Többfelhasználós engedélyezés konfigurálása a Resource Guard használatával az Azure Backupban

Ez a cikk azt ismerteti, hogyan konfigurálhatja a többfelhasználós engedélyezést (MUA) az Azure Backuphoz, hogy további védelmi réteget adjon hozzá a helyreállítási tárak kritikus műveleteihez.

Ez a cikk bemutatja, hogy a Resource Guard létrehozása egy másik bérlőben, amely maximális védelmet nyújt. Azt is bemutatja, hogyan kérhet és hagyhat jóvá kéréseket kritikus műveletek végrehajtására a Microsoft Entra Privileged Identity Management használatával a Resource Guard-bérlőben. A beállításnak megfelelően más mechanizmusokkal is kezelheti a Resource Guard JIT-engedélyeit.

Megjegyzés:

• Az Azure Backup többfelhasználós engedélyezése minden nyilvános Azure-régióban elérhető.
• A Resource Guard for Backup-tárolóval történő többfelhasználós engedélyezés általánosan elérhető. További információ.

Before you start

• Győződjön meg arról, hogy a Resource Guard és a Recovery Services-tároló ugyanabban az Azure-régióban található.
• Győződjön meg arról, hogy a biztonsági mentési rendszergazda nem rendelkezik közreműködői engedélyekkel a Resource Guardon. A maximális elkülönítés érdekében dönthet úgy, hogy a Resource Guard egy másik előfizetésben található ugyanahhoz a címtárhoz vagy egy másik könyvtárhoz.
• Győződjön meg arról, hogy a Recovery Services-tárolót tartalmazó előfizetések, valamint a Resource Guard (különböző előfizetésekben vagy bérlőkben) regisztrálva vannak a szolgáltatók – a Microsoft.RecoveryServices és a Microsoft.DataProtection – használatára. További információ: Azure-erőforrás-szolgáltatók és -típusok.

Ismerje meg a MUA különböző használati forgatókönyveit.

Resource Guard létrehozása

A biztonsági rendszergazda létrehozza a Resource Guardot. Javasoljuk, hogy hozzon létre egy másik előfizetésben vagy egy másik bérlőben tárolóként. Ennek azonban ugyanabban a régióban kell lennie, mint a tároló. A biztonsági mentési rendszergazdának NEM kell közreműködői hozzáféréssel rendelkeznie a Resource Guardban vagy az azt tartalmazó előfizetésben.

Ügyfél kiválasztása

Azure Portal

Ha a Resource Guardot a tárolóbérlettől eltérő bérlőben szeretné létrehozni, kövesse az alábbi lépéseket:

1. Az Azure Portalon lépjen arra a könyvtárra, amely alatt létre szeretné hozni a Resource Guardot.

   

2. Keressen erőforrás-őröket a keresősávban, majd válassza ki a megfelelő elemet a legördülő listából.

   

   • Válassza a Létrehozás lehetőséget a Resource Guard létrehozásának megkezdéséhez.
   • A létrehozási panelen adja meg a Resource Guardhoz szükséges adatokat.
     • Győződjön meg arról, hogy a Resource Guard ugyanabban az Azure-régióban van, mint a Recovery Services-tároló.
     • Emellett hasznos leírást adni arról, hogyan kérhet vagy kérhet hozzáférést a társított tárolókon végzett műveletek végrehajtásához, ha szükséges. Ez a leírás a társított tárolókban is megjelenik, hogy a biztonsági mentési rendszergazda útmutatást kapjon a szükséges engedélyek beszerzéséhez. Szükség esetén később is szerkesztheti a leírást, de mindig javasolt egy jól definiált leírás.

3. A Védett műveletek lapon válassza ki azokat a műveleteket, amelyekre szüksége van az erőforrás-védő használatával történő védelemhez.

   Az erőforrás-védő létrehozása után a védelmi műveleteket is kiválaszthatja.

4. Igény szerint adjon hozzá címkéket a Resource Guardhoz a követelményeknek megfelelően

5. Válassza a Felülvizsgálat + Értesítések létrehozása és követése lehetőséget a Resource Guard állapotának és sikeres létrehozásának érdekében.

PowerShell

Erőforrás-védő létrehozásához futtassa a következő parancsmagot:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

Erőforrás-védő létrehozásához futtassa a következő parancsot:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

A Resource Guard használatával védelmet biztosító műveletek kiválasztása

Válassza ki a Resource Guard használatával védeni kívánt műveleteket az összes támogatott kritikus művelet közül. Alapértelmezés szerint minden támogatott kritikus művelet engedélyezve van. Ön (mint biztonsági rendszergazda) azonban mentesíthet bizonyos műveleteket attól, hogy a Resource Guard használatával a MUA hatáskörébe tartoznak.

Ügyfél kiválasztása

Azure Portal

A műveletek kivételéhez kövesse az alábbi lépéseket:

1. A fent létrehozott Resource Guardban lépjen a Properties>Recovery Services-tároló fülre.

2. Válassza a Letiltás lehetőséget azokhoz a műveletekhez, amelyeket ki szeretne zárni a Resource Guard használatával való engedélyezésből.

