Configurare l'autorizzazione multiutente usando Resource Guard in Backup di Azure

Questo articolo descrive come configurare l'autorizzazione multiutente per Backup di Azure per aggiungere un ulteriore livello di protezione alle operazioni critiche sugli insiemi di credenziali di Servizi di ripristino.

Questo articolo illustra la creazione di Resource Guard in un tenant diverso che offre la massima protezione. Illustra anche come richiedere e approvare le richieste per l'esecuzione di operazioni critiche usando Microsoft Entra Privileged Identity Management nel tenant che ospita Resource Guard. Facoltativamente, è possibile usare altri meccanismi per gestire le autorizzazioni JIT in Resource Guard in base alla configurazione.

Nota

  • L'autorizzazione multiutente per Backup di Azure è disponibile in tutte le aree di Azure pubbliche.
  • L'autorizzazione multiutente che usa Resource Guard per l'insieme di credenziali di backup è ora disponibile a livello generale. Altre informazioni.

Prima di iniziare

  • Verificare che Resource Guard e l'insieme di credenziali di Servizi di ripristino si trovino nella stessa area di Azure.
  • Verificare che l'amministratore di Backup non disponga delle autorizzazioni di Collaboratore per Resource Guard. È possibile scegliere di avere Resource Guard in un'altra sottoscrizione della stessa directory o in un'altra directory per garantire il massimo isolamento.
  • Assicurarsi che le sottoscrizioni contenenti l'insieme di credenziali di Servizi di ripristino e Resource Guard (in sottoscrizioni o tenant diversi) siano registrate per usare i provider Microsoft.RecoveryServices e Microsoft.DataProtection. Per altre informazioni, vedere Provider e tipi di risorse di Azure.

Informazioni sui vari scenari di utilizzo di MUA.

Creare una Risorsa Guard

L'amministratore della sicurezza crea Resource Guard. È consigliabile crearla in una sottoscrizione diversa o in un tenant diverso come insieme di credenziali. Tuttavia, deve trovarsi nella stessa area dell'insieme di credenziali. L'amministratore di Backup non deve avere accesso come collaboratore per Resource Guard o la sottoscrizione che lo contiene.

Scegliere un client

Per creare Resource Guard in un tenant diverso dal tenant dell'insieme di credenziali, seguire questa procedura:

  1. Nella portale di Azure passare alla directory in cui si vuole creare Resource Guard.

    Screenshot showing the portal settings.

  2. Cercare Guardie risorse nella barra di ricerca e quindi selezionare l'elemento corrispondente nell'elenco a discesa.

    Screenshot shows how to search resource guards.

    • Selezionare Crea per iniziare a creare un resource guard.
    • Nel pannello crea immettere i dettagli necessari per Resource Guard.
      • Assicurarsi che Resource Guard si trova nelle stesse aree di Azure dell'insieme di credenziali di Servizi di ripristino.
      • Inoltre, è utile aggiungere una descrizione di come ottenere o richiedere l'accesso per eseguire azioni sugli insiemi di credenziali associati quando necessario. Questa descrizione viene visualizzata anche negli insiemi di credenziali associati per guidare l'amministratore di backup per ottenere le autorizzazioni necessarie. È possibile modificare la descrizione in un secondo momento, se necessario, ma è consigliabile avere una descrizione ben definita.
  3. Nella scheda Operazioni protette selezionare le operazioni da proteggere usando questa protezione delle risorse.

    È anche possibile selezionare le operazioni per la protezione dopo la creazione di Resource Guard.

  4. Facoltativamente, aggiungere eventuali tag a Resource Guard in base ai requisiti

  5. Selezionare Rivedi e crea e seguire le notifiche per lo stato e la corretta creazione di Resource Guard.

Selezionare le operazioni da proteggere con Resource Guard

Scegliere le operazioni da proteggere usando Resource Guard per tutte le operazioni critiche supportate. Per impostazione predefinita, tutte le operazioni critiche supportate sono abilitate. Tuttavia, l'utente (come amministratore della sicurezza) può esentare determinate operazioni dalla purview di MUA usando Resource Guard.

Scegliere un client

Per esentare le operazioni, seguire questa procedura:

  1. In Resource Guard creato in precedenza passare alla scheda Proprietà>insieme di credenziali di Servizi di ripristino.

  2. Selezionare Disabilita per le operazioni da escludere dall'autorizzazione tramite Resource Guard.

    Nota

    Non è possibile disabilitare le operazioni protette: disabilitare l'eliminazione temporanea e Rimuovere la protezione MUA.

