다음을 통해 공유


Azure Backup에서 Resource Guard를 사용하여 다중 사용자 권한 부여 구성

이 문서에서는 Azure Backup에 대한 MUA(다중 사용자 권한 부여)를 구성하여 추가 보호 계층을 Recovery Services 자격 증명 모음의 중요한 작업에 추가하는 방법을 설명합니다.

이 문서에서는 다른 테넌트에서 최대 보호를 제공하는 리소스 가드를 만드는 방법을 보여줍니다. 또한 리소스 가드가 있는 테넌트에서 Microsoft Entra Privileged Identity Management를 사용하여 중요 작업을 수행하기 위한 요청 및 요청 승인 방법을 보여줍니다. 선택적으로 다른 메커니즘을 사용하여 설정에 따라 Resource Guard에 대한 JIT 권한을 관리할 수 있습니다.

참고 항목

  • Azure Backup에 대한 다중 사용자 권한 부여는 모든 공용 Azure 지역에서 사용할 수 있습니다.
  • 이제 백업 자격 증명 모음에 리소스 가드를 사용한 다중 사용자 권한 부여가 일반 공급됩니다. 자세히 알아보기.

시작하기 전에

  • Resource Guard 및 Recovery Services 자격 증명 모음이 동일한 Azure 지역에 있는지 확인합니다.
  • Backup 관리자에게 Resource Guard에 대한 기여자, 백업 MUA 관리자 또는 Backup MUA 운영자 권한이 없는지 확인합니다. 최대 격리를 보장하기 위해 동일한 디렉터리의 다른 구독 또는 다른 디렉터리에 Resource Guard를 둘 수 있습니다.
  • Recovery Services 자격 증명 모음과 Resource Guard(다른 구독 또는 테넌트에 있음)가 포함된 구독이 Microsoft.RecoveryServicesMicrosoft.DataProtection 공급자를 사용하도록 등록되어 있는지 확인합니다. 자세한 내용은 Azure 리소스 공급자 및 형식을 참조하세요.

다양한 MUA 사용 시나리오에 대해 알아봅니다.

Resource Guard 만들기

보안 관리자는 Resource Guard를 만듭니다. 자격 증명 모음으로 다른 구독 또는 다른 테넌트에서 만드는 것이 좋습니다. 그러나 자격 증명 모음과 동일한 지역에 있어야 합니다. Backup 관리자는 Resource Guard 또는 해당 리소스 보호가 포함된 구독에 대한 기여자, 백업 MUA 관리자 또는 Backup MUA 운영자 액세스 권한이 없어야 합니다.

클라이언트 선택

자격 증명 모음 테넌트와 다른 테넌트에서 리소스 가드를 만들려면 다음 단계를 수행합니다.

  1. Azure Portal에서 리소스 가드를 만들려는 디렉터리로 이동합니다.

    포털 설정을 보여 주는 스크린샷.

  2. 검색 창에서 리소스 가드를 검색하고 드롭다운 목록에서 해당하는 항목을 선택합니다.

    리소스 가드를 검색하는 방법을 보여 주는 스크린샷.

    • 만들기를 선택하여 리소스 가드 만들기를 시작합니다.
    • 블레이드 만들기에서 이 Resource Guard에 필요한 세부 정보를 입력합니다.
      • Resource Guard가 Recovery Services 자격 증명 모음과 동일한 Azure 지역에 있는지 확인합니다.
      • 또한 필요할 때 연결된 자격 증명 모음에서 작업을 수행하기 위해 액세스 권한을 얻거나 요청하는 방법에 대한 설명을 추가하는 것이 좋습니다. 이 설명은 백업 관리자가 필요한 권한을 얻는 데 도움이 되도록 연결된 자격 증명 모음에도 표시됩니다. 필요한 경우 나중에 설명을 편집할 수 있지만 항상 잘 정의된 설명을 갖는 것이 좋습니다.
  3. 보호된 작업 탭에서 이 Resource Guard를 사용하여 보호해야 하는 작업을 선택합니다.

    리소스 가드를 만든 후 보호할 작업을 선택할 수도 있습니다.

  4. 선택적으로 요구 사항에 따라 Resource Guard에 태그를 추가합니다.

  5. 검토 + 만들기를 선택하고 리소스 가드의 상태 및 성공적인 만들기에 대한 알림을 따릅니다.

Resource Guard를 사용하여 보호할 작업 선택

지원되는 모든 중요 작업 중에서 Resource Guard를 사용하여 보호할 작업을 선택합니다. 기본적으로 지원되는 모든 중요 작업이 사용하도록 설정됩니다. 그러나 보안 관리자는 리소스 가드를 사용하여 MUA의 범위에 속하는 특정 작업을 면제할 수 있습니다.

클라이언트 선택

작업을 면제하려면 다음 단계를 수행합니다.

  1. 위에서 만든 리소스 가드에서 속성>Recovery Services 자격 증명 모음 탭으로 이동합니다.

  2. 리소스 가드를 사용하여 권한이 부여되지 않도록 제외하려는 작업에 대해 사용 안 함을 선택합니다.

