Konfigurace autorizace více uživatelů pomocí Služby Resource Guard ve službě Azure Backup

Tento článek popisuje, jak nakonfigurovat víceuživatelovou autorizaci (MUA) pro Službu Azure Backup, aby se zlepšilo zabezpečení důležitých operací v trezorech služby Recovery Services. Popisuje vytvoření služby Resource Guard v samostatném tenantovi pro maximální ochranu a ukazuje, jak požádat a schválit kritický přístup k operacím pomocí služby Microsoft Entra Privileged Identity Management v rámci tenanta hostujícího ochranu Resource Guard. Případně můžete pomocí jiných metod spravovat oprávnění JIT (just-in-time) na základě nastavení organizace.

Poznámka:

• Autorizace více uživatelů pro Azure Backup je dostupná ve všech veřejných oblastech Azure.
• Autorizace více uživatelů pomocí služby Resource Guard pro trezor služby Backup je teď obecně dostupná. Další informace.

Požadavky

Než nakonfigurujete autorizaci více uživatelů pro trezor služby Recovery Services, ujistěte se, že jsou splněny následující požadavky:

• Ochrana Resource Guard a úložiště Recovery Services musí být ve stejné oblasti Azure.
• Správce zálohování nesmí mít oprávnění přispěvatele, správce MUA služby Backup ani operátora MUA služby Backup. Pokud chcete zajistit maximální izolaci, můžete se rozhodnout, že budete mít ochranu Resource Guard v jiném předplatném stejného adresáře nebo v jiném adresáři.
• Předplatná obsahující trezor služby Recovery Services a Resource Guard (v různých předplatných nebo tenantech) musí být zaregistrována pro použití poskytovatelů – Microsoft.RecoveryServices a Microsoft.DataProtection. Další informace najdete v tématu Poskytovatelé a typy prostředků Azure.

Seznamte se s různými scénáři použití MUA.

Vytvoření ochrany Resource Guard

Správce zabezpečení vytvoří Resource Guard. Doporučujeme, abyste ho vytvořili v jiném předplatném nebo jiném tenantovi jako trezor. Mělo by to však být ve stejné oblasti jako trezor. Správce zálohování NESMÍ mít přístup Přispěvatele, Správce MUA zálohování ani Operátora MUA zálohování na Resource Guard nebo předplatné, které ho obsahuje.

Volba klienta

Azure Portal

Pokud chcete vytvořit Ochranu prostředků (Resource Guard) v nájemci, který se liší od nájemce trezoru, postupujte takto:

1. Na webu Azure Portal přejděte do adresáře, pod kterým chcete vytvořit ochranu Resource Guard.

   

2. Na panelu hledání vyhledejte Resource Guards a v rozevíracím seznamu vyberte odpovídající položku.

   

   • Výběrem možnosti Vytvořit zahájíte vytváření ochrany Resource Guard.
   • V podokně vytvoření vyplňte požadované podrobnosti pro tento Resource Guard.
     • Ujistěte se, že Resource Guard je ve stejných oblastech Azure jako trezor Recovery Services.
     • Je také užitečné přidat popis, jak získat nebo požádat o přístup, je-li potřeba provádět akce s přidruženými trezory. Tento popis se také zobrazí v přidružených trezorech, aby správce zálohování provedl získání požadovaných oprávnění. Popis můžete upravit později v případě potřeby, ale doporučujeme mít vždy dobře definovaný popis.

3. Na kartě Chráněné operace vyberte operace, které potřebujete chránit pomocí této ochrany prostředků.

   Po vytvoření ochranného prvku můžete také vybrat operace pro ochranu.

4. Volitelně můžete do služby Resource Guard přidat jakékoli značky podle požadavků.

5. Vyberte Zkontrolovat a vytvořit a sledujte oznámení o stavu a úspěšném vytvoření Resource Guard.

Prostředí PowerShell

Pokud chcete vytvořit strážce prostředků, spusťte následující cmdlet:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

Pokud chcete vytvořit ochranu prostředků, spusťte následující příkaz:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Výběr operací pro ochranu pomocí služby Resource Guard

Vyberte operace, které chcete chránit pomocí ochrany Resource Guard, ze všech podporovaných kritických operací. Ve výchozím nastavení jsou povolené všechny podporované důležité operace. Vy (jako správce zabezpečení) však můžete určité operace vyloučit z toho, že spadají pod správu MUA pomocí Služby Resource Guard.