   Megjegyzés:

   A védett műveletek nem tilthatók le – A helyreállítható törlés és a MUA-védelem eltávolítása.

3. A Resource Guard leírását ezen a panelen is frissítheti.

4. Válassza a Mentés parancsot.

   

PowerShell

A műveletek frissítése. Ezek kizárják a resource guard által végzett védelmi műveleteket, és futtassa a következő parancsmagokat:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• Az első parancs lekéri a frissíteni kívánt erőforrás-védőt.
• A második és a harmadik parancs beolvassa a frissíteni kívánt kritikus műveleteket.
• A negyedik parancs kizár néhány kritikus műveletet az erőforrás-védőből.

CLI

Az erőforrás-védő által védeni kívánt műveletek frissítéséhez futtassa a következő parancsokat:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Példa

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Engedélyek hozzárendelése a Resource Guard biztonsági mentési rendszergazdájához a MUA engedélyezéséhez

A MUA tárolón való engedélyezéséhez a tároló rendszergazdájának olvasói szerepkörrel kell rendelkeznie a Resource Guardban vagy a Resource Guardot tartalmazó előfizetésben. Az Olvasó szerepkör hozzárendelése a Resource Guardhoz:

1. A fent létrehozott Resource Guardban lépjen a Hozzáférés-vezérlés (IAM) panelre, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

   

2. Válassza az Olvasó lehetőséget a beépített szerepkörök listájából, és válassza a Tovább lehetőséget.

   

3. Kattintson a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda e-mail-azonosítóját, hogy olvasóként vegye fel őket. Mivel a biztonsági mentési rendszergazda ebben az esetben egy másik bérlőben van, vendégként hozzáadjuk őket a Resource Guardot tartalmazó bérlőhöz.

4. Kattintson a Kijelölés gombra, majd folytassa a Véleményezés + hozzárendelés lehetőségre a szerepkör-hozzárendelés befejezéséhez.

   

MUA engedélyezése Recovery Services-tárolón

Miután a Resource Guard olvasói szerepkör-hozzárendelése befejeződött, engedélyezze a többfelhasználós engedélyezést a felügyelt tárolókon (biztonsági mentési rendszergazdaként).

Ügyfél kiválasztása

Azure Portal

Ha engedélyezni szeretné a MUA-t a tárolókban, kövesse az alábbi lépéseket.

1. Nyissa meg a Recovery Services-tárolót. Nyissa meg a bal oldali navigációs panel Tulajdonságok elemét, majd a Többfelhasználós engedélyezés lehetőséget, és válassza a Frissítés lehetőséget.

   

2. Most megjelenik a MUA engedélyezésének és a Resource Guard kiválasztásának lehetősége az alábbi módok egyikével:

   • Megadhatja a Resource Guard URI-ját, és megadhatja annak a Resource Guardnak az URI-ját, amelyhez olvasói hozzáféréssel rendelkezik, és amely megegyezik a tárolóéval. A Resource Guard URI-ját (Resource Guard-azonosítóját) az áttekintési képernyőn találja:

     

   • Vagy kiválaszthatja a Resource Guardot azOknak az Erőforrás-őröknek a listájából, amelyekhez olvasói hozzáféréssel rendelkezik, és amelyek elérhetők a régióban.

     1. Kattintson a Resource Guard kiválasztása elemre
     2. Válassza ki a legördülő listát, majd válassza ki azt a könyvtárat, amelyben a Resource Guard található.
     3. Válassza a Hitelesítés lehetőséget az identitás és a hozzáférés ellenőrzéséhez.
     4. A hitelesítés után válassza ki a Resource Guardot a megjelenített listából.

     

3. A MUA engedélyezéséhez válassza a Mentés egyszer lehetőséget.

   

PowerShell

A MUA Recovery Services-tárolón való engedélyezéséhez futtassa a következő parancsmagot:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• Az első parancs lekéri annak a Resource Guard-bérlőnek a hozzáférési jogkivonatát, ahol az erőforrásőr található.
• A második parancs létrehoz egy leképezést az RSVault $vault és a Resource Guard között.

Megjegyzés:

A jogkivonat paraméter nem kötelező, és csak a bérlők közötti védett műveletek hitelesítéséhez szükséges.

CLI

A MUA Recovery Services-tárolón való engedélyezéséhez futtassa a következő parancsot:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

A bérlőazonosítóra akkor van szükség, ha az erőforrás-őr egy másik bérlőben található.

Példa

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

Védett műveletek MUA használatával

Miután engedélyezte a MUA-t, a hatókörben lévő műveletek korlátozottak lesznek a tárolón, ha a biztonsági mentési rendszergazda anélkül próbálja végrehajtani őket, hogy rendelkezik a szükséges szerepkörrel (azaz közreműködői szerepkörrel) a Resource Guardon.

Megjegyzés:

Javasoljuk, hogy tesztelje a beállítást, miután engedélyezte a MUA-t, hogy a védett műveletek a várt módon legyenek letiltva, és hogy a MUA megfelelően legyen konfigurálva.