    참고 항목

    보호된 작업을 사용하지 않도록 설정할 수 없습니다. 즉 일시 삭제 사용 안 함MUA 보호 제거를 사용하지 않도록 설정할 수 없습니다.

  3. 선택적으로 이 블레이드를 사용하여 Resource Guard에 대한 설명을 업데이트할 수도 있습니다.

  4. 저장을 선택합니다.

    데모 Resource Guard 속성을 보여 주는 스크린샷.

Resource Guard에서 백업 관리자에게 권한을 할당하여 MUA를 사용하도록 설정합니다.

Vault에서 MUA를 사용하도록 설정하려면 Vault 관리자에게 Resource Guard 또는 Resource Guard가 포함된 구독에 대한 읽기 권한자 역할이 있어야 합니다. Resource Guard에 대한 읽기 권한자 역할을 할당하려면:

  1. 위에서 만든 리소스 가드에서 액세스 제어(IAM) 블레이드로 이동한 다음, 역할 할당 추가로 이동합니다.

    데모 Resource Guard 액세스 제어를 보여 주는 스크린샷.

  2. 기본 제공 역할 목록에서 읽기 권한자를 선택하고 다음을 선택합니다.

    데모 Resource Guard-추가 역할 할당을 보여 주는 스크린샷.

  3. 멤버 선택을 클릭하고 백업 관리자 이메일 ID를 추가하여 읽기 권한자로 추가합니다. 이 경우 백업 관리자는 다른 테넌트에 있으므로 리소스 가드가 포함된 테넌트에 게스트로 추가됩니다.

  4. 선택을 클릭한 다음 검토 + 할당을 진행하여 역할 할당을 완료합니다.

    데모 Resource Guard 선택 멤버를 보여 주는 스크린샷.

Recovery Services 자격 증명 모음에서 MUA 사용

리소스 가드에 대한 reader 역할 할당이 완료되면 본인이 관리하는 자격 증명 모음에서 다중 사용자 권한 부여를 사용하도록 설정합니다(백업 관리자로).

클라이언트 선택

자격 증명 모음에서 MUA를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Recovery Services 자격 증명 모음으로 이동합니다. 왼쪽 탐색 패널의 속성으로 이동한 다음 다중 사용자 권한 부여으로 이동하고 업데이트를 선택합니다.

    Recovery Services 자격 증명 모음 속성을 보여 주는 스크린샷.

  2. 이제 MUA를 사용하도록 설정하고 다음 방법 중 하나를 사용하여 리소스 가드를 선택하는 옵션이 제공됩니다.

    • Resource Guard의 URI를 지정하거나 읽기 권한자 액세스 권한이 있고 자격 증명 모음과 동일한 지역인 Resource Guard의 URI를 지정해야 합니다. 개요 화면에서 Resource Guard의 URI(Resource Guard ID)를 찾을 수 있습니다.

      Resource Guard를 보여 주는 스크린샷.

    • 또는 읽기 권한자 액세스 권한이 있는 Resource Guard 목록과 해당 지역에서 사용할 수 있는 Resource Guard를 선택할 수 있습니다.

      1. Resource Guard 선택을 클릭합니다.
      2. 드롭다운 목록을 선택한 다음 리소스 가드가 있는 디렉터리를 선택합니다.
      3. 인증을 선택하여 ID와 액세스 권한의 유효성을 검사합니다.
      4. 인증 후 표시된 목록에서 Resource Guard를 선택합니다.

      다중 사용자 권한 부여를 보여 주는 스크린샷.

  3. 모두 마쳤으면 저장을 선택하여 MUA를 사용하도록 설정합니다.

    다중 사용자 인증을 사용하도록 설정하는 방법을 보여 주는 스크린샷.

MUA를 사용하여 보호된 작업

MUA를 사용하도록 설정하면 범위의 작업이 자격 증명 모음에서 제한됩니다. 백업 관리자가 Resource Guard에서 필요한 역할(즉, Backup MUA 운영자 역할)을 갖지 않고 작업을 수행하려고 시도하는 경우.

참고 항목

MUA를 사용하도록 설정한 후 설정을 테스트하여 보호된 작업이 예상대로 차단되고 MUA가 올바르게 구성되었는지 확인하는 것이 좋습니다.

아래에는 백업 관리자가 보호된 작업을 수행하려고 할 때 발생하는 상황이 나와 있습니다(예: 일시 삭제 사용하지 않도록 설정이 여기에 설명되어 있습니다. 다른 보호 작업에도 비슷한 환경이 있습니다). 다음 단계는 필요한 권한 없이 백업 관리자가 수행합니다.

  1. 일시 삭제를 사용하지 않도록 설정하려면 Recovery Services 자격 증명 모음 >속성>보안 설정으로 이동하여 업데이트를 선택합니다. 그러면 보안 설정이 나타납니다.

  2. 슬라이더를 사용하여 일시 삭제를 사용하지 않도록 설정합니다. 해당 작업은 보호된 작업이며 리소스 가드에 대한 액세스를 확인해야 한다는 정보가 표시됩니다.

