منع النسخ المتماثل للكائنات عبر مستأجري Microsoft Entra

نسخ الكائنات بشكل غير متزامن ينسخ الكائنات الثنائية كبيرة الحجم للكتل من حاوية في حساب تخزين واحد إلى حاوية في حساب تخزين آخر. عندما تقوم بتكوين نهج النسخ المتماثل للعناصر، فإنك تحدد الحساب المصدر والحاوية وحساب الوجهة والحاوية. بعد تكوين النهج، يقوم Azure Storage تلقائيًّا بنسخ نتائج عمليات الإنشاء والتحديث والحذف من العناصر المصدر إلى العناصر الوجهة. لمزيد من المعلومات حول النسخ المتماثل للعناصر في Azure Storage، راجع النسخ المتماثل للعناصر للكائنات الثنائية كبيرة الحجم للكتل.

يمكن للمستخدم المعتمد تكوين نهج النسخ المتماثل للكائن حيث يكون الحساب المصدر في مستأجر Microsoft Entra واحد وحساب الوجهة في مستأجر مختلف إذا تم السماح بالنسخ المتماثل عبر المستأجرين عبر مستأجري Microsoft Entra. إذا كانت نُهج الأمان تتطلب تقييد النسخ المتماثل للعناصر على حسابات التخزين الموجودة داخل المستأجر نفسه فقط، يمكنك رفض إنشاء نُهج حيث تكون حسابات المصدر والوجهة في مستأجرين مختلفين. بشكل افتراضي، يتم تعطيل النسخ المتماثل للكائن عبر المستأجرين لجميع حسابات التخزين الجديدة التي تم إنشاؤها بعد 15 ديسمبر 2023، ما لم تسمح بذلك بشكل صريح.

توضح هذه المقالة كيفية معالجة النسخ المتماثل للعناصر عبر المستأجرين لحسابات التخزين الخاصة بك. كما يصف كيفية إنشاء نُهج لفرض حظر على النسخ المتماثل للعناصر عبر المستأجرين لحسابات التخزين الجديدة والموجودة.

لمزيد من المعلومات حول كيفية تكوين سياسات النسخ المتماثل للكائنات، بما في ذلك النُّهج عبر المستأجرين، راجع تكوين نسخ متماثل للعناصر من الكائنات الثنائية كبيرة الحجم للكتل.

معالجة النسخ المتماثل للعناصر عبر المستأجرين

لمنع النسخ المتماثل للكائنات عبر مستأجري Microsoft Entra، قم بتعيين الخاصية AllowCrossTenantReplication لحساب التخزين إلى خطأ. إذا كان حساب التخزين لا يشارك حاليًّا في أي نُهج النسخ المتماثل للعناصر عبر المستأجرين، فإن تعيين خاصية السماح بالنسخ المتماثل عبر المستأجرين على خطأ يمنع التكوين المستقبلي لنُهج النسخ المتماثل للعناصر عبر المستأجرين مع حساب التخزين هذا كمصدر أو وجهة. ومع ذلك، إذا كان حساب التخزين يشارك حاليًّا في واحد أو أكثر من نُهج النسخ المتماثل للعناصر عبر المستأجرين، فلا يُسمح بتعيين خاصية السماح بالنسخ المتماثل عبر المستأجرين على خطأ حتى تقوم بحذف نُهج المستأجرين المشتركة الموجودة.

لا يسمح بالنهج عبر المستأجرين بشكل افتراضي لحساب تخزين تم إنشاؤه بعد 15 ديسمبر 2023. ومع ذلك، لم يتم تعيين الخاصية AllowCrossTenantReplication بشكل افتراضي لحساب تخزين موجود تم إنشاؤه قبل 15 ديسمبر 2023، ولا ترجع قيمة حتى تقوم بتعيينها بشكل صريح. يمكن لحساب التخزين المشاركة في نهج النسخ المتماثل للكائنات عبر المستأجرين عندما تكون قيمة الخاصية خالية أو صحيحة للحسابات التي تم إنشاؤها قبل Dev 15، 2023. بالنسبة للحسابات التي تم إنشاؤها بعد ذلك الوقت، يجب تعيين الخاصية إلى true. لا يؤدي تعيين الخاصية AllowCrossTenantReplication إلى تعطل حساب التخزين.

