Configuración de la autorización multiusuario mediante Resource Guard en Azure Backup

En este artículo se explica cómo configurar la autorización multiusuario (MUA) de Azure Backup a fin de agregar una capa adicional de protección a las operaciones críticas en los almacenes de Recovery Services.

En este artículo se muestra cómo crear una instancia de Resource Guard en otro inquilino que ofrece la máxima protección. También se muestra cómo solicitar y aprobar solicitudes para realizar operaciones críticas mediante Microsoft Entra Privileged Identity Management en el inquilino que hospeda la instancia de Resource Guard. De manera opcional, puede usar otros mecanismos para administrar los permisos JIT en Resource Guard según la configuración.

Nota:

• La autorización multiusuario para Azure Backup está disponible en todas las regiones públicas de Azure.
• Se agregó compatibilidad con la autorización multiusuario mediante Resource Guard para el almacén de Backup. Más información.

Antes de comenzar

• Asegúrese de que Resource Guard y el almacén de Recovery Services estén en la misma región de Azure.
• Asegúrese de que el administrador de Backup no tenga permisos de Colaborador en Resource Guard. Puede optar por tener Resource Guard en otra suscripción del mismo directorio, o en otro directorio para garantizar el aislamiento máximo.
• Asegúrese de que las suscripciones que contienen el almacén de Recovery Services, así como la Protección de recursos (en diferentes suscripciones o inquilinos) están registradas para usar los proveedores Microsoft.RecoveryServices y Microsoft.DataProtection. Para más información, vea Tipos y proveedores de recursos de Azure.

Obtenga información sobre distintos escenarios de uso de MUA.

Creación de una instancia de Resource Guard

El administrador de seguridad crea la instancia de Resource Guard. Se recomienda crearlo en una suscripción diferente o en un inquilino diferente que el almacén. Sin embargo, debe estar en la misma región que el almacén. El administrador de copia de seguridad NO debe tener acceso de Colaborador en Resource Guard ni en la suscripción que lo contiene.

Elección de un cliente

Azure Portal

Para crear la instancia de Resource Guard en un inquilino diferente al del almacén, siga estos pasos:

1. En Azure Portal, vaya al directorio en el que quiere crear la instancia de Resource Guard.

   

2. Busque Protecciones de recursos en la barra de búsqueda y seleccione el elemento correspondiente en la lista desplegable.

   

   • Seleccione Crear para comenzar a crear una instancia de Resource Guard.
   • En la hoja Crear, rellene los detalles necesarios para esta instancia de Resource Guard.
     • Asegúrese de que Resource Guard esté en las mismas regiones de Azure que el almacén de Recovery Services.
     • Además, resulta útil agregar una descripción de cómo obtener o solicitar acceso para realizar acciones en almacenes asociados en caso necesario. Esta descripción también aparecería en los almacenes asociados para guiar al administrador de copia de seguridad sobre cómo obtener los permisos necesarios. Puede editar la descripción más adelante si es necesario, pero se recomienda tener una descripción bien definida en todo momento.

3. En la pestaña Operaciones protegidas, seleccione las operaciones que necesita proteger mediante esta instancia de Resource Guard.

   También puede seleccionar las operaciones que se van a proteger después de crear la instancia de Resource Guard.

4. De manera opcional, agregue las etiquetas a Resource Guard según los requisitos.

5. Seleccione Revisar y crear y siga las notificaciones sobre el estado y la creación correcta de la instancia de Resource Guard.

PowerShell

Para crear una protección de recursos, ejecute el siguiente cmdlet:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

Para crear una protección de recursos, ejecute el siguiente comando:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Selección de las operaciones que se protegerán mediante Resource Guard

Entre todas las operaciones críticas admitidas, elija aquellas que quiere proteger mediante Resource Guard. De manera predeterminada, todas las operaciones críticas admitidas están habilitadas. Pero el administrador de seguridad puede excluir determinadas operaciones del ámbito de MUA mediante Resource Guard.