Az alábbi ábra azt szemlélteti, hogy mi történik, amikor a biztonsági mentési rendszergazda megpróbál végrehajtani egy ilyen védett műveletet (például itt látható a helyreállítható törlés letiltása). Más védett műveletek hasonló tapasztalattal rendelkeznek). A következő lépéseket egy biztonsági mentési rendszergazda hajtja végre a szükséges engedélyek nélkül.

1. A helyreállítható törlés letiltásához lépjen a Recovery Services-tároló >tulajdonságok>biztonsági Gépház, és válassza a Biztonsági Gépház hozó Frissítés lehetőséget.

2. Tiltsa le a helyreállítható törlést a csúszkával. Tájékoztatjuk, hogy ez egy védett művelet, és ellenőriznie kell, hogy hozzáférnek-e a Resource Guardhoz.

3. Válassza ki a Resource Guardot tartalmazó könyvtárat, és hitelesítse magát. Ez a lépés nem feltétlenül szükséges, ha a Resource Guard ugyanabban a könyvtárban van, mint a tároló.

4. Folytassa a Mentés lehetőség kiválasztásával. A kérés meghiúsul, és hibaüzenet jelenik meg arról, hogy a Resource Guard nem rendelkezik megfelelő engedélyekkel a művelet végrehajtásához.

   

Kritikus (védett) műveletek engedélyezése a Microsoft Entra Privileged Identity Management használatával

A következő szakaszok a kérések PIM használatával történő engedélyezését ismertetik. Előfordulhat, hogy kritikus műveleteket kell végrehajtania a biztonsági másolatokon, és a MUA segíthet annak biztosításában, hogy ezek csak a megfelelő jóváhagyások vagy engedélyek megléte esetén legyenek végrehajtva. Ahogy korábban említettük, a biztonsági mentési rendszergazdának közreműködői szerepkörrel kell rendelkeznie a Resource Guardban a Resource Guard hatókörében található kritikus műveletek végrehajtásához. Az ilyen műveletek igény szerint történő engedélyezésének egyik módja a Microsoft Entra Privileged Identity Management használata.

Megjegyzés:

Bár a Microsoft Entra PIM használata az ajánlott módszer, manuális vagy egyéni módszerekkel kezelheti a Resource Guard biztonsági mentési rendszergazdájának hozzáférését. A Resource Guardhoz való hozzáférés manuális kezeléséhez használja a Resource Guard bal oldali navigációs sávjának Hozzáférés-vezérlés (IAM) beállítását, és adja meg a Közreműködő szerepkört a biztonsági mentési rendszergazdának.

Jogosult hozzárendelés létrehozása a biztonsági mentési rendszergazda számára (ha a Microsoft Entra Privileged Identity Managementet használja)

A biztonsági rendszergazda a PIM használatával létrehozhat egy jogosult hozzárendelést a biztonsági mentési rendszergazda számára a Resource Guard közreműködőjeként. Ez lehetővé teszi, hogy a biztonsági mentési rendszergazda kérést küldjön (a közreműködői szerepkörhöz), amikor védett műveletet kell végrehajtania. Ehhez a biztonsági rendszergazda a következőket hajtja végre:

1. A biztonsági bérlőben (amely tartalmazza a Resource Guardot) lépjen a Privileged Identity Management (keresés erre az Azure Portal keresősávján), majd nyissa meg az Azure Resourcest ( a bal oldali menü Kezelés területén ).

2. Válassza ki azt az erőforrást (a Resource Guardot vagy az azt tartalmazó előfizetést/RG-t), amelyhez hozzá szeretné rendelni a közreműködői szerepkört.

   Ha nem látja a megfelelő erőforrást az erőforrások listájában, győződjön meg arról, hogy hozzáadja a PIM által felügyelni kívánt előfizetést.

3. A kijelölt erőforrásban lépjen a Hozzárendelések elemre ( a bal oldali menü Kezelés területén), és válassza a Hozzárendelések hozzáadása lehetőséget.

   

4. A Hozzárendelések hozzáadása területen:

   1. Válassza ki a szerepkört közreműködőként.
   2. Lépjen a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda felhasználónevét (vagy e-mail-azonosítóját).
   3. Válassza a Következő lehetőséget.

   

5. A következő képernyőn:

   1. A hozzárendelés típusa alatt válassza a Jogosult lehetőséget.
   2. Adja meg azt az időtartamot, amelyre a jogosult engedély érvényes.
   3. Válassza a Hozzárendelés lehetőséget a jogosult hozzárendelés létrehozásának befejezéséhez.

   

Jóváhagyók beállítása közreműködői szerepkör aktiválásához

Alapértelmezés szerint előfordulhat, hogy a fenti beállításhoz nincs jóváhagyó (és jóváhagyási folyamatra vonatkozó követelmény) konfigurálva a PIM-ben. Annak biztosítása érdekében, hogy a jóváhagyók csak az engedélyezett kérések végrehajtásának engedélyezéséhez legyenek szükségesek, a biztonsági rendszergazdának végre kell hajtania a következő lépéseket.