  3. Facoltativamente, è anche possibile aggiornare la descrizione per Resource Guard usando questo pannello.

  4. Seleziona Salva.

    Screenshot showing demo resource guard properties.

Assegnare le autorizzazioni all'amministratore di Backup in Resource Guard per abilitare MUA

Per abilitare MUA in un insieme di credenziali, l'amministratore dell'insieme di credenziali deve avere il ruolo Lettore nella sottoscrizione o in Resource Guard contenente Resource Guard. Per assegnare il ruolo Lettore in Resource Guard:

  1. Nel pannello Resource Guard creato in precedenza passare al pannello Controllo di accesso (IAM) e quindi passare a Aggiungi assegnazione di ruolo.

    Screenshot showing demo resource guard-access control.

  2. Selezionare Lettore nell'elenco dei ruoli predefiniti e selezionare Avanti.

    Screenshot showing demo resource guard-add role assignment.

  3. Fare clic su Seleziona membri e aggiungere l'ID di posta elettronica dell'amministratore di backup per aggiungerli come lettore. In questo caso, l'amministratore di Backup si trova in un altro tenant, che verrà aggiunto come guest al tenant contenente Resource Guard.

  4. Fare clic su Seleziona e quindi passare a Rivedi e assegna per completare l'assegnazione di ruolo.

    Screenshot showing demo resource guard-select members.

Abilitare MUA in un insieme di credenziali di Servizi di ripristino

Al termine dell'assegnazione di ruolo Lettore in Resource Guard, abilitare l'autorizzazione multiutente negli insiemi di credenziali (come amministratore di Backup) gestiti.

Scegliere un client

Per abilitare MUA negli insiemi di credenziali, seguire questa procedura.

  1. Passare a Insieme di credenziali di Servizi di ripristino. Passare a Proprietà nel pannello di spostamento sinistro, quindi su Autorizzazione multiutente e selezionare Aggiorna.

    Screenshot showing the Recovery services vault properties.

  2. Viene ora visualizzata l'opzione per abilitare MUA e scegliere Resource Guard usando uno dei modi seguenti:

    • È possibile specificare l'URI di Resource Guard, assicurarsi di specificare l'URI di un oggetto Resource Guard a cui si ha accesso con autorizzazioni di lettura e che corrisponda alle stesse aree dell'insieme di credenziali. È possibile trovare l'URI (ID di Resource Guard) di Resource Guard nella schermata Panoramica :

      Screenshot showing the Resource Guard.

    • In alternativa, è possibile selezionare Resource Guard dall'elenco delle guardie delle risorse a cui si ha accesso con autorizzazioni di lettura e quelle disponibili nell'area.

      1. Fare clic su Seleziona Resource Guard
      2. Selezionare l'elenco a discesa e quindi scegliere la directory in cui si trova Resource Guard.
      3. Selezionare Autentica per convalidare l'identità e l'accesso.
      4. Dopo l'autenticazione, scegliere Resource Guard dall'elenco visualizzato.

      Screenshot showing multi-user authorization.

  3. Selezionare Salva al termine per abilitare MUA.

    Screenshot showing how to enable Multi-user authentication.

Operazioni protette con MUA

Dopo aver abilitato MUA, le operazioni nell'ambito saranno limitate nell'insieme di credenziali, se l'amministratore di Backup tenta di eseguirle senza avere il ruolo necessario (ovvero il ruolo Collaboratore) in Resource Guard.

Nota

È consigliabile testare la configurazione dopo aver abilitato MUA per assicurarsi che le operazioni protette vengano bloccate come previsto e per assicurarsi che MUA sia configurato correttamente.

Di seguito è illustrata un'illustrazione di ciò che accade quando l'amministratore di Backup tenta di eseguire tale operazione protetta( ad esempio, la disabilitazione dell'eliminazione temporanea è illustrata qui. Altre operazioni protette hanno un'esperienza simile). I passaggi seguenti vengono eseguiti da un amministratore di Backup senza autorizzazioni necessarie.

  1. Per disabilitare l'eliminazione temporanea, passare all'insieme di credenziali di Servizi >di ripristino Proprietà>Impostazioni e selezionare Aggiorna, che visualizza il Impostazioni sicurezza.

  2. Disabilitare l'eliminazione temporanea usando il dispositivo di scorrimento. Si è informati che si tratta di un'operazione protetta ed è necessario verificarne l'accesso a Resource Guard.