Elección de un cliente

Azure Portal

Para excluir operaciones, siga estos pasos:

1. En la instancia de Resource Guard creada anteriormente, vaya a la pestaña Propiedades>Almacén de Recovery Services.

2. Seleccione Deshabilitar en las operaciones que quiere excluir de la autorización mediante Resource Guard.

   Nota

   No puede deshabilitar las operaciones protegidas: Deshabilitar la eliminación temporal y Quitar la protección de MUA.

3. De manera opcional, también puede actualizar la descripción de Resource Guard mediante esta hoja.

4. Seleccione Guardar.

   

PowerShell

Para actualizar las operaciones. Estas excluyen las operaciones de protección por la protección de recursos y ejecutan los siguientes cmdlets:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• El primer comando captura la protección de recursos que se debe actualizar.
• Los comandos segundo y tercero capturan las operaciones críticas que quiere actualizar.
• El cuarto comando excluye algunas operaciones críticas de la protección de recursos.

CLI

Para actualizar las operaciones que se van a excluir de la protección de recursos, ejecute los siguientes comandos:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Ejemplo:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Asignación de permisos al administrador de copia de seguridad en Resource Guard para habilitar MUA

Para habilitar MUA en un almacén, el administrador del almacén debe tener el rol Lector en la instancia de Resource Guard o en la suscripción que contiene la instancia de Resource Guard. Para asignar el rol Lector en Resource Guard:

1. En la instancia de Resource Guard creada anteriormente, vaya a la hoja Control de acceso (IAM) y luego a Agregar asignación de roles.

   

2. Seleccione Lector en la lista de roles integrados y luego Siguiente.

   

3. Haga clic en Seleccionar miembros y agregue el identificador de correo electrónico del administrador de copia de seguridad para agregarlos como Lector. Puesto que, en este caso, el administrador de Backup está en otro inquilino, se agrega como invitado al inquilino que contiene la instancia de Resource Guard.

4. Haga clic en Seleccionar y vaya a Review + assign (Revisar y asignar) para finalizar la asignación de roles.

   

Habilitación de MUA en un almacén de Recovery Services

Una vez completada la asignación de rol de Lector en Resource Guard, habilite la autorización multiusuario en almacenes (como administrador de copia de seguridad) que usted administre.

Elección de un cliente

Azure Portal

Para habilitar MUA en los almacenes, siga estos pasos.

1. Vaya al almacén de Recovery Services. Vaya a Propiedades en el panel de navegación izquierdo, luego a Autorización multiusuario y seleccione Actualizar.

   

2. Ahora se le presenta la opción para habilitar MUA y elegir una instancia de Resource Guard mediante uno de estos métodos:

   • Puede especificar el URI de Resource Guard, asegúrese de especificar el URI de una instancia de Resource Guard a la que tenga acceso de Lector y que esté en las mismas regiones que el almacén. Puede encontrar el URI (id. de Resource Guard) de Resource Guard en su pantalla Información general:

     

   • O bien, puede seleccionar la instancia de Resource Guard en la lista de instancias de Resource Guard en las que tiene acceso de Lector y que estén disponibles en la región.

     1. Haga clic en Seleccionar Protección de recursos.
     2. Seleccione la lista desplegable y elija el directorio en el que se encuentra la instancia de Resource Guard.
     3. Seleccione Autenticar para validar la identidad y el acceso.
     4. Después de la autenticación, elija Resource Guard en la lista que aparece.

     

3. Cuando haya terminado de habilitar MUA, seleccione Guardar.

   

PowerShell

Para habilitar MUA en un almacén de Recovery Services, ejecute el siguiente cmdlet:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• El primer comando captura el token de acceso para el inquilino de protección de recursos donde está presente la protección de recursos.
• El segundo comando crea una asignación entre el $vault de RSVault y Resource Guard.

Nota

El parámetro de token es opcional y solo es necesario para autenticar operaciones protegidas entre inquilinos.

CLI

Para habilitar MUA en un almacén de Recovery Services, ejecute el siguiente comando:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

El identificador de inquilino es necesario si la protección de recursos existe en un inquilino diferente.

Ejemplo:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

Operaciones protegidas mediante MUA

Una vez que se ha habilitado MUA, las operaciones incluidas en el ámbito se restringen en el almacén si el administrador de Backup intenta realizarlas sin tener el rol necesario (es decir, el rol Colaborador) en la instancia de Resource Guard.

