Autorisatie voor meerdere gebruikers configureren met Resource Guard in Azure Backup

In dit artikel wordt beschreven hoe u MUA (Multi-User Authorization) voor Azure Backup configureert om een extra beveiligingslaag toe te voegen aan kritieke bewerkingen in uw Recovery Services-kluizen.

In dit artikel ziet u hoe Resource Guard wordt gemaakt in een andere tenant die maximale beveiliging biedt. Ook wordt gedemonstreerd hoe u aanvragen aanvraagt en goedkeurt voor het uitvoeren van kritieke bewerkingen met Behulp van Microsoft Entra Privileged Identity Management in de tenant die de Resource Guard bevat. U kunt eventueel andere mechanismen gebruiken om JIT-machtigingen voor de Resource Guard te beheren op basis van uw installatie.

Notitie

• Autorisatie voor meerdere gebruikers voor Azure Backup is beschikbaar in alle openbare Azure-regio's.
• Autorisatie voor meerdere gebruikers met Resource Guard voor Backup-kluis is nu algemeen beschikbaar. Meer informatie.

Voordat u begint

• Zorg ervoor dat de Resource Guard en de Recovery Services-kluis zich in dezelfde Azure-regio bevinden.
• Zorg ervoor dat de back-upbeheerder geen inzendermachtigingen heeft voor Resource Guard. U kunt ervoor kiezen om Resource Guard in een ander abonnement van dezelfde directory of in een andere map te hebben om maximale isolatie te garanderen.
• Zorg ervoor dat uw abonnementen met de Recovery Services-kluis en de Resource Guard (in verschillende abonnementen of tenants) zijn geregistreerd voor het gebruik van de providers - Microsoft.RecoveryServices en Microsoft.DataProtection . Zie Azure-resourceproviders en -typen voor meer informatie.

Meer informatie over verschillende MUA-gebruiksscenario's.

Een Resource Guard maken

De beveiligingsbeheerder maakt de Resource Guard. U wordt aangeraden het te maken in een ander abonnement of een andere tenant als de kluis. Deze moet zich echter in dezelfde regio bevinden als de kluis. De back-upbeheerder mag geen inzendertoegang hebben voor Resource Guard of het abonnement dat deze bevat.

Een client kiezen

Azure-portal

Voer de volgende stappen uit om de Resource Guard in een andere tenant te maken dan de kluistenant:

1. Ga in Azure Portal naar de map waaronder u Resource Guard wilt maken.

   

2. Zoek naar Resource Guards in de zoekbalk en selecteer vervolgens het bijbehorende item in de vervolgkeuzelijst.

   

   • Selecteer Maken om een Resource Guard te maken.
   • Vul in de blade Maken de vereiste gegevens voor deze Resource Guard in.
     • Zorg ervoor dat Resource Guard zich in dezelfde Azure-regio's bevindt als de Recovery Services-kluis.
     • Het is ook handig om een beschrijving toe te voegen van het verkrijgen of aanvragen van toegang om acties uit te voeren op gekoppelde kluizen wanneer dat nodig is. Deze beschrijving wordt ook weergegeven in de bijbehorende kluizen om de back-upbeheerder te begeleiden bij het verkrijgen van de vereiste machtigingen. U kunt de beschrijving desgewenst later bewerken, maar u wordt aangeraden altijd een goed gedefinieerde beschrijving te hebben.

3. Selecteer op het tabblad Beveiligde bewerkingen de bewerkingen die u wilt beveiligen met behulp van deze resourcebeveiliging.

   U kunt ook de bewerkingen voor beveiliging selecteren nadat u de resourcebeveiliging hebt gemaakt.