  3. Selezionare la directory contenente Resource Guard e Autenticarsi. Questo passaggio potrebbe non essere necessario se Resource Guard si trova nella stessa directory dell'insieme di credenziali.

  4. Continuare a selezionare Salva. La richiesta ha esito negativo e viene visualizzato un errore che informa di non disporre di autorizzazioni sufficienti per Resource Guard per consentire l'esecuzione di questa operazione.

    Screenshot showing the Test Vault properties security settings.

Autorizzare operazioni critiche (protette) con Microsoft Entra Privileged Identity Management

Le sezioni seguenti illustrano l'autorizzazione di queste richieste tramite PIM. In alcuni casi potrebbe essere necessario eseguire operazioni critiche sui backup e muA per assicurarsi che vengano eseguite solo quando esistono le approvazioni o le autorizzazioni appropriate. Come illustrato in precedenza, l'amministratore di Backup deve avere un ruolo collaboratore in Resource Guard per eseguire operazioni critiche nell'ambito di Resource Guard. Uno dei modi per consentire operazioni just-in-time è l'uso di Microsoft Entra Privileged Identity Management.

Nota

Anche se l'uso di Microsoft Entra PIM è l'approccio consigliato, è possibile usare metodi manuali o personalizzati per gestire l'accesso per l'amministratore di Backup in Resource Guard. Per gestire manualmente l'accesso a Resource Guard, usare l'impostazione "Controllo di accesso (IAM)" sulla barra di spostamento sinistra di Resource Guard e concedere il ruolo Collaboratore all'amministratore di Backup.

Creare un'assegnazione idonea per l'amministratore del backup (se si usa Microsoft Entra Privileged Identity Management)

L'amministratore della sicurezza può usare PIM per creare un'assegnazione idonea per l'amministratore di Backup come collaboratore a Resource Guard. In questo modo l'amministratore di Backup può generare una richiesta (per il ruolo Collaboratore) quando è necessario eseguire un'operazione protetta. A tale scopo, l'amministratore della sicurezza esegue le operazioni seguenti:

  1. Nel tenant di sicurezza (che contiene Resource Guard), passare a Privileged Identity Management (cercarlo nella barra di ricerca nella portale di Azure) e quindi passare a Risorse di Azure (in Gestisci nel menu a sinistra).

  2. Selezionare la risorsa (Resource Guard o la sottoscrizione/RG contenitore) a cui si vuole assegnare il ruolo Collaboratore .

    Se la risorsa corrispondente non viene visualizzata nell'elenco delle risorse, assicurarsi di aggiungere la sottoscrizione contenitore da gestire da PIM.

  3. Nella risorsa selezionata passare a Assegnazioni (in Gestisci nel menu a sinistra) e passare a Aggiungi assegnazioni.

    Screenshot showing how to add assignments.

  4. In Aggiungi assegnazioni:

    1. Selezionare il ruolo Collaboratore.
    2. Passare a Seleziona membri e aggiungere il nome utente (o gli ID di posta elettronica) dell'amministratore di backup.
    3. Seleziona Avanti.

    Screenshot showing how to add assignments-membership.

  5. Nella schermata successiva:

    1. In Tipo di assegnazione scegliere Idoneo.
    2. Specificare la durata per cui l'autorizzazione idonea è valida.
    3. Selezionare Assegna per completare la creazione dell'assegnazione idonea.

    Screenshot showing how to add assignments-setting.

Configurare i responsabili approvazione per l'attivazione del ruolo Collaboratore

Per impostazione predefinita, l'installazione precedente potrebbe non avere un responsabile approvazione (e un requisito del flusso di approvazione) configurato in PIM. Per assicurarsi che i responsabili approvazione siano necessari per consentire l'esecuzione solo delle richieste autorizzate, l'amministratore della sicurezza deve eseguire i passaggi seguenti.

Nota

Se questa impostazione non è configurata, le richieste verranno approvate automaticamente senza passare attraverso gli amministratori della sicurezza o la revisione di un responsabile approvazione designato. Altri dettagli su questo sono disponibili qui

  1. In Microsoft Entra PIM selezionare Risorse di Azure sulla barra di spostamento a sinistra e selezionare Resource Guard.

  2. Passare a Impostazioni e quindi passare al ruolo Collaboratore.

    Screenshot showing how to add contributor.

  3. Se l'impostazione denominata Responsabili approvazione mostra Nessuno o visualizza uno o più responsabili approvazione non corretti, selezionare Modifica per aggiungere i revisori che dovranno esaminare e approvare la richiesta di attivazione per il ruolo Collaboratore.