Megjegyzés:

Ha ez nincs konfigurálva, a rendszer automatikusan jóváhagyja a kéréseket anélkül, hogy át kellene mennie a biztonsági rendszergazdákon vagy a kijelölt jóváhagyó véleményén. További részletek erről itt találhatók

1. A Microsoft Entra PIM-ben válassza az Azure-erőforrásokat a bal oldali navigációs sávon, és válassza ki a Resource Guardot.

2. Lépjen a Gépház, majd a Közreműködő szerepkörre.

   

3. Ha a Jóváhagyók nevű beállítás nem jelenik meg, vagy helytelen jóváhagyó(ka)t jelenít meg, válassza a Szerkesztés lehetőséget azoknak a véleményezőknek a hozzáadásához, akiknek felül kell vizsgálniuk és jóvá kell hagyniuk a közreműködői szerepkör aktiválási kérését.

4. Az Aktiválás lapon válassza a Jóváhagyás megkövetelése aktiválása lehetőséget, és adja hozzá azokat a jóváhagyó(ka)t, akiknek jóvá kell hagyniuk az egyes kéréseket. A közreműködői szerepkör aktiválásához egyéb biztonsági beállításokat is választhat, például az MFA és a mandating jegybeállítások használatát. Igény szerint válassza ki a megfelelő beállításokat a Hozzárendelés és értesítés lapon a követelményeknek megfelelően.

   

5. Ha végzett, válassza a Frissítés lehetőséget.

Jogosult hozzárendelés aktiválásának kérése kritikus műveletek végrehajtásához

Miután a biztonsági rendszergazda létrehozott egy jogosult hozzárendelést, a biztonsági mentési rendszergazdának aktiválnia kell a közreműködői szerepkör hozzárendelését a védett műveletek végrehajtásához. A biztonsági mentési rendszergazda a következő műveleteket hajtja végre a szerepkör-hozzárendelés aktiválásához.

1. Nyissa meg a Microsoft Entra Privileged Identity Managementet. Ha a Resource Guard egy másik könyvtárban van, váltson erre a könyvtárra, majd lépjen a Microsoft Entra Privileged Identity Managementre.

2. Nyissa meg a Saját szerepkörök>Azure-erőforrásokat a bal oldali menüben.

3. A biztonsági mentési rendszergazda megtekintheti a közreműködői szerepkör jogosult hozzárendelését. Az aktiváláshoz válassza az Aktiválás lehetőséget.

4. A biztonsági mentési rendszergazdát a portál értesítése tájékoztatja arról, hogy a kérést jóváhagyásra küldi a rendszer.

   

Kritikus műveletek végrehajtására irányuló kérések aktiválásának jóváhagyása

Miután a biztonsági mentési rendszergazda kérést küld a közreműködői szerepkör aktiválására, a kérést a biztonsági rendszergazdának kell felülvizsgálnia és jóvá kell hagynia.

1. A biztonsági bérlőben nyissa meg a Microsoft Entra Privileged Identity Managementet.
2. Lépjen a Kérelmek jóváhagyása elemre.
3. Az Azure-erőforrások alatt a biztonsági mentési rendszergazda által a közreműködőként történő aktiválást kérő kérés látható.
4. Tekintse át a kérést. Ha eredeti, válassza ki a kérelmet, és a jóváhagyáshoz válassza a Jóváhagyás lehetőséget.
5. A biztonsági mentési rendszergazdát e-mailben (vagy más szervezeti riasztási mechanizmusokkal) értesítjük arról, hogy a kérése már jóvá lett hagyva.
6. A jóváhagyást követően a biztonsági mentési rendszergazda védett műveleteket hajthat végre a kért időszakra.

Védett művelet végrehajtása jóváhagyás után

Miután jóváhagyták a Resource Guard közreműködői szerepkörére vonatkozó biztonsági mentési rendszergazdai kérést, védett műveleteket hajthatnak végre a társított tárolón. Ha a Resource Guard egy másik könyvtárban található, a biztonsági mentési rendszergazdának hitelesítenie kell magát.

Megjegyzés:

Ha a hozzáférés JIT-mechanizmussal lett hozzárendelve, a közreműködői szerepkör a jóváhagyott időszak végén lesz visszavonva. Máskülönben a biztonsági rendszergazda manuálisan eltávolítja a biztonsági mentési rendszergazdához rendelt közreműködői szerepkört a kritikus művelet végrehajtásához.

Az alábbi képernyőképen egy mua-kompatibilis tároló helyreállítható törlésének letiltására szolgáló példa látható.

MUA letiltása Recovery Services-tárolón

A MUA letiltása védett művelet, ezért a tárolók a MUA használatával vannak védve. Ha Ön (a biztonsági mentési rendszergazda) le szeretné tiltani a MUA-t, rendelkeznie kell a szükséges közreműködői szerepkörével a Resource Guardban.

Ügyfél kiválasztása

Azure Portal

Ha le szeretné tiltani a MUA-t egy tárolón, kövesse az alábbi lépéseket:

1. A biztonsági mentési rendszergazda közreműködői szerepkört kér a Biztonsági rendszergazdától a Resource Guardon. Kérhetik, hogy a szervezet által jóváhagyott módszereket, például a JIT-eljárásokat, például a Microsoft Entra Privileged Identity Managementet vagy más belső eszközöket és eljárásokat használják.