معالجة النسخ المتماثل عبر المستأجرين من أجل حساب جديد

لعدم السماح بالنسخ المتماثل عبر المستأجرين لحساب تخزين جديد، استخدم مدخل Microsoft Azure أو PowerShell أو Azure CLI. يتم تعيين الخاصية افتراضيا إلى false للحسابات الجديدة التي تم إنشاؤها بعد 15 ديسمبر 2023، حتى عندما لا يتم تعيينها بشكل صريح.

المدخل

لمنع النسخ المتماثل للكائن عبر المستأجرين لحساب تخزين، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى صفحة حسابات التخزين، وحدد إنشاء.

2. املأ البيانات في علامة التبويب الأساسيات لحساب التخزين الجديد.

3. في علامة التبويب خيارات متقدمة، في القسم تخزين كائن ثنائي كبير الحجم، حدد موقع إعداد السماح بالنسخ المتماثل عبر المستأجرين، وقم بإلغاء تحديد المربع.

   

4. عليك إكمال عملية إنشاء الحساب.

بوويرشيل

لعدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين لحساب تخزين جديد، استدعِ الأمر حساب تخزين Az الجديد، وأضف AllowCrossTenantReplicationالمعلمة بقيمة $خطأ.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account and disallow cross-tenant replication.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_LRS `
    -AllowBlobPublicAccess $false `
    -AllowCrossTenantReplication $false

# Read the property for the new storage account
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowCrossTenantReplication

Azure CLI

لعدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين لحساب تخزين جديد، استدعِ الأمر إنشاء حساب تخزين Az، وأضف allow-cross-tenant-replicationالمعلمة بقيمة خطأ.

# Create a storage account with cross-tenant replication disallowed.
az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_LRS \
    --allow-blob-public-access false \
    --allow-cross-tenant-replication false

# Read the property for the new storage account
az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowCrossTenantReplication \
    --output tsv

معالجة النسخ المتماثل عبر المستأجرين من أجل حساب موجود

لعدم السماح بالنسخ المتماثل عبر المستأجرين لحساب تخزين موجود، استخدم مدخل Microsoft Azure أو PowerShell أو Azure CLI.

مدخل Microsoft Azure

لعدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين لحساب تخزين موجود لا يشارك حاليًّا في أية نُهج عبر المستأجرين، اتبع الخطوات التالية:

1. انتقل إلى حساب التخزين خاصتك في مدخل Microsoft Azure.

2. ضمن إدارة البيانات، وحدد النسخ المتماثل للعناصر.

3. حدد الإعدادات المتقدمة.

4. إلغاء تحديد السماح بالنسخ المتماثل عبر المستأجرين. بشكل افتراضي، يتم تحديد هذا المربع، لأنه يسمح بالنسخ المتماثل للعناصر عبر المستأجرين لحساب تخزين ما لم تقم بعدم السماح به صراحةً.

   

5. حدد موافق لحفظ تغييراتك.

إذا كان حساب التخزين يشارك حاليًّا في نُهج نسخ متماثل واحد أو أكثر من المستأجرين، فلن تتمكن من عدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين حتى تقوم بحذف هذه النُّهج. في هذا السيناريو، الإعداد غير متوفر في مدخل Microsoft Azure، كما هو موضح في الصورة التالية.

بوويرشيل

لعدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين لحساب تخزين موجود لا يشارك حاليًّا في أية نُهج عبر المستأجرين، قم أولًا بتثبيت الوحدة النمطية Az.Storage PowerShell، الإصدار 3.7.0 أو أحدث. بعد ذلك، قم بتكوين خاصية السماح بالنسخ المتماثل عبر المستأجرين لحساب التخزين.

يوضح المثال التالي كيفية عدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين لحساب تخزين موجود مع PowerShell. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

$rgName = "<resource-group>"
$accountName = "<storage-account>"

Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -AllowCrossTenantReplication $false

إذا كان حساب التخزين يشارك حاليًّا في نُهج نسخ متماثل واحد أو أكثر من المستأجرين، فلن تتمكن من عدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين حتى تقوم بحذف هذه النُّهج. يوفر PowerShell خطأ يشير إلى فشل العملية بسبب نُهج النسخ المتماثل عبر المستأجرين الموجودة.

