقبة الحالة والإنشاء الناجح ل Resource Guard.

حدد العمليات التي يجب حمايتها باستخدام Resource Guard

بعد إنشاء المخزن، يمكن لمسؤول الأمان أيضا اختيار عمليات الحماية باستخدام Resource Guard من بين جميع العمليات الهامة المدعومة. يتم تمكين جميع العمليات الهامة المعتمدة بشكل افتراضي. ومع ذلك، يمكن لمسؤول الأمان إعفاء عمليات معينة من الوقوع ضمن نطاق MUA باستخدام Resource Guard.

لتحديد عمليات الحماية، اتبع الخطوات التالية:

1. في Resource Guard الذي قمت بإنشائه، انتقل إلى علامة التبويب Properties>Backup vault.

2. حدد تعطيل للعمليات التي تريد استبعادها من أن تكون مصرحا بها.

   لا يمكنك تعطيل عمليات إزالة الحماية من التخويل متعدد المستخدمين وتعطيل عمليات الحذف المبدئي.

3. اختياريا، في علامة التبويب Backup vaults ، قم بتحديث وصف Resource Guard.

4. حدد حفظ.

   

تعيين أذونات لمسؤول النسخ الاحتياطي على Resource Guard لتمكين التخويل متعدد المستخدمين

يجب أن يكون لمسؤول النسخ الاحتياطي دور القارئ في Resource Guard أو الاشتراك الذي يحتوي على Resource Guard لتمكين التخويل متعدد المستخدمين على مخزن. يحتاج مسؤول الأمان إلى تعيين هذا الدور إلى مسؤول النسخ الاحتياطي.

لتعيين دور القارئ على Resource Guard، اتبع الخطوات التالية:

1. في Resource Guard الذي تم إنشاؤه أعلاه، انتقل إلى شفرة Access Control (IAM)، ثم انتقل إلى Add role assignment.

   

2. حدد Reader من قائمة الأدوار المضمنة، وحدد Next.

   

3. انقر فوق Select members وأضف معرف البريد الإلكتروني لمسؤول النسخ الاحتياطي لتعيين دور Reader .

   نظرا لأن مسؤولي النسخ الاحتياطي في مستأجر آخر، ستتم إضافتهم كضيوف إلى المستأجر الذي يحتوي على Resource Guard.

4. انقر فوق تحديد>مراجعة + تعيين لإكمال تعيين الدور.

   

تمكين التخويل متعدد المستخدمين على مخزن النسخ الاحتياطي

بمجرد أن يكون لمسؤول النسخ الاحتياطي دور القارئ في Resource Guard، يمكنه تمكين التخويل متعدد المستخدمين على الخزائن المدارة باتباع الخطوات التالية:

1. انتقل إلى مخزن النسخ الاحتياطي الذي تريد تكوين التخويل متعدد المستخدمين له.

2. في اللوحة اليسرى، حدد Properties.

3. انتقل إلى التخويل متعدد المستخدمين وحدد تحديث.

   

4. لتمكين التخويل متعدد المستخدمين واختيار Resource Guard، قم بتنفيذ أحد الإجراءات التالية:

   • يمكنك إما تحديد URI ل Resource Guard. تأكد من تحديد URI ل Resource Guard الذي لديك حق الوصول إليه القارئ وأنه في نفس المنطقة مثل المخزن. يمكنك العثور على URI (معرف Resource Guard) ل Resource Guard في صفحة النظرة العامة الخاصة به.

     

   • أو يمكنك تحديد حارس الموارد من قائمة حارس الموارد التي لديك حق الوصول إليها كـ قارئ، وتلك المتوفرة في المنطقة.

     1. انقر فوق تحديد Resource Guard.
     2. حدد القائمة المنسدلة وحدد الدليل الذي يوجد فيه Resource Guard.
     3. حدد المصادقة للتحقق من هويتك والوصول.
     4. بعد المصادقة، اختر Resource Guard من القائمة المعروضة.

     

5. حدد حفظ لتمكين التخويل متعدد المستخدمين.

   

العمليات المحمية باستخدام التخويل متعدد المستخدمين

بمجرد أن يقوم مسؤول النسخ الاحتياطي بتمكين التخويل متعدد المستخدمين، سيتم تقييد العمليات في النطاق على المخزن، وتفشل العمليات إذا حاول مسؤول النسخ الاحتياطي تنفيذها دون وجود دور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي على Resource Guard.

إشعار

نوصي بشدة باختبار الإعداد الخاص بك بعد تمكين MUA لضمان ما يلي:

• يتم حظر العمليات المحمية كما هو متوقع.
• تم تكوين التخويل متعدد المستخدمين بشكل صحيح.

لتنفيذ عملية محمية (تعطيل MUA)، اتبع الخطوات التالية:

1. انتقل إلى خصائص المخزن >في الجزء الأيمن.

2. قم بإلغاء تحديد خانة الاختيار لتعطيل التخويل متعدد المستخدمين.