Volba klienta

Azure Portal

Pokud chcete vyloučit operace, postupujte takto:

1. Přejděte ve výše vytvořeném Resource Guard na kartu Vlastnosti>trezoru Recovery Services.

2. Vyberte Zakázat pro operace, které chcete vyloučit z autorizace pomocí služby Resource Guard.

   Poznámka:

   Nemůžete zakázat chráněné operace – konkrétně operace Zakázání měkkého odstranění a Odebrání ochrany MUA.

3. Volitelně můžete pomocí tohoto podokna aktualizovat také popis ochrany Resource Guard.

4. Zvolte Uložit.

   

Prostředí PowerShell

K aktualizaci operací. Chcete-li vyloučit tyto operace z ochrany stráže prostředků, spusťte následující rutiny:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• První příkaz načte ochranu prostředků, kterou je potřeba aktualizovat.
• Druhý a třetí příkaz načte důležité operace, které chcete aktualizovat.
• Čtvrtý příkaz vyloučí některé kritické operace z ochrany prostředků.

CLI

Pokud chcete aktualizovat operace, které mají být vyloučeny z ochrany pomocí ochránce prostředků, spusťte následující příkazy:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Příklad:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Přiřaďte oprávnění správci zálohování ve službě Resource Guard, abyste povolili MUA.

Aby správce trezoru povolil MUA, musí mít správce trezoru roli Čtenář ve službě Resource Guard nebo předplatné obsahující ochranu Resource Guard. Přiřazení role Čtenář ve službě Resource Guard:

1. Ve výše vytvořené službě Resource Guard přejděte do podokna Řízení přístupu (IAM) a pak přejděte na Přidat přiřazení role.

   

2. V seznamu předdefinovaných rolí vyberte Čtenář a vyberte Další.

   

3. Klikněte na Vybrat členy a přidejte ID e-mailu správce zálohování, abyste je mohli přidat jako čtenáře. Vzhledem k tomu, že správce zálohování je v tomto případě v jiném tenantovi, budou přidáni jako hosté do tenantu, který obsahuje Resource Guard.

4. Klikněte na Vybrat a pak pokračujte k Recenzi + přiřadit k dokončení přiřazení role.

   

Povolení MUA v trezoru služby Recovery Services

Po dokončení přiřazení role Čtenář na Resource Guard povolte autorizaci s více uživateli v trezorech, které spravujete (jako správce zálohování).

Volba klienta

Azure Portal

Pokud chcete povolit MUA v trezorech, postupujte takto.

1. Přejděte do trezoru služby Recovery Services. Na levém navigačním panelu přejděte na Vlastnosti a pak na Autorizaci více uživatelů a vyberte Aktualizovat.

   

2. Teď se zobrazí možnost povolit MUA a zvolit ochranu Resource Guard jedním z následujících způsobů:

   • Můžete zadat identifikátor URI služby Resource Guard, ujistěte se, že jste zadali identifikátor URI ochrany Resource Guard, ke kterému máte přístup čtenáře , a to stejné oblasti jako trezor. Identifikátor URI (Resource Guard ID) služby Resource Guard najdete na jeho obrazovce Přehled :

     

   • Nebo můžete vybrat strážce prostředků ze seznamu strážců prostředků, ke kterým máte přístup čtenáře, a těch dostupných v dané oblasti.

     1. Klikněte na Vybrat ochranu prostředků.
     2. Vyberte rozevírací seznam a pak zvolte adresář, ve které je ochrana Resource Guard.
     3. Vyberte Ověřit a ověřte svou identitu a přístup.
     4. Po ověření zvolte v zobrazeném seznamu ochranu Resource Guard .

     

3. Po dokončení vyberte Uložit a povolte MUA.

   

Prostředí PowerShell

Pokud chcete povolit MUA v trezoru služby Recovery Services, spusťte následující rutinu:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• První příkaz načte přístupový token pro tenanta ochrany zdrojů, kde se nachází ochránce zdrojů.
• Druhý příkaz vytvoří mapování mezi RSVault $vault a Resource Guard.

Poznámka:

Parametr tokenu je volitelný a je nutný pouze k ověření operací chráněných mezi tenanty.

CLI

Pokud chcete povolit MUA v trezoru služby Recovery Services, spusťte následující příkaz:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

ID tenanta se vyžaduje, pokud ochrana zdrojů existuje u jiného tenanta.