4. Voeg eventueel tags toe aan Resource Guard op basis van de vereisten

5. Selecteer Controleren en meldingen maken en volgen voor status en geslaagde creatie van Resource Guard.

PowerShell

Voer de volgende cmdlet uit om een Resource Guard te maken:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

Voer de volgende opdracht uit om een Resource Guard te maken:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Bewerkingen selecteren om te beveiligen met Resource Guard

Kies de bewerkingen die u wilt beveiligen met behulp van Resource Guard uit alle ondersteunde kritieke bewerkingen. Standaard zijn alle ondersteunde kritieke bewerkingen ingeschakeld. U (als beveiligingsbeheerder) kunt echter bepaalde bewerkingen uitsluiten van het gebruik van Resource Guard onder de bevoegdheid van MUA.

Een client kiezen

Azure-portal

Als u bewerkingen wilt uitsluiten, voert u de volgende stappen uit:

1. Ga in de hierboven gemaakte Resource Guard naar het tabblad Properties>Recovery Services-kluis.

2. Selecteer Uitschakelen voor bewerkingen die u wilt uitsluiten van toestemming met behulp van Resource Guard.

   Notitie

   U kunt de beveiligde bewerkingen niet uitschakelen: voorlopig verwijderen uitschakelen en MUA-beveiliging verwijderen.

3. U kunt eventueel ook de beschrijving voor Resource Guard bijwerken met behulp van deze blade.

4. Selecteer Opslaan.

   

PowerShell

De bewerkingen bijwerken. Voer de volgende cmdlets uit om bewerkingen uit te sluiten tegen beveiliging door de resource guard:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• Met de eerste opdracht wordt de resourcebeveiliging opgehaald die moet worden bijgewerkt.
• Met de tweede en derde opdrachten worden de kritieke bewerkingen opgehaald die u wilt bijwerken.
• Met de vierde opdracht worden enkele kritieke bewerkingen uitgesloten van de resourcebeveiliging.

CLI

Voer de volgende opdrachten uit om de bewerkingen bij te werken die moeten worden uitgesloten van beveiliging door de resourcebeveiliging:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Voorbeeld:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Machtigingen toewijzen aan de back-upbeheerder op de Resource Guard om MUA in te schakelen

Als u MUA wilt inschakelen voor een kluis, moet de beheerder van de kluis de rol Lezer hebben voor de Resource Guard of het abonnement dat de Resource Guard bevat. De rol Lezer toewijzen aan Resource Guard:

1. Ga in de hierboven gemaakte Resource Guard naar de blade Toegangsbeheer (IAM) en ga vervolgens naar Roltoewijzing toevoegen.

   

2. Selecteer Lezer in de lijst met ingebouwde rollen en selecteer Volgende.

   

3. Klik op Leden selecteren en voeg de e-mail-id van de back-upbeheerder toe om deze toe te voegen als lezer. Omdat de back-upbeheerder zich in dit geval in een andere tenant bevindt, worden ze als gast toegevoegd aan de tenant die de Resource Guard bevat.

4. Klik op Selecteren en ga vervolgens verder met Beoordelen en toewijzen om de roltoewijzing te voltooien.

   

MUA inschakelen in een Recovery Services-kluis

Nadat de roltoewijzing Lezer voor Resource Guard is voltooid, schakelt u autorisatie voor meerdere gebruikers in voor kluizen (als back-upbeheerder) die u beheert.

Een client kiezen

Azure-portal

Volg deze stappen om MUA in te schakelen voor de kluizen.

1. Ga naar de Recovery Services-kluis. Ga naar Eigenschappen in het linkernavigatievenster en vervolgens naar Autorisatie voor meerdere gebruikers en selecteer Bijwerken.

   

2. U krijgt nu de mogelijkheid om MUA in te schakelen en een Resource Guard te kiezen op een van de volgende manieren:

   • U kunt de URI van de Resource Guard opgeven, ervoor zorgen dat u de URI opgeeft van een Resource Guard waartoe u lezer toegang hebt en dat dezelfde regio's zijn als de kluis. U vindt de URI (Resource Guard ID) van De Resource Guard in het overzichtsscherm :

     

   • U kunt ook de Resource Guard selecteren in de lijst met Resource Guards waarvoor u lezertoegang hebt en de bronnen die beschikbaar zijn in de regio.

     1. Klik op Resource Guard selecteren
     2. Selecteer de vervolgkeuzelijst en kies vervolgens de map waarin Resource Guard zich bevindt.
     3. Selecteer Verifiëren om uw identiteit en toegang te valideren.
     4. Kies na verificatie de Resource Guard in de lijst die wordt weergegeven.

     

3. Selecteer Opslaan eenmaal gedaan om MUA in te schakelen.

   

PowerShell

Voer de volgende cmdlet uit om MUA in te schakelen voor een Recovery Services-kluis:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• Met de eerste opdracht wordt het toegangstoken opgehaald voor de resource guard-tenant waar de resource guard aanwezig is.
• Met de tweede opdracht maakt u een toewijzing tussen de RSVault-$vault en Resource Guard.

Notitie

De tokenparameter is optioneel en is alleen nodig om bewerkingen met meerdere tenants te verifiëren.

CLI

Voer de volgende opdracht uit om MUA in te schakelen voor een Recovery Services-kluis:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

De tenant-id is vereist als de resourcebeveiliging bestaat in een andere tenant.

Voorbeeld:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

Beveiligde bewerkingen met MUA

Zodra u MUA hebt ingeschakeld, worden de bewerkingen binnen het bereik beperkt voor de kluis, als de back-upbeheerder deze probeert uit te voeren zonder dat de vereiste rol (dat wil gezegd de rol Inzender) hebben voor de Resource Guard.

Notitie

We raden u ten zeerste aan om uw installatie te testen nadat u MUA hebt ingeschakeld om ervoor te zorgen dat beveiligde bewerkingen zoals verwacht worden geblokkeerd en om ervoor te zorgen dat MUA correct is geconfigureerd.

Hieronder ziet u een afbeelding van wat er gebeurt wanneer de back-upbeheerder probeert een dergelijke beveiligde bewerking uit te voeren (het uitschakelen van voorlopig verwijderen wordt hier bijvoorbeeld weergegeven. Andere beveiligde bewerkingen hebben een vergelijkbare ervaring). De volgende stappen worden uitgevoerd door een back-upbeheerder zonder vereiste machtigingen.

1. Als u voorlopig verwijderen wilt uitschakelen, gaat u naar de Security-Instellingen van de Recovery Services-kluis >>en selecteert u Bijwerken. Hiermee wordt de beveiligings-Instellingen weergegeven.

2. Schakel voorlopig verwijderen uit met behulp van de schuifregelaar. U wordt geïnformeerd dat dit een beveiligde bewerking is en u moet de toegang tot de Resource Guard controleren.

3. Selecteer de map met de Resource Guard en verifieer uzelf. Deze stap is mogelijk niet vereist als Resource Guard zich in dezelfde map bevindt als de kluis.

4. Ga verder met het selecteren van Opslaan. De aanvraag mislukt met een fout die hen informeert over onvoldoende machtigingen voor de Resource Guard om deze bewerking uit te voeren.

   

Kritieke (beveiligde) bewerkingen autoriseren met Microsoft Entra Privileged Identity Management

In de volgende secties wordt besproken hoe u deze aanvragen autoriseert met BEHULP van PIM. Er zijn gevallen waarin u mogelijk kritieke bewerkingen moet uitvoeren op uw back-ups en MUA u kan helpen ervoor te zorgen dat deze alleen worden uitgevoerd wanneer de juiste goedkeuringen of machtigingen bestaan. Zoals eerder is besproken, moet de back-upbeheerder de rol Inzender hebben voor De Resource Guard om kritieke bewerkingen uit te voeren die zich in het Resource Guard-bereik bevinden. Een van de manieren om Just-In-Time voor dergelijke bewerkingen toe te staan, is door gebruik te maken van Microsoft Entra Privileged Identity Management.

Notitie

Hoewel het gebruik van Microsoft Entra PIM de aanbevolen methode is, kunt u handmatige of aangepaste methoden gebruiken om toegang te beheren voor de back-upbeheerder in Resource Guard. Als u de toegang tot Resource Guard handmatig wilt beheren, gebruikt u de instelling 'Toegangsbeheer (IAM)' in de linkernavigatiebalk van Resource Guard en verleent u de rol Inzender aan de back-upbeheerder.

Maak een in aanmerking komende toewijzing voor de back-upbeheerder (als u Microsoft Entra Privileged Identity Management gebruikt)

De beveiligingsbeheerder kan PIM gebruiken om een in aanmerking komende toewijzing te maken voor de back-upbeheerder als inzender voor de Resource Guard. Hierdoor kan de back-upbeheerder een aanvraag indienen (voor de rol Inzender) wanneer ze een beveiligde bewerking moeten uitvoeren. Hiervoor voert de beveiligingsbeheerder het volgende uit:

1. Ga in de beveiligingstenant (die de Resource Guard bevat) naar Privileged Identity Management (zoek dit in de zoekbalk in Azure Portal) en ga vervolgens naar Azure-resources (onder Beheren in het linkermenu).

2. Selecteer de resource (de Resource Guard of het met abonnement/RG) waaraan u de rol Inzender wilt toewijzen.

   Als u de bijbehorende resource niet in de lijst met resources ziet, moet u ervoor zorgen dat u het betreffende abonnement toevoegt dat door PIM moet worden beheerd.

3. Ga in de geselecteerde resource naar Toewijzingen (onder Beheren in het linkermenu) en ga naar Toewijzingen toevoegen.

   

4. In de toewijzingen toevoegen:

   1. Selecteer de rol als Inzender.
   2. Ga naar Leden selecteren en voeg de gebruikersnaam (of e-mail-id's) van de back-upbeheerder toe.
   3. Selecteer Volgende.

   

5. In het volgende scherm:

   1. Kies In aanmerking komend onder toewijzingstype.
   2. Geef de duur op waarvoor de in aanmerking komende machtiging geldig is.
   3. Selecteer Toewijzen om het maken van de in aanmerking komende toewijzing te voltooien.

   

Goedkeurders instellen voor het activeren van de rol Inzender

Standaard is voor de bovenstaande installatie mogelijk geen fiatteur (en een goedkeuringsstroomvereiste) geconfigureerd in PIM. Om ervoor te zorgen dat goedkeurders zijn vereist voor het toestaan van alleen geautoriseerde aanvragen om door te gaan, moet de beveiligingsbeheerder de volgende stappen uitvoeren.

Notitie

Als dit niet is geconfigureerd, worden aanvragen automatisch goedgekeurd zonder de beveiligingsbeheerders of de beoordeling van een aangewezen fiatteur te doorlopen. Meer informatie hierover vindt u hier

1. Selecteer In Microsoft Entra PIM Azure-resources op de linkernavigatiebalk en selecteer uw Resource Guard.

2. Ga naar Instellingen en ga vervolgens naar de rol Inzender.

   

3. Als de instelling Goedkeurders geen of onjuiste goedkeurders weergeeft, selecteert u Bewerken om de revisoren toe te voegen die de activeringsaanvraag voor de rol Inzender moeten controleren en goedkeuren.

4. Selecteer op het tabblad Activering goedkeuring vereisen om de fiatteur(s) te activeren en toe te voegen die elke aanvraag moeten goedkeuren. U kunt ook andere beveiligingsopties selecteren, zoals het gebruik van MFA en het verplichten van ticketopties om de rol Inzender te activeren. Selecteer desgewenst relevante instellingen op de tabbladen Toewijzing en Melding op basis van uw vereisten.

   

5. Selecteer Bijwerken eenmaal voltooid.

Activering van een in aanmerking komende toewijzing aanvragen om kritieke bewerkingen uit te voeren

Nadat de beveiligingsbeheerder een in aanmerking komende toewijzing heeft gemaakt, moet de back-upbeheerder de toewijzing activeren voor de rol Inzender om beveiligde acties uit te voeren. De volgende acties worden uitgevoerd door de back-upbeheerder om de roltoewijzing te activeren.

1. Ga naar Microsoft Entra Privileged Identity Management. Als Resource Guard zich in een andere map bevindt, schakelt u over naar die map en gaat u vervolgens naar Microsoft Entra Privileged Identity Management.

2. Ga naar Mijn rollen>Azure-resources in het linkermenu.

3. De back-upbeheerder kan een in aanmerking komende toewijzing voor de rol inzender zien. Selecteer Activeren om deze te activeren.

4. De back-upbeheerder wordt geïnformeerd via de portalmelding dat de aanvraag ter goedkeuring wordt verzonden.

   

Activering van aanvragen goedkeuren om kritieke bewerkingen uit te voeren

Zodra de back-upbeheerder een aanvraag indient voor het activeren van de rol Inzender, moet de aanvraag worden gecontroleerd en goedgekeurd door de beveiligingsbeheerder.

1. Ga in de beveiligingstenant naar Microsoft Entra Privileged Identity Management.
2. Ga naar Aanvragen goedkeuren.
3. Onder Azure-resources kan de aanvraag die wordt ingediend door de back-upbeheerder die activering aanvraagt als inzender, worden weergegeven.
4. Controleer de aanvraag. Als dit echt is, selecteert u de aanvraag en selecteert u Goedkeuren om deze goed te keuren.
5. De back-upbeheerder wordt geïnformeerd via e-mail (of andere mechanismen voor waarschuwingen van organisaties) dat hun aanvraag nu wordt goedgekeurd.
6. Zodra deze is goedgekeurd, kan de back-upbeheerder beveiligde bewerkingen uitvoeren voor de aangevraagde periode.

Een beveiligde bewerking uitvoeren na goedkeuring

Zodra de aanvraag van de back-upbeheerder voor de rol Inzender voor Resource Guard is goedgekeurd, kunnen ze beveiligde bewerkingen uitvoeren op de gekoppelde kluis. Als de Resource Guard zich in een andere map bevindt, moet de back-upbeheerder zichzelf verifiëren.

Notitie

Als de toegang is toegewezen met behulp van een JIT-mechanisme, wordt de rol Inzender aan het einde van de goedgekeurde periode ingetrokken. Anders verwijdert de beveiligingsbeheerder handmatig de rol Inzender die is toegewezen aan de back-upbeheerder om de kritieke bewerking uit te voeren.

In de volgende schermopname ziet u een voorbeeld van het uitschakelen van voorlopig verwijderen voor een kluis met MUA-functionaliteit.

MUA uitschakelen in een Recovery Services-kluis

Het uitschakelen van MUA is een beveiligde bewerking, dus kluizen worden beveiligd met MUA. Als u (de back-upbeheerder) MUA wilt uitschakelen, moet u de vereiste rol Inzender hebben in Resource Guard.

Een client kiezen

Azure-portal

Volg deze stappen om MUA uit te schakelen voor een kluis:

1. De back-upbeheerder vraagt de beveiligingsbeheerder voor de rol Inzender op resourcebeveiliging aan. Ze kunnen dit aanvragen om de methoden te gebruiken die zijn goedgekeurd door de organisatie, zoals JIT-procedures, zoals Microsoft Entra Privileged Identity Management, of andere interne hulpprogramma's en procedures.

2. De beveiligingsbeheerder keurt de aanvraag goed (als deze waardig is om goedgekeurd te worden) en informeert de back-upbeheerder. Nu heeft de back-upbeheerder de rol Inzender voor Resource Guard.

3. De back-upbeheerder gaat naar de kluiseigenschappen >>voor autorisatie van meerdere gebruikers.

4. Selecteer Bijwerken.

   1. Schakel het selectievakje Beveiligen met Resource Guard uit.
   2. Kies de map die de Resource Guard bevat en controleer de toegang met behulp van de knop Verifiëren (indien van toepassing).
   3. Selecteer Opslaan na verificatie. Met de juiste toegang moet de aanvraag zijn voltooid.

   

PowerShell

Gebruik de volgende cmdlet om MUA uit te schakelen voor een Recovery Services-kluis:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• Met de eerste opdracht wordt het toegangstoken opgehaald voor de resource guard-tenant, waar de resourcebeveiliging aanwezig is.
• Met de tweede opdracht wordt de toewijzing tussen de Recovery Services-kluis en de resourcebeveiliging verwijderd.

Notitie

De tokenparameter is optioneel en is alleen nodig om de bewerkingen met meerdere tenants te verifiëren.

CLI

Als u MUA wilt uitschakelen in een Recovery Services-kluis, voert u de volgende opdracht uit:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

De tenant-id is vereist als de resourcebeveiliging bestaat in een andere tenant.

Voorbeeld:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

In dit artikel wordt beschreven hoe u MUA (Multi-User Authorization) voor Azure Backup configureert om een extra beveiligingslaag toe te voegen aan kritieke bewerkingen in uw Backup-kluis.

In dit artikel ziet u hoe Resource Guard wordt gemaakt in een andere tenant die maximale beveiliging biedt. Ook wordt gedemonstreerd hoe u aanvragen aanvraagt en goedkeurt voor het uitvoeren van kritieke bewerkingen met Behulp van Microsoft Entra Privileged Identity Management in de tenant die de Resource Guard bevat. U kunt eventueel andere mechanismen gebruiken om JIT-machtigingen voor de Resource Guard te beheren op basis van uw installatie.

Notitie

• Autorisatie voor meerdere gebruikers met Resource Guard voor Backup-kluis is nu algemeen beschikbaar.
• Autorisatie voor meerdere gebruikers voor Azure Backup is beschikbaar in alle openbare Azure-regio's.

Voordat u begint

• Zorg ervoor dat de Resource Guard en de Backup-kluis zich in dezelfde Azure-regio bevinden.
• Zorg ervoor dat de back-upbeheerder geen inzendermachtigingen heeft voor Resource Guard. U kunt ervoor kiezen om Resource Guard in een ander abonnement van dezelfde directory of in een andere map te hebben om maximale isolatie te garanderen.
• Zorg ervoor dat uw abonnementen de Backup-kluis en de Resource Guard (in verschillende abonnementen of tenants) bevatten om de provider Microsoft.DataProtection 4 te gebruiken. Zie Azure-resourceproviders en -typen voor meer informatie.

Meer informatie over verschillende MUA-gebruiksscenario's.

Een Resource Guard maken

De beveiligingsbeheerder maakt de Resource Guard. U wordt aangeraden het te maken in een ander abonnement of een andere tenant als de kluis. Deze moet zich echter in dezelfde regio bevinden als de kluis.

De back-upbeheerder mag geen inzendertoegang hebben voor Resource Guard of het abonnement dat deze bevat.

Als u de Resource Guard in een andere tenant wilt maken dan de kluistenant als beveiligingsbeheerder, voert u de volgende stappen uit:

1. Ga in Azure Portal naar de map waaronder u Resource Guard wilt maken.

   

2. Zoek naar Resource Guards in de zoekbalk en selecteer vervolgens het bijbehorende item in de vervolgkeuzelijst.

   

   1. Selecteer Maken om een Resource Guard te maken.
   2. Vul in de blade Maken de vereiste gegevens voor deze Resource Guard in.
      • Zorg ervoor dat Resource Guard zich in dezelfde Azure-regio bevindt als de Backup-kluis.
      • Voeg een beschrijving toe over het aanvragen van toegang tot het uitvoeren van acties op gekoppelde kluizen wanneer dat nodig is. Deze beschrijving wordt weergegeven in de gekoppelde kluizen om de back-upbeheerder te begeleiden bij het verkrijgen van de vereiste machtigingen.

3. Selecteer op het tabblad Beveiligde bewerkingen de bewerkingen die u wilt beveiligen met behulp van deze resourcebeveiliging op het tabblad Back-upkluis .

   Op dit moment bevat het tabblad Beveiligde bewerkingen alleen de optie Back-upexemplaren verwijderen om uit te schakelen.

   U kunt ook de bewerkingen voor beveiliging selecteren nadat u de resourcebeveiliging hebt gemaakt.

   

4. Voeg eventueel tags toe aan Resource Guard volgens de vereisten.

5. Selecteer Controleren en maken en volg vervolgens de meldingen om de status en het maken van de Resource Guard te controleren.

Bewerkingen selecteren om te beveiligen met Resource Guard

Nadat de kluis is gemaakt, kan de beveiligingsbeheerder ook de bewerkingen voor beveiliging kiezen met behulp van De Resource Guard voor alle ondersteunde kritieke bewerkingen. Standaard zijn alle ondersteunde kritieke bewerkingen ingeschakeld. De beveiligingsbeheerder kan echter bepaalde bewerkingen uitsluiten van het onder de bevoegdheid van MUA vallen met behulp van Resource Guard.

Voer de volgende stappen uit om de bewerkingen voor beveiliging te selecteren:

1. Ga in de Resource Guard die u hebt gemaakt naar het tabblad Eigenschappen>back-upkluis .

2. Selecteer Uitschakelen voor de bewerkingen die u wilt uitsluiten van toestemming.

   U kunt de mua-beveiliging verwijderen niet uitschakelen en voorlopig verwijderen uitschakelen.

3. Werk desgewenst op het tabblad Back-upkluizen de beschrijving voor Resource Guard bij.

4. Selecteer Opslaan.

   

Machtigingen toewijzen aan de back-upbeheerder op de Resource Guard om MUA in te schakelen

De back-upbeheerder moet de rol Lezer hebben voor de Resource Guard of het abonnement dat de Resource Guard bevat om MUA in te schakelen voor een kluis. De beveiligingsbeheerder moet deze rol toewijzen aan de back-upbeheerder.

Voer de volgende stappen uit om de rol Lezer toe te wijzen aan Resource Guard:

1. Ga in de hierboven gemaakte Resource Guard naar de blade Toegangsbeheer (IAM) en ga vervolgens naar Roltoewijzing toevoegen.

   

2. Selecteer Lezer in de lijst met ingebouwde rollen en selecteer Volgende.

   

3. Klik op Leden selecteren en voeg de e-mail-id van de back-upbeheerder toe om de rol Lezer toe te wijzen.

   Als de back-upbeheerders zich in een andere tenant bevinden, worden ze toegevoegd als gasten aan de tenant die de Resource Guard bevat.

4. Klik op Controleren>+ toewijzen om de roltoewijzing te voltooien.

   

MUA inschakelen op een Back-upkluis

Zodra de back-upbeheerder de rol Lezer voor Resource Guard heeft, kunnen ze autorisatie voor meerdere gebruikers inschakelen voor kluizen die worden beheerd door de volgende stappen uit te voeren:

1. Ga naar de Backup-kluis waarvoor u MUA wilt configureren.

2. Selecteer Eigenschappen in het linkerdeelvenster.

3. Ga naar Autorisatie voor meerdere gebruikers en selecteer Bijwerken.

   

4. Als u MUA wilt inschakelen en een Resource Guard wilt kiezen, voert u een van de volgende acties uit:

   • U kunt de URI van de Resource Guard opgeven. Zorg ervoor dat u de URI opgeeft van een Resource Guard waartoe u lezer toegang hