Többfelhasználós engedélyezés konfigurálása a Resource Guard használatával az Azure Backupban

Ez a cikk azt ismerteti, hogyan konfigurálhatja a többfelhasználós engedélyezést (MUA) az Azure Backuphoz a Recovery Services-tárolókon végzett kritikus műveletek biztonságának növelése érdekében. Ismerteti a Resource Guard létrehozását egy külön bérlőben a maximális védelem érdekében, és bemutatja, hogyan kérhet és hagyhat jóvá kritikus művelethozzáférést a Resource Guardot üzemeltető bérlőn belüli Microsoft Entra Privileged Identity Management használatával. Másik lehetőségként más módszerekkel is kezelheti az igény szerinti (JIT) engedélyeket a szervezeti beállítások alapján.

Feljegyzés

• Az Azure Backup többfelhasználós engedélyezése minden globális Azure-régióban elérhető.
• A Resource Guard for Backup-tárolóval történő többfelhasználós engedélyezés általánosan elérhető. További információ.

Előfeltételek

Mielőtt többfelhasználós hitelesítést konfigurál egy Recovery Services-tárolóhoz, győződjön meg arról, hogy a következő előfeltételek teljesülnek:

• A Resource Guardnak és a Recovery Services-tárolónak ugyanabban az Azure-régióban kell lennie.
• A biztonsági mentési rendszergazda nem rendelkezhet közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel a Resource Guardon. A maximális elkülönítés érdekében választhatja, hogy a Resource Guard egy másik előfizetésben legyen ugyanahhoz a címtárhoz, vagy egy másik címtárhoz.
• A Recovery Services-tárolót tartalmazó előfizetéseket, valamint a különböző előfizetésekben vagy bérlőkben lévő Resource Guardot regisztrálni kell ahhoz, hogy használni lehessen a szolgáltatókat: Microsoft.RecoveryServices és Microsoft.DataProtection. További információ: Azure-erőforrás-szolgáltatók és -típusok.

Ismerje meg a MUA különböző használati forgatókönyveit.

Resource Guard létrehozása

A biztonsági rendszergazda létrehozza a Resource Guardot. Javasoljuk, hogy a tárolót egy másik előfizetésben vagy egy másik bérlői fiókban hozza létre. Ennek azonban ugyanabban a régióban kell lennie, mint a tároló. A biztonsági mentési rendszergazdának NEM lehet közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori hozzáférése a Resource Guardon vagy az azt tartalmazó előfizetésen.

Ügyfél kiválasztása

Azure portál

Ha a Resource-Guardot a tároló bérlőjétől eltérő bérlőnél szeretné létrehozni, kövesse az alábbi lépéseket:

1. Az Azure Portalon lépjen arra a könyvtárra, amely alatt létre szeretné hozni a Resource Guardot.

   

2. Keressen erőforrás-őröket a keresősávban, majd válassza ki a megfelelő elemet a legördülő listából.

   

   • Válassza a Létrehozás lehetőséget a Resource Guard létrehozásának megkezdéséhez.
   • A Létrehozás panelen adja meg a Resource Guardhoz szükséges adatokat.
     • Győződjön meg arról, hogy a Resource Guard ugyanabban az Azure-régióban van, mint a Recovery Services-tároló.
     • Emellett hasznos lehet leírást mellékelni arról, hogyan szerezhet vagy igényelhet hozzáférést a társított tárolókon végzett műveletekhez, ha szükséges. Ez a leírás a társított tárolókban is megjelenik, hogy a biztonsági mentési rendszergazda útmutatást kapjon a szükséges engedélyek beszerzéséhez. Szükség esetén később is szerkesztheti a leírást, de mindig javasolt egy jól definiált leírás.

3. A Védett műveletek lapon válassza ki azokat a műveleteket, amelyekre szüksége van az erőforrás-védő használatával történő védelemhez.

   Az erőforrás-védő létrehozása után a védelmi műveleteket is kiválaszthatja.

4. Igény szerint adjon hozzá címkéket a Resource Guardhoz a követelményeknek megfelelően

5. Válassza a Felülvizsgálat + Létrehozás lehetőséget, és kövesse az értesítéseket a Resource Guard állapotára és sikeres létrehozására vonatkozóan.

PowerShell

Erőforrás-védő létrehozásához futtassa a következő parancsmagot:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

Parancssori felület

Erőforrás-védő létrehozásához futtassa a következő parancsot:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

A Resource Guard használatával védelmet biztosító műveletek kiválasztása

Válassza ki a Resource Guard használatával védeni kívánt műveleteket az összes támogatott kritikus művelet közül. Alapértelmezés szerint minden támogatott kritikus művelet engedélyezve van. Ön (mint biztonsági rendszergazda) azonban mentesíthet bizonyos műveleteket attól, hogy a Resource Guard használatával a MUA hatáskörébe tartoznak.

Ügyfél kiválasztása

Azure portál

A műveletek kivételéhez kövesse az alábbi lépéseket:

1. A fent létrehozott Resource Guardban lépjen a Tulajdonságok>Recovery Services-tároló fülre.

2. Válassza a Letiltás lehetőséget azokhoz a műveletekhez, amelyeket ki szeretne zárni a Resource Guard használatával való engedélyezésből.