Nota

Se recomienda encarecidamente probar la configuración después de habilitar MUA para asegurarse de que las operaciones protegidas se bloqueen según lo previsto, y de que MUA esté configurada correctamente.

A continuación se ilustra lo que sucede cuando el administrador de la copia de seguridad intenta realizar una operación protegida de este tipo (por ejemplo, aquí se muestra la deshabilitación de la eliminación temporal. Con otras operaciones protegidas ocurre algo parecido). Un administrador de copia de seguridad realiza los pasos siguientes sin los permisos necesarios.

1. Para deshabilitar la eliminación temporal, vaya al almacén de Recovery Services >Propiedades>Configuración de seguridad y seleccione Actualizar, con lo que se abre la configuración de seguridad.

2. Deshabilite la eliminación temporal con el control deslizante. Se le comunica que se trata de una operación protegida y que tiene que comprobar su acceso a la instancia de Resource Guard.

3. Seleccione el directorio que contiene la instancia de Resource Guard y autentíquese. Es posible que este paso no sea necesario si la instancia de Resource Guard está en el mismo directorio que el almacén.

4. Continúe para seleccionar Guardar. Se produce un error en la solicitud, que le informa de que no tiene permisos suficientes en Resource Guard para poder realizar esta operación.

   

Autorización de operaciones críticas (protegidas) mediante Microsoft Entra Privileged Identity Management

En las secciones siguientes se habla de la autorización de estas solicitudes mediante PIM. Hay casos en los que es posible que tenga que realizar operaciones críticas en las copias de seguridad, y MUA puede ayudarle a asegurarse de que se realicen solo cuando existan las aprobaciones o permisos correctos. Como se ha mencionado anteriormente, el administrador de copia de seguridad debe tener un rol de Colaborador en la instancia de Resource Guard para realizar operaciones críticas que se encuentren en el ámbito de Resource Guard. Una de las maneras de permitir Just-In-Time para estas operaciones es mediante el uso de Microsoft Entra Privileged Identity Management.

Nota:

Si bien Microsoft Entra PIM es el enfoque recomendado, puede usar métodos manuales o personalizados para administrar el acceso del administrador de copia de seguridad en Resource Guard. Para administrar manualmente el acceso a Resource Guard, use la opción "Control de acceso (IAM)" en la barra de navegación izquierda de Resource Guard y conceda el rol Colaborador al administrador de copia de seguridad.

Creación de una asignación apta para el administrador de copia de seguridad (si usa Microsoft Entra Privileged Identity Management)

El administrador de seguridad puede usar PIM para crear una asignación apta para el administrador de Backup como Colaborador en la instancia de Resource Guard. Esto permite al administrador de copia de seguridad generar una solicitud (para el rol Colaborador) cuando tenga que realizar una operación protegida. Para ello, el administrador de seguridad realiza lo siguiente:

1. En el inquilino de seguridad (que contiene la instancia de Resource Guard), vaya a Privileged Identity Management (busque esto en la barra de búsqueda de Azure Portal) y luego vaya a Recursos de Azure (en Administrar, en el menú izquierdo).

2. Seleccione el recurso (Resource Guard o la suscripción que lo contiene) al que desea asignar el rol Colaborador.

   Si no ve el recurso correspondiente en la lista de recursos, asegúrese de agregar la suscripción correspondiente que va a administrar PIM.

3. En el recurso seleccionado, vaya a Asignaciones (en Administrar, en el menú izquierdo) y luego a Agregar asignaciones.

   

4. En Agregar asignaciones:

   1. Seleccione el rol como Colaborador.
   2. Vaya a Seleccionar miembros y agregue el nombre de usuario (o identificadores de correo electrónico) del administrador de Backup.
   3. Seleccione Siguiente.

   

5. En la pantalla siguiente:

   1. En Tipo de asignación, elija Elegible.
   2. Especifique el plazo durante el cual el permiso apto será válido.
   3. Seleccione Asignar para terminar de crear la asignación apta.

   

Configuración de aprobadores para la activación del rol Colaborador

De manera predeterminada, es posible que la configuración anterior no tenga un aprobador (y un requisito de flujo de aprobación) configurado en PIM. Para asegurarse de que se exijan aprobadores para permitir que solo avancen las solicitudes autorizadas, el administrador de seguridad debe realizar los pasos siguientes.