2. A biztonsági rendszergazda jóváhagyja a kérést (ha érdemesnek találják a jóváhagyásra), és tájékoztatja a biztonsági mentési rendszergazdát. Most a biztonsági mentési rendszergazda "Közreműködő" szerepkört kap a Resource Guardon.

3. A biztonsági mentési rendszergazda a tároló >többfelhasználós>engedélyezésére lép.

4. Válassza a Frissítés lehetőséget.

   1. Törölje a Jelet a Védelem a Resource Guard használatával jelölőnégyzetből.
   2. Válassza ki a Resource Guardot tartalmazó könyvtárat, és ellenőrizze a hozzáférést a Hitelesítés gombbal (ha van ilyen).
   3. A hitelesítés után válassza a Mentés lehetőséget. A megfelelő hozzáféréssel a kérést sikeresen be kell fejezni.

   

PowerShell

Ha le szeretné tiltani a MUA-t egy Recovery Services-tárolóban, használja a következő parancsmagot:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• Az első parancs lekéri a resource guard-bérlő hozzáférési jogkivonatát, ahol az erőforrásőr található.
• A második parancs törli a helyreállítási tár és az erőforrás-védő közötti leképezést.

Megjegyzés:

A jogkivonat paraméter nem kötelező, és csak a bérlők közötti védett műveletek hitelesítéséhez szükséges.

CLI

Ha le szeretné tiltani a MUA-t egy Recovery Services-tárolóban, futtassa a következő parancsot:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

A bérlőazonosítóra akkor van szükség, ha az erőforrás-őr egy másik bérlőben található.

Példa

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Ez a cikk azt ismerteti, hogyan konfigurálhatja a többfelhasználós engedélyezést (MUA) az Azure Backuphoz egy további védelmi réteg hozzáadásához a Backup-tároló kritikus műveleteihez.

Ez a cikk bemutatja, hogy a Resource Guard létrehozása egy másik bérlőben, amely maximális védelmet nyújt. Azt is bemutatja, hogyan kérhet és hagyhat jóvá kéréseket kritikus műveletek végrehajtására a Microsoft Entra Privileged Identity Management használatával a Resource Guard-bérlőben. A beállításnak megfelelően más mechanizmusokkal is kezelheti a Resource Guard JIT-engedélyeit.

Megjegyzés:

• A Resource Guard for Backup-tárolóval történő többfelhasználós engedélyezés általánosan elérhető.
• Az Azure Backup többfelhasználós engedélyezése minden nyilvános Azure-régióban elérhető.

Before you start

• Győződjön meg arról, hogy a Resource Guard és a Backup-tároló ugyanabban az Azure-régióban található.
• Győződjön meg arról, hogy a biztonsági mentési rendszergazda nem rendelkezik közreműködői engedélyekkel a Resource Guardon. A maximális elkülönítés érdekében dönthet úgy, hogy a Resource Guard egy másik előfizetésben található ugyanahhoz a címtárhoz vagy egy másik könyvtárhoz.
• Győződjön meg arról, hogy az előfizetései tartalmazzák a Backup-tárolót, valamint a Resource Guardot (különböző előfizetésekben vagy bérlőkben) a szolgáltató – Microsoft.DataProtection4 – használatához. További információ: Azure-erőforrás-szolgáltatók és -típusok.

Ismerje meg a MUA különböző használati forgatókönyveit.

Resource Guard létrehozása

A biztonsági rendszergazda létrehozza a Resource Guardot. Javasoljuk, hogy hozzon létre egy másik előfizetésben vagy egy másik bérlőben tárolóként. Ennek azonban ugyanabban a régióban kell lennie, mint a tároló.

A biztonsági mentési rendszergazdának NEM kell közreműködői hozzáféréssel rendelkeznie a Resource Guardban vagy az azt tartalmazó előfizetésben.

Ha a Resource Guardot biztonsági rendszergazdaként szeretné létrehozni a tárolóbérlõtől eltérő bérlőben, kövesse az alábbi lépéseket:

1. Az Azure Portalon lépjen arra a könyvtárra, amely alatt létre szeretné hozni a Resource Guardot.

   

2. Keressen erőforrás-őröket a keresősávban, majd válassza ki a megfelelő elemet a legördülő listából.

   

   1. Resource Guard létrehozásához válassza a Létrehozás lehetőséget .
   2. A Létrehozás panelen adja meg a Resource Guardhoz szükséges adatokat.
      • Győződjön meg arról, hogy a Resource Guard ugyanabban az Azure-régióban található, mint a Backup-tároló.
      • Adjon meg egy leírást arról, hogyan kérhet hozzáférést a társított tárolókon végzett műveletek végrehajtásához, ha szükséges. Ez a leírás a társított tárolókban jelenik meg, hogy a biztonsági mentési rendszergazda útmutatást nyújt a szükséges engedélyek beszerzéséhez.

3. A Védett műveletek lapon válassza ki azokat a műveleteket, amelyekre szüksége van az erőforrás-védelemmel való védelemhez a Biztonsági mentési tároló lapon.

   A Védett műveletek lap jelenleg csak a Letiltandó biztonsági másolat törlése lehetőséget tartalmazza.