Příklad:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

Chráněné operace pomocí MUA

Jakmile povolíte MUA, operace v oboru budou v trezoru omezené, pokud se je správce zálohování pokusí provést bez požadované role (tj. role operátora MUA zálohování) v prostředí Resource Guard.

Poznámka:

Důrazně doporučujeme otestovat nastavení po povolení MUA, abyste zajistili, že chráněné operace jsou blokované podle očekávání, a ujistili se, že je MUA správně nakonfigurovaná.

Na obrázku níže je znázorněno, co se stane, když se správce zálohování pokusí provést takovou chráněnou operaci (například je zde znázorněno zakázání soft delete (obnovitelného odstranění). Jiné chráněné operace mají podobný průběh). Následující kroky provádí správce zálohování bez požadovaných oprávnění.

1. Pokud chcete zakázat režim soft delete, přejděte do úložiště Recovery Services >Vlastnosti>Nastavení zabezpečení a vyberte Aktualizovat, čímž se zobrazí nastavení zabezpečení.

2. Pomocí posuvníku zakažte měkké smazání. Jste informováni, že se jedná o chráněnou operaci a potřebujete ověřit jejich přístup ke službě Resource Guard.

3. Vyberte adresář obsahující Resource Guard a ověřte se sami. Tento krok nemusí být nutný, pokud je Resource Guard ve stejném adresáři jako úložiště.

4. Pokračujte výběrem možnosti Uložit. Požadavek selže s chybou, která je informuje o tom, že nemají dostatečná oprávnění k Resource Guardu, aby mohli tuto operaci provést.

   

Autorizace kritických (chráněných) operací pomocí služby Microsoft Entra Privileged Identity Management

Následující části diskutují o autorizaci těchto požadavků pomocí PIM. Existují případy, kdy může být potřeba provádět kritické operace se zálohami a MUA vám může pomoct zajistit, aby se tyto operace prováděly jenom v případě, že existují správná schválení nebo oprávnění. Jak jsme si řekli dříve, správce zálohování musí mít v rámci ochrany Resource Guard roli operátora MUA zálohování, aby mohl provádět důležité operace, které jsou v oboru ochrany Resource Guard. Jedním ze způsobů, jak povolit provádění těchto operací právě včas, je použití služby Microsoft Entra Privileged Identity Management.

Poznámka:

I když se doporučuje používat Microsoft Entra PIM, můžete ke správě přístupu pro správce služby Backup ve službě Resource Guard použít ruční nebo vlastní metody. Pokud chcete spravovat přístup ke službě Resource Guard ručně, použijte nastavení Řízení přístupu (IAM) na levém navigačním panelu služby Resource Guard a udělte správci zálohování roli operátora MUA zálohování.

Vytvoření oprávněného přiřazení pro správce zálohování (pokud používáte Microsoft Entra Privileged Identity Management)

Správce zabezpečení může pomocí PIM vytvořit oprávněné přiřazení pro správce zálohování a poskytnout roli operátora MUA zálohování pro ochranu Resource Guard. Toto umožňuje správci zálohování vznést žádost (pro roli operátora MUA zálohování), když potřebuje provést chráněnou operaci. Správce zabezpečení to provede takto:

1. V tenantu zabezpečení (který obsahuje Resource Guard) přejděte na Privileged Identity Management (vyhledejte to v portálu Azure) a pak přejděte na Azure prostředky pod Spravovat v nabídce vlevo.

2. Vyberte prostředek (Resource Guard nebo předplatné/skupinu prostředků, které ho obsahují), ke kterému chcete přiřadit roli operátora zálohování MUA.

   Pokud v seznamu prostředků nevidíte odpovídající prostředek, nezapomeňte přidat obsahující předplatné, které bude spravovat PIM.

3. Ve vybraném zdroji přejděte na Přiřazení (v části Spravovat v nabídce vlevo) a přejděte na Přidat přiřazení.

   

4. V okně Přidat přiřazení:

   1. Vyberte roli jako Backup MUA Operátor.
   2. Přejděte na Vybrat členy a přidejte uživatelské jméno (nebo ID e-mailu) správce zálohování.
   3. Vyberte Další.

   

5. Na další obrazovce:

   1. V typu přiřazení zvolte Způsobilý.
   2. Zadejte dobu, po kterou je oprávněná oprávnění platná.
   3. Výběrem možnosti Přiřadit dokončíte vytváření oprávněného přiřazení.