Nota

Si esto no se configura, las solicitudes se aprueban automáticamente sin pasar por los administradores de seguridad ni por una revisión por parte de un aprobador designado. Puede encontrar más detalles sobre esto aquí.

1. En Microsoft Entra PIM, seleccione Recursos de Azure en la barra de navegación izquierda y seleccione la instancia de Resource Guard.

2. Vaya a Configuración y luego al rol Colaborador.

   

3. Si el valor Aprobadores aparece como Ninguno o se muestran aprobadores incorrectos, seleccione Editar para agregar los revisores que tendrían que revisar y aprobar la solicitud de activación del rol Colaborador.

4. En la pestaña Activación, seleccione Se requiere aprobación para activar y agregue los aprobadores que tienen que aprobar cada solicitud. También puede seleccionar otras opciones de seguridad, como usar MFA y exigir opciones de vale para activar el rol Colaborador. De manera opcional, seleccione la configuración pertinente en las pestañas Asignación y Notificación según sus requisitos.

   

5. Seleccione Actualizar cuando termine.

Solicitud de activación de una asignación apta para realizar operaciones críticas

Una vez que el administrador de seguridad crea una asignación apta, el administrador de copia de seguridad debe activar la asignación del rol Colaborador para poder realizar acciones protegidas. El administrador de copia de seguridad realiza las siguientes acciones para activar la asignación de roles.

1. Vaya a Microsoft Entra Privileged Identity Management. Si la instancia de Resource Guard está en otro directorio, cambie a ese directorio y vaya a Microsoft Entra Privileged Identity Management.

2. Vaya a Mis roles>Recursos de Azure en el menú izquierdo.

3. El administrador de copia de seguridad puede ver una asignación apta para el rol Colaborador. Seleccione Activar para activarla.

4. El administrador de copia de seguridad recibe una notificación en el portal acerca de que la solicitud se envía para su aprobación.

   

Aprobación de la activación de solicitudes para realizar operaciones críticas

Una vez que el administrador de copia de seguridad genera una solicitud para activar el rol Colaborador, el administrador de seguridad revisará y aprobará la solicitud.

1. En el inquilino de seguridad, vaya a Microsoft Entra Privileged Identity Management.
2. Vaya a Aprobar solicitudes.
3. En Recursos de Azure, se puede ver la solicitud generada por el administrador de copia de seguridad, que solicita la activación como Colaborador.
4. Revise la solicitud. Si es auténtica, seleccione la solicitud y luego Aprobar para aprobarla.
5. El administrador de correo electrónico recibe una notificación por correo electrónico (u otros mecanismos de alerta de la organización) de que su solicitud ya está aprobada.
6. Una vez aprobada, el administrador de copia de seguridad puede realizar operaciones protegidas durante el período solicitado.

Realización de una operación protegida tras su aprobación

Una vez aprobada la solicitud del administrador de copia de seguridad para el rol Colaborador en la instancia de Resource Guard, este puede realizar operaciones protegidas en el almacén asociado. Si la instancia de Resource Guard está en otro directorio, el administrador de copia de seguridad tendría que autenticarse.

Nota:

Si el acceso se asignó mediante un mecanismo JIT, el rol Colaborador se retirará al final del período aprobado. De lo contrario, el administrador de seguridad quita manualmente el rol Colaborador asignado al administrador de copia de seguridad para realizar la operación crítica.

La siguiente captura de pantalla muestra un ejemplo de deshabilitar la eliminación temporal para un almacén habilitado para MUA.

Deshabilitación de MUA en un almacén de Recovery Services

Deshabilitar MUA es una operación protegida y, por lo tanto, los almacenes se protegen mediante MUA. Si el administrador de copia de seguridad quiere deshabilitar MUA, debe tener el rol de Colaborador necesario en Resource Guard.