   Feljegyzés

   A védett műveletek nem tilthatók le – A helyreállítható törlés letiltása és az MUA-védelem eltávolítása.

3. A Resource Guard leírását ezen a panelen is frissítheti.

4. Válassza a Mentés lehetőséget.

   

PowerShell

A műveletek frissítése. Ezek a műveletek mentesülnek a Resource Guard védelme alól, és futtassa a következő parancsmagokat:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• Az első parancs lekéri a frissíteni kívánt erőforrás-védőt.
• A második és a harmadik parancs lekéri a frissíteni kívánt kritikus műveleteket.
• A negyedik parancs kizár néhány kritikus műveletet az erőforrásvédőből.

Parancssori felület

Az erőforrás-védő által nem védendő műveletek frissítéséhez futtassa a következő parancsokat:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Példa:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Engedélyek hozzárendelése a Resource Guard biztonsági mentési rendszergazdájához a MUA engedélyezéséhez

A MUA tárolón való engedélyezéséhez a tároló rendszergazdájának Olvasó szerepkörrel kell rendelkeznie a Resource Guardban vagy az azt tartalmazó előfizetésben. Az Olvasó szerepkör hozzárendelése a Resource Guardhoz:

1. A fent létrehozott Resource Guardban lépjen a Hozzáférés-vezérlés (IAM) panelre, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

   

2. Válassza az Olvasó lehetőséget a beépített szerepkörök listájából, és válassza a Tovább lehetőséget.

   

3. Kattintson a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda e-mail-azonosítóját, hogy olvasóként vegye fel őket. Mivel a biztonsági mentési rendszergazda ebben az esetben egy másik bérlőben van, vendégként hozzáadjuk őket a Resource Guardot tartalmazó bérlőhöz.

4. Kattintson a Kijelölés gombra, majd folytassa az Áttekintés + hozzárendelés szakaszhoz a szerepkör-hozzárendelés befejezéséhez.

   

MUA engedélyezése Recovery Services-tárolón

Miután a Resource Guard olvasói szerepkörének kijelölése befejeződött, engedélyezze a többfelhasználós hitelesítést az Ön által felügyelt tárolókban (mint biztonsági mentési rendszergazda).

Ügyfél kiválasztása

Azure portál

Ha engedélyezni szeretné a MUA-t a tárolókban, kövesse az alábbi lépéseket.

1. Nyissa meg a Recovery Services-tárolót. Nyissa meg a bal oldali navigációs panel Tulajdonságok elemét, majd a Többfelhasználós engedélyezés lehetőséget, és válassza a Frissítés lehetőséget.

   

2. Most megjelenik a MUA engedélyezésének és a Resource Guard kiválasztásának lehetősége az alábbi módok egyikével:

   • Megadhatja a Resource Guard URI-ját, vagy győződjön meg róla, hogy egy olyan Resource Guard URI-ját adja meg, amelyhez olvasói hozzáféréssel rendelkezik, és amely ugyanazokban a régiókban van, mint a tároló. A Resource Guard URI-ját (Resource Guard-azonosítóját) az áttekintési képernyőn találja:

     

   • Vagy kiválaszthatja az erőforrás-őrt azoknak az erőforrás-őröknek a listájából, amelyekhez olvasói hozzáférése van, és amelyek elérhetők a régióban.

     1. Kattintson a Resource Guard kiválasztása opcióra.
     2. Válassza ki a legördülő listát, majd válassza ki azt a könyvtárat, amelyben a Resource Guard található.
     3. Válassza a Hitelesítés lehetőséget az identitás és a hozzáférés ellenőrzéséhez.
     4. A hitelesítés után válassza ki a Resource Guardot a megjelenített listából.

     

3. A MUA engedélyezéséhez válassza a Mentés gombot, ha kész.

   

PowerShell

A MUA engedélyezéséhez egy Helyreállítási szolgáltatások tárhelyen futtassa a következő parancsmagot:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• Az első parancs lekéri annak a Resource Guard-bérlőnek a hozzáférési jogkivonatát, ahol az erőforrásőr található.
• A második parancs létrehoz egy leképezést az RSVault $vault és a Resource Guard között.

Feljegyzés

A token paraméter nem kötelező, és csak a több bérlő közötti védett műveletek hitelesítéséhez szükséges.

Parancssori felület

A MUA engedélyezéséhez egy Recovery Services tárolón futtassa a következő parancsot:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

A bérlőazonosítóra akkor van szükség, ha az erőforrás-őr egy másik bérlőben található.

Példa:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

Védett műveletek MUA használatával

Miután engedélyezte a MUA-t, a hatókörben lévő műveletek korlátozottak lesznek a tárolón, ha a biztonsági mentési rendszergazda a szükséges szerepkör (azaz a Biztonsági mentés MUA-operátori szerepkör) nélkül próbálja végrehajtani őket a Resource Guardon.

Feljegyzés

Javasoljuk, hogy tesztelje a beállítást, miután engedélyezte a MUA-t, hogy a védett műveletek a várt módon legyenek letiltva, és hogy a MUA megfelelően legyen konfigurálva.

Az alábbi ábra azt szemlélteti, hogy mi történik, amikor a biztonsági mentési rendszergazda megpróbál végrehajtani egy ilyen védett műveletet (például a nem módosíthatóság letiltása itt látható). Más védett műveletek hasonló tapasztalattal rendelkeznek). A következő lépéseket egy biztonsági mentési rendszergazda hajtja végre a szükséges engedélyek nélkül.