   

Nastavení schvalovatelů pro aktivaci role záložního operátora MUA

Ve výchozím nastavení nemusí mít výše uvedené nastavení nakonfigurovaný schvalovatel (a požadavek na tok schválení) v PIM. Aby bylo zajištěno, že schvalovatelé mají roli Backup MUA Operator pro schválení, musí správce zabezpečení postupovat takto:

Poznámka:

Pokud to není nakonfigurované, budou všechny žádosti automaticky schváleny, aniž by prošel správcem zabezpečení nebo kontrolou určeného schvalovatele. Další podrobnosti o tom najdete tady.

1. V Microsoft Entra PIM vyberte prostředky Azure na levém navigačním panelu a vyberte svou ochranu Resource Guard.

2. Přejděte do Nastavení a pak přejděte do role Operátor služby Backup MUA.

   

3. Výběrem Upravit přidáte revidující, kteří musí zkontrolovat a schválit žádost o aktivaci pro roli Backup MUA Operator, pokud zjistíte, že je zobrazeno „žádný“ nebo nesprávní schvalovatelé.

4. Na kartě Aktivace vyberte Vyžadovat schválení k aktivaci a přidejte schvalovatele, kteří potřebují schválit každou žádost.

5. Vyberte možnosti zabezpečení, jako je vícefaktorové ověřování (MFA), a požadování ověření pro aktivaci role operátora zálohování MUA.

6. Podle potřeby vyberte příslušné možnosti na kartách Zadání a Oznámení .

   

7. Výběrem možnosti Aktualizovat dokončete nastavení schvalovatelů a aktivujte roli operátora MUA zálohování.

Žádost o aktivaci oprávněného přiřazení za účelem provádění kritických operací

Jakmile správce zabezpečení vytvoří oprávněné přiřazení, musí správce zálohování aktivovat přiřazení pro roli operátora MUA zálohování, aby mohl provádět chráněné akce.

Přiřazení role aktivujete takto:

1. Přejděte do služby Microsoft Entra Privileged Identity Management. Pokud se Resource Guard nachází v jiném adresáři, přepněte do tohoto adresáře a přejděte do Microsoft Entra Privileged Identity Management.

2. V nabídce vlevo přejděte na Moje role>Azure prostředky.

3. Zvolte Aktivovat pro aktivaci oprávněného přiřazení k roli operátora MUA pro zálohování.

   Zobrazí se oznámení s oznámením, že se žádost odešle ke schválení.

   

Schválení aktivace žádostí za účelem provádění kritických operací

Jakmile správce zálohování vyvolá žádost o aktivaci role operátora MUA zálohování, bude žádost zkontrolována a schválena správcem zabezpečení.

1. V rámci tenant zabezpečení přejděte do služby Microsoft Entra Privileged Identity Management.
2. Přejděte na Schválení žádostí.
3. V rámci zdrojů Azure je vidět žádost podaná správcem zálohování, žádající o aktivaci jako Operátor MUA pro zálohování.
4. Zkontrolujte požadavek. Pokud je originální, vyberte žádost a vyberte Schválit , abyste ji schválili.
5. Správce zálohování je informován e-mailem (nebo jinými mechanismy upozornění organizace), že jejich žádost je nyní schválena.
6. Po schválení může správce zálohování provádět chráněné operace po požadované období.

Provedení chráněné operace po schválení

Po schválení žádosti správce zálohování o roli operátora MUA zálohování v rámci ochrany Resource Guard může v přidruženém trezoru provádět chráněné operace. Pokud je Resource Guard v jiném adresáři, bude se muset správce zálohování ověřit sám.

Poznámka:

Pokud byl přístup přiřazen pomocí mechanismu JIT, je role operátora MUA zálohování odvolána na konci schváleného období. Jinak správce zabezpečení ručně odebere roli Backup MUA Operator přiřazenou správci zálohování, aby mohl provést kritickou operaci.

Následující snímek obrazovky ukazuje příklad zakázání soft odstranění pro trezor s podporou MUA.

Zakázání MUA v trezoru služby Recovery Services

Zakázání MUA je chráněná operace, takže trezory jsou chráněné pomocí MUA. Pokud chcete (správce zálohování) zakázat MUA, musíte mít v Resource Guard požadovanou roli operátora MUA zálohování.

Volba klienta

Azure Portal

Pokud chcete v trezoru zakázat MUA, postupujte takto:

1. Správce zálohování požádá správce zabezpečení o roli Backup MUA Operator ve službě Resource Guard. Mohou požádat o použití metod schválených organizací, jako jsou postupy JIT, jako je Microsoft Entra Privileged Identity Management nebo jiné interní nástroje a postupy.