Elección de un cliente

Azure Portal

Para deshabilitar MUA en un almacén, siga estos pasos:

1. El administrador de copia de seguridad solicita al administrador de seguridad el rol Colaborador en la instancia de Resource Guard. Puede solicitarlo para usar los métodos aprobados por la organización, como los procedimientos JIT, por ejemplo, Microsoft Entra Privileged Identity Management, u otros procedimientos y herramientas internos.

2. El administrador de seguridad aprueba la solicitud (si decide que merece ser aprobada) e informa al administrador de copia de seguridad. Ahora, el administrador de copia de seguridad tiene el rol "Colaborador" en la instancia de Resource Guard.

3. El administrador de Backup va al almacén >Propiedades>Autorización multiusuario.

4. Selecciona Actualización.

   1. Desactive la casilla Proteger con Protección de recursos.
   2. Elija el directorio que contiene la instancia de Resource Guard y compruebe el acceso mediante el botón Autenticar (si procede).
   3. Después de la autenticación, seleccione Guardar. Con el acceso correcto, la solicitud debería completarse correctamente.

   

PowerShell

Para deshabilitar MUA en un almacén de Recovery Services, use el siguiente cmdlet:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• El primer comando captura el token de acceso para el inquilino de protección de recursos donde está presente la protección de recursos.
• El segundo comando elimina la asignación entre el almacén de Recovery Services y la protección de recursos.

Nota

El parámetro de token es opcional y solo es necesario para autenticar las operaciones protegidas entre inquilinos.

CLI

Para deshabilitar MUA en un almacén de Recovery Services, ejecute el siguiente comando:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

El identificador de inquilino es necesario si la protección de recursos existe en un inquilino diferente.

Ejemplo:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

En este artículo se explica cómo configurar la autorización multiusuario (MUA) de Azure Backup a fin de agregar una capa adicional de protección a las operaciones críticas en el almacén de Backup.

En este artículo se muestra cómo crear una instancia de Resource Guard en otro inquilino que ofrece la máxima protección. También se muestra cómo solicitar y aprobar solicitudes para realizar operaciones críticas mediante Microsoft Entra Privileged Identity Management en el inquilino que hospeda la instancia de Resource Guard. De manera opcional, puede usar otros mecanismos para administrar los permisos JIT en Resource Guard según la configuración.

Nota:

• Se agregó compatibilidad con la autorización multiusuario mediante Resource Guard para el almacén de Backup.
• La autorización multiusuario para Azure Backup está disponible en todas las regiones públicas de Azure.

Antes de comenzar

• Asegúrese de que Resource Guard y el almacén de Backup estén en la misma región de Azure.
• Asegúrese de que el administrador de Backup no tenga permisos de Colaborador en Resource Guard. Puede optar por tener Resource Guard en otra suscripción del mismo directorio, o en otro directorio para garantizar el aislamiento máximo.
• Asegúrese de que las suscripciones que contienen el almacén de Backup y la instancia de Resource Guard (en otras suscripciones o inquilinos) estén registradas para usar el proveedor - Microsoft.DataProtection4. Para más información, vea Tipos y proveedores de recursos de Azure.

Obtenga información sobre distintos escenarios de uso de MUA.

Creación de una instancia de Resource Guard

El administrador de seguridad crea la instancia de Resource Guard. Se recomienda crearlo en una suscripción diferente o en un inquilino diferente que el almacén. Sin embargo, debe estar en la misma región que el almacén.

El administrador de copia de seguridad NO debe tener acceso de Colaborador en Resource Guard ni en la suscripción que lo contiene.

Para crear la instancia de Resource Guard en un inquilino diferente al del almacén como administrador de seguridad, siga estos pasos:

1. En Azure Portal, vaya al directorio en el que quiere crear la instancia de Resource Guard.

   

2. Busque Protecciones de recursos en la barra de búsqueda y seleccione el elemento correspondiente en la lista desplegable.

   

   1. Seleccione Crear para crear una instancia de Resource Guard.
   2. En la hoja Crear, rellene los detalles necesarios para esta instancia de Resource Guard.
      • Asegúrese de que la instancia de Resource Guard y el almacén de Backup estén en las misma región de Azure.
      • Agregue una descripción de cómo solicitar acceso para realizar acciones en almacenes asociados en caso necesario. Esta descripción aparece en los almacenes asociados para guiar al administrador de Backup a la hora de obtener los permisos necesarios.