  3. Resource Guard가 포함된 디렉터리를 선택하고 자신을 인증합니다. Resource Guard가 자격 증명 모음과 동일한 디렉터리에 있는 경우 이 단계가 필요하지 않을 수 있습니다.

  4. 계속해서 저장을 선택합니다. 이 작업을 수행할 수 있는 Resource Guard에 대한 충분한 권한이 없음을 알리는 오류와 함께 요청이 실패합니다.

    Test Vault 속성 보안 설정을 보여 주는 스크린샷.

Microsoft Entra Privileged Identity Management를 사용하여 중요한(보호 중인) 작업 승인

다음 섹션에서는 PIM을 사용하여 이러한 요청을 승인하는 방법에 대해 설명합니다. 백업에 대해 중요한 작업을 수행해야 하는 경우가 있으며 MUA를 사용하면 이러한 작업이 올바른 승인이나 권한이 있는 경우에만 수행되도록 할 수 있습니다. 앞에서 설명한 것처럼 Backup 관리자는 Resource Guard 범위에 있는 중요한 작업을 수행하려면 Resource Guard에서 Backup MUA 운영자 역할이 있어야 합니다. 이러한 작업을 Just-In-Time에 허용하는 방법 중 하나는 Microsoft Entra Privileged Identity Management를 사용하는 것입니다.

참고 항목

Microsoft Entra PIM을 사용하는 것이 권장되는 액세스 방식이지만 수동 또는 사용자 지정 방법을 사용하여 리소스 가드에서 백업 관리자에 대한 액세스를 관리할 수 있습니다. Resource Guard에 대한 액세스를 수동으로 관리하려면 Resource Guard의 왼쪽 탐색 모음에서 '액세스 제어(IAM)' 설정을 사용하고 Backup 관리자에게 Backup MUA 운영자 역할을 부여합니다.

백업 관리자에 대한 적합 할당 만들기(Microsoft Entra Privileged Identity Management를 사용하는 경우)

보안 관리자는 PIM을 사용하여 Backup 관리자에 대한 적격 할당을 만들고 Resource Guard에 Backup MUA 운영자 역할을 제공할 수 있습니다. 이렇게 하면 백업 관리자가 보호된 작업을 수행해야 할 때 요청( Backup MUA 운영자 역할)을 생성할 수 있습니다. 이를 위해 보안 관리자는 다음을 수행합니다.

  1. Resource Guard가 포함된 보안 테넌트에서 Privileged Identity Management(Azure Portal의 검색 창에서 검색)로 이동한 다음, Azure 리소스(왼쪽 메뉴의 관리 아래)로 이동합니다.

  2. Backup MUA 운영자 역할을 할당할 리소스(Resource Guard 또는 포함된 구독/RG)를 선택합니다.

    리소스 목록에 해당 리소스가 표시되지 않으면 PIM에서 관리할 포함하는 구독을 추가해야 합니다.

  3. 선택한 리소스에서 할당(왼쪽 메뉴의 관리 아래)으로 이동하고 할당 추가로 이동합니다.

    할당을 추가하는 방법을 보여 주는 스크린샷.

  4. [할당 추가]에서 다음을 수행합니다.

    1. 역할을 Backup MUA 연산자로 선택합니다.
    2. 구성원 선택으로 이동하여 백업 관리자의 사용자 이름(또는 이메일 ID)을 추가합니다.
    3. 다음을 선택합니다.

    할당-멤버 자격을 추가하는 방법을 보여 주는 스크린샷.

  5. 다음 화면에서 다음을 수행합니다.

    1. 할당 유형에서 적합을 선택합니다.
    2. 적합한 권한이 유효한 기간을 지정합니다.
    3. 할당을 선택하여 적합한 할당 만들기를 완료합니다.

    할당 설정을 추가하는 방법을 보여 주는 스크린샷.

백업 MUA 운영자 역할을 활성화하기 위한 승인자 설정

기본적으로 위의 설정에는 PIM에 구성된 승인자(및 승인 흐름 요구 사항)가 없을 수 있습니다. 승인자가 요청 승인을 위해 Backup MUA 운영자 역할을 갖도록 하려면 보안 관리자가 다음 단계를 수행해야 합니다.

참고 항목

승인자를 구성하지 않으면 모든 요청이 보안 관리자 또는 지정된 승인자의 검토를 거치지 않고 자동으로 승인됩니다. 이에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

  1. Microsoft Entra PIM의 왼쪽 탐색 모음에서 Azure 리소스를 선택하고 리소스 가드를 선택합니다.

  2. 설정으로 이동한 다음 백업 MUA 운영자 역할로 이동합니다.

    기여자를 추가하는 방법을 보여 주는 스크린샷.

  3. 승인자가 없음을 표시하거나 잘못된 승인자를 표시하는 경우 백업 MUA 운영자 역할에 대한 활성화 요청을 검토하고 승인해야 하는 검토자를 추가하려면 편집을 선택합니다.