2. Správce zabezpečení žádost schválí (pokud zjistí, že je vhodné ji schválit) a informuje správce služby Backup. Teď má správce zálohování roli operátora MUA služby Backup ve službě Resource Guard.

3. Správce zálohování přejde na >Vlastnosti>autorizaci více uživatelů trezoru.

4. Vyberte Aktualizovat.

   1. Zrušte zaškrtnutí políčka Chránit pomocí služby Resource Guard.
   2. Zvolte adresář, který obsahuje Resource Guard, a ověřte přístup pomocí tlačítka Ověřit (pokud je k dispozici).
   3. Po ověření vyberte Uložit. Se správným přístupem by se požadavek měl úspěšně dokončit.

   

Prostředí PowerShell

Pokud chcete zakázat MUA v trezoru služby Recovery Services, použijte následující příkaz cmdlet:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• První příkaz načte přístupový token pro tenanta ochrany prostředků, kde je k dispozici ochrana prostředků.
• Druhý příkaz odstraní mapování mezi trezorem Recovery Services a Resource Guard.

Poznámka:

Parametr tokenu je volitelný a k ověření operací chráněných mezi tenanty je potřeba.

CLI

Pokud chcete zakázat MUA v trezoru služby Recovery Services, spusťte následující příkaz:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

ID tenanta se vyžaduje, pokud ochrana zdrojů existuje u jiného tenanta.

Příklad:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Tento článek popisuje, jak nakonfigurovat víceuživatelovou autorizaci (MUA) pro Službu Azure Backup, aby se zlepšilo zabezpečení důležitých operací v trezorech služby Backup. Popisuje vytvoření služby Resource Guard v samostatném tenantovi pro maximální ochranu a ukazuje, jak požádat a schválit kritický přístup k operacím pomocí služby Microsoft Entra Privileged Identity Management v rámci tenanta hostujícího ochranu Resource Guard. Případně můžete pomocí jiných metod spravovat oprávnění JIT (just-in-time) na základě nastavení organizace.

Poznámka:

• Autorizace více uživatelů pomocí služby Resource Guard pro trezor služby Backup je teď obecně dostupná.
• Autorizace více uživatelů pro Azure Backup je dostupná ve všech veřejných oblastech Azure.

Požadavky

Než nakonfigurujete autorizaci více uživatelů pro trezor služby Backup, ujistěte se, že jsou splněny následující požadavky:

• "Resource Guard a zálohovací úložiště musí být ve stejné oblasti Azure."
• Správce zálohování nesmí mít oprávnění přispěvatele, správce MUA služby Backup ani operátora MUA služby Backup. Pokud chcete zajistit maximální izolaci, můžete se rozhodnout, že budete mít ochranu Resource Guard v jiném předplatném stejného adresáře nebo v jiném adresáři.
• Předplatná musí být zaregistrovaná pro použití poskytovatele – Microsoft.DataProtection, přičemž obsahují jak trezor služby Backup, tak i ochranu Resource Guard (v různých předplatných nebo u různých tenantů). Další informace najdete v tématu Poskytovatelé a typy prostředků Azure.

Seznamte se s různými scénáři použití MUA.

Vytvoření ochrany Resource Guard

Správce zabezpečení vytvoří Resource Guard. Doporučujeme, abyste ho vytvořili v jiném předplatném nebo jiném tenantovi jako trezor. Mělo by to však být ve stejné oblasti jako trezor.

Správce zálohování nesmí mít přístup přispěvatele, správce MUA zálohování nebo operátora MUA služby Backup v rámci ochrany Resource Guard nebo předplatného, které ho obsahuje.

Chcete-li vytvořit Resource Guard v tenantovi, který je odlišný od tenanta trezoru, postupujte jako správce zabezpečení takto:

1. Na webu Azure Portal přejděte do adresáře, pod kterým chcete vytvořit ochranu Resource Guard.

   

2. Na panelu hledání vyhledejte Resource Guards a pak v rozevíracím seznamu vyberte odpovídající položku.

   

   1. Výběrem Vytvořit vytvořte Resource Guard.
   2. V podokně Vytvořit vyplňte požadované údaje pro tento Resource Guard.
      • Ujistěte se, že je ochrana Resource Guard ve stejné oblasti Azure jako trezor služby Backup.
      • Přidejte popis, jak v případě potřeby požádat o přístup k provádění akcí v přidružených trezorech. Tento popis se zobrazí v přidružených trezorech a poskytne správci zálohování informace o tom, jak získat potřebná oprávnění.