3. En la pestaña Operaciones protegidas, seleccione las operaciones que necesita proteger mediante esta instancia de Resource Guard en la pestaña Almacén de Backup.

   Actualmente, la pestaña Operaciones protegidas incluye solo la opción Eliminar instancia de Backup para su deshabilitación.

   También puede seleccionar las operaciones que se van a proteger después de crear la instancia de Resource Guard.

   

4. De manera opcional, agregue etiquetas a la instancia de Resource Guard según los requisitos.

5. Seleccione Revisar y crear y luego siga las notificaciones para supervisar el estado y una creación correcta de la instancia de Resource Guard.

Selección de las operaciones que se protegerán mediante Resource Guard

Después de la creación del almacén, el administrador de seguridad también puede elegir las operaciones que se van a proteger mediante Resource Guard entre todas las operaciones críticas admitidas. De manera predeterminada, todas las operaciones críticas admitidas están habilitadas. Pero el administrador de seguridad puede excluir determinadas operaciones del ámbito de MUA mediante Resource Guard.

Para seleccionar las operaciones que se van a proteger, siga estos pasos:

1. En la instancia de Resource Guard que ha creado, vaya a la pestaña Propiedades>Almacén de Backup.

2. Seleccione Deshabilitar en las operaciones que quiere excluir de la autorización.

   No puede deshabilitar las operaciones Eliminar la protección de MUA y Deshabilitar la eliminación temporal.

3. Opcionalmente, en la pestaña Almacenes de Backup, actualice la descripción de la instancia de Resource Guard.

4. Seleccione Guardar.

   

Asignación de permisos al administrador de copia de seguridad en Resource Guard para habilitar MUA

Para habilitar MUA en un almacén, el administrador de Backup debe tener el rol Lector en la instancia de Resource Guard o en la suscripción que contiene la instancia de Resource Guard. El administrador de seguridad debe asignar este rol al administrador de Backup.

Para asignar el rol Lector en la instancia de Resource Guard, siga estos pasos:

1. En la instancia de Resource Guard creada anteriormente, vaya a la hoja Control de acceso (IAM) y luego a Agregar asignación de roles.

   

2. Seleccione Lector en la lista de roles integrados y luego Siguiente.

   

3. Haga clic en Seleccionar miembros y agregue el identificador de correo electrónico del administrador de Backup para asignar el rol Lector.

   Si los administradores de Backup están en otro inquilino, se agregan como invitados al inquilino que contiene la instancia de Resource Guard.

4. Para completar la asignación de roles, haga clic en Seleccionar>Revisar y asignar.

   

Habilitación de MUA en un almacén de Backup

Una vez que el administrador de Backup tiene el rol Lector en la instancia de Resource Guard, puede habilitar la autorización multiusuario en almacenes administrados mediante estos pasos:

1. Vaya al almacén de Backup en el que quiere configurar MUA.

2. En el panel izquierdo, seleccione Propiedades.

3. Vaya a Autorización multiusuario y seleccione Actualizar.

   

4. Para habilitar MUA y elegir una instancia de Resource Guard, realice una de las siguientes acciones:

   • Puede especificar el URI de la instancia de Resource Guard. Asegúrese de especificar el URI de una instancia de Resource Guard en la que tenga acceso de Lector y que se encuentre en las misma región que el almacén. Puede encontrar el URI (id. de Resource Guard) de Resource Guard en su página de información general.

     

   • O bien, puede seleccionar la instancia de Resource Guard en la lista de instancias de Resource Guard en las que tiene acceso de Lector y que estén disponibles en la región.

     1. Haga clic en Seleccionar Protección de recursos.
     2. Seleccione la lista desplegable y luego el directorio en el que se encuentra la instancia de Resource Guard.
     3. Seleccione Autenticar para validar la identidad y el acceso.
     4. Después de la autenticación, elija Resource Guard en la lista que aparece.

     

5. Seleccione Guardar para habilitar MUA.

   

Operaciones protegidas mediante MUA

Una vez que el administrador de Backup habilita MUA, las operaciones incluidas en el ámbito se restringen en el almacén y muestran un error si el administrador de Backup intenta realizarlas sin tener el rol Colaborador en la instancia de Resource Guard.