A nem módosíthatóság letiltásához kövesse az alábbi lépéseket:

1. Nyissa meg a Recovery Services-tároló>tulajdonságait.

2. A Tulajdonságok panel Nem módosítható tároló területén válassza a Beállítások lehetőséget.

3. A Nem módosítható tároló panelen tiltsa le a nem módosíthatóságot a tároló nem módosíthatóságának engedélyezése jelölőnégyzet jelölésének törlésével .

   Tájékoztatjuk, hogy ez egy védett művelet, és ellenőriznie kell, hogy hozzáférnek-e a Resource Guardhoz.

4. Válassza ki a Resource Guardot tartalmazó könyvtárat, és hitelesítse magát.

   Feljegyzés

   Ez a művelet nem szükséges, ha a Resource Guard (erőforrás védelme) ugyanabban a könyvtárban van, mint a tároló.

5. Válassza az Alkalmaz lehetőséget.

   A kérés olyan hibával meghiúsul, hogy nem rendelkezik a Resource Guard megfelelő engedélyével a művelet végrehajtásához.

Kritikus (védett) műveletek engedélyezése a Microsoft Entra Privileged Identity Management használatával

A következő szakaszok a kérések PIM használatával történő engedélyezését ismertetik. Előfordulhat, hogy kritikus műveleteket kell végrehajtania a biztonsági másolatokon, és a MUA segíthet annak biztosításában, hogy ezek csak a megfelelő jóváhagyások vagy engedélyek megléte esetén legyenek végrehajtva. Ahogy korábban már említettük, a biztonsági mentési rendszergazdának rendelkeznie kell biztonsági mentési MUA-operátori szerepkörrel a Resource Guardon a Resource Guard hatókörében található kritikus műveletek végrehajtásához. Az ilyen műveletek igény szerint történő engedélyezésének egyik módja a Microsoft Entra Privileged Identity Management használata.

Feljegyzés

Bár a Microsoft Entra PIM használata az ajánlott módszer, manuális vagy egyéni módszerekkel kezelheti a Resource Guard biztonsági mentési rendszergazdájának hozzáférését. A Resource Guardhoz való hozzáférés manuális kezeléséhez használja a Resource Guard bal oldali navigációs sávjának "Hozzáférés-vezérlés (IAM)" beállítását, és adja meg a biztonsági mentési MUA-operátor szerepkört a biztonsági mentés rendszergazdájának.

Jogosult hozzárendelés létrehozása a biztonsági mentési rendszergazda számára (ha a Microsoft Entra Privileged Identity Managementet használja)

A biztonsági rendszergazda a PIM használatával létrehozhat egy jogosult hozzárendelést a biztonsági mentési rendszergazda számára, és biztonsági mentési MUA-operátori szerepkört biztosíthat a Resource Guard számára. Ez lehetővé teszi, hogy a biztonsági mentési rendszergazda kérést küldjön (a biztonsági mentési MUA-operátori szerepkörhöz), amikor védett műveletet kell végrehajtaniuk. Ehhez a biztonsági rendszergazda a következőket hajtja végre:

1. A biztonsági bérlőn belül (amely tartalmazza a Resource Guardot) keresse meg a Privileged Identity Management (keressen rá az Azure portál keresősávjában), majd menjen az Azure Erőforrások (a bal oldali menü Kezelés részénél).

2. Válassza ki azt az erőforrást (a Resource Guardot vagy az azt tartalmazó előfizetést/RG-t), amelyhez hozzá szeretné rendelni a biztonsági mentési MUA-operátor szerepkört.

   Ha nem látja a megfelelő erőforrást az erőforrások listájában, győződjön meg arról, hogy hozzáadja a PIM által felügyelni kívánt előfizetést.

3. A kijelölt erőforrásban lépjen a Hozzárendelések elemre ( a bal oldali menü Kezelés területén), és válassza a Hozzárendelések hozzáadása lehetőséget.

   

4. A Hozzárendelések hozzáadása szakaszban:

   1. Válassza ki a szerepkört biztonsági mentési MUA-operátorként.
   2. Lépjen a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda felhasználónevét (vagy e-mail-azonosítóját).
   3. Válassza a Tovább lehetőséget.

   

5. A következő képernyőn:

   1. A hozzárendelés típusa alatt válassza a Jogosult lehetőséget.
   2. Adja meg azt az időtartamot, amelyre a jogosult engedély érvényes.
   3. Válassza a Hozzárendelés lehetőséget a jogosult hozzárendelés befejezéséhez.

   

Jóváhagyók beállítása a biztonsági mentési MUA-operátor szerepkör aktiválásához

Alapértelmezés szerint előfordulhat, hogy a fenti beállítás nem rendelkezik a PIM-ben konfigurált jóváhagyóval (és jóváhagyási folyamattal). Annak érdekében, hogy a jóváhagyók rendelkezzenek biztonsági mentési MUA-operátori szerepkörrel a kérelem jóváhagyásához, a biztonsági rendszergazdának az alábbi lépéseket kell követnie:

Feljegyzés

Ha ez nincs konfigurálva, a rendszer automatikusan jóváhagyja a kéréseket anélkül, hogy át kellene mennie a biztonsági rendszergazdákon vagy a kijelölt jóváhagyó véleményén. További részletek erről itt találhatók

1. A Microsoft Entra PIM-ben válassza az Azure-erőforrásokat a bal oldali navigációs sávon, és válassza ki a Resource Guardot.