  4. Nella scheda Attivazione selezionare Richiedi approvazione per attivare e aggiungere i responsabili approvazione che devono approvare ogni richiesta. È anche possibile selezionare altre opzioni di sicurezza, ad esempio l'uso dell'autenticazione a più fattori e l'assegnazione di opzioni ticket per attivare il ruolo Collaboratore. Facoltativamente, selezionare le impostazioni pertinenti nelle schede Assegnazione e notifica in base alle esigenze.

    Screenshot showing how to edit role setting.

  5. Al termine, selezionare Aggiorna .

Richiedere l'attivazione di un'assegnazione idonea per eseguire operazioni critiche

Dopo che l'amministratore della sicurezza ha creato un'assegnazione idonea, l'amministratore di backup deve attivare l'assegnazione per il ruolo Collaboratore per poter eseguire azioni protette. Le azioni seguenti vengono eseguite dall'amministratore di Backup per attivare l'assegnazione di ruolo.

  1. Passare a Microsoft Entra Privileged Identity Management. Se Resource Guard si trova in un'altra directory, passare a tale directory e quindi passare a Microsoft Entra Privileged Identity Management.

  2. Passare a Ruoli personali Risorse> di Azure nel menu a sinistra.

  3. L'amministratore di Backup può visualizzare un'assegnazione idonea per il ruolo collaboratore. Selezionare Attiva per attivarla.

  4. L'amministratore del backup viene informato tramite la notifica del portale che la richiesta viene inviata per l'approvazione.

    Screenshot showing to activate eligible assignments.

Approvare l'attivazione delle richieste per eseguire operazioni critiche

Quando l'amministratore di Backup genera una richiesta di attivazione del ruolo Collaboratore, la richiesta deve essere esaminata e approvata dall'amministratore della sicurezza.

  1. Nel tenant di sicurezza passare a Microsoft Entra Privileged Identity Management.
  2. Passare a Approva richieste.
  3. In Risorse di Azure è possibile visualizzare la richiesta generata dall'amministratore di Backup che richiede l'attivazione come Collaboratore .
  4. Esaminare la richiesta. Se originale, selezionare la richiesta e selezionare Approva per approvarla.
  5. L'amministratore di Backup viene informato tramite posta elettronica (o altri meccanismi di avviso dell'organizzazione) che la richiesta è ora approvata.
  6. Dopo l'approvazione, l'amministratore di Backup può eseguire operazioni protette per il periodo richiesto.

Esecuzione di un'operazione protetta dopo l'approvazione

Dopo aver approvato la richiesta dell'amministratore di backup per il ruolo Collaboratore in Resource Guard, è possibile eseguire operazioni protette nell'insieme di credenziali associato. Se Resource Guard si trova in un'altra directory, l'amministratore di backup dovrà eseguire l'autenticazione.

Nota

Se l'accesso è stato assegnato usando un meccanismo JIT, il ruolo Collaboratore viene ritirato alla fine del periodo approvato. In caso contrario, l'amministratore della sicurezza rimuove manualmente il ruolo Collaboratore assegnato all'amministratore di Backup per eseguire l'operazione critica.

Lo screenshot seguente mostra un esempio di disabilitazione dell'eliminazione temporanea per un insieme di credenziali abilitato per MUA.

Screenshot showing to disable soft delete.

Disabilitare MUA in un insieme di credenziali di Servizi di ripristino

La disabilitazione di MUA è un'operazione protetta, quindi gli insiemi di credenziali sono protetti tramite MUA. Se si vuole disabilitare MUA (amministratore di backup), è necessario avere il ruolo collaboratore richiesto in Resource Guard.

Scegliere un client

Per disabilitare MUA in un insieme di credenziali, seguire questa procedura:

  1. L'amministratore di Backup richiede l'amministratore della sicurezza per il ruolo Collaboratore in Resource Guard. Possono richiedere a questo scopo di usare i metodi approvati dall'organizzazione, ad esempio procedure JIT, come Microsoft Entra Privileged Identity Management o altri strumenti e procedure interni.

  2. L'amministratore della sicurezza approva la richiesta (se lo ritiene degno di essere approvato) e informa l'amministratore di Backup. Ora l'amministratore di Backup ha il ruolo "Collaboratore" in Resource Guard.