Nota

Se recomienda encarecidamente probar la configuración después de habilitar MUA para asegurarse de que:

• Las operaciones protegidas se bloquean según lo previsto.
• MUA está configurada correctamente.

Para realizar una operación protegida (deshabilitar MUA), siga estos pasos:

1. Vaya al almacén >Propiedades en el panel izquierdo.

2. Para deshabilitar MUA, desactive la casilla.

   Se recibe una notificación de que se trata de una operación protegida y de que debe tener acceso a la instancia de Resource Guard.

3. Seleccione el directorio que contiene la instancia de Resource Guard y autentíquese.

   Es posible que este paso no sea necesario si la instancia de Resource Guard está en el mismo directorio que el almacén.

4. Seleccione Guardar.

   Se produce un error en la solicitud que indica que no tiene permisos suficientes en la instancia de Resource Guard para realizar esta operación.

   

Autorización de operaciones críticas (protegidas) mediante Microsoft Entra Privileged Identity Management

Hay escenarios en los que es posible que tenga que realizar operaciones críticas en las copias de seguridad y pueda hacerlo con las aprobaciones o permisos adecuados con MUA. En las secciones siguientes se explica cómo autorizar las solicitudes de operaciones críticas mediante Privileged Identity Management (PIM).

El administrador de Backup debe tener el rol Colaborador en la instancia de Resource Guard para realizar operaciones críticas del ámbito de Resource Guard. Una de las maneras de permitir operaciones Just-In-Time (JIT) es mediante el uso de Microsoft Entra Privileged Identity Management.

Nota:

Se recomienda usar Microsoft Entra PIM. Pero también puede usar métodos manuales o personalizados para administrar el acceso del administrador de Backup en la instancia de Resource Guard. Para administrar manualmente el acceso a la instancia de Resource Guard, use la opción Control de acceso (IAM) en el panel izquierdo de la instancia de Resource Guard y conceda el rol Colaborador al administrador de Backup.

Creación de una asignación apta para el administrador de Backup mediante Microsoft Entra Privileged Identity Management

El administrador de seguridad puede usar PIM para crear una asignación apta para el administrador de Backup como Colaborador en la instancia de Resource Guard. Esto permite al administrador de copia de seguridad generar una solicitud (para el rol Colaborador) cuando tenga que realizar una operación protegida.

Para crear una asignación apta, siga los pasos:

1. Inicie sesión en Azure Portal.

2. Vaya al inquilino de seguridad de Resource Guard y, en la búsqueda, escriba Privileged Identity Management.

3. En el panel izquierdo, seleccione Administrar e ir a Recursos de Azure.

4. Seleccione el recurso (Resource Guard o la suscripción que lo contiene) al que desea asignar el rol Colaborador.

   Si no encuentra ningún recurso correspondiente, agregue la suscripción contenedora administrada mediante PIM.

5. Seleccione el recurso y vaya a Administrar>Asignaciones>Agregar asignaciones.

   

6. En Agregar asignaciones:

   1. Seleccione el rol como Colaborador.
   2. Vaya a Seleccionar miembros y agregue el nombre de usuario (o identificadores de correo electrónico) del administrador de Backup.
   3. Seleccione Siguiente.

   

7. En Asignación, seleccione Elegible y especifique la validez de la duración del permiso apto.

8. Seleccione Asignar para terminar de crear la asignación apta.

   

Configuración de aprobadores para la activación del rol Colaborador

De manera predeterminada, es posible que la configuración anterior no tenga un aprobador (ni un requisito de flujo de aprobación) configurado en PIM. Para asegurarse de que los aprobadores tengan el rol Colaborador para la aprobación de solicitudes, el administrador de seguridad debe seguir estos pasos:

Nota

Si no se configura el aprobador, las solicitudes se aprueban automáticamente sin pasar por los administradores de seguridad ni por una revisión por parte de un aprobador designado. Más información.

1. En Microsoft Entra PIM, seleccione Recursos de Azure en el panel izquierdo y luego la instancia de Resource Guard.

2. Vaya al rol Configuración>Colaborador.

   

3. Seleccione Editar para agregar los revisores que deben revisar y aprobar la solicitud de activación del rol Colaborador en caso de que Aprobadores muestre Ninguno o aprobadores incorrectos.