   ستتلقى إشعارا بأنها عملية محمية، وتحتاج إلى الوصول إلى Resource Guard.

3. حدد الدليل الذي يحتوي على Resource Guard وصادق نفسك.

   قد لا تكون هذه الخطوة مطلوبة إذا كان Resource Guard في الدليل نفسه مثل المخزن.

4. حدد حفظ.

   يفشل الطلب مع خطأ أنه ليس لديك أذونات كافية على Resource Guard لتنفيذ هذه العملية.

   

تخويل العمليات الهامة (المحمية) باستخدام Microsoft Entra إدارة الهويات المتميزة

هناك سيناريوهات حيث قد تحتاج إلى إجراء عمليات هامة على النسخ الاحتياطية الخاصة بك ويمكنك تنفيذها مع الموافقات أو الأذونات الصحيحة مع التخويل متعدد المستخدمين. تشرح الأقسام التالية كيفية تخويل طلبات العمليات الهامة باستخدام إدارة الهويات المتميزة (PIM).

يجب أن يكون لمسؤول النسخ الاحتياطي دور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي على Resource Guard لتنفيذ العمليات الهامة في نطاق Resource Guard. تتمثل إحدى الطرق للسماح بعمليات في الوقت المناسب (JIT) في استخدام Microsoft Entra إدارة الهويات المتميزة.

إشعار

نوصي باستخدام Microsoft Entra PIM. ومع ذلك، يمكنك أيضا استخدام أساليب يدوية أو مخصصة لإدارة الوصول لمسؤول النسخ الاحتياطي على Resource Guard. لإدارة الوصول إلى Resource Guard يدويا، استخدم إعداد التحكم في الوصول (IAM) في الجزء الأيمن من Resource Guard وامنح دور عامل تشغيل MUA للنسخ الاحتياطي لمسؤول النسخ الاحتياطي.

إنشاء تعيين مؤهل لمسؤول النسخ الاحتياطي باستخدام Microsoft Entra إدارة الهويات المتميزة

يمكن لمسؤول الأمان استخدام إدارة الهويات المتميزة (PIM) لإنشاء تعيين مؤهل لمسؤول النسخ الاحتياطي كعامل تشغيل النسخ الاحتياطي MUA إلى Resource Guard. وهذا يمكن مسؤول النسخ الاحتياطي من رفع طلب (لدور عامل تشغيل النسخ الاحتياطي MUA) عندما يحتاج إلى تنفيذ عملية محمية.

لإنشاء تعيين مؤهل، اتبع الخطوات التالية:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى مستأجر الأمان ل Resource Guard، وفي البحث، أدخل إدارة الهويات المتميزة.

3. في الجزء الأيمن، حدد Manage وانتقل إلى Azure Resources.

4. حدد المورد (Resource Guard أو الاشتراك/RG المحتوي) الذي تريد تعيين دور عامل تشغيل MUA للنسخ الاحتياطي إليه.

   إذا لم تعثر على أي موارد مطابقة، فأضف الاشتراك الذي يحتوي على إدارة الهويات المتميزة (PIM).

5. حدد المورد وانتقل إلى إدارة>التعيينات>إضافة تعيينات.

   

6. في إضافة تعيينات:

   1. حدد الدور كعامل تشغيل النسخ الاحتياطي MUA.
   2. انتقل إلى Select members وأضف اسم المستخدم (أو معرفات البريد الإلكتروني) لمسؤول النسخ الاحتياطي.
   3. حدد التالي.

   

7. في التعيين، حدد مؤهل وحدد صلاحية مدة الإذن المؤهل.

8. حدد تعيين لإكمال إنشاء التعيين المؤهل.

   

قم بإعداد الموافقين على تنشيط دور المساهم

بشكل افتراضي، قد لا يحتوي الإعداد أعلاه على موافق (ومتطلبات تدفق الموافقة) تم تكوينه في PIM. للتأكد من أن الموافقين لديهم دور المساهم للموافقة على الطلب، يجب على مسؤول الأمان اتباع الخطوات التالية:

إشعار

إذا لم يتم تكوين إعداد الموافق، تتم الموافقة على الطلبات تلقائيا دون المرور عبر مسؤولي الأمان أو مراجعة الموافق المعين. اعرف المزيد.

1. في Microsoft Entra PIM، حدد Azure Resources في الجزء الأيمن وحدد Resource Guard.

2. انتقل إلى دور المساهم في الإعدادات>.

   

3. حدد تحرير لإضافة المراجعين الذين يجب عليهم مراجعة طلب التنشيط لدور المساهم والموافقة عليه في حال وجدت أن الموافقين يعرضون بلا أو يعرضون موافقين غير صحيحين.

4. في علامة التبويب التنشيط ، حدد طلب الموافقة للتنشيط لإضافة الموافق (الموافقين) الذين يجب أن يوافقوا على كل طلب.