  4. 활성화 탭에서 활성화하려면 승인 필요를 선택하고, 각 요청을 승인해야 하는 승인자를 추가합니다.

  5. MFA(다단계 인증), 티켓 의무화와 같은 보안 옵션을 선택하여 백업 MUA 운영자 역할을 활성화합니다.

  6. 필요에 따라 할당알림 탭에서 적절한 옵션을 선택합니다.

    역할 설정을 편집하는 방법을 보여 주는 스크린샷.

  7. 업데이트를 선택하여 승인자 설정을 완료하여 Backup MUA 운영자 역할을 활성화합니다.

중요한 작업을 수행하기 위해 적합 할당의 활성화를 요청합니다.

보안 관리자가 적격 할당을 만든 후 백업 관리자는 보호된 작업을 수행할 수 있도록 Backup MUA 운영자 역할에 대한 할당을 활성화해야 합니다.

역할 할당을 활성화하려면 다음 단계를 수행합니다.

  1. Microsoft Entra Privileged Identity Management로 이동합니다. 리소스 가드가 다른 디렉터리에 있는 경우 해당 디렉터리로 전환한 다음, Microsoft Entra Privileged Identity Management로 이동합니다.

  2. 왼쪽 메뉴에서 내 역할>Azure 리소스로 이동합니다.

  3. 활성화를 선택하여 Backup MUA 운영자 역할에 대한 적격 할당을 활성화합니다.

    승인 요청이 전송되었음을 알리는 알림이 나타납니다.

    적격 할당을 활성화하는 방법을 보여 주는 스크린샷.

중요한 작업을 수행하기 위한 요청 활성화 승인

Backup 관리자가 Backup MUA 운영자 역할 활성화 요청을 제기하면 보안 관리자가 요청을 검토하고 승인해야 합니다.

  1. 보안 테넌트에서 Microsoft Entra Privileged Identity Management로 이동합니다.
  2. 요청 승인으로 이동합니다.
  3. Azure 리소스에서 Backup MUA 운영자활성화를 요청하는 Backup 관리자가 제기한 요청을 볼 수 있습니다.
  4. 요청을 검토합니다. 요청이 진짜이면 요청을 선택하고 승인을 선택하여 승인합니다.
  5. 백업 관리자는 이제 요청이 승인되었음을 이메일(또는 기타 조직 경고 메커니즘)을 통해 알립니다.
  6. 승인되면 백업 관리자는 요청된 기간 동안 보호된 작업을 수행할 수 있습니다.

승인 후 보호 작업 수행

Resource Guard의 Backup MUA 운영자 역할에 대한 Backup 관리자의 요청이 승인되면 연결된 자격 증명 모음에서 보호된 작업을 수행할 수 있습니다. Resource Guard가 다른 디렉터리에 있는 경우 백업 관리자는 자신을 인증해야 합니다.

참고 항목

JIT 메커니즘 을 사용하여 액세스 권한을 할당한 경우 승인된 기간이 끝나면 백업 MUA 운영자 역할이 철회됩니다. 그렇지 않으면 보안 관리자는 백업 관리자에게 할당된 Backup MUA 운영자 역할을 수동으로 제거하여 중요한 작업을 수행합니다.

다음 스크린샷에서는 MUA를 사용하는 자격 증명 모음에 일시 삭제를 사용하지 않도록 설정하는 예를 보여줍니다.

일시 삭제를 사용하지 않도록 설정하는 방법을 보여 주는 스크린샷.

Recovery Services 자격 증명 모음에서 MUA 사용 안 함

MUA를 사용하지 않도록 설정하는 것은 보호된 작업이므로 MUA를 사용하여 자격 증명 모음이 보호됩니다. 사용자(Backup 관리자)가 MUA를 사용하지 않도록 설정하려는 경우 Resource Guard에 필요한 Backup MUA 운영자 역할이 있어야 합니다.

클라이언트 선택

자격 증명 모음에서 MUA를 사용하지 않도록 설정하려면 다음 단계를 수행합니다.

  1. Backup 관리자는 Resource Guard에서 백업 MUA 운영자 역할에 대한 보안 관리자를 요청합니다. Microsoft Entra Privileged Identity Management와 같은 JIT 절차 또는 기타 내부 도구 및 절차와 같이 조직에서 승인한 방법을 사용하도록 요청할 수 있습니다.

  2. 보안 관리자는 요청을 승인하고(승인될 만한 가치가 있는 경우) Backup 관리자에게 알릴 수 있습니다. 이제 Backup 관리자가 Resource Guard에서 Backup MUA 운영자 역할을 맡게 되었습니다.

  3. 백업 관리자는 자격 증명 모음 >속성>다중 사용자 권한 부여로 이동합니다.

  4. 업데이트를 선택합니다.

    1. 리소스 가드로 보호 확인란의 선택을 취소합니다.
    2. Resource Guard가 포함된 디렉터리를 선택하고 인증 단추(해당되는 경우)를 사용하여 액세스를 확인합니다.
    3. 인증 후, 저장을 선택합니다. 올바른 액세스 권한으로 요청이 성공적으로 완료되어야 합니다.