4. En la pestaña Activación, seleccione Se requiere aprobación para activar para agregar los aprobadores que tienen que aprobar cada solicitud.

5. Seleccione opciones de seguridad, como Autenticación multifactor (MFA), Solicitar ticket para activar el rol de Colaborador.

6. Seleccione las opciones adecuadas en las pestañas Asignación y Notificación según sus requisitos.

   

7. Seleccione Actualizar para completar la configuración de aprobadores para activar el rol Colaborador.

Solicitud de activación de una asignación apta para realizar operaciones críticas

Una vez que el administrador de seguridad crea una asignación apta, el administrador de Backup debe activar la asignación de roles del rol Colaborador para realizar acciones protegidas.

Para activar la asignación de roles, siga los pasos:

1. Vaya a Microsoft Entra Privileged Identity Management. Si la instancia de Resource Guard está en otro directorio, cambie a ese directorio y vaya a Microsoft Entra Privileged Identity Management.

2. Vaya a Mis roles>Recursos de Azure en el panel izquierdo.

3. Seleccione Activar para activar la asignación apta en el rol Colaborador.

   Aparece una notificación que notifica que la solicitud se envía para su aprobación.

   

Aprobación de solicitudes de activación para realizar operaciones críticas

Una vez que el administrador de Backup genera una solicitud para activar el rol Colaborador, el administrador de seguridad debe revisar y aprobar la solicitud.

Para revisar y aprobar la solicitud, siga estos pasos:

1. En el inquilino de seguridad, vaya a Microsoft Entra Privileged Identity Management.

2. Vaya a Aprobar solicitudes.

3. En Recursos de Azure, puede ver la solicitud en espera de aprobación.

   Seleccione Aprobar para revisar y aprobar la solicitud auténtica.

Después de la aprobación, el administrador de Backup recibe una notificación, por correo electrónico u otras opciones de alerta internas, de que la solicitud se ha aprobado. Ahora, el administrador de Backup puede realizar las operaciones protegidas durante el período solicitado.

Realización de una operación protegida tras su aprobación

Una vez que el administrador de seguridad aprueba la solicitud del administrador de Backup del rol Colaborador en la instancia de Resource Guard, este puede realizar operaciones protegidas en el almacén asociado. Si la instancia de Resource Guard está en otro directorio, el administrador de Backup debe autenticarse a sí mismo.

Nota:

Si el acceso se asignó mediante un mecanismo JIT, el rol Colaborador se retirará al final del período aprobado. De lo contrario, el administrador de seguridad quita manualmente el rol Colaborador asignado al administrador de Backup para realizar la operación crítica.

En la siguiente captura de pantalla se muestra un ejemplo de deshabilitación de la eliminación temporal de un almacén habilitado para MUA.

Deshabilitación de MUA en un almacén de Backup

La deshabilitación de MUA es una operación protegida que solo debe realizar el administrador de Backup. Para ello, el administrador de Backup debe tener el rol Colaborador necesario en la instancia de Resource Guard. Para obtener este permiso, el administrador de Backup primero debe solicitar al administrador de seguridad el rol Colaborador en la instancia de Resource Guard mediante el procedimiento Just-In-Time (JIT), como Microsoft Entra Privileged Identity Management o herramientas internas.

A continuación, el administrador de seguridad aprueba la solicitud si es auténtica y comunica al administrador de Backup que ya tiene el rol Colaborador en la instancia de Resource Guard. Obtenga más información sobre cómo obtener este rol.

Para deshabilitar MUA, los administradores de Backup deben seguir estos pasos:

1. Vaya al almacén >Propiedades >Autorización multiusuario.

2. Seleccione Actualizar y desactive la casilla Proteger con Resource Guard.

3. Seleccione Autenticar (si procede) para elegir el directorio que contiene la instancia de Resource Guard y compruebe el acceso.

4. Seleccione Guardar para completar el proceso de deshabilitación de MUA.

   

Pasos siguientes

Obtenga más información sobre la autorización multiusuario mediante Resource Guard.