  3. L'amministratore di Backup passa all'insieme di credenziali >Proprietà>Autorizzazione multiutente.

  4. Selezionare Aggiorna.

    1. Deselezionare la casella di controllo Proteggi con Resource Guard .
    2. Scegliere la directory che contiene Resource Guard e verificare l'accesso usando il pulsante Autentica (se applicabile).
    3. Dopo l'autenticazione, selezionare Salva. Con l'accesso corretto, la richiesta deve essere completata correttamente.

    Screenshot showing to disable multi-user authentication.

L'ID tenant è obbligatorio se la protezione delle risorse esiste in un tenant diverso.

Esempio:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Questo articolo descrive come configurare l'autorizzazione multiutente per Backup di Azure per aggiungere un ulteriore livello di protezione alle operazioni critiche nell'insieme di credenziali di backup.

Questo articolo illustra la creazione di Resource Guard in un tenant diverso che offre la massima protezione. Illustra anche come richiedere e approvare le richieste per l'esecuzione di operazioni critiche usando Microsoft Entra Privileged Identity Management nel tenant che ospita Resource Guard. Facoltativamente, è possibile usare altri meccanismi per gestire le autorizzazioni JIT in Resource Guard in base alla configurazione.

Nota

  • L'autorizzazione multiutente che usa Resource Guard per l'insieme di credenziali di backup è ora disponibile a livello generale.
  • L'autorizzazione multiutente per Backup di Azure è disponibile in tutte le aree di Azure pubbliche.

Prima di iniziare

  • Assicurarsi che Resource Guard e l'insieme di credenziali di backup si trovino nella stessa area di Azure.
  • Verificare che l'amministratore di Backup non disponga delle autorizzazioni di Collaboratore per Resource Guard. È possibile scegliere di avere Resource Guard in un'altra sottoscrizione della stessa directory o in un'altra directory per garantire il massimo isolamento.
  • Assicurarsi che le sottoscrizioni contengano l'insieme di credenziali di Backup e Resource Guard (in sottoscrizioni o tenant diversi) siano registrate per usare il provider Microsoft.DataProtection 4. Per altre informazioni, vedere Provider e tipi di risorse di Azure.

Informazioni sui vari scenari di utilizzo di MUA.

Creare una Risorsa Guard

L'amministratore della sicurezza crea Resource Guard. È consigliabile crearla in una sottoscrizione diversa o in un tenant diverso come insieme di credenziali. Tuttavia, deve trovarsi nella stessa area dell'insieme di credenziali.

L'amministratore di Backup non deve avere accesso come collaboratore per Resource Guard o la sottoscrizione che lo contiene.

Per creare Resource Guard in un tenant diverso dal tenant dell'insieme di credenziali come amministratore della sicurezza, seguire questa procedura:

  1. Nella portale di Azure passare alla directory in cui si vuole creare Resource Guard.

    Screenshot showing the portal settings to configure for Backup vault.

  2. Cercare Resource Guard nella barra di ricerca e quindi selezionare l'elemento corrispondente nell'elenco a discesa.

    Screenshot showing resource guards for Backup vault.

    1. Selezionare Crea per creare una Risorsa Guard.
    2. Nel pannello Crea immettere i dettagli necessari per Resource Guard.
      • Assicurarsi che Resource Guard si trova nella stessa area di Azure dell'insieme di credenziali di Backup.
      • Aggiungere una descrizione su come richiedere l'accesso per eseguire azioni sugli insiemi di credenziali associati quando necessario. Questa descrizione viene visualizzata negli insiemi di credenziali associati per guidare l'amministratore di Backup su come ottenere le autorizzazioni necessarie.
  3. Nella scheda Operazioni protette selezionare le operazioni da proteggere usando questa protezione delle risorse nella scheda Insieme di credenziali di backup.

    Attualmente, la scheda Operazioni protette include solo l'opzione Elimina istanza di backup da disabilitare.

    È anche possibile selezionare le operazioni per la protezione dopo la creazione di Resource Guard.

    Screenshot showing how to select operations for protecting using Resource Guard.

  4. Facoltativamente, aggiungere eventuali tag a Resource Guard in base ai requisiti.

  5. Selezionare Rivedi e crea e quindi seguire le notifiche per monitorare lo stato e la creazione corretta di Resource Guard.

Selezionare le operazioni da proteggere con Resource Guard

Dopo la creazione dell'insieme di credenziali, l'amministratore della sicurezza può anche scegliere le operazioni per la protezione usando Resource Guard tra tutte le operazioni critiche supportate. Per impostazione predefinita, tutte le operazioni critiche supportate sono abilitate. Tuttavia, l'amministratore della sicurezza può esentare determinate operazioni dall'eliminazione di MUA tramite Resource Guard.