    다중 사용자 인증을 사용하지 않도록 설정하는 방법을 보여 주는 스크린샷.

테넌트 ID는 리소스 가드가 다른 테넌트에 있을 때 필요합니다.

예제:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

이 문서에서는 Azure Backup에 대한 MUA(다중 사용자 권한 부여)를 구성하여 Backup 자격 증명 모음의 중요한 작업에 보호 계층을 추가하는 방법을 설명합니다.

이 문서에서는 다른 테넌트에서 최대 보호를 제공하는 리소스 가드를 만드는 방법을 보여줍니다. 또한 리소스 가드가 있는 테넌트에서 Microsoft Entra Privileged Identity Management를 사용하여 중요 작업을 수행하기 위한 요청 및 요청 승인 방법을 보여줍니다. 선택적으로 다른 메커니즘을 사용하여 설정에 따라 Resource Guard에 대한 JIT 권한을 관리할 수 있습니다.

참고 항목

  • 이제 백업 자격 증명 모음에 리소스 가드를 사용한 다중 사용자 권한 부여가 일반 공급됩니다.
  • Azure Backup에 대한 다중 사용자 권한 부여는 모든 공용 Azure 지역에서 사용할 수 있습니다.

시작하기 전에

  • 리소스 가드와 Backup 자격 증명 모음이 동일한 Azure 지역에 있어야 합니다.
  • Backup 관리자에게 Resource Guard에 대한 기여자, 백업 MUA 관리자 또는 Backup MUA 운영자 권한이 없는지 확인합니다. 최대 격리를 보장하기 위해 동일한 디렉터리의 다른 구독 또는 다른 디렉터리에 Resource Guard를 둘 수 있습니다.
  • 구독에 Backup 자격 증명 모음이 있어야 하고 (다른 구독 또는 테넌트에 있는) 리소스 가드가 공급자 Microsoft.DataProtection4를 사용하도록 등록되어야 합니다. 자세한 내용은 Azure 리소스 공급자 및 형식을 참조하세요.

다양한 MUA 사용 시나리오에 대해 알아봅니다.

Resource Guard 만들기

보안 관리자는 Resource Guard를 만듭니다. 자격 증명 모음으로 다른 구독 또는 다른 테넌트에서 만드는 것이 좋습니다. 그러나 자격 증명 모음과 동일한 지역에 있어야 합니다.

Backup 관리자는 Resource Guard 또는 해당 리소스 보호가 포함된 구독에 대한 기여자, 백업 MUA 관리자 또는 Backup MUA 운영자 액세스 권한이 없어야 합니다.

자격 증명 모음 테넌트와 다른 테넌트에서 보안 관리자로서 리소스 가드를 만들려면 다음 단계를 수행합니다.

  1. Azure Portal에서 리소스 가드를 만들려는 디렉터리로 이동합니다.

    Backup 자격 증명 모음을 구성하는 포털 설정을 보여주는 스크린샷

  2. 검색 창에서 리소스 가드를 검색한 다음 드롭다운 목록에서 해당 항목을 선택합니다.

    Backup 자격 증명 모음에 대한 리소스 가드를 보여주는 스크린샷

    1. 만들기를 선택하여 리소스 가드를 만듭니다.
    2. [만들기] 블레이드에서 이 리소스 가드에 필요한 세부 정보를 입력합니다.
      • 리소스 가드와 Backup 자격 증명 모음이 동일한 Azure 지역에 있는지 확인합니다.
      • 필요할 때 연결된 자격 증명 모음에서 작업을 수행하기 위한 액세스 권한 요청 방법에 대한 설명을 추가합니다. 이 설명은 백업 관리자가 필요한 권한을 얻는 데 도움이 되도록 연결된 자격 증명 모음에 표시됩니다.
  3. 보호된 작업 탭의 Backup 자격 증명 모음 탭에서 이 리소스 가드를 사용하여 보호해야 하는 작업을 선택합니다.

    현재 보호된 작업 탭에는 백업 인스턴스 삭제 옵션만 있습니다.

    리소스 가드를 만든 후 보호할 작업을 선택할 수도 있습니다.

    리소스 가드를 사용하여 보호할 작업을 선택하는 방법을 보여주는 스크린샷

  4. 선택 사항으로, 요구 사항에 따라 리소스 가드에 태그를 추가합니다.

  5. 검토 + 만들기를 선택한 다음, 알림에 따라 상태와 리소스 가드 만들기가 성공하는지 모니터링합니다.

Resource Guard를 사용하여 보호할 작업 선택

자격 증명 모음을 만든 후, 보안 관리자는 지원되는 모든 중요한 작업 중에서 리소스 가드를 사용하여 보호할 작업을 선택할 수도 있습니다. 기본적으로 지원되는 모든 중요 작업이 사용하도록 설정됩니다. 그러나 보안 관리자는 리소스 가드를 사용하여 MUA의 범위에 속하는 특정 작업을 면제할 수 있습니다.