Azure CLI

لعدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين لحساب تخزين موجود لا يشارك حاليًّا في أية نُهج عبر المستأجرين، قم أولًا بتثبيت Azure CLI الإصدار 2.24.0 أو أحدث. لمزيد من المعلومات، اطلع على تثبيت Azure CLI. بعد ذلك، قم بتكوين خاصية السماح بالنسخ المتماثل عبر المستأجرين لحساب تخزين موجود أو جديد.

يوضح المثال التالي كيفية عدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين لحساب تخزين موجود مع Azure CLI. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allow-cross-tenant-replication false

إذا كان حساب التخزين يشارك حاليًّا في نُهج نسخ متماثل واحد أو أكثر من المستأجرين، فلن تتمكن من عدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين حتى تقوم بحذف هذه النُّهج. يوفر Azure CLI خطأ يشير إلى فشل العملية بسبب نُهج النسخ المتماثل عبر المستأجرين الموجودة.

بعد إلغاء السماح بالنسخ المتماثل عبر المستأجرين، تفشل محاولة تكوين نهج عبر المستأجرين باستخدام حساب التخزين أثناء فشل المصدر أو الوجهة. يقوم Azure Storage بإرجاع خطأ يشير إلى أن النسخ المتماثل للعناصر عبر المستأجرين غير مسموح به لحساب التخزين.

عندما يكون النسخ المتماثل للعناصر عبر المستأجرين غير مسموح به لحساب تخزين، يجب أن تتضمن أية نُهج نسخ متماثل جديد للعناصر تقوم بإنشائه باستخدام هذا الحساب معرّفات Azure Resource Manager الكاملة لحساب المصدر والوجهة. يتطلب Azure Storage معرّف المورد الكامل للتحقق مما إذا كان الحسابان المصدر والوجهة موجودين داخل المستأجر نفسه أم لا. لمزيد من المعلومات، راجع تحديد معرّفات الموارد الكاملة لحسابات المصدر والوجهة.

إن خاصية السماح بالنسخ المتماثل عبر المستأجرين معتمدة بالنسبة إلى حسابات التخزين التي تستخدم نموذج توزيع Azure Resource Manager فقط. لمزيد من المعلومات حول حسابات التخزين التي تستخدم نموذج توزيع Azure Resource Manager، راجع أنواع حسابات التخزين.

أذونات السماح بالنسخ المتماثل عبر المستأجرين أو إلغاء السماح به

لتعيين خاصية السماح بالنسخ المتماثل عبر المستأجرين لحساب التخزين، يجب أن يكون لدى المستخدم أذونات لإنشاء حسابات التخزين وإدارتها. تتضمن أدوار Azure للتحكم في الوصول القائم على الأدوار (Azure RBAC) التي توفر هذه الأذونات إجراء Microsoft.Storage/storageAccounts/write أو Microsoft.Storage/storageAccounts/*. وتشمل الأدوار المدمجة مع هذا الإجراء ما يلي:

• دور المالك في Azure Resource Manager
• دور المساهم في إدارة الموارد Azure
• دور المساهم في حساب التخزين

لا توفر هذه الأدوار الوصول إلى البيانات في حساب تخزين عبر معرف Microsoft Entra. ومع ذلك، فهي تشمل Microsoft.Storage/storageAccounts/listkeys/action، الذي يتيح الوصول إلى مفاتيح الوصول إلى الحساب. وبهذا الإذن، يمكن للمستخدم استخدام مفاتيح الوصول إلى الحساب للوصول إلى جميع البيانات في حساب التخزين.

يجب تحديد نطاق تعيينات الأدوار إلى مستوى حساب التخزين أو أعلى للسماح للمستخدم بالسماح بالنسخ المتماثل للعناصر عبر المستأجرين لحساب التخزين أو إلغاء السماح بذلك. لمزيد من المعلومات حول نطاق الدور، راجع فهم نطاق التحكم في الوصول استنادًا إلى الدور من Azure.