2. Nyissa meg a Beállítások lehetőséget , majd lépjen a Biztonsági mentés MUA-operátor szerepkörre.

   

3. Válassza a Szerkesztés lehetőséget azoknak a véleményezőknek a hozzáadásához, akiknek felül kell vizsgálniuk és jóvá kell hagyniuk a biztonsági mentési MUA-operátori szerepkör aktiválási kérését, ha azt tapasztalja, hogy a jóváhagyók nem jelennek meg, vagy helytelen jóváhagyó(ka)t jelenítenek meg.

4. Az Aktiválás lapon válassza a Jóváhagyás megkövetelése aktiválása lehetőséget, és adja hozzá azokat a jóváhagyó(ka)t, akiknek jóvá kell hagyniuk az egyes kéréseket.

5. Válassza ki a biztonsági beállításokat, például a többtényezős hitelesítést (MFA), a biztonsági mentési MUA-operátori szerepkör aktiválására vonatkozó mandating jegyet.

6. Szükség szerint válassza ki a megfelelő beállításokat a Hozzárendelés és értesítés lapon.

   

7. Válassza a Frissítés lehetőséget a jóváhagyók beállításának befejezéséhez a biztonsági mentési MUA-operátor szerepkör aktiválásához.

Jogosult hozzárendelés aktiválásának kérése kritikus műveletek végrehajtásához

Miután a biztonsági rendszergazda létrehozott egy jogosult hozzárendelést, a biztonsági mentési rendszergazdának aktiválnia kell a biztonsági mentési MUA-operátor szerepkör hozzárendelését a védett műveletek végrehajtásához.

A szerepkör-hozzárendelés aktiválásához kövesse az alábbi lépéseket:

1. Nyissa meg a Microsoft Entra Privileged Identity Managementet. Ha a Resource Guard egy másik könyvtárban van, váltson erre a könyvtárra, majd lépjen a Microsoft Entra Privileged Identity Managementre.

2. Lépjen a(z) Saját szerepkörök>Azure erőforrások menüpontra a bal oldali menüben.

3. Válassza az Aktiválás lehetőséget a biztonsági mentési MUA-operátor szerepkör jogosult hozzárendelésének aktiválásához.

   Megjelenik egy értesítés, amely tájékoztatja a felhasználót, hogy a kérelmet jóváhagyásra elküldték.

   

Kritikus műveletek végrehajtására irányuló kérések aktiválásának jóváhagyása

Miután a biztonsági mentési rendszergazda kérést küld a biztonsági mentési MUA-operátor szerepkör aktiválására, a kérést a biztonsági rendszergazdának kell felülvizsgálnia és jóvá kell hagynia.

1. A biztonsági környezetben nyissa meg a Microsoft Entra Privileged Identity Managementet.
2. Lépjen a Kérelmek jóváhagyása elemre.
3. Az Azure-erőforrások alatt a biztonsági mentési rendszergazda által a Backup MUA-operátorként történő aktiválást kérő kérés látható.
4. Tekintse át a kérést. Ha eredeti, válassza ki a kérelmet, és a jóváhagyáshoz válassza a Jóváhagyás lehetőséget.
5. A biztonsági mentési rendszergazdát e-mailben (vagy más szervezeti riasztási mechanizmusokkal) értesítjük arról, hogy a kérése már jóvá lett hagyva.
6. A jóváhagyást követően a biztonsági mentési rendszergazda védett műveleteket hajthat végre a kért időszakra.

Védett művelet végrehajtása jóváhagyás után

Miután a biztonsági mentési rendszergazdának jóváhagyják a Resource Guard biztonsági mentési MUA-operátori szerepkörére vonatkozó kérelmét, védett műveleteket hajthat végre a kapcsolódó tárolón. Ha a Resource Guard egy másik könyvtárban található, a biztonsági mentési rendszergazdának hitelesítenie kell magát.

Feljegyzés

Ha a hozzáférés JIT-mechanizmussal lett hozzárendelve, a biztonsági mentési MUA-operátor szerepkör a jóváhagyott időszak végén lesz visszavonva. Máskülönben a biztonsági rendszergazda manuálisan eltávolítja a biztonsági mentési rendszergazdához rendelt biztonsági mentési MUA-operátori szerepkört a kritikus művelet végrehajtásához.

MUA letiltása Recovery Services-tárolón

A MUA letiltása védett művelet: a tárolók ezért MUA-val vannak védve. Ha ön (a biztonsági mentési rendszergazda) le szeretné tiltani a MUA-t, akkor rendelkeznie kell a szükséges biztonsági mentési MUA-operátori szerepkörével a Resource Guardban.

Ügyfél kiválasztása

Azure portál

Ha le szeretné tiltani a MUA-t egy trezoron, kövesse az alábbi lépéseket:

1. A biztonsági mentési rendszergazda a Biztonsági rendszergazdától kéri a Mentési MUA-operátor szerepkört a Forrástárőrségben. Kérhetik, hogy a szervezet által jóváhagyott módszereket, például a JIT-eljárásokat, például a Microsoft Entra Privileged Identity Managementet vagy más belső eszközöket és eljárásokat használják.