보호할 작업을 선택하려면 다음 단계를 수행합니다.

  1. 이전에 만든 리소스 가드에서 속성>Backup 자격증명 모음 탭으로 이동합니다.

  2. 권한이 부여되지 않도록 제외하려는 작업에 대해 사용 안 함을 선택합니다.

    MUA 보호 제거일시 삭제 사용 안 함 작업은 사용하지 않도록 설정할 수 없습니다.

  3. 선택 사항으로, Backup 자격 증명 모음 탭에서 리소스 가드에 대한 설명을 업데이트합니다.

  4. 저장을 선택합니다.

    Backup 자격 증명 모음의 데모 리소스 가드 속성을 보여주는 스크린샷

Resource Guard에서 백업 관리자에게 권한을 할당하여 MUA를 사용하도록 설정합니다.

백업 관리자는 자격 증명 모음에서 MUA를 사용하도록 설정하려면 리소스 가드 또는 리소스 가드를 포함하고 있는 구독에 대한 reader 역할이 필요합니다. 보안 관리자가 백업 관리자에게 이 역할을 할당해야 합니다.

리소스 가드에 대한 reader 역할을 할당하려면 다음 단계를 수행합니다.

  1. 위에서 만든 리소스 가드에서 액세스 제어(IAM) 블레이드로 이동한 다음, 역할 할당 추가로 이동합니다.

    Backup 자격 증명 모음에 대한 데모 리소스 가드 액세스 제어를 보여주는 스크린샷

  2. 기본 제공 역할 목록에서 읽기 권한자를 선택하고 다음을 선택합니다.

    Backup 자격 증명 모음에 대한 데모 리소스 가드 역할 할당 추가를 보여주는 스크린샷

  3. 구성원 선택을 클릭하고 백업 관리자의 이메일 ID를 추가하여 reader 역할을 할당합니다.

    백업 관리자는 다른 테넌트에 있으므로 리소스 가드를 포함하고 있는 테넌트에 게스트로 추가됩니다.

  4. 선택>검토 + 할당을 클릭하여 역할 할당을 완료합니다.

    Backup 자격 증명 모음에서 백업 항목을 보호할 데모 리소스 가드 구성원 선택을 보여주는 스크린샷

Backup 자격 증명 모음에서 MUA를 사용하도록 설정

이제 백업 관리자에게 리소스 가드에 대한 reader 역할이 있으므로 백업 관리자는 다음 단계에 따라 자신이 관리하는 자격 증명 모음에서 다중 사용자 권한 부여를 사용하도록 설정할 수 있습니다.

  1. MUA를 구성하려는 Backup 자격 증명 모음으로 이동합니다.

  2. 왼쪽 패널에서 속성을 선택합니다.

  3. 다중 사용자 권한 부여로 이동하여 업데이트를 선택합니다.

    Backup 자격 증명 모음 속성을 보여주는 스크린샷

  4. MUA를 사용하도록 설정하고 리소스 가드를 선택하려면 다음 작업 중 하나를 수행합니다.

    • 리소스 가드의 URI를 지정할 수도 있습니다. 읽기 권한자 액세스 권한이 있는 리소스 가드의 URI를 지정하고 자격 증명 모음과 동일한 지역에 있는지 확인합니다. 개요 페이지에서 리소스 가드의 URI(리소스 가드 ID)를 찾을 수 있습니다.

      Backup 자격 증명 모음을 보호하는 리소스 가드를 보여주는 스크린샷

    • 또는 읽기 권한자 액세스 권한이 있는 Resource Guard 목록과 해당 지역에서 사용할 수 있는 Resource Guard를 선택할 수 있습니다.

      1. 리소스 가드 선택을 클릭합니다.
      2. 드롭다운을 선택하고, 리소스 가드가 있는 디렉터리를 선택합니다.
      3. 인증을 선택하여 ID와 액세스 권한의 유효성을 검사합니다.
      4. 인증 후 표시된 목록에서 Resource Guard를 선택합니다.

      Backup 자격 증명 모음에서 다중 사용자 권한 부여를 사용하도록 설정한 것을 보여주는 스크린샷

  5. 저장을 선택하여 MUA를 사용하도록 설정합니다.

    다중 사용자 인증을 사용하도록 설정하는 방법을 보여 주는 스크린샷.

MUA를 사용하여 보호된 작업

Backup 관리자가 MUA를 사용하도록 설정하면 범위의 작업이 자격 증명 모음에서 제한되고, Backup 관리자가 Resource Guard에서 Backup MUA 운영자 역할을 갖지 않고 작업을 수행하려고 하면 작업이 실패합니다.

참고 항목

MUA를 사용하도록 설정한 후에는 설정을 테스트하여 다음 사항을 확인하는 것이 좋습니다.

  • 보호된 작업이 예상대로 차단됩니다.
  • MUA가 올바르게 구성되었습니다.

보호된 작업(MUA 사용 안 함)을 수행하려면 다음 단계를 수행합니다.

  1. 왼쪽 창에서 자격 증명 모음 >속성으로 이동합니다.