3. Na kartě Chráněné operace vyberte operace, které potřebujete chránit pomocí této ochrany prostředků na kartě trezoru služby Backup.

   V současné době karta Chráněné operace zahrnuje pouze možnost Zakázat odstranění instance zálohování.

   Po vytvoření ochranného prvku můžete také vybrat operace pro ochranu.

   

4. Volitelně můžete do služby Resource Guard přidat jakékoliv značky podle požadavků.

5. Vyberte Zkontrolovat a vytvořit a pak podle oznámení sledujte stav a úspěšné vytvoření služby Resource Guard.

Výběr operací pro ochranu pomocí služby Resource Guard

Po vytvoření trezoru může správce zabezpečení také zvolit operace na ochranu pomocí nástroje Resource Guard mezi všemi podporovanými kritickými operacemi. Ve výchozím nastavení jsou povolené všechny podporované důležité operace. Správce zabezpečení však může některé operace, které spadají pod správu MUA, vyloučit pomocí Služby Resource Guard.

Chcete-li vybrat operace ochrany, postupujte takto:

1. Ve službě Resource Guard, kterou jste vytvořili, přejděte na kartu Vlastnosti>Záložní trezor.

2. U operací, které chcete vyloučit z autorizace, vyberte Zakázat .

   Zakázání operací odstranění ochrany MUA a soft delete není možné.

3. Volitelně můžete na záložce Trezory záloh aktualizovat popis pro Resource Guard.

4. Zvolte Uložit.

   

Přiřaďte oprávnění správci zálohování ve službě Resource Guard, abyste povolili MUA.

Správce zálohování musí mít roli Čtenář v Resource Guard nebo v předplatném, které obsahuje Resource Guard, aby byla MUA povolena v trezoru. Správce zabezpečení musí tuto roli přiřadit správci zálohování.

Pokud chcete přiřadit roli Čtenář v Resource Guardu, postupujte takto:

1. Ve výše vytvořené službě Resource Guard přejděte do podokna Řízení přístupu (IAM) a pak přejděte na Přidat přiřazení role.

   

2. V seznamu předdefinovaných rolí vyberte Čtenář a vyberte Další.

   

3. Klikněte na Vybrat členy a přidejte ID e-mailu správce zálohování, abyste přiřadili roli Čtenář .

   Vzhledem k tomu, že správci služby Backup jsou v jiném tenantovi, budou přidáni jako hosté do tenanta, který obsahuje Resource Guard.

4. Klikněte na Vybrat>Zkontrolovat a přiřadit k dokončení přiřazení role.

   

Zapnout MUA v úložišti záloh

Jakmile má správce zálohování roli Čtenář v Resource Guardu, může u trezorů zapnout autorizaci více uživatelů pomocí následujícího postupu:

1. Přejděte do trezoru služby Backup, pro který chcete nakonfigurovat MUA.

2. Na levém panelu vyberte Vlastnosti.

3. Přejděte na Autorizaci více uživatelů a vyberte Aktualizovat.

   

4. Pokud chcete povolit MUA a zvolit ochranu Resource Guard, proveďte jednu z následujících akcí:

   • Můžete zadat identifikátor URI služby Resource Guard. Ujistěte se, že jste zadali URI pro Resource Guard, ke kterému máte přístup čtenáře a který se nachází ve stejném okraji jako vault. Identifikátor URI (Resource Guard ID) služby Resource Guard najdete na stránce Přehled .

     

   • Nebo můžete vybrat strážce prostředků ze seznamu strážců prostředků, ke kterým máte přístup čtenáře, a těch dostupných v dané oblasti.

     1. Klikněte na Vybrat Resource Guard.
     2. Vyberte rozbalovací nabídku a vyberte adresář, ve kterém je ochrana Resource Guard.
     3. Vyberte Ověřit a ověřte svou identitu a přístup.
     4. Po ověření zvolte v zobrazeném seznamu ochranu Resource Guard .

     

5. Chcete-li povolit FUNKCI MUA, vyberte Uložit .

   

Chráněné operace pomocí MUA

Jakmile správce zálohování povolí MUA, operace, které spadají do oblasti použití, budou omezeny na trezoru a operace selžou, pokud se správce zálohování pokusí je provést bez role operátora MUA zálohování ve službě Resource Guard.