2. A biztonsági rendszergazda jóváhagyja a kérést (ha érdemesnek találják a jóváhagyásra), és tájékoztatja a biztonsági mentési rendszergazdát. Most a biztonsági mentési rendszergazda rendelkezik a Backup MUA-operátor szerepkörével a Resource Guardon.

3. A biztonsági mentési rendszergazda a tároló >tulajdonságai>többfelhasználós engedélyezésére lép.

4. Válassza a Frissítés lehetőséget.

   1. Törölje a Resource Guard védelme jelölőnégyzet kijelölését.
   2. Válassza ki a Resource Guardot tartalmazó könyvtárat, és ellenőrizze a hozzáférést a Hitelesítés gombbal (ha van ilyen).
   3. A hitelesítés után válassza a Mentés lehetőséget. A megfelelő hozzáféréssel a kérést sikeresen be kell fejezni.

   

PowerShell

Ha le szeretné tiltani a MUA-t egy Recovery Services-tárolóban, használja a következő parancsmagot:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• Lekéri az erőforrás-őrző bérlő hozzáférési jogkivonatát az első parancs, ahol az erőforrás-őrző jelen van.
• A második parancs törli a helyreállítási tár és az erőforrás-védő közötti leképezést.

Feljegyzés

A token paraméter opcionális, és csak a bérlők közötti védett műveletek hitelesítéséhez szükséges.

Parancssori felület

Ha le szeretné tiltani a MUA-t egy Recovery Services-tárolóban, futtassa a következő parancsot:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

A bérlőazonosítóra akkor van szükség, ha az erőforrás-őr egy másik bérlőben található.

Példa:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Ez a cikk azt ismerteti, hogyan konfigurálhatja a többfelhasználós engedélyezést (MUA) az Azure Backuphoz a biztonsági mentési tárolók kritikus műveleteinek biztonságának növelése érdekében. Ismerteti a Resource Guard létrehozását egy külön bérlőben a maximális védelem érdekében, és bemutatja, hogyan kérhet és hagyhat jóvá kritikus művelethozzáférést a Resource Guardot üzemeltető bérlőn belüli Microsoft Entra Privileged Identity Management használatával. Másik lehetőségként más módszerekkel is kezelheti az igény szerinti (JIT) engedélyeket a szervezeti beállítások alapján.

Feljegyzés

• A Resource Guard for Backup-tárolóval történő többfelhasználós engedélyezés általánosan elérhető.
• Az Azure Backup többfelhasználós engedélyezése minden globális Azure-régióban elérhető.

Előfeltételek

Mielőtt többfelhasználós hitelesítést konfigurál egy Backup-tárolóhoz, győződjön meg arról, hogy a következő előfeltételek teljesülnek:

• A Resource Guardnak és a Backup-tárolónak ugyanabban az Azure-régióban kell lennie.
• A biztonsági mentési rendszergazda nem rendelkezhet közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel a Resource Guardon. A maximális elkülönítés érdekében választhatja, hogy a Resource Guard egy másik előfizetésben legyen ugyanahhoz a címtárhoz, vagy egy másik címtárhoz.
• Az előfizetések tartalmazzák a Backup-tárolót, valamint a Resource Guardot (különböző előfizetésekben vagy bérlőkben) a szolgáltató – Microsoft.DataProtection4 – használatához regisztrálni kell. További információ: Azure-erőforrás-szolgáltatók és -típusok.

Ismerje meg a MUA különböző használati forgatókönyveit.

Resource Guard létrehozása

A biztonsági rendszergazda létrehozza a Resource Guardot. Javasoljuk, hogy a tárolót egy másik előfizetésben vagy egy másik bérlői fiókban hozza létre. Ennek azonban ugyanabban a régióban kell lennie, mint a tároló.

A biztonsági mentési rendszergazdának NEM lehet közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori hozzáféréssel rendelkeznie a Resource Guardon vagy az azt tartalmazó előfizetésen.

Ha a Resource Guardot biztonsági rendszergazdaként szeretné létrehozni a tárolóbérlõtől eltérő bérlőben, kövesse az alábbi lépéseket:

1. Az Azure Portalon lépjen arra a könyvtárra, amely alatt létre szeretné hozni a Resource Guardot.

   

2. Keressen erőforrás-őröket a keresősávban, majd válassza ki a megfelelő elemet a legördülő listából.

   

   1. Resource Guard létrehozásához válassza Létrehozás.
   2. A Létrehozás panelen adja meg a Resource Guardhoz szükséges adatokat.
      • Győződjön meg arról, hogy a Resource Guard ugyanabban az Azure-régióban található, mint a Backup-tároló.
      • Adjon meg egy leírást arról, hogyan kérhet hozzáférést a társított tárolókon végzett műveletek végrehajtásához, ha szükséges. Ez a leírás a társított tárolókban jelenik meg, hogy a biztonsági mentési rendszergazda útmutatást nyújt a szükséges engedélyek beszerzéséhez.

3. A Védett műveletek lapon válassza ki azokat a műveleteket, amelyekre szüksége van az erőforrás-védelemmel való védelemhez a Biztonsági mentési tároló lapon.