  2. 확인란을 선택 취소하여 MUA를 사용하지 않도록 설정합니다.

    보호된 작업이므로 리소스 가드 액세스 권한이 필요하다는 알림이 표시됩니다.

  3. 리소스 가드가 포함된 디렉터리를 선택하고 직접 인증합니다.

    Resource Guard가 자격 증명 모음과 동일한 디렉터리에 있는 경우 이 단계가 필요하지 않을 수 있습니다.

  4. 저장을 선택합니다.

    이 작업을 수행하는 데 필요한 리소스 가드에 대한 권한이 없다는 오류와 함께 요청이 실패합니다.

    Backup 자격 증명 모음 속성 테스트 보안 설정을 보여주는 스크린샷

Microsoft Entra Privileged Identity Management를 사용하여 중요한(보호 중인) 작업 승인

백업에서 중요한 작업을 수행해야 하는 경우가 있으며, MUA를 사용하여 올바른 승인 또는 권한을 얻으면 중요한 작업을 수행할 수 있습니다. 다음 섹션에서는 PIM(Privileged Identity Management)을 사용하여 중요한 작업 요청에 권한을 부여하는 방법을 설명합니다.

Resource Guard 범위에서 중요한 작업을 수행하려면 Backup 관리자에게 Resource Guard에 대한 Backup MUA 운영자 역할이 있어야 합니다. JIT(Just-In-Time)작업을 허용하는 방법 중 하나는 Microsoft Entra Privileged Identity Management를 사용하는 것입니다.

참고 항목

Microsoft Entra PIM을 사용하는 것이 좋습니다. 수동 또는 사용자 지정 방법을 사용하여 리소스 가드에 대한 백업 관리자의 액세스 권한을 관리할 수도 있습니다. Resource Guard에 대한 액세스를 수동으로 관리하려면 Resource Guard의 왼쪽 창에서 액세스 제어(IAM) 설정을 사용하고 Backup 관리자에게 Backup MUA 운영자 역할을 부여 합니다.

Microsoft Entra Privileged Identity Management를 사용하여 백업 관리자를 위한 적격 할당 만들기

보안 관리자는 PIM을 사용하여 Backup 관리자에 대한 적격 할당을 Resource Guard에 대한 Backup MUA 운영자로 만들 수 있습니다. 이렇게 하면 백업 관리자가 보호된 작업을 수행해야 할 때 요청( Backup MUA 운영자 역할)을 생성할 수 있습니다.

적격 할당을 만들려면 다음 단계를 수행합니다.

  1. Azure Portal에 로그인합니다.

  2. 리소스 가드의 보안 테넌트로 이동한 다음, 검색 창에 Privileged Identity Management를 입력합니다.

  3. 왼쪽 창에서 관리를 선택하고 Azure 리소스로 이동합니다.

  4. Backup MUA 운영자 역할을 할당할 리소스(Resource Guard 또는 포함된 구독/RG)를 선택합니다.

    해당하는 리소스를 찾을 수 없으면 포함된 구독 중에서 PIM이 관리하는 구독을 추가합니다.

  5. 리소스를 선택하고 관리>할당>할당 추가로 이동합니다.

    할당을 추가하여 Backup 자격 증명 모음을 보호하는 방법을 보여주는 스크린샷

  6. [할당 추가]에서 다음을 수행합니다.

    1. 역할을 Backup MUA 연산자로 선택합니다.
    2. 구성원 선택으로 이동하여 백업 관리자의 사용자 이름(또는 이메일 ID)을 추가합니다.
    3. 다음을 선택합니다.

    할당-구성원을 추가하여 Backup 자격 증명 모음을 보호하는 방법을 보여주는 스크린샷

  7. [할당]에서 적격을 선택하고 적격 권한의 유효 기간을 지정합니다.

  8. 할당을 선택하여 적격 할당 만들기를 완료합니다.

    할당-설정을 추가하여 Backup 자격 증명 모음을 보호하는 방법을 보여주는 스크린샷

기여자 역할 활성화를 위한 승인자 설정

기본적으로 위의 설정에는 PIM에 구성된 승인자(및 승인 흐름 요구 사항)가 없을 수 있습니다. 승인자가 요청 승인을 위한 contributor 역할을 갖도록 하려면 보안 관리자가 다음 단계를 수행해야 합니다.

참고 항목

승인자 설정을 구성하지 않으면 모든 요청이 보안 관리자 또는 지정된 승인자의 검토를 거치지 않고 자동으로 승인됩니다. 자세히 알아보기.

  1. Microsoft Entra PIM의 왼쪽 창에서 Azure 리소스를 선택하고 해당하는 리소스 가드를 선택합니다.

  2. 설정>contributor 역할로 이동합니다.

    contributor를 추가하는 방법을 보여 주는 스크린샷

  3. 승인자가 없음으로 표시되거나 잘못된 승인자가 표시되면 편집을 선택하고, 활성화 요청을 검토하고 승인해야 하는 검토자를 기여자 역할에 추가합니다.

