Mengonfigurasi otorisasi Multi-pengguna menggunakan Resource Guard di Azure Backup

Artikel ini menjelaskan cara mengonfigurasi Otorisasi Multi-Pengguna (MUA) untuk Azure Backup guna meningkatkan keamanan operasi penting pada vault Layanan Pemulihan. Ini mencakup pembuatan Resource Guard di penyewa terpisah untuk perlindungan maksimum dan menunjukkan cara meminta dan menyetujui akses operasi penting menggunakan Microsoft Entra Privileged Identity Management dalam penyewa yang menghosting Resource Guard. Atau, Anda dapat menggunakan metode lain untuk mengelola izin just-in-time (JIT) berdasarkan pengaturan organisasi Anda.

Nota

• Otorisasi multipengguna untuk Azure Backup tersedia di semua wilayah Azure publik.
• Otorisasi multi-pengguna menggunakan Resource Guard untuk brankas cadangan sudah tersedia secara umum. Pelajari selengkapnya.

Prasyarat

Sebelum Anda mengonfigurasi otorisasi Multi-pengguna untuk Layanan Pemulihan vault, pastikan prasyarat berikut terpenuhi:

• Penjaga Sumber Daya dan brankas Layanan Pemulihan harus berada di wilayah Azure yang sama.
• Admin Cadangan tidak boleh memiliki izin Kontributor, Admin MUA Cadangan, atau Operator MUA Cadangan pada Penjaga Sumber Daya. Anda dapat memilih untuk memiliki Resource Guard di langganan lain dari direktori yang sama atau di direktori lain untuk memastikan isolasi maksimum.
• Langganan yang berisi Layanan Pemulihan vault serta Resource Guard (dalam langganan atau penyewa yang berbeda) harus didaftarkan untuk menggunakan penyedia Microsoft.RecoveryServices dan Microsoft.DataProtection. Untuk informasi selengkapnya, lihat Penyedia dan jenis sumber daya Azure.

Pelajari tentang berbagai skenario penggunaan MUA.

Buat Penjaga Sumber Daya

Admin keamanan membuat Resource Guard. Sebaiknya Anda membuat Resource Guard di langganan yang berbeda atau penyewa yang berbeda sebagai brankas. Namun, harus berada di wilayah yang sama dengan brankas. Admin Cadangan TIDAK boleh memiliki akses Kontributor, Admin MUA Cadangan, atau Operator MUA Cadangan pada Resource Guard atau langganan yang berisinya.

Pilih klien

Portal Microsoft Azure

Untuk membuat Resource Guard di penyewa yang berbeda dari penyewa vault, ikuti langkah-langkah berikut:

1. Di portal Azure, buka direktori tempat Anda ingin membuat Resource Guard.

   

2. Cari Resource Guards di bilah pencarian, lalu pilih item yang sesuai dari daftar drop-down.

   

   • Pilih Buat untuk mulai membuat Resource Guard.
   • Di panel buat, isi detail yang diperlukan untuk Resource Guard ini.
     • Pastikan Resource Guard berada di wilayah Azure yang sama dengan brankas Recovery Services.
     • Selain itu, sangat membantu untuk menambahkan deskripsi tentang cara mendapatkan atau meminta akses untuk melakukan tindakan pada vault terkait saat diperlukan. Deskripsi ini juga akan muncul di brankas terkait untuk memandu admin cadangan dalam mendapatkan izin yang diperlukan. Anda dapat mengedit deskripsi nanti jika diperlukan, tetapi sangat dianjurkan untuk memiliki deskripsi yang terdefinisi dengan baik setiap saat.

3. Pada tab Operasi terproteksi, pilih operasi yang perlu Anda lindungi menggunakan resource guard ini.

   Anda juga dapat memilih operasi untuk perlindungan setelah membuat pelindung sumber daya.

4. Secara opsional, tambahkan tag apa pun ke Resource Guard sesuai persyaratan

5. Pilih Tinjau + Buat dan ikuti pemberitahuan untuk status dan pembuatan Resource Guard yang berhasil.

PowerShell

Untuk membuat penjaga sumber daya, jalankan cmdlet berikut:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

Untuk membuat penjaga sumber daya, jalankan perintah berikut:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Pilih operasi yang akan dilindungi menggunakan Resource Guard

Pilih operasi yang ingin Anda lindungi menggunakan Resource Guard dari semua operasi penting yang didukung. Secara default, semua operasi penting yang didukung diaktifkan. Namun, Anda (sebagai admin keamanan) dapat membebaskan operasi tertentu dari cakupan MUA menggunakan Resource Guard.