Per selezionare le operazioni per la protezione, seguire questa procedura:

  1. Nella scheda Resource Guard creata passare alla scheda Proprietà>Insieme di credenziali di backup.

  2. Selezionare Disabilita per le operazioni da escludere dall'autorizzazione.

    Non è possibile disabilitare le operazioni Rimuovi protezione MUA e Disabilita eliminazione temporanea.

  3. Facoltativamente, nella scheda Insiemi di credenziali di backup aggiornare la descrizione per Resource Guard.

  4. Seleziona Salva.

    Screenshot showing demo resource guard properties for Backup vault.

Assegnare le autorizzazioni all'amministratore di Backup in Resource Guard per abilitare MUA

L'amministratore di Backup deve avere il ruolo lettore nella sottoscrizione o in Resource Guard che contiene Resource Guard per abilitare MUA in un insieme di credenziali. L'amministratore della sicurezza deve assegnare questo ruolo all'amministratore di Backup.

Per assegnare il ruolo Lettore in Resource Guard, seguire questa procedura:

  1. Nel pannello Resource Guard creato in precedenza passare al pannello Controllo di accesso (IAM) e quindi passare a Aggiungi assegnazione di ruolo.

    Screenshot showing demo resource guard-access control for Backup vault.

  2. Selezionare Lettore nell'elenco dei ruoli predefiniti e selezionare Avanti.

    Screenshot showing demo resource guard-add role assignment for Backup vault.

  3. Fare clic su Seleziona membri e aggiungere l'ID di posta elettronica dell'amministratore di backup per assegnare il ruolo Lettore .

    Poiché gli amministratori di backup si trovano in un altro tenant, verranno aggiunti come guest al tenant che contiene Resource Guard.

  4. Fare clic su Seleziona>rivedi e assegna per completare l'assegnazione di ruolo.

    Screenshot showing demo resource guard-select members to protect the backup items in Backup vault.

Abilitare MUA in un insieme di credenziali di backup

Quando l'amministratore di Backup ha il ruolo lettore in Resource Guard, può abilitare l'autorizzazione multiutente negli insiemi di credenziali gestiti seguendo questa procedura:

  1. Passare all'insieme di credenziali di backup per cui si vuole configurare MUA.

  2. Nel pannello sinistro selezionare Proprietà.

  3. Passare a Autorizzazione multiutente e selezionare Aggiorna.

    Screenshot showing the Backup vault properties.

  4. Per abilitare MUA e scegliere Resource Guard, eseguire una delle azioni seguenti:

    • È possibile specificare l'URI di Resource Guard. Assicurarsi di specificare l'URI di un oggetto Resource Guard a cui si ha accesso con autorizzazioni di lettura e che si trovi nella stessa area dell'insieme di credenziali. È possibile trovare l'URI (ID Resource Guard) di Resource Guard nella pagina Panoramica .

      Screenshot showing the Resource Guard for Backup vault protection.

    • In alternativa, è possibile selezionare Resource Guard dall'elenco delle guardie delle risorse a cui si ha accesso con autorizzazioni di lettura e quelle disponibili nell'area.

      1. Fare clic su Seleziona Resource Guard.
      2. Selezionare l'elenco a discesa e selezionare la directory in cui si trova Resource Guard.
      3. Selezionare Autentica per convalidare l'identità e l'accesso.
      4. Dopo l'autenticazione, scegliere Resource Guard dall'elenco visualizzato.

      Screenshot showing multi-user authorization enabled on Backup vault.

  5. Selezionare Salva per abilitare MUA.

    Screenshot showing how to enable Multi-user authentication.

Operazioni protette con MUA

Quando l'amministratore di Backup abilita MUA, le operazioni nell'ambito saranno limitate nell'insieme di credenziali e le operazioni avranno esito negativo se l'amministratore di Backup tenta di eseguirli senza avere il ruolo Collaboratore in Resource Guard.

Nota

È consigliabile testare la configurazione dopo aver abilitato MUA per assicurarsi che:

  • Le operazioni protette vengono bloccate come previsto.
  • MUA è configurato correttamente.

Per eseguire un'operazione protetta (disabilitando MUA), seguire questa procedura:

  1. Passare all'insieme di credenziali >Proprietà nel riquadro sinistro.

  2. Deselezionare la casella di controllo per disabilitare MUA.

    Si riceverà una notifica che indica che si tratta di un'operazione protetta ed è necessario avere accesso a Resource Guard.