Poznámka:

Důrazně doporučujeme otestovat nastavení po povolení MUA, abyste měli jistotu, že:

• Chráněné operace jsou blokované podle očekávání.
• MUA je správně nakonfigurovaná.

Pokud chcete provést chráněnou operaci (zakázání MUA), postupujte takto:

1. V levém podokně přejděte do vlastností trezoru.>

2. Zrušte zaškrtnutí políčka a zakažte MUA.

   Zobrazí se oznámení, že se jedná o chráněnou operaci a potřebujete mít přístup ke službě Resource Guard.

3. Vyberte adresář obsahující Resource Guard a ověřte se sami.

   Tento krok nemusí být nutný, pokud je Resource Guard ve stejném adresáři jako úložiště.

4. Zvolte Uložit.

   Požadavek selže s chybou, že nemáte dostatečná oprávnění k provedení této operace ve službě Resource Guard.

   

Autorizace kritických (chráněných) operací pomocí služby Microsoft Entra Privileged Identity Management

Existují scénáře, ve kterých může být potřeba provádět kritické operace se zálohami a můžete je provádět se správnými schváleními nebo oprávněními pomocí MUA. V následujících částech se dozvíte, jak autorizovat žádosti o kritické operace pomocí piM (Privileged Identity Management).

Správce zálohování musí mít v rámci služby Resource Guard roli operátora SPRÁVY zálohování, aby mohl provádět kritické operace v oboru ochrany Resource Guard. Jedním ze způsobů, jak povolit operace za běhu (JIT), je použití služby Microsoft Entra Privileged Identity Management.

Poznámka:

Doporučujeme používat Microsoft Entra PIM. Můžete ale také použít ruční nebo vlastní metody ke správě přístupu pro správce zálohování na Resource Guard. Pokud chcete ručně spravovat přístup ke službě Resource Guard, použijte nastavení Řízení přístupu (IAM) v levém podokně ochrany Resource Guard a udělte správci zálohování roli operátora MUA zálohování.

Vytvoření oprávněného přiřazení pro správce zálohování pomocí služby Microsoft Entra Privileged Identity Management

Správce zabezpečení může pomocí PIM vytvořit oprávněné přiřazení pro správce zálohování jako operátor mu backup MUA pro ochranu prostředků. Toto umožňuje správci zálohování vznést žádost (pro roli operátora MUA zálohování), když potřebuje provést chráněnou operaci.

Pokud chcete vytvořit způsobilé přiřazení, postupujte takto:

1. Přihlaste se k portálu Azure.

2. Přejděte do tenanta zabezpečení služby Resource Guard a ve vyhledávání zadejte Privileged Identity Management.

3. V levém podokně vyberte Spravovat a přejděte na Prostředky Azure.

4. Vyberte prostředek (Resource Guard nebo předplatné/skupinu prostředků, které ho obsahují), ke kterému chcete přiřadit roli operátora zálohování MUA.

   Pokud nenajdete žádné odpovídající prostředky, přidejte obsahující předplatné, které spravuje PIM.

5. Vyberte zdroj a přejděte na Spravovat>Přiřazení>Přidat přiřazení.

   

6. V okně Přidat přiřazení:

   1. Vyberte roli jako Backup MUA Operátor.
   2. Přejděte na Vybrat členy a přidejte uživatelské jméno (nebo ID e-mailu) správce zálohování.
   3. Vyberte Další.

   

7. V části Zadání vyberte Oprávněné a zadejte dobu platnosti oprávnění.

8. Výběrem možnosti Přiřadit dokončíte vytváření oprávněného přiřazení.

   

Nastavení schvalovatelů pro aktivaci role Přispěvatel

Ve výchozím nastavení nemusí mít výše uvedené nastavení nakonfigurovaný schvalovatel (a požadavek na tok schválení) v PIM. Pokud chcete zajistit, aby schvalovatelé měli roli Přispěvatel pro schválení žádosti, musí správce zabezpečení postupovat takto:

Poznámka:

Pokud nastavení schvalovatele není nakonfigurované, žádosti se automaticky schválí, aniž by prošel správcem zabezpečení nebo kontrolou určeného schvalovatele. Další informace.

1. V Microsoft Entra PIM vyberte Azure Resources v levém podokně a vyberte svůj Resource Guard.

2. Přejděte do Nastavení>role Přispěvatel.

   

3. Výběrem Upravit přidáte posuzovatele, kteří musí zkontrolovat a schválit žádost o aktivaci pro roli Přispěvatel, pokud zjistíte, že schvalovatelé zobrazují Žádné nebo nesprávné schvalovatele.