Pilih klien

Portal Microsoft Azure

Untuk mengecualikan operasi, ikuti langkah-langkah berikut:

1. Di Resource Guard yang dibuat di atas, buka tab Properti>Brankas Layanan Pemulihan.

2. Pilih Nonaktifkan untuk operasi yang ingin Anda kecualikan agar tidak diotorisasi menggunakan Resource Guard.

   Nota

   Anda tidak dapat menonaktifkan operasi yang dilindungi - Nonaktifkan penghapusan sementara dan Hapus perlindungan MUA.

3. Secara opsional, Anda juga dapat memperbarui deskripsi untuk Resource Guard menggunakan panel ini.

4. Pilih Simpan.

   

PowerShell

Untuk memperbarui operasi tersebut. Ini mengecualikan operasi dari perlindungan oleh penjaga sumber daya, jalankan cmdlet berikut:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• Perintah pertama memanggil pelindung sumber daya yang perlu diperbarui.
• Perintah kedua dan ketiga mengambil operasi penting yang ingin Anda perbarui.
• Perintah keempat mengecualikan beberapa operasi penting dari penjaga sumber daya.

CLI

Untuk memperbarui operasi yang akan dikecualikan agar tidak dilindungi oleh penjaga sumber daya, jalankan perintah berikut:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Contoh:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Tetapkan izin ke admin Cadangan di Resource Guard untuk mengaktifkan MUA

Untuk mengaktifkan MUA pada vault, admin vault harus memiliki peran Pembaca di Resource Guard atau langganan yang berisi Resource Guard. Untuk menetapkan peran Pembaca di Resource Guard:

1. Di Resource Guard yang dibuat di atas, buka panel Access Control (IAM), lalu buka Tambahkan penetapan peran.

   

2. Pilih Pembaca dari daftar peran bawaan, dan pilih Berikutnya.

   

3. Klik Pilih anggota dan tambahkan ID email admin Cadangan untuk menambahkan mereka sebagai Pembaca. Karena admin Cadangan berada di penyewa lain dalam hal ini, mereka akan ditambahkan sebagai tamu ke penyewa yang berisi Resource Guard.

4. Klik Pilih lalu lanjutkan ke Tinjau + tetapkan untuk menyelesaikan penetapan peran.

   

Mengaktifkan MUA di Brankas Layanan Pemulihan

Setelah penetapan peran Pembaca di Resource Guard selesai, aktifkan otorisasi multi-pengguna pada vault (sebagai admin Cadangan) yang Anda kelola.

Pilih klien

Portal Microsoft Azure

Untuk mengaktifkan MUA pada vault, ikuti langkah-langkah ini.

1. Pergi ke vault Layanan Pemulihan. Buka Properti di panel navigasi kiri, lalu ke Otorisasi Multi-Pengguna dan pilih Perbarui.

   

2. Sekarang, Anda disajikan dengan opsi untuk mengaktifkan MUA dan memilih Resource Guard menggunakan salah satu cara berikut:

   • Anda dapat memilih untuk menentukan URI dari Resource Guard atau memastikan bahwa Anda menentukan URI dari Resource Guard yang Anda memiliki akses sebagai Pembaca dan berada di wilayah yang sama dengan brankas. Anda dapat menemukan URI (ID Resource Guard) dari Resource Guard di layar Gambaran Umum:

     

   • Atau, Anda dapat memilih Resource Guard dari daftar Resource Guard yang Anda miliki akses Pembaca, serta Resource Guard yang tersedia di wilayah tersebut.

     1. Klik Pilih Penjaga Sumber Daya
     2. Pilih daftar dropdown, lalu pilih direktori tempat Resource Guard berada.
     3. Pilih Autentikasi untuk memvalidasi identitas dan akses Anda.
     4. Setelah autentikasi, pilih Resource Guard dari daftar yang ditampilkan.

     

3. Pilih Simpan setelah selesai untuk mengaktifkan MUA.

   

PowerShell

Untuk mengaktifkan MUA pada vault Layanan Pemulihan, jalankan cmdlet berikut:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• Perintah pertama mengambil token akses untuk penyewa penjaga sumber daya tempat penjaga sumber daya berada.
• Perintah kedua membuat pemetaan antara $vault RSVault dan Resource guard.

Nota

Parameter token bersifat opsional dan hanya diperlukan untuk mengautentikasi operasi yang dilindungi lintas penyewa.

CLI

Untuk mengaktifkan MUA pada vault Layanan Pemulihan, jalankan perintah berikut:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

ID penyewa diperlukan jika penjaga sumber daya ada di penyewa yang berbeda.

Contoh:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

Operasi yang dilindungi menggunakan MUA

Setelah Anda mengaktifkan MUA, ruang lingkup operasi akan dibatasi pada brankas jika admin Cadangan mencoba melakukannya tanpa memiliki peran yang diperlukan, yaitu peran Operator MUA Cadangan di Resource Guard.