  3. Selezionare la directory contenente Resource Guard e autenticarsi manualmente.

    Questo passaggio potrebbe non essere necessario se Resource Guard si trova nella stessa directory dell'insieme di credenziali.

  4. Seleziona Salva.

    La richiesta ha esito negativo con un errore che indica che non si dispone di autorizzazioni sufficienti per Resource Guard per eseguire questa operazione.

    Screenshot showing the test Backup vault properties security settings.

Autorizzare operazioni critiche (protette) con Microsoft Entra Privileged Identity Management

Esistono scenari in cui potrebbe essere necessario eseguire operazioni critiche sui backup ed è possibile eseguirle con le approvazioni o le autorizzazioni appropriate con MUA. Le sezioni seguenti illustrano come autorizzare le richieste di operazioni critiche usando Privileged Identity Management (PIM).

L'amministratore di Backup deve avere un ruolo collaboratore in Resource Guard per eseguire operazioni critiche nell'ambito di Resource Guard. Uno dei modi per consentire operazioni JIT (Just-In-Time) consiste nell'usare Microsoft Entra Privileged Identity Management.

Nota

È consigliabile usare Microsoft Entra PIM. Tuttavia, è anche possibile usare metodi manuali o personalizzati per gestire l'accesso per l'amministratore di Backup in Resource Guard. Per gestire manualmente l'accesso a Resource Guard, usare l'impostazione Controllo di accesso (IAM) nel riquadro sinistro di Resource Guard e concedere il ruolo Collaboratore all'amministratore di backup.

Creare un'assegnazione idonea per l'amministratore di backup usando Microsoft Entra Privileged Identity Management

L'amministratore della sicurezza può usare PIM per creare un'assegnazione idonea per l'amministratore di Backup come collaboratore a Resource Guard. In questo modo l'amministratore di Backup può generare una richiesta (per il ruolo Collaboratore) quando è necessario eseguire un'operazione protetta.

Per creare un'assegnazione idonea, seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Passare al tenant di sicurezza di Resource Guard e nella ricerca immettere Privileged Identity Management.

  3. Nel riquadro sinistro selezionare Gestisci e passare a Risorse di Azure.

  4. Selezionare la risorsa (Resource Guard o la sottoscrizione/RG contenitore) a cui si vuole assegnare il ruolo Collaboratore.

    Se non si trovano risorse corrispondenti, aggiungere la sottoscrizione contenitore gestita da PIM.

  5. Selezionare la risorsa e passare a Gestisci>assegnazioni>Aggiungi assegnazioni.

    Screenshot showing how to add assignments to protect a Backup vault.

  6. In Aggiungi assegnazioni:

    1. Selezionare il ruolo Collaboratore.
    2. Passare a Seleziona membri e aggiungere il nome utente (o gli ID di posta elettronica) dell'amministratore di backup.
    3. Seleziona Avanti.

    Screenshot showing how to add assignments-membership to protect a Backup vault.

  7. In Assegnazione selezionare Idoneo e specificare la validità della durata dell'autorizzazione idonea.

  8. Selezionare Assegna per completare la creazione dell'assegnazione idonea.

    Screenshot showing how to add assignments-setting to protect a Backup vault.

Configurare i responsabili approvazione per l'attivazione del ruolo Collaboratore

Per impostazione predefinita, l'installazione precedente potrebbe non avere un responsabile approvazione (e un requisito del flusso di approvazione) configurato in PIM. Per assicurarsi che i responsabili approvazione abbiano il ruolo Collaboratore per l'approvazione della richiesta, l'amministratore della sicurezza deve seguire questa procedura:

Nota

Se l'installazione del responsabile approvazione non è configurata, le richieste vengono approvate automaticamente senza passare attraverso gli amministratori della sicurezza o la revisione di un responsabile approvazione designato. Altre informazioni.

  1. In Microsoft Entra PIM selezionare Risorse di Azure nel riquadro sinistro e selezionare Resource Guard.

  2. Passare al ruolo Impostazioni> Contributor.

    Screenshot showing how to add a contributor.

  3. Selezionare Modifica per aggiungere i revisori che devono esaminare e approvare la richiesta di attivazione per il ruolo Collaboratore nel caso in cui i responsabili approvazione visualizzino Nessuno o visualizzino responsabili approvazione non corretti.

  4. Nella scheda Attivazione selezionare Richiedi approvazione per attivare per aggiungere i responsabili approvazione che devono approvare ogni richiesta.