4. Na kartě Aktivace vyberte možnost Vyžadovat schválení pro aktivaci a přidejte schvalovatele, kteří musí schválit každou žádost.

5. Vyberte možnosti zabezpečení, jako je vícefaktorové ověřování (MFA), požadování lístku pro aktivaci role Přispěvatel.

6. Podle vašeho požadavku vyberte příslušné možnosti na kartách Zadání a Oznámení .

   

7. Výběrem možnosti Aktualizovat dokončete nastavení schvalovatelů a aktivujte roli Přispěvatel .

Žádost o aktivaci oprávněného přiřazení za účelem provádění kritických operací

Jakmile správce zabezpečení vytvoří oprávněné přiřazení, musí správce zálohování aktivovat přiřazení role pro roli Přispěvatel, aby mohl provádět chráněné akce.

Pokud chcete aktivovat přiřazení role, postupujte takto:

1. Přejděte do služby Microsoft Entra Privileged Identity Management. Pokud se Resource Guard nachází v jiném adresáři, přepněte do tohoto adresáře a přejděte do Microsoft Entra Privileged Identity Management.

2. V levém podokně přejděte na Moje role>prostředky Azure.

3. Vyberte Aktivovat k aktivaci způsobilého úkolu pro roli Přispěvatel.

   Zobrazí se oznámení s oznámením, že se žádost odešle ke schválení.

   

Schválení žádostí o aktivaci za účelem provádění kritických operací

Jakmile správce zálohování vyvolá žádost o aktivaci role Přispěvatel, musí správce zabezpečení žádost zkontrolovat a schválit.

Pokud chcete žádost zkontrolovat a schválit, postupujte takto:

1. V zabezpečení přejděte na Microsoft Entra Privileged Identity Management.

2. Přejděte na Schválení žádostí.

3. V části Prostředky Azure uvidíte žádost čekající na schválení.

   Vyberte Schválit , pokud chcete zkontrolovat a schválit originální žádost.

Po schválení obdrží správce zálohování oznámení, že byla žádost schválena, prostřednictvím e-mailu nebo jiných interních možností upozornění. Správce zálohování teď může provádět chráněné operace pro požadované období.

Provedení chráněné operace po schválení

Jakmile správce zabezpečení schválí žádost správce zálohování o roli Operátor Backup MUA na Resource Guard, může provádět chráněné operace s přidruženým úložištěm. Pokud je Resource Guard v jiném adresáři, musí se správce zálohování ověřit sám.

Poznámka:

Pokud byl přístup přiřazen pomocí mechanismu JIT, je role operátora MUA zálohování odvolána na konci schváleného období. Jinak správce zabezpečení ručně odebere roli operátora MUA zálohování, která je přiřazena správci zálohování, aby mohl provést kritickou operaci.

Následující snímek obrazovky ukazuje příklad zakázání softwarového odstranění pro trezor se zapnutou funkcí MUA.

Zakázat MUA v úložišti záloh

Zakázání MUA je chráněná operace, kterou musí provést jenom správce zálohování. K tomu musí mít správce zálohování v Resource Guard požadovanou roli operátora MUA zálohování. Aby mohl správce zálohování získat toto oprávnění, musí nejprve požádat správce zabezpečení o roli Backup MUA Operator na Resource Guard pomocí just-in-time (JIT) procedury, jako je Microsoft Entra Privileged Identity Management nebo interní nástroje.

Správce zabezpečení pak schválí žádost, pokud je skutečná, a informuje správce zálohování, který má nyní roli operátora MUA zálohování na ochraně prostředků. Přečtěte si další informace o tom, jak tuto roli získat.

Aby zálohy správci mohli deaktivovat MUA, musí postupovat takto:

1. Přejděte do trezoru >Vlastnosti>Autorizace více uživatelů.

2. Zaškrtněte políčko Aktualizovat a zrušte zaškrtnutí políčka Chránit pomocí služby Resource Guard .

3. Vyberte Ověřit (pokud je to možné) a zvolte adresář, který obsahuje Resource Guard, a ověřte přístup.

4. Výběrem možnosti Uložit dokončete proces zakázání MUA.

   

Další kroky

Přečtěte si další informace o autorizaci více uživatelů pomocí služby Resource Guard.