Nota

Kami sangat menyarankan Anda menguji penyiapan setelah mengaktifkan MUA untuk memastikan bahwa operasi yang dilindungi diblokir seperti yang diharapkan dan untuk memastikan bahwa MUA dikonfigurasi dengan benar.

Digambarkan di bawah ini adalah ilustrasi tentang apa yang terjadi ketika admin Backup mencoba melakukan operasi yang dilindungi seperti itu (Misalnya, menonaktifkan penghapusan sementara digambarkan di sini. Operasi lain yang dilindungi memiliki pengalaman serupa). Langkah-langkah berikut dilakukan oleh admin Cadangan tanpa izin yang diperlukan.

1. Untuk menonaktifkan penghapusan sementara, buka > vault Layanan Pemulihan Properti>Pengaturan Keamanan dan pilih Perbarui, yang memunculkan Pengaturan Keamanan.

2. Nonaktifkan penghapusan sementara menggunakan penggerak. Anda diberi tahu bahwa ini adalah operasi yang dilindungi, dan Anda perlu memverifikasi aksesnya ke Resource Guard.

3. Pilih direktori yang berisi Resource Guard dan Autentikasi sendiri. Langkah ini mungkin tidak diperlukan jika Resource Guard berada di direktori yang sama dengan vault.

4. Lanjutkan untuk memilih Simpan. Permintaan gagal dengan kesalahan yang memberi tahu mereka tentang tidak memiliki izin yang memadai pada Resource Guard untuk memungkinkan Anda melakukan operasi ini.

   

Mengotorisasi operasi penting (dilindungi) menggunakan Microsoft Entra Privileged Identity Management

Bagian berikut membahas otorisasi permintaan ini menggunakan PIM. Ada kasus di mana Anda mungkin perlu melakukan operasi penting pada cadangan Anda dan MUA dapat membantu Anda memastikan bahwa ini dilakukan hanya ketika persetujuan atau izin yang tepat ada. Seperti yang dibahas sebelumnya, admin Backup harus memiliki peran Operator MUA Cadangan pada Resource Guard untuk melakukan operasi penting yang berada dalam cakupan Resource Guard. Salah satu cara untuk memungkinkan just-in-time untuk operasi tersebut adalah melalui penggunaan fitur Microsoft Entra Privileged Identity Management.

Nota

Meskipun menggunakan Microsoft Entra PIM adalah pendekatan yang direkomendasikan, Anda dapat menggunakan metode manual atau kustom untuk mengelola akses untuk admin Cadangan di Resource Guard. Untuk mengelola akses ke Resource Guard secara manual, gunakan pengaturan 'Kontrol akses (IAM)' di bilah navigasi kiri Resource Guard dan berikan peran Operator MUA Cadangan kepada admin Cadangan.

Membuat penugasan yang memenuhi syarat untuk admin Cadangan (jika menggunakan Microsoft Entra Privileged Identity Management)

Admin Keamanan dapat menggunakan PIM untuk membuat penugasan yang memenuhi syarat untuk admin Cadangan dan menyediakan peran Operator MUA Cadangan ke Resource Guard. Ini memungkinkan admin Cadangan untuk mengajukan permohonan (untuk peran Operator MUA Cadangan) ketika mereka perlu melakukan operasi yang dilindungi. Untuk melakukannya, admin keamanan melakukan hal berikut:

1. Di penyewa keamanan (yang berisi Resource Guard), buka Privileged Identity Management (cari ini di bilah pencarian di portal Microsoft Azure) lalu buka Sumber Daya Azure (di bawah Kelola di menu sebelah kiri).

2. Pilih sumber daya (Resource Guard atau langganan/RG yang berisi) yang ingin Anda tetapkan peran Operator MUA Cadangan .

   Jika Anda tidak melihat sumber daya yang sesuai dalam daftar sumber daya, pastikan Anda menambahkan langganan yang berisi untuk dikelola oleh PIM.

3. Di sumber daya yang dipilih, buka Penugasan (di bawah Kelola di menu sebelah kiri) dan buka Tambahkan penugasan.

   

4. Tambahkan penugasan

   1. Pilih peran sebagai Operator Cadangan MUA.
   2. Buka Pilih anggota dan tambahkan nama pengguna (atau ID email) admin Cadangan.
   3. Pilih Selanjutnya.

   

5. Di layar berikutnya:

   1. Di bawah jenis penugasan, pilih Memenuhi Syarat.
   2. Tentukan durasi validitas izin yang memenuhi syarat.
   3. Pilih Tetapkan untuk menyelesaikan pembuatan tugas yang memenuhi syarat.