   Az erőforrás-védő létrehozása után a védelmi műveleteket is kiválaszthatja.

   

4. Igény szerint adjon hozzá címkéket a Resource Guardhoz a követelményeknek megfelelően.

5. Válassza a Véleményezés + Létrehozás lehetőséget, majd kövesse az értesítéseket a Resource Guard állapotának és sikeres létrehozásának figyeléséhez.

A Resource Guard használatával védelmet biztosító műveletek kiválasztása

A tároló létrehozása után a biztonsági rendszergazda a Resource Guard használatával is kiválaszthatja a védelmi műveleteket az összes támogatott kritikus művelet közül. Alapértelmezés szerint minden támogatott kritikus művelet engedélyezve van. A biztonsági rendszergazda azonban mentesíthet bizonyos műveleteket attól, hogy a Resource Guard használatával a MUA hatáskörébe tartoznak.

A védelmi műveletek kiválasztásához kövesse az alábbi lépéseket:

1. A létrehozott Resource Guardban lépjen a Tulajdonságok>biztonsági mentési tároló lapjára.

2. Válassza a Letiltás lehetőséget azokhoz a műveletekhez, amelyeket ki szeretne zárni az engedélyezésből.

   A MUA eltávolítása ésa helyreállítható törlési műveletek letiltása nem tiltható le.

3. A Biztonsági mentési tárolók lapon szükség esetén frissítse a Resource Guard leírását.

4. Válassza a Mentés parancsot.

   

Engedélyek hozzárendelése a Resource Guard biztonsági mentési rendszergazdájához a MUA engedélyezéséhez

A biztonsági mentési rendszergazdának olvasói szerepkörrel kell rendelkeznie a Resource Guardban vagy az előfizetésben, amely a Resource Guardot tartalmazza a MUA tárolón való engedélyezéséhez. A biztonsági rendszergazdának hozzá kell rendelnie ezt a szerepkört a biztonsági mentési rendszergazdához.

A Resource Guard olvasói szerepkörének hozzárendeléséhez kövesse az alábbi lépéseket:

1. A fent létrehozott Resource Guardban lépjen a Hozzáférés-vezérlés (IAM) panelre, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

   

2. Válassza az Olvasó lehetőséget a beépített szerepkörök listájából, és válassza a Tovább lehetőséget.

   

3. Kattintson a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda e-mail-azonosítóját az Olvasó szerepkör hozzárendeléséhez.

   Mivel a biztonsági mentési rendszergazdák egy másik bérlőben vannak, vendégként hozzáadjuk őket a Resource Guardot tartalmazó bérlőhöz.

4. A szerepkör-hozzárendelés befejezéséhez kattintson a Véleményezés + hozzárendelés gombra.>

   

MUA engedélyezése Backup-tárolón

Ha a biztonsági mentési rendszergazda rendelkezik a Resource Guard Olvasó szerepkörével, az alábbi lépések végrehajtásával engedélyezheti a többfelhasználós hitelesítést a felügyelt tárolókon:

1. Nyissa meg azt a Biztonsági mentési tárolót, amelyhez a MUA-t konfigurálni szeretné.

2. A bal oldali panelen válassza a Tulajdonságok lehetőséget.

3. Nyissa meg a többfelhasználós engedélyezést, és válassza a Frissítés lehetőséget.

   

4. A MUA engedélyezéséhez és a Resource Guard kiválasztásához hajtsa végre az alábbi műveletek egyikét:

   • Megadhatja a Resource Guard URI-ját. Győződjön meg arról, hogy megadja a Resource Guard URI-ját, amelyhez olvasói hozzáféréssel rendelkezik, és ugyanabban a régióban van, mint a tároló. A Resource Guard URI-ját (Resource Guard-azonosítóját ) az áttekintési oldalon találja.

     

   • Vagy kiválaszthatja a Resource Guardot azOknak az Erőforrás-őröknek a listájából, amelyekhez olvasói hozzáféréssel rendelkezik, és amelyek elérhetők a régióban.

     1. Kattintson a Resource Guard kiválasztása elemre.
     2. Válassza ki a legördülő menüt, és válassza ki azt a könyvtárat, amelyben a Resource Guard található.
     3. Válassza a Hitelesítés lehetőséget az identitás és a hozzáférés ellenőrzéséhez.
     4. A hitelesítés után válassza ki a Resource Guardot a megjelenített listából.

     

5. A MUA engedélyezéséhez válassza a Mentés lehetőséget .

   

Védett műveletek MUA használatával

Ha a biztonsági mentési rendszergazda engedélyezi a MUA-t, a hatókörben lévő műveletek korlátozottak lesznek a tárolón, és a műveletek meghiúsulnak, ha a biztonsági mentési rendszergazda a Resource Guard közreműködői szerepköre nélkül próbálja végrehajtani őket.

Megjegyzés:

Javasoljuk, hogy tesztelje a beállítást, miután engedélyezte a MUA-t, hogy biztosítsa a következőket:

• A védett műveletek a várt módon le vannak tiltva.
• A MUA megfelelően van konfigurálva.