احرص على تقييد تعيين هذه الأدوار فقط لأولئك الذين يحتاجون إلى القدرة على إنشاء حساب تخزين أو تحديث خصائصه. استخدم مبدأ أقل الامتيازات لضمان حصول المستخدمين على أقل عدد من الأذونات بحيث تقتصر على ما يحتاجون إليه لإنجاز مهامهم. لمزيد من المعلومات حول إدارة الوصول باستخدام التحكم في الوصول استنادًا إلى الدور من Azure، راجع أفضل الممارسات للتحكم في الوصول استنادًا إلى الدور من Azure.

إشعار

تشمل أدوار مسؤول الاشتراك الكلاسيكي مسؤول الخدمة والمسؤول المشارك ما يعادل دور Azure Resource Managerالمالك. يتضمن دور Owner جميع الإجراءات، لذلك يمكن للمستخدم الذي لديه أحد هذه الأدوار الإدارية أيضًا إنشاء حسابات التخزين وإدارتها. لمزيد من المعلومات، راجع أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي.

استخدم سياسة Azure للمراجعة من أجل الامتثال

إذا كان لديك عدد كبير من حسابات التخزين، فقد تحتاج إلى إجراء تدقيق للتأكد من تكوين هذه الحسابات لمنع النسخ المتماثل للعناصر عبر المستأجرين. لمراجعة مجموعة من حسابات التخزين للتأكد من توافقها، استخدم سياسة Azure. نهج Azure هي خدمة يمكنك استخدامها لإنشاء وتعيين وإدارة السياسات التي تطبق القواعد على موارد Azure. يساعدك نهج Azure على الحفاظ على توافق تلك الموارد مع معايير الشركة واتفاقيات مستوى الخدمة لديك. لمزيد من المعلومات، يُرجى الرجوع إلى نظرة عامة على Azure Policy.

قم بإنشاء نهج ذي تأثير تدقيق

يدعم نهج Azure التأثيرات التي تحدد ما يحدث عند تقييم قاعدة النهج مقابل المورد. ينشئ تأثير التدقيق تحذيرًا عندما لا يكون المورد في حالة امتثال، ولكنه لا يوقف الطلب. للحصول على مزيدٍ من المعلومات عن التأثيرات، راجع فهم تأثيرات نهج Azure.

لإنشاء نهج بواسطة تأثير تدقيق لإعداد النسخ المتماثل للعناصر عبر المستأجرين لحساب تخزين مع مدخل Microsoft Azure، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى خدمة نهج Azure.

2. ضمن القسم التأليف، حدد التعريفات.

3. حدد إضافة تعريف النهج لإنشاء تعريف نهج جديد.

4. بالنسبة للحقل موقع التعريف، حدد الزر المزيد لتحديد مكان مورد نهج التدقيق.

5. حدد اسمًا للنهج. يمكنك اختياريًّا تحديد الوصف والفئة.

6. ضمن قاعدة السياسة ، أضف تعريف السياسة التالي إلى قسم قاعدة السياسة .

   {
     "if": {
       "allOf": [
         {
           "field": "type",
           "equals": "Microsoft.Storage/storageAccounts"
         },
         {
           "not": {
             "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
             "equals": "false"
           }
         }
       ]
     },
     "then": {
       "effect": "audit"
     }
   }
   

7. احفظ النهج.

تعيين النهج

بعد ذلك، عيِن النهج إلى مورد. ويتوافق نطاق النهج مع ذلك المورد وأي موارد تحته. لمزيد من المعلومات حول تعيين النهج، راجع هيكل تعيين نهج Azure.

لتعيين النهج مع مدخل Microsoft Azure، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى خدمة نهج Azure.
2. ضمن القسم التأليف، حدد المهام.
3. حدد تعيين النهج لإنشاء مهمة نهج جديدة.
4. بالنسبة للحقل النطاق، حدد نطاق تعيين النهج.
5. بالنسبة للحقل تعريف النهج، حدد الزر المزيد، ثم حدد النهج الذي حددته في القسم السابق من القائمة.
6. وفِر اسماً لتعيين النهج. يكون الوصف اختياريًّا.
7. اترك تطبيق النهج معينًا إلى تمكين. ليس لهذا الإعداد تأثير على نهج التدقيق.
8. حدد مراجعة + إنشاء لإنشاء المهمة.