   

Menyiapkan pemberi izin untuk mengaktifkan peran Operator MUA Cadangan

Secara default, penyiapan di atas mungkin tidak memiliki pemberi persetujuan (dan persyaratan alur persetujuan) yang dikonfigurasi di PIM. Untuk memastikan bahwa pemberi persetujuan memiliki peran Operator MUA Cadangan untuk meminta persetujuan, admin Keamanan harus mengikuti langkah-langkah berikut:

Nota

Jika ini tidak dikonfigurasi, permintaan apa pun akan disetujui secara otomatis tanpa melalui admin keamanan atau peninjauan pemberi persetujuan yang ditunjuk. Detail selengkapnya tentang ini dapat ditemukan di sini

1. Di Microsoft Entra PIM, pilih Sumber Daya Azure di bilah navigasi kiri dan pilih Resource Guard Anda.

2. Buka Pengaturan dan kemudian buka peran Operator MUA Cadangan.

   

3. Pilih Edit untuk menambahkan peninjau yang harus meninjau dan menyetujui permintaan aktivasi untuk peran Operator MUA Cadangan jika Anda menemukan bahwa Pemberi Persetujuan menunjukkan Tidak Ada atau menampilkan pemberi persetujuan yang salah.

4. Pada tab Aktivasi , pilih Perlu persetujuan untuk mengaktifkan dan menambahkan pemberi persetujuan yang perlu menyetujui setiap permintaan.

5. Pilih opsi keamanan, seperti autentikasi multifaktor (MFA), dengan mewajibkan tiket untuk mengaktifkan peran Operator MUA Cadangan.

6. Pilih opsi yang sesuai pada tab Penugasan dan Pemberitahuan sesuai kebutuhan.

   

7. Pilih Perbarui untuk menyelesaikan penyiapan pemberi persetujuan untuk mengaktifkan peran Operator MUA Cadangan .

Meminta aktivasi penugasan yang memenuhi syarat untuk melakukan operasi penting

Setelah admin keamanan membuat penugasan yang memenuhi syarat, admin Cadangan perlu mengaktifkan penugasan untuk peran Operator MUA Cadangan agar dapat melakukan tindakan yang dilindungi.

Untuk mengaktifkan penetapan peran, ikuti langkah-langkah berikut:

1. Buka Microsoft Entra Privileged Identity Management. Jika Resource Guard berada di direktori lain, beralihlah ke direktori tersebut lalu buka Microsoft Entra Privileged Identity Management.

2. BukaSumber daya Azure> saya di menu sebelah kiri.

3. Pilih Aktifkan untuk mengaktifkan tugas yang memenuhi syarat untuk peranan Operator MUA Cadangan.

   Pemberitahuan muncul yang memberi tahu bahwa permintaan dikirim untuk disetujui.

   

Menyetujui aktivasi permintaan untuk melakukan operasi penting

Setelah admin Cadangan mengajukan permintaan untuk mengaktifkan peran Operator MUA Cadangan , permintaan tersebut akan ditinjau dan disetujui oleh admin keamanan.

1. Di tenant keamanan, buka Microsoft Entra Privileged Identity Management.
2. Buka Menyetujui Permintaan.
3. Di bawah sumber daya Azure, permintaan yang diajukan oleh admin Cadangan yang meminta aktivasi sebagai Operator MUA Cadangan dapat dilihat.
4. Tinjau permintaan. Jika asli, pilih permintaan dan pilih Setujui untuk menyetujuinya.
5. Admin Cadangan diberi tahu melalui email (atau mekanisme pemberitahuan organisasi lainnya) bahwa permintaan mereka sekarang disetujui.
6. Setelah disetujui, admin Cadangan dapat melakukan operasi yang dilindungi untuk periode yang diminta.

Melakukan operasi yang dilindungi setelah persetujuan

Setelah permintaan Administrator Cadangan untuk peran Operator MUA Cadangan pada Resource Guard disetujui, mereka dapat melakukan operasi yang dilindungi pada vault terkait. Jika Resource Guard berada di direktori lain, admin Backup harus mengautentikasi diri mereka sendiri.

Nota

Jika akses ditetapkan menggunakan mekanisme JIT, peran Operator MUA Cadangan dicabut pada akhir periode yang disetujui. Atau, admin Keamanan secara manual menghapus peran Operator MUA Pencadangan yang diberikan kepada admin Cadangan untuk melakukan operasi penting.

Cuplikan layar berikut menunjukkan contoh menonaktifkan fitur penghapusan sementara untuk vault dengan MUA diaktifkan.

Menonaktifkan MUA pada brankas Layanan Pemulihan

Menonaktifkan MUA adalah operasi yang dilindungi, oleh karena itu, brankas dilindungi menggunakan MUA. Jika Anda (admin Cadangan) ingin menonaktifkan MUA, Anda harus memiliki peran Operator MUA Cadangan yang diperlukan di Resource Guard.