   A Védett műveletek fül jelenleg csak a Biztonsági másolat példány törlése letiltási lehetőséget tartalmazza.

   Az erőforrás-védő létrehozása után a védelmi műveleteket is kiválaszthatja.

   

4. Igény szerint adjon hozzá címkéket a Resource Guardhoz a követelményeknek megfelelően.

5. Válassza a Véleményezés + Létrehozás lehetőséget, majd kövesse az értesítéseket a Resource Guard állapotának és sikeres létrehozásának figyeléséhez.

A Resource Guard használatával védelmet biztosító műveletek kiválasztása

A tároló létrehozása után a biztonsági rendszergazda a Resource Guard használatával is kiválaszthatja a védelmi műveleteket az összes támogatott kritikus művelet közül. Alapértelmezés szerint minden támogatott kritikus művelet engedélyezve van. A biztonsági rendszergazda azonban mentesíthet bizonyos műveleteket attól, hogy a Resource Guard használatával a MUA hatáskörébe tartoznak.

A védelmi műveletek kiválasztásához kövesse az alábbi lépéseket:

1. A létrehozott Resource Guardban lépjen a Tulajdonságok>biztonsági mentési tároló lapjára.

2. Válassza a Letiltás lehetőséget azokhoz a műveletekhez, amelyeket ki szeretne zárni az engedélyezésből.

   A MUA védelmének eltávolítása és a lágy törlés letiltása műveletek nem tilthatók le.

3. A Biztonsági mentési tárolók lapon szükség esetén frissítse a Resource Guard leírását.

4. Válassza a Mentés lehetőséget.

   

Engedélyek hozzárendelése a Resource Guard biztonsági mentési rendszergazdájához a MUA engedélyezéséhez

A biztonsági mentési rendszergazdának olvasói szerepkörrel kell rendelkeznie a Resource Guardban vagy az előfizetésben, amely a Resource Guardot tartalmazza a MUA tárolón való engedélyezéséhez. A biztonsági rendszergazdának hozzá kell rendelnie ezt a szerepkört a biztonsági mentési rendszergazdához.

A Resource Guard-on az Olvasó szerepkör hozzárendeléséhez kövesse az alábbi lépéseket:

1. A fent létrehozott Resource Guardban lépjen a Hozzáférés-vezérlés (IAM) panelre, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

   

2. Válassza az Olvasó lehetőséget a beépített szerepkörök listájából, és válassza a Tovább lehetőséget.

   

3. Kattintson a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda e-mail-azonosítóját az Olvasó szerepkör hozzárendeléséhez.

   Mivel a biztonsági mentési rendszergazdák egy másik bérlőben vannak, vendégként hozzáadjuk őket a Resource Guardot tartalmazó bérlőhöz.

4. A szerepkör-hozzárendelés befejezéséhez kattintson Választás>Véleményezés + hozzárendelés.

   

MUA engedélyezése Backup-tárolón

Ha a biztonsági mentési rendszergazda rendelkezik a Resource Guard Olvasó szerepkörével, az alábbi lépések végrehajtásával engedélyezheti a többfelhasználós hitelesítést a felügyelt tárolókon:

1. Nyissa meg azt a Biztonsági mentési tárolót, amelyhez a MUA-t konfigurálni szeretné.

2. A bal oldali panelen válassza a Tulajdonságok lehetőséget.

3. Nyissa meg a többfelhasználós engedélyezést, és válassza a Frissítés lehetőséget.

   

4. A MUA engedélyezéséhez és a Resource Guard kiválasztásához hajtsa végre az alábbi műveletek egyikét:

   • Megadhatja a Resource Guard URI-ját. Győződjön meg arról, hogy megadja egy olyan Resource Guard URI-ját, amelyhez Ön olvasói jogosultsággal rendelkezik, és amely ugyanabban a régióban található, mint a tároló. A Resource Guard URI-ját (Resource Guard-azonosítóját ) az áttekintési oldalon találja.

     

   • Vagy kiválaszthatja az erőforrás-őrt azoknak az erőforrás-őröknek a listájából, amelyekhez olvasói hozzáférése van, és amelyek elérhetők a régióban.

     1. Kattintson a Resource Guard kiválasztása elemre.
     2. Válassza ki a legördülő menüt, és válassza ki azt a könyvtárat, amelyben a Resource Guard található.
     3. Válassza a Hitelesítés lehetőséget az identitás és a hozzáférés ellenőrzéséhez.
     4. A hitelesítés után válassza ki a Resource Guardot a megjelenített listából.

     

5. A MUA engedélyezéséhez válassza a Mentés lehetőséget .

   

Védett műveletek MUA használatával

Miután a biztonsági mentési rendszergazda engedélyezte a MUA-t, a hatókörben lévő műveletek korlátozottak lesznek a tárolón, és a műveletek meghiúsulnak, ha a biztonsági mentési rendszergazda a Biztonsági mentési MUA-operátori szerepkör nélkül próbálja végrehajtani őket a Resource Guardon.

Feljegyzés

Javasoljuk, hogy tesztelje a beállítást, miután engedélyezte a MUA-t, hogy biztosítsa a következőket:

• A védett műveletek a várt módon le vannak tiltva.
• A MUA megfelelően van konfigurálva.

Védett művelet végrehajtásához (a MUA letiltásához) kövesse az alábbi lépéseket:

1. Nyissa meg az >Értéktár tulajdonságai elemet a bal oldali panelen.

2. Végezze el a jelölőnégyzet törlését a MUA letiltásához.

   Értesítést kap arról, hogy ez egy védett művelet, és hozzá kell férnie a Resource Guardhoz.

3. Válassza ki a Resource Guardot tartalmazó könyvtárat, és hitelesítse magát.

   Ez a lépés nem feltétlenül szükséges, ha a Resource Guard ugyanabban a mappában van, mint a tároló.

4. Válassza a Mentés lehetőséget.

   A kérés olyan hibával meghiúsul, hogy nem rendelkezik a Resource Guard megfelelő engedélyeivel a művelet végrehajtásához.

   

Kritikus (védett) műveletek engedélyezése a Microsoft Entra Privileged Identity Management használatával

Vannak olyan helyzetek, amikor kritikus műveleteket kell végrehajtania a biztonsági másolatokon, és a MUA-val megfelelő jóváhagyásokkal vagy engedélyekkel hajthatja végre őket. A következő szakaszok bemutatják, hogyan engedélyezheti a kritikus műveleti kérelmeket a Privileged Identity Management (PIM) használatával.

A biztonsági mentési rendszergazdának rendelkeznie kell biztonsági mentési MUA-operátori szerepkörrel a Resource Guardon a Resource Guard-hatókör kritikus műveleteinek elvégzéséhez. Az igény szerinti (JIT) műveletek engedélyezésének egyik módja a Microsoft Entra Privileged Identity Management használata.

Feljegyzés

Javasoljuk, hogy használja a Microsoft Entra PIM-et. A Resource Guard biztonsági mentési rendszergazdájának hozzáférését azonban manuális vagy egyéni módszerekkel is kezelheti. A Resource Guardhoz való hozzáférés manuális kezeléséhez használja a Resource Guard bal oldali ablaktáblájának Hozzáférés-vezérlési (IAM) beállítását, és adja meg a Biztonsági mentési MUA-operátor szerepkört a biztonsági mentési rendszergazdának.

Jogosult hozzárendelés létrehozása a biztonsági mentési rendszergazda számára a Microsoft Entra Privileged Identity Management használatával

A biztonsági rendszergazda a PIM használatával létrehozhat egy jogosult hozzárendelést a biztonsági mentési rendszergazda számára biztonsági mentési MUA-operátorként a Resource Guardhoz. Ez lehetővé teszi, hogy a biztonsági mentési rendszergazda kérést küldjön (a biztonsági mentési MUA-operátori szerepkörhöz), amikor védett műveletet kell végrehajtaniuk.

Jogosult hozzárendelés létrehozásához kövesse az alábbi lépéseket:

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a Resource Guard biztonsági bérlőjéhez, és a keresés során adja meg a Privileged Identity Management kifejezést.

3. A bal oldali panelen válassza a Kezelés lehetőséget, és lépjen az Azure-erőforrásokra.

4. Válassza ki azt az erőforrást (a Resource Guardot vagy az azt tartalmazó előfizetést/RG-t), amelyhez hozzá szeretné rendelni a biztonsági mentési MUA-operátor szerepkört.

   Ha nem talál megfelelő erőforrásokat, adja hozzá a PIM által felügyelt előfizetést.

5. Jelölje ki az erőforrást, és válassza a Hozzárendelések hozzáadása hozzárendelések> kezelése>lehetőséget.

   

6. A Hozzárendelések hozzáadása szakaszban:

   1. Válassza ki a szerepkört biztonsági mentési MUA-operátorként.
   2. Lépjen a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda felhasználónevét (vagy e-mail-azonosítóját).
   3. Válassza a Tovább lehetőséget.

   

7. A Hozzárendelés területen válassza a Jogosult lehetőséget, és adja meg a jogosult engedély időtartamának érvényességét.

8. Válassza a Hozzárendelés lehetőséget a jogosult hozzárendelés létrehozásához.

   

Jóváhagyók beállítása közreműködői szerepkör aktiválásához

Alapértelmezés szerint előfordulhat, hogy a fenti beállítás nem rendelkezik a PIM-ben konfigurált jóváhagyóval (és jóváhagyási folyamattal). Annak biztosításához, hogy a jóváhagyók közreműködői szerepkörrel rendelkezzenek a kérelem jóváhagyásához, a biztonsági rendszergazdának az alábbi lépéseket kell követnie:

Feljegyzés

Ha a jóváhagyó beállítása nincs konfigurálva, a rendszer automatikusan jóváhagyja a kérelmeket anélkül, hogy átmennek a biztonsági rendszergazdákon vagy a kijelölt jóváhagyó véleményén. További információ.

1. A Microsoft Entra PIM-ben válassza a bal oldali panelen az Azure-erőforrásokat , és válassza ki a Resource Guardot.

2. Nyissa meg a Beállítások>közreműködői szerepkört.

   

3. Válassza a Szerkesztés lehetőséget azoknak a véleményezőknek a hozzáadásához, akiknek felül kell vizsgálniuk és jóvá kell hagyniuk a közreműködői szerepkör aktiválási kérését, ha azt tapasztalja, hogy a jóváhagyók nem jelennek meg, vagy helytelen jóváhagyó(ka)t jelenítenek meg.