عرض تقرير التوافق

بعد أن قمت بتعيين النهج، يمكنك عرض تقرير التوافق. يوفر تقرير التوافق لنهج التدقيق معلومات حول حسابات التخزين التي لا تزال تسمح بنُهج النسخ المتماثل للعناصر عبر المستأجرين. لمزيد من المعلومات، راجع الحصول على بيانات توافق النهج.

قد يستغرق الأمر عدة دقائق حتى يصبح تقرير التوافق متاحًا بعد إنشاء مهمة النهج.

لعرض تقرير التوافق في مدخل Microsoft Azure، اتبع هذه الخطوات:

1. في مدخل Microsoft Azure، انتقل إلى خدمة نهج Azure.

2. حدد الامتثال .

3. قم بتصفية النتائج للحصول على اسم مهمة النهج التي أنشأتها في الخطوة السابقة. يوضح التقرير الموارد التي لا تتوافق مع النهج.

4. يمكنك البحث في التقرير للحصول على تفاصيل إضافية، بما في ذلك قائمة بحسابات التخزين التي لا تتوافق.

   

استخدام نهج Azure لإنفاذ نهج النسخ المتماثل للمستأجر نفسه

يدعم نهج Azure الحكومة السحابية من خلال ضمان التزام موارد Azure بالمتطلبات والمعايير. للتأكد من أن حسابات التخزين في مؤسستك لا تسمح بالنسخ المتماثل عبر المستأجرين، يمكنك إنشاء نهج يمنع إنشاء حساب تخزين جديد يسمح بنهج النسخ المتماثل للعناصر عبر المستأجرين. يستخدم نهج التنفيذ تأثير الرفض لمنع طلب من شأنه إنشاء حساب تخزين أو تعديله للسماح بالنسخ المتماثل للعناصر عبر المستأجرين. سيمنع نهج الرفض أيضًا جميع تغييرات التكوين على حساب موجود إذا كان إعداد النسخ المتماثل للعناصر عبر المستأجرين لهذا الحساب غير المتوافق مع النهج. لمزيد من المعلومات حول تأثير الرفض، راجع فهم تأثيرات نهج Azure.

لإنشاء نهج بواسطة تأثير رفض للنسخ المتماثل للعناصر عبر المستأجرين، اتبع نفس الخطوات الموضحة في استخدام نهج Azure للتدقيق من أجل التوافق، ولكن قم بتوفير JSON التالي في قسم قاعدة النهج من تعريف النهج:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

بعد إنشاء النهج باستخدام تأثير الرفض وتعيينه إلى نطاق، لا يمكن للمستخدم إنشاء حساب تخزين يسمح بالنسخ المتماثل للعناصر عبر المستأجرين. كما لا يمكن للمستخدم إجراء أي تغييرات في التكوين على حساب تخزين موجود يسمح حاليًّا بالنسخ المتماثل للعناصر عبر المستأجرين. تؤدي محاولة القيام بذلك إلى حدوث خطأ. يجب تعيين خاصية السماح بالنسخ المتماثل عبر المستأجرين لحساب التخزين على خطأ لمتابعة إنشاء الحساب أو تحديثات التكوين، بما يتوافق مع النهج.

تعرض الصورة التالية الخطأ الذي يحدث إذا حاولت إنشاء حساب تخزين يسمح بالنسخ المتماثل للعناصر عبر المستأجرين (إعداد افتراضي لحساب جديد) عندما يتطلب نهج بتأثير رفض عدم السماح بالنسخ المتماثل للعناصر عبر المستأجرين.

(راجع أيضًا )

• النسخ المتماثل للعناصر من أجل كائنات ثنائية كبيرة الحجم للكتل
• تكوين النسخ المتماثل من أجل كائنات ثنائية كبيرة الحجم للكتل
• توصيات الأمان لمخزن البيانات الثنائية كبيرة الحجم