Pilih klien

Portal Microsoft Azure

Untuk menonaktifkan MUA pada vault, ikuti langkah-langkah berikut:

1. Admin Cadangan meminta Admin Keamanan untuk memberikan peran Operator MUA Cadangan di Penjaga Sumber Daya. Mereka dapat meminta ini untuk menggunakan metode yang disetujui oleh organisasi seperti prosedur JIT, seperti Microsoft Entra Privileged Identity Management, atau alat dan prosedur internal lainnya.

2. Admin Keamanan menyetujui permintaan (jika mereka merasa layak disetujui) dan memberi tahu admin Cadangan. Sekarang admin Cadangan memiliki peran Operator MUA Cadangan di Resource Guard.

3. Admin Cadangan masuk ke > vault >Otorisasi Multi-pengguna.

4. Pilih Perbarui.

   1. Kosongkan kotak centang Lindungi dengan Resource Guard .
   2. Pilih Direktori yang berisi Resource Guard dan verifikasi akses menggunakan tombol Autentikasi (jika ada).
   3. Setelah autentikasi, pilih Simpan. Dengan akses yang tepat, permintaan harus berhasil diselesaikan.

   

PowerShell

Untuk menonaktifkan MUA pada vault Layanan Pemulihan, gunakan cmdlet berikut:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• Perintah pertama mengambil token akses untuk penyewa penjaga sumber daya, di mana penjaga sumber daya berada.
• Perintah kedua menghapus pemetaan antara brankas Layanan Pemulihan dan penjaga sumber daya.

Nota

Parameter token bersifat opsional dan hanya diperlukan untuk mengautentikasi operasi yang dilindungi lintas penyewa.

CLI

Untuk menonaktifkan MUA pada vault Layanan Pemulihan, jalankan perintah berikut:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

ID penyewa diperlukan jika penjaga sumber daya ada di penyewa yang berbeda.

Contoh:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Artikel ini menjelaskan cara mengonfigurasi Otorisasi Multi-Pengguna (MUA) untuk Azure Backup guna meningkatkan keamanan operasi penting pada vault Cadangan. Ini mencakup pembuatan Resource Guard di penyewa terpisah untuk perlindungan maksimum dan menunjukkan cara meminta dan menyetujui akses operasi penting menggunakan Microsoft Entra Privileged Identity Management dalam penyewa yang menghosting Resource Guard. Atau, Anda dapat menggunakan metode lain untuk mengelola izin just-in-time (JIT) berdasarkan pengaturan organisasi Anda.

Nota

• Otorisasi multi-pengguna menggunakan Resource Guard untuk brankas cadangan sudah tersedia secara umum.
• Otorisasi multipengguna untuk Azure Backup tersedia di semua wilayah Azure publik.

Prasyarat

Sebelum Anda mengonfigurasi otorisasi Multi-pengguna untuk vault Backup, pastikan prasyarat berikut terpenuhi:

• Resource Guard dan brankas Backup harus berada di wilayah Azure yang sama.
• Admin Cadangan tidak boleh memiliki izin Kontributor, Admin MUA Cadangan, atau Operator MUA Cadangan pada Penjaga Sumber Daya. Anda dapat memilih untuk memiliki Resource Guard di langganan lain dari direktori yang sama atau di direktori lain untuk memastikan isolasi maksimum.
• Langganan yang berisi peti cadangan beserta Resource Guard (dalam langganan atau penyewa yang berbeda) harus didaftarkan untuk menggunakan penyedia - Microsoft.DataProtection4. Untuk informasi selengkapnya, lihat Penyedia dan jenis sumber daya Azure.

Pelajari tentang berbagai skenario penggunaan MUA.

Buat Penjaga Sumber Daya

Admin keamanan membuat Resource Guard. Sebaiknya Anda membuat Resource Guard di langganan yang berbeda atau penyewa yang berbeda sebagai brankas. Namun, harus berada di wilayah yang sama dengan brankas.

Admin Cadangan TIDAK boleh memiliki akses Kontributor, Admin MUA Cadangan, atau Operator MUA Cadangan pada Resource Guard atau langganan yang berisinya.

Untuk membuat Resource Guard di penyewa yang berbeda dari penyewa vault sebagai admin Keamanan, ikuti langkah-langkah berikut:

1. Di portal Azure, buka direktori tempat Anda ingin membuat Resource Guard.

   

2. Cari Resource Guards di bilah pencarian, lalu pilih item yang sesuai dari daftar dropdown.

   

   1. Pilih Buat untuk membuat Resource Guard.
   2. Di panel Buat, isi detail yang diperlukan untuk Resource Guard ini.
      • Pastikan bahwa Resource Guard berada di wilayah Azure yang sama dengan vault Backup.
      • Tambahkan deskripsi tentang cara meminta akses untuk melakukan tindakan pada vault terkait saat diperlukan. Deskripsi ini muncul di vault terkait untuk memandu admin Cadangan tentang cara mendapatkan izin yang diperlukan.