Védett művelet végrehajtásához (a MUA letiltásához) kövesse az alábbi lépéseket:

1. Lépjen a >tároló tulajdonságai elemre a bal oldali panelen.

2. Törölje a jelet a jelölőnégyzetből a MUA letiltásához.

   Értesítést kap arról, hogy ez egy védett művelet, és hozzá kell férnie a Resource Guardhoz.

3. Válassza ki a Resource Guardot tartalmazó könyvtárat, és hitelesítse magát.

   Ez a lépés nem feltétlenül szükséges, ha a Resource Guard ugyanabban a könyvtárban van, mint a tároló.

4. Válassza a Mentés parancsot.

   A kérés olyan hibával meghiúsul, hogy nem rendelkezik a Resource Guard megfelelő engedélyeivel a művelet végrehajtásához.

   

Kritikus (védett) műveletek engedélyezése a Microsoft Entra Privileged Identity Management használatával

Vannak olyan helyzetek, amikor kritikus műveleteket kell végrehajtania a biztonsági másolatokon, és a MUA-val megfelelő jóváhagyásokkal vagy engedélyekkel hajthatja végre őket. A következő szakaszok bemutatják, hogyan engedélyezheti a kritikus műveleti kérelmeket a Privileged Identity Management (PIM) használatával.

A biztonsági mentési rendszergazdának közreműködői szerepkörrel kell rendelkeznie a Resource Guardban a Resource Guard-hatókör kritikus műveleteinek elvégzéséhez. Az igény szerinti (JIT) műveletek engedélyezésének egyik módja a Microsoft Entra Privileged Identity Management használata.

Megjegyzés:

Javasoljuk, hogy használja a Microsoft Entra PIM-et. A Resource Guard biztonsági mentési rendszergazdájának hozzáférését azonban manuális vagy egyéni módszerekkel is kezelheti. A Resource Guardhoz való hozzáférés manuális kezeléséhez használja a Resource Guard bal oldali ablaktábláján található Hozzáférés-vezérlés (IAM) beállítást, és adja meg a Közreműködő szerepkört a biztonsági mentési rendszergazdának.

Jogosult hozzárendelés létrehozása a biztonsági mentési rendszergazda számára a Microsoft Entra Privileged Identity Management használatával

A biztonsági rendszergazda a PIM használatával létrehozhat egy jogosult hozzárendelést a biztonsági mentési rendszergazda számára a Resource Guard közreműködőjeként. Ez lehetővé teszi, hogy a biztonsági mentési rendszergazda kérést küldjön (a közreműködői szerepkörhöz), amikor védett műveletet kell végrehajtania.

Jogosult hozzárendelés létrehozásához kövesse az alábbi lépéseket:

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a Resource Guard biztonsági bérlőjéhez, és a keresés során adja meg a Privileged Identity Management kifejezést.

3. A bal oldali panelen válassza a Kezelés lehetőséget, és lépjen az Azure-erőforrásokra.

4. Válassza ki azt az erőforrást (a Resource Guardot vagy az azt tartalmazó előfizetést/RG-t), amelyhez hozzá szeretné rendelni a közreműködői szerepkört.

   Ha nem talál megfelelő erőforrásokat, adja hozzá a PIM által felügyelt előfizetést.

5. Jelölje ki az erőforrást, és válassza a Hozzárendelések hozzáadása hozzárendelések> kezelése>lehetőséget.

   

6. A Hozzárendelések hozzáadása területen:

   1. Válassza ki a szerepkört közreműködőként.
   2. Lépjen a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda felhasználónevét (vagy e-mail-azonosítóját).
   3. Válassza a Következő lehetőséget.

   

7. A Hozzárendelés területen válassza a Jogosult lehetőséget, és adja meg a jogosult engedély időtartamának érvényességét.

8. Válassza a Hozzárendelés lehetőséget a jogosult hozzárendelés létrehozásához.

   

Jóváhagyók beállítása közreműködői szerepkör aktiválásához

Alapértelmezés szerint előfordulhat, hogy a fenti beállítás nem rendelkezik a PIM-ben konfigurált jóváhagyóval (és jóváhagyási folyamattal). Annak biztosításához, hogy a jóváhagyók közreműködői szerepkörrel rendelkezzenek a kérelem jóváhagyásához, a biztonsági rendszergazdának az alábbi lépéseket kell követnie:

Megjegyzés:

Ha a jóváhagyó beállítása nincs konfigurálva, a rendszer automatikusan jóváhagyja a kérelmeket anélkül, hogy átmennek a biztonsági rendszergazdákon vagy a kijelölt jóváhagyó véleményén. További információ.

1. A Microsoft Entra PIM-ben válassza a bal oldali panelen az Azure-erőforrásokat , és válassza ki a Resource Guardot.

2. Nyissa meg a Gépház> Contributor szerepkört.

   

3. Válassza a Szerkesztés lehetőséget azoknak a véleményezőknek a hozzáadásához, akiknek felül kell vizsgálniuk és jóvá kell hagyniuk a közreműködői szerepkör aktiválási kérését, ha azt tapasztalja, hogy a jóváhagyók nem jelennek meg, vagy helytelen jóváhagyó(ka)t jelenítenek meg.