5. حدد خيارات الأمان، مثل المصادقة متعددة العوامل (MFA)، تذكرة إدارة لتنشيط دور المساهم .

6. حدد الخيارات المناسبة في علامات تبويب الواجب والإعلام وفقا لمتطلباتك.

   

7. حدد تحديث لإكمال إعداد الموافقين لتنشيط دور المساهم .

اطلب تنشيط تعيين مؤهل لتنفيذ العمليات الهامة

بعد أن يقوم مسؤول الأمان بإنشاء تعيين مؤهل، يحتاج مسؤول النسخ الاحتياطي إلى تنشيط تعيين الدور لدور المساهم لتنفيذ الإجراءات المحمية.

لتنشيط تعيين الدور، اتبع الخطوات:

1. انتقل إلى Microsoft Entra إدارة الهويات المتميزة. إذا كان Resource Guard في دليل آخر، قم بالتبديل إلى هذا الدليل ثم انتقل إلى Microsoft Entra إدارة الهويات المتميزة.

2. انتقل إلى My roles>Azure resources في الجزء الأيمن.

3. حدد تنشيط لتنشيط التعيين المؤهل لدور المساهم .

   يظهر إعلام يخطر بإرسال الطلب للموافقة عليه.

   

الموافقة على طلبات التنشيط لتنفيذ العمليات الهامة

بمجرد أن يرفع مسؤول النسخ الاحتياطي طلبا لتنشيط دور المساهم، يجب على مسؤول الأمان مراجعة الطلب والموافقة عليه.

لمراجعة الطلب والموافقة عليه، اتبع الخطوات التالية:

1. في مستأجر الأمان، انتقل إلى Microsoft Entra إدارة الهويات المتميزة.

2. انتقل إلى الموافقة على الطلبات.

3. ضمن موارد Azure، يمكنك مشاهدة الطلب في انتظار الموافقة.

   حدد Approve لمراجعة الطلب الأصلي والموافقة عليه.

بعد الموافقة، يتلقى مسؤول النسخ الاحتياطي إشعارا، عبر البريد الإلكتروني أو خيارات التنبيه الداخلية الأخرى، بأنه تمت الموافقة على الطلب. الآن، يمكن لمسؤول النسخ الاحتياطي تنفيذ العمليات المحمية للفترة المطلوبة.

تنفيذ عملية محمية بعد الموافقة

بمجرد موافقة مسؤول الأمان على طلب مسؤول النسخ الاحتياطي لدور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي على Resource Guard، يمكنه تنفيذ عمليات محمية على المخزن المقترن. إذا كان Resource Guard في دليل آخر، يجب على مسؤول النسخ الاحتياطي مصادقة نفسه.

إشعار

إذا تم تعيين الوصول باستخدام آلية JIT، يتم التراجع عن دور عامل تشغيل MUA للنسخ الاحتياطي في نهاية الفترة المعتمدة. وإلا، يقوم مسؤول الأمان يدويا بإزالة دور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي المعين إلى مسؤول النسخ الاحتياطي لتنفيذ العملية الهامة.

تظهر لقطة الشاشة التالية مثالا على تعطيل الحذف المبدئي لمخزن يدعم MUA.

تعطيل التخويل متعدد المستخدمين على مخزن النسخ الاحتياطي

تعطيل التخويل متعدد المستخدمين هو عملية محمية يجب أن يقوم بها مسؤول النسخ الاحتياطي فقط. للقيام بذلك، يجب أن يكون لدى مسؤول النسخ الاحتياطي دور عامل تشغيل النسخ الاحتياطي MUA المطلوب في Resource Guard. للحصول على هذا الإذن، يجب على مسؤول النسخ الاحتياطي أولا طلب مسؤول الأمان لدور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي على Resource Guard باستخدام الإجراء في الوقت المناسب (JIT)، مثل Microsoft Entra إدارة الهويات المتميزة أو الأدوات الداخلية.

ثم يوافق مسؤول الأمان على الطلب إذا كان أصليا ويحدث مسؤول النسخ الاحتياطي الذي لديه الآن دور عامل تشغيل التخويل متعدد المستخدمين للنسخ الاحتياطي على Resource guard. تعرف على المزيد حول كيفية الحصول على هذا الدور.

لتعطيل التخويل متعدد المستخدمين، يجب على مسؤولي النسخ الاحتياطي اتباع الخطوات التالية:

1. انتقل إلى Vault >Properties>Multi-user Authorization.

2. حدد تحديث وقم بإلغاء تحديد خانة الاختيار حماية باستخدام Resource Guard .

3. حدد Authenticate (إذا كان ذلك ممكنا) لاختيار الدليل الذي يحتوي على Resource Guard والتحقق من الوصول.

4. حدد حفظ لإكمال عملية تعطيل التخويل متعدد المستخدمين.

   

الخطوات التالية

تعرف على المزيد حول التخويل متعدد المستخدمين باستخدام Resource Guard.