3. Pada tab Operasi Terproteksi, pilih operasi yang perlu Anda lindungi menggunakan penjaga sumber daya ini di bawah tab Brankas Cadangan.

   Saat ini, tab Operasi terproteksi hanya menyertakan opsi Hapus instans cadangan untuk dinonaktifkan.

   Anda juga dapat memilih operasi untuk perlindungan setelah membuat pelindung sumber daya.

   

4. Secara opsional, tambahkan tag apa pun ke Resource Guard sesuai persyaratan.

5. Pilih Tinjau + Buat lalu ikuti pemberitahuan untuk memantau status dan keberhasilan pembuatan Resource Guard.

Pilih operasi yang akan dilindungi menggunakan Resource Guard

Setelah pembuatan vault, admin Keamanan juga dapat memilih operasi untuk perlindungan menggunakan Resource Guard di antara semua operasi penting yang didukung. Secara default, semua operasi penting yang didukung diaktifkan. Namun, Admin Keamanan dapat membebaskan operasi tertentu agar tidak termasuk dalam cakupan MUA menggunakan Resource Guard.

Untuk memilih operasi perlindungan, ikuti langkah-langkah berikut:

1. Di Resource Guard yang telah Anda buat, buka tab Properti>Brankas Pencadangan.

2. Pilih Nonaktifkan untuk operasi yang ingin Anda kecualikan agar tidak diotorisasi.

   Anda tidak dapat menonaktifkan operasi Hapus perlindungan MUA dan Nonaktifkan hapus lunak.

3. Secara opsional, di tab Brankas cadangan, perbarui deskripsi untuk Resource Guard.

4. Pilih Simpan.

   

Tetapkan izin ke admin Cadangan di Resource Guard untuk mengaktifkan MUA

Admin Cadangan harus memiliki peran Pembaca di Resource Guard atau langganan yang berisi Resource Guard untuk mengaktifkan MUA pada vault. Admin Keamanan perlu menetapkan peran ini ke admin Cadangan.

Untuk menetapkan peran Pembaca di Resource Guard, ikuti langkah-langkah berikut:

1. Di Resource Guard yang dibuat di atas, buka panel Access Control (IAM), lalu buka Tambahkan penetapan peran.

   

2. Pilih Pembaca dari daftar peran bawaan, dan pilih Berikutnya.

   

3. Klik Pilih anggota dan tambahkan ID email admin Cadangan untuk menetapkan peran Pembaca .

   Karena admin Cadangan berada di penyewa lain, mereka akan ditambahkan sebagai tamu ke penyewa yang berisi Penjaga Sumber Daya.

4. Klik Pilih>Tinjau + tetapkan untuk menyelesaikan penetapan peran.

   

Mengaktifkan MUA pada penyimpanan cadangan

Setelah admin Cadangan memiliki peran Pembaca di Resource Guard, mereka dapat mengaktifkan otorisasi multi-pengguna pada vault yang dikelola dengan mengikuti langkah-langkah berikut:

1. Buka brankas Cadangan yang ingin Anda konfigurasi untuk MUA-nya.

2. Di panel kiri, pilih Properti.

3. Pergi ke Otorisasi Multi-Pengguna dan pilih Perbarui.

   

4. Untuk mengaktifkan MUA dan memilih Resource Guard, lakukan salah satu tindakan berikut:

   • Anda dapat menentukan URI Resource Guard. Pastikan Anda menentukan URI Resource Guard tempat Anda memiliki akses Pembaca dan berada di wilayah yang sama dengan vault. Anda dapat menemukan URI (ID Resource Guard) dari Resource Guard di halaman Ikhtisarnya.

     

   • Atau, Anda dapat memilih Resource Guard dari daftar Resource Guard yang Anda miliki akses Pembaca, serta Resource Guard yang tersedia di wilayah tersebut.

     1. Klik Pilih Resource Guard.
     2. Pilih menu dropdown dan pilih direktori tempat Resource Guard berada.
     3. Pilih Autentikasi untuk memvalidasi identitas dan akses Anda.
     4. Setelah autentikasi, pilih Resource Guard dari daftar yang ditampilkan.

     

5. Pilih Simpan untuk mengaktifkan MUA.

   

Operasi yang dilindungi menggunakan MUA

Setelah admin Cadangan mengaktifkan MUA, operasi yang termasuk dalam cakupan akan dibatasi pada brankas, dan operasi tersebut akan gagal jika admin Cadangan mencoba melaksanakannya tanpa memiliki peran Operator MUA Cadangan di Penjaga Sumber Daya.

Nota

Kami sangat menyarankan Anda untuk menguji penyiapan Anda setelah mengaktifkan MUA untuk memastikan bahwa:

• Operasi yang dilindungi diblokir seperti yang diharapkan.
• MUA dikonfigurasi dengan benar.

Untuk melakukan operasi yang dilindungi (menonaktifkan MUA), ikuti langkah-langkah berikut:

1. Buka vault >Properti di panel kiri.

2. Kosongkan kotak centang untuk menonaktifkan MUA.

   Anda akan menerima pemberitahuan bahwa ini adalah operasi yang dilindungi, dan Anda harus memiliki akses ke Resource Guard.

3. Pilih direktori yang berisi Resource Guard dan autentikasi diri Anda sendiri.

   Langkah ini mungkin tidak diperlukan jika Resource Guard berada di direktori yang sama dengan vault.

4. Pilih Simpan.

   Permintaan gagal dengan kesalahan bahwa Anda tidak memiliki izin yang memadai pada Resource Guard untuk melakukan operasi ini.

   

Mengotorisasi operasi penting (dilindungi) menggunakan Microsoft Entra Privileged Identity Management

Ada skenario di mana Anda mungkin perlu melakukan operasi penting pada cadangan Anda dan Anda dapat melakukannya dengan persetujuan atau izin yang tepat dengan MUA. Bagian berikut menjelaskan cara mengotorisasi permintaan operasi penting menggunakan Privileged Identity Management (PIM).

Admin Cadangan harus memiliki peran Operator MUA Cadangan di Resource Guard untuk melakukan operasi penting dalam lingkup Resource Guard. Salah satu cara untuk mengizinkan operasi just-in-time (JIT) adalah melalui penggunaan Microsoft Entra Privileged Identity Management.

Nota

Kami menyarankan agar Anda menggunakan Microsoft Entra PIM. Namun, Anda juga dapat menggunakan metode manual atau kustom untuk mengelola akses untuk admin Cadangan di Resource Guard. Untuk mengelola akses secara manual ke Resource Guard, gunakan pengaturan Kontrol akses (IAM) di panel kiri Resource Guard dan berikan peran Operator MUA Cadangan kepada admin Cadangan.

Membuat penugasan yang memenuhi syarat untuk admin Cadangan menggunakan Microsoft Entra Privileged Identity Management

Admin Keamanan dapat menggunakan PIM untuk membuat penugasan yang memenuhi syarat untuk admin Cadangan sebagai Operator MUA Cadangan ke Resource Guard. Ini memungkinkan admin Cadangan untuk mengajukan permohonan (untuk peran Operator MUA Cadangan) ketika mereka perlu melakukan operasi yang dilindungi.

Untuk membuat penugasan yang memenuhi syarat, ikuti langkah-langkahnya:

1. Masuk ke portal Azure.

2. Buka tenan keamanan Resource Guard, dan dalam pencarian, masukkan Privileged Identity Management.

3. Di panel kiri, pilih Kelola dan buka Sumber Daya Azure.

4. Pilih sumber daya (Resource Guard atau langganan/RG yang berisi) yang ingin Anda tetapkan peran Operator MUA Cadangan .

   Jika Anda tidak menemukan sumber daya yang sesuai, tambahkan langganan yang berisi yang dikelola oleh PIM.

5. Pilih sumber daya dan buka Kelola>Tugas>Tambahkan tugas.

   

6. Tambahkan penugasan

   1. Pilih peran sebagai Operator Cadangan MUA.
   2. Buka Pilih anggota dan tambahkan nama pengguna (atau ID email) admin Cadangan.
   3. Pilih Selanjutnya.

   

7. Di Penugasan, pilih Memenuhi Syarat dan tentukan validitas durasi izin yang memenuhi syarat.

8. Pilih Tetapkan untuk menyelesaikan pembuatan tugas yang memenuhi syarat.

   

Menyiapkan pemberi izin untuk mengaktifkan peran Kontributor

Secara default, penyiapan di atas mungkin tidak memiliki pemberi persetujuan (dan persyaratan alur persetujuan) yang dikonfigurasi di PIM. Untuk memastikan bahwa pemberi izin memiliki peran Kontributor untuk meminta persetujuan, admin Keamanan harus mengikuti langkah-langkah berikut:

Nota

Jika penyiapan pemberi persetujuan tidak dikonfigurasi, permintaan secara otomatis disetujui tanpa melalui admin Keamanan atau peninjauan pemberi izin yang ditunjuk. Pelajari selengkapnya.

1. Di Microsoft Entra PIM, pilih Sumber Daya Azure di panel kiri dan pilih Resource Guard Anda.

2. Buka Pengaturan>Kontributor peran.

   

3. Pilih Edit untuk menambahkan peninjau yang harus meninjau dan menyetujui permintaan aktivasi untuk peran Kontributor jika Anda menemukan bahwa Pemberi Persetujuan menunjukkan Tidak Ada atau menampilkan pemberi persetujuan yang salah.

4. Pada tab Aktivasi , pilih Perlu persetujuan untuk mengaktifkan untuk menambahkan pemberi persetujuan yang harus menyetujui setiap permintaan.

5. Pilih opsi keamanan, seperti autentikasi multifaktor (MFA), Mandating ticket untuk mengaktifkan peran Kontributor .

6. Pilih opsi yang sesuai pada tab Penugasan dan Pemberitahuan sesuai kebutuhan Anda.

   

7. Pilih Perbarui untuk menyelesaikan penyiapan pemberi persetujuan untuk mengaktifkan peran Kontributor .

Meminta aktivasi penugasan yang memenuhi syarat untuk melakukan operasi penting

Setelah Admin Keamanan membuat penugasan yang layak, Admin Cadangan perlu mengaktifkan penetapan peran sebagai Kontributor untuk melakukan tindakan yang dilindungi.

Untuk mengaktifkan penetapan peran, ikuti langkah-langkahnya:

1. Buka Microsoft Entra Privileged Identity Management. Jika Resource Guard berada di direktori lain, beralihlah ke direktori tersebut lalu buka Microsoft Entra Privileged Identity Management.

2. BukaSumber daya Azure> saya di panel kiri.

3. Pilih Aktifkan untuk mengaktifkan tugas yang layak untuk peran Kontributor.

   Pemberitahuan muncul yang memberi tahu bahwa permintaan dikirim untuk disetujui.

   

Menyetujui permintaan aktivasi untuk melakukan operasi penting

Setelah admin Cadangan mengajukan permintaan untuk mengaktifkan peran Kontributor, admin Keamanan harus meninjau dan menyetujui permintaan.

Untuk meninjau dan menyetujui permintaan, ikuti langkah-langkah berikut:

1. Di penyewa keamanan, buka Microsoft Entra Privileged Identity Management.

2. Buka Menyetujui Permintaan.

3. Di bawah sumber daya Azure, Anda dapat melihat permintaan menunggu persetujuan.

   Pilih Setujui untuk meninjau dan menyetujui permintaan asli.

Setelah persetujuan, admin Cadangan menerima pemberitahuan, melalui email atau opsi pemberitahuan internal lainnya, bahwa permintaan disetujui. Sekarang, admin Cadangan dapat melakukan operasi yang dilindungi untuk periode yang diminta.

Melakukan operasi yang dilindungi setelah persetujuan

Setelah admin Keamanan menyetujui permintaan admin Cadangan untuk peran Operator MUA Cadangan di Resource Guard, mereka dapat melakukan operasi yang dilindungi pada vault terkait. Jika Resource Guard berada di direktori lain, admin Backup harus mengautentikasi diri mereka sendiri.

Nota

Jika akses ditetapkan menggunakan mekanisme JIT, peran Operator MUA Cadangan dicabut pada akhir periode yang disetujui. Sebaliknya, administrator keamanan secara manual menghapus peran operator MUA cadangan yang ditetapkan kepada administrator cadangan agar bisa melakukan operasi kritis.

Cuplikan layar berikut menunjukkan contoh menonaktifkan penghapusan sementara untuk vault yang diaktifkan MUA.

Menonaktifkan MUA pada backup vault

Menonaktifkan MUA adalah operasi terlindungi yang harus dilakukan oleh admin Cadangan saja. Untuk melakukan ini, admin Cadangan harus memiliki peran Operator MUA Cadangan yang diperlukan di Resource Guard. Untuk mendapatkan izin ini, Admin Cadangan harus terlebih dahulu meminta Admin Keamanan untuk mendapatkan peran Operator MUA Cadangan pada Resource Guard dengan menggunakan prosedur just-in-time (JIT), seperti Microsoft Entra Privileged Identity Management atau alat internal.

Kemudian admin Keamanan menyetujui permintaan jika itu asli dan memperbarui admin Cadangan yang sekarang memiliki peran Operator MUA Cadangan pada Resource guard. Pelajari selengkapnya tentang cara mendapatkan peran ini.

Untuk menonaktifkan MUA, admin Cadangan harus mengikuti langkah-langkah berikut:

1. Buka vault >Properti>Otorisasi Multi-pengguna.

2. Pilih Perbarui dan kosongkan kotak centang Lindungi dengan Resource Guard .

3. Pilih Autentikasi (jika ada) untuk memilih Direktori yang berisi Resource Guard dan verifikasi akses.

4. Pilih Simpan untuk menyelesaikan proses penonaktifan MUA.

   

Langkah selanjutnya

Pelajari selengkapnya tentang Otorisasi multi-pengguna menggunakan Resource Guard.