4. Az Aktiválás lapon válassza a Jóváhagyás megkövetelése az aktiváláshoz lehetőséget az egyes kérések jóváhagyásához szükséges jóváhagyó(k) hozzáadásához.

5. Válassza ki a biztonsági beállításokat, például a többtényezős hitelesítést (MFA), a közreműködői szerepkör aktiválásához a mandating jegyet.

6. Válassza ki a megfelelő beállításokat a Hozzárendelés és értesítés lapon a követelményeknek megfelelően.

   

7. Válassza a Frissítés lehetőséget a jóváhagyók beállításának befejezéséhez a közreműködői szerepkör aktiválásához.

Jogosult hozzárendelés aktiválásának kérése kritikus műveletek végrehajtásához

Miután a biztonsági rendszergazda létrehozott egy jogosult hozzárendelést, a biztonsági mentési rendszergazdának aktiválnia kell a közreműködői szerepkör szerepkör-hozzárendelését a védett műveletek végrehajtásához.

A szerepkör-hozzárendelés aktiválásához kövesse az alábbi lépéseket:

1. Nyissa meg a Microsoft Entra Privileged Identity Managementet. Ha a Resource Guard egy másik könyvtárban van, váltson erre a könyvtárra, majd lépjen a Microsoft Entra Privileged Identity Managementre.

2. Nyissa meg a Saját szerepkörök>Azure-erőforrásokat a bal oldali panelen.

3. Válassza az Aktiválás lehetőséget a közreműködői szerepkör jogosult hozzárendelésének aktiválásához.

   Megjelenik egy értesítés, amely tájékoztatja a felhasználót, hogy a kérelmet jóváhagyásra elküldték.

   

Aktiválási kérelmek jóváhagyása kritikus műveletek végrehajtásához

Miután a biztonsági mentési rendszergazda kérést küld a közreműködői szerepkör aktiválására, a biztonsági rendszergazdának át kell tekintenie és jóvá kell hagynia a kérést.

A kérelem áttekintéséhez és jóváhagyásához kövesse az alábbi lépéseket:

1. A biztonsági bérlőben nyissa meg a Microsoft Entra Privileged Identity Managementet.

2. Lépjen a Kérelmek jóváhagyása elemre.

3. Az Azure-erőforrások alatt láthatja a jóváhagyásra váró kérést.

   Válassza a Jóváhagyás lehetőséget az eredeti kérés áttekintéséhez és jóváhagyásához.

A jóváhagyást követően a biztonsági mentési rendszergazda e-mailben vagy más belső riasztási beállításon keresztül értesítést kap a kérés jóváhagyásáról. A biztonsági mentési rendszergazda most már végrehajthatja a védett műveleteket a kért időszakra.

Védett művelet végrehajtása jóváhagyás után

Ha a biztonsági rendszergazda jóváhagyja a biztonsági mentési rendszergazda kérését a Resource Guard biztonsági mentési MUA-operátori szerepkörére vonatkozóan, a társított tárolón végezhet védett műveleteket. Ha a Resource Guard egy másik könyvtárban található, a biztonsági mentési rendszergazdának hitelesítenie kell magát.

Feljegyzés

Ha a hozzáférés JIT-mechanizmussal lett hozzárendelve, a biztonsági mentési MUA-operátor szerepkör a jóváhagyott időszak végén lesz visszavonva. Ellenkező esetben a biztonsági rendszergazda manuálisan eltávolítja a Biztonsági mentési MUA-operátor szerepkört, amely a biztonsági mentési rendszergazdához van rendelve, hogy végrehajthassa a kritikus műveletet.

Az alábbi képernyőképen egy példa látható a puha törlési funkció letiltására egy MUA-val ellátott tárolóban.

MUA letiltása a biztonsági archívumon

A MUA letiltása olyan védett művelet, amelyet csak a biztonsági mentési rendszergazdának kell elvégeznie. Ehhez a biztonsági mentési rendszergazdának rendelkeznie kell a szükséges biztonsági mentési MUA-operátori szerepkörével a Resource Guardban. Az engedély beszerzéséhez a biztonsági mentési rendszergazdának először kérnie kell a biztonsági rendszergazdát a Resource Guard biztonsági mentési MUA-operátori szerepköréhez az igény szerinti (JIT) eljárással, például a Microsoft Entra Privileged Identity Managementtel vagy belső eszközökkel.

Ezután a biztonsági rendszergazda jóváhagyja a kérést, ha az eredeti, és frissíti azt a biztonsági mentési rendszergazdát, aki most biztonsági mentési MUA-operátori szerepkörrel rendelkezik a Resource Guardon. További információ arról, hogyan lehet elérni ezt a szerepkört.

A MUA letiltásához a biztonsági mentés rendszergazdáinak az alábbi lépéseket kell követniük:

1. Nyissa meg a tároló >tulajdonságainak>

2. Válassza a Frissítés lehetőséget, és törölje a jelet a Resource Guard használatával védés jelölőnégyzetből.

3. Válassza a Hitelesítés (ha van) lehetőséget a Resource Guardot tartalmazó címtár kiválasztásához és a hozzáférés ellenőrzéséhez.

4. Válassza a Mentés lehetőséget a MUA letiltásának befejezéséhez.

   

Következő lépések

További információ a többfelhasználós engedélyezésről a Resource Guard használatával.