4. Az Aktiválás lapon válassza a Jóváhagyás megkövetelése az aktiváláshoz lehetőséget az egyes kérések jóváhagyásához szükséges jóváhagyó(k) hozzáadásához.

5. Válassza ki a biztonsági beállításokat, például a Multi-Factor Authenticationt (MFA), a közreműködői szerepkör aktiválásához a mandating jegyet.

6. Válassza ki a megfelelő beállításokat a Hozzárendelés és értesítés lapon a követelményeknek megfelelően.

   

7. Válassza a Frissítés lehetőséget a jóváhagyók beállításának befejezéséhez a közreműködői szerepkör aktiválásához.

Jogosult hozzárendelés aktiválásának kérése kritikus műveletek végrehajtásához

Miután a biztonsági rendszergazda létrehozott egy jogosult hozzárendelést, a biztonsági mentési rendszergazdának aktiválnia kell a közreműködői szerepkör szerepkör-hozzárendelését a védett műveletek végrehajtásához.

A szerepkör-hozzárendelés aktiválásához kövesse az alábbi lépéseket:

1. Nyissa meg a Microsoft Entra Privileged Identity Managementet. Ha a Resource Guard egy másik könyvtárban van, váltson erre a könyvtárra, majd lépjen a Microsoft Entra Privileged Identity Managementre.

2. Nyissa meg a Saját szerepkörök>Azure-erőforrásokat a bal oldali panelen.

3. Válassza az Aktiválás lehetőséget a közreműködői szerepkör jogosult hozzárendelésének aktiválásához.

   Megjelenik egy értesítés, amely értesíti a kérelmet jóváhagyásra.

   

Aktiválási kérelmek jóváhagyása kritikus műveletek végrehajtásához

Miután a biztonsági mentési rendszergazda kérést küld a közreműködői szerepkör aktiválására, a biztonsági rendszergazdának át kell tekintenie és jóvá kell hagynia a kérést.

A kérelem áttekintéséhez és jóváhagyásához kövesse az alábbi lépéseket:

1. A biztonsági bérlőben nyissa meg a Microsoft Entra Privileged Identity Managementet.

2. Lépjen a Kérelmek jóváhagyása elemre.

3. Az Azure-erőforrások alatt láthatja a jóváhagyásra váró kérést.

   Válassza a Jóváhagyás lehetőséget az eredeti kérés áttekintéséhez és jóváhagyásához.

A jóváhagyást követően a biztonsági mentési rendszergazda e-mailben vagy más belső riasztási beállításon keresztül értesítést kap a kérés jóváhagyásáról. A biztonsági mentési rendszergazda most már végrehajthatja a védett műveleteket a kért időszakra.

Védett művelet végrehajtása jóváhagyás után

Ha a biztonsági rendszergazda jóváhagyja a Biztonsági mentési rendszergazda kérését a Resource Guard közreműködői szerepkörére vonatkozóan, védett műveleteket hajthat végre a társított tárolón. Ha a Resource Guard egy másik könyvtárban található, a biztonsági mentési rendszergazdának hitelesítenie kell magát.

Megjegyzés:

Ha a hozzáférés JIT-mechanizmussal lett hozzárendelve, a közreműködői szerepkör a jóváhagyott időszak végén lesz visszavonva. Ellenkező esetben a biztonsági rendszergazda manuálisan eltávolítja a biztonsági mentési rendszergazdához rendelt közreműködői szerepkört a kritikus művelet végrehajtásához.

Az alábbi képernyőképen egy mua-kompatibilis tároló helyreállítható törlésének letiltására szolgáló példa látható.

MUA letiltása biztonsági mentési tárolón

A MUA letiltása olyan védett művelet, amelyet csak a biztonsági mentési rendszergazdának kell elvégeznie. Ehhez a biztonsági mentési rendszergazdának rendelkeznie kell a szükséges közreműködői szerepkörével a Resource Guardban. Az engedély beszerzéséhez a biztonsági mentési rendszergazdának először a Resource Guard közreműködői szerepkörét kell kérnie az igény szerinti (JIT) eljárással, például a Microsoft Entra Privileged Identity Managementtel vagy belső eszközökkel.

Ezután a biztonsági rendszergazda jóváhagyja a kérést, ha az eredeti, és frissíti azt a biztonsági mentési rendszergazdát, aki most közreműködői szerepkörrel rendelkezik az Erőforrás-védőn. További információ a szerepkör beszerzéséről.

A MUA letiltásához a biztonsági mentés rendszergazdáinak az alábbi lépéseket kell követniük:

1. Nyissa meg a tároló >tulajdonságainak>többfelhasználós engedélyezését.

2. Válassza a Frissítés lehetőséget, és törölje a jelet a Védelem a Resource Guard használatával jelölőnégyzetből.

3. Válassza a Hitelesítés (ha van) lehetőséget a Resource Guardot tartalmazó címtár kiválasztásához és a hozzáférés ellenőrzéséhez.

4. Válassza a Mentés lehetőséget a MUA letiltásának befejezéséhez.

   

További lépések

További információ a többfelhasználós engedélyezésről a Resource Guard használatával.