  5. Selezionare le opzioni di sicurezza, ad esempio Multi-Factor Authentication (MFA), Mandating ticket to activate Contributor role (Invia ticket per attivare il ruolo Collaboratore ).

  6. Selezionare le opzioni appropriate nelle schede Assegnazione e Notifica in base alle esigenze.

    Screenshot showing how to edit the role setting.

  7. Selezionare Aggiorna per completare l'installazione dei responsabili approvazione per attivare il ruolo Collaboratore .

Richiedere l'attivazione di un'assegnazione idonea per eseguire operazioni critiche

Dopo che l'amministratore della sicurezza ha creato un'assegnazione idonea, l'amministratore di Backup deve attivare l'assegnazione di ruolo per il ruolo Collaboratore per eseguire azioni protette.

Per attivare l'assegnazione di ruolo, seguire questa procedura:

  1. Passare a Microsoft Entra Privileged Identity Management. Se Resource Guard si trova in un'altra directory, passare a tale directory e quindi passare a Microsoft Entra Privileged Identity Management.

  2. Passare a Ruoli personali Risorse> di Azure nel riquadro sinistro.

  3. Selezionare Attiva per attivare l'assegnazione idonea per il ruolo Collaboratore .

    Viene visualizzata una notifica che informa che la richiesta viene inviata per l'approvazione.

    Screenshot showing how to activate eligible assignments.

Approvare le richieste di attivazione per eseguire operazioni critiche

Quando l'amministratore di Backup genera una richiesta di attivazione del ruolo Collaboratore, l'amministratore della sicurezza deve esaminare e approvare la richiesta.

Per esaminare e approvare la richiesta, seguire questa procedura:

  1. Nel tenant di sicurezza passare a Microsoft Entra Privileged Identity Management.

  2. Passare a Approva richieste.

  3. In Risorse di Azure è possibile visualizzare la richiesta in attesa dell'approvazione.

    Selezionare Approva per esaminare e approvare la richiesta autentica.

Dopo l'approvazione, l'amministratore di Backup riceve una notifica, tramite posta elettronica o altre opzioni di avviso interne, che la richiesta viene approvata. A questo punto, l'amministratore di Backup può eseguire le operazioni protette per il periodo richiesto.

Eseguire un'operazione protetta dopo l'approvazione

Dopo che l'amministratore della sicurezza approva la richiesta dell'amministratore di backup per il ruolo Collaboratore in Resource Guard, può eseguire operazioni protette nell'insieme di credenziali associato. Se Resource Guard si trova in un'altra directory, l'amministratore di Backup deve autenticarsi.

Nota

Se l'accesso è stato assegnato usando un meccanismo JIT, il ruolo Collaboratore viene ritirato alla fine del periodo approvato. In caso contrario, l'amministratore della sicurezza rimuove manualmente il ruolo Collaboratore assegnato all'amministratore di Backup per eseguire l'operazione critica.

Lo screenshot seguente mostra un esempio di disabilitazione dell'eliminazione temporanea per un insieme di credenziali abilitato per MUA.

Screenshot showing to disable soft delete for an MUA enabled vault.

Disabilitare MUA in un insieme di credenziali di backup

La disabilitazione dell'muA è un'operazione protetta che deve essere eseguita solo dall'amministratore di Backup. A tale scopo, l'amministratore di Backup deve avere il ruolo collaboratore richiesto in Resource Guard. Per ottenere questa autorizzazione, l'amministratore di Backup deve prima richiedere l'amministratore della sicurezza per il ruolo Collaboratore in Resource Guard usando la procedura JIT (Just-In-Time), ad esempio Microsoft Entra Privileged Identity Management o gli strumenti interni.

L'amministratore della sicurezza approva quindi la richiesta se è autentica e aggiorna l'amministratore di Backup che ora ha il ruolo Collaboratore in Resource Guard. Altre informazioni su come ottenere questo ruolo.

Per disabilitare l'muA, gli amministratori di backup devono seguire questa procedura:

  1. Passare all'insieme di credenziali >Proprietà>Autorizzazione multiutente.

  2. Selezionare Aggiorna e deselezionare la casella di controllo Proteggi con Resource Guard .

  3. Selezionare Autentica (se applicabile) per scegliere la directory che contiene Resource Guard e verificare l'accesso.

  4. Selezionare Salva per completare il processo di disabilitazione dell'muA.

    Screenshot showing how to disable multi-user authorization.

Passaggi successivi

Altre informazioni sull'autorizzazione multiutente con Resource Guard.