  4. 활성화 탭에서 활성화하려면 승인 필요를 선택하고, 각 요청을 승인해야 하는 승인자를 추가합니다.

  5. MFA(다단계 인증), 티켓 의무화와 같은 보안 옵션을 선택하여 참가자 역할을 활성화합니다.

  6. 할당알림 탭에서 요구 사항에 따라 적절한 옵션을 선택합니다.

    역할 설정을 편집하는 방법을 보여주는 스크린샷

  7. 업데이트를 선택하여 승인자 설정을 완료하고 기여자 역할을 활성화합니다.

중요한 작업을 수행하기 위해 적합 할당의 활성화를 요청합니다.

보안 관리자가 적격 할당을 만든 후, 백업 관리자는 보호된 작업을 수행할 수 있도록 contributor 역할에 대한 할당을 활성화해야 합니다.

역할 할당을 활성화하려면 다음 단계를 수행합니다.

  1. Microsoft Entra Privileged Identity Management로 이동합니다. 리소스 가드가 다른 디렉터리에 있는 경우 해당 디렉터리로 전환한 다음, Microsoft Entra Privileged Identity Management로 이동합니다.

  2. 왼쪽 창에서 내 역할>Azure 리소스로 이동합니다.

  3. 활성화를 선택하여 contributor 역할의 적격 할당을 활성화합니다.

    승인 요청이 전송되었음을 알리는 알림이 나타납니다.

    적격 할당을 활성화하는 방법을 보여주는 스크린샷

중요한 작업을 수행하기 위한 활성화 요청 승인

백업 관리자가 contributor 역할 활성화 요청을 제출하면 보안 관리자가 요청을 검토하고 승인해야 합니다.

요청을 검토하고 승인하려면 다음 단계를 수행합니다.

  1. 보안 테넌트에서 Microsoft Entra Privileged Identity Management로 이동합니다.

  2. 요청 승인으로 이동합니다.

  3. Azure 리소스에서 승인을 기다리는 요청을 볼 수 있습니다.

    승인을 선택하여 진짜 요청을 검토하고 승인합니다.

승인이 완료되면 백업 관리자는 이메일 또는 기타 내부 알림 옵션을 통해 요청이 승인되었다는 알림을 받게 됩니다. 이제 백업 관리자는 요청된 기간 동안 보호된 작업을 수행할 수 있습니다.

승인 후 보호된 작업 수행

보안 관리자가 Resource Guard의 Backup MUA 운영자 역할에 대한 Backup 관리자의 요청을 승인하면 연결된 자격 증명 모음에서 보호된 작업을 수행할 수 있습니다. 리소스 가드가 다른 디렉터리에 있으면 백업 관리자가 직접 인증해야 합니다.

참고 항목

JIT 메커니즘 을 사용하여 액세스 권한을 할당한 경우 승인된 기간이 끝나면 백업 MUA 운영자 역할이 철회됩니다. 그렇지 않으면 보안 관리자는 백업 관리자에게 할당된 Backup MUA 운영자 역할을 수동으로 제거하여 중요한 작업을 수행합니다.

다음 스크린샷에서는 MUA를 사용하는 자격 증명 모음에 일시 삭제를 사용하지 않도록 설정하는 예를 보여줍니다.

MUA를 사용하는 자격 증명 모음에 일시 삭제를 사용하지 않도록 설정하는 방법을 보여주는 스크린샷

Backup 자격 증명 모음에서 MUA를 사용하지 않도록 설정

MUA를 사용하지 않도록 설정하는 것은 백업 관리자만이 수행해야 하는 보호된 작업입니다. 이렇게 하려면 Backup 관리자가 Resource Guard에 필요한 Backup MUA 운영자 역할이 있어야 합니다. 이 권한을 얻으려면 백업 관리자는 먼저 Microsoft Entra Privileged Identity Management 또는 내부 도구와 같은 JIT(Just-In-Time) 절차를 사용하여 Resource Guard에서 Backup MUA 운영자 역할에 대한 보안 관리자를 요청해야 합니다.

그런 다음 보안 관리자가 정품인 경우 요청을 승인하고 이제 Resource Guard에서 Backup MUA 운영자 역할이 있는 Backup 관리자를 업데이트합니다. 이 역할을 얻는 방법에 대해 자세히 알아보세요.

MUA를 사용하지 않도록 설정하려면 백업 관리자가 다음 단계를 수행해야 합니다.

  1. 자격 증명 모음 >속성>다중 사용자 권한 부여로 이동합니다.

  2. 업데이트를 선택하고 리소스 가드로 보호 확인란을 선택 취소합니다.

  3. 인증을 선택하여(해당하는 경우) 리소스 가드가 있는 디렉터리를 선택하고 액세스 권한을 확인합니다.

  4. 저장을 선택하여 MUA를 사용하지 않도록 설정하는 프로세스를 완료합니다.

    다중 사용자 권한 부여를 사용하지 않도록 설정하는 방법을 보여주는 스크린샷

다음 단계

리소스 가드를 사용한 다중 사용자 권한 부여에 대해 자세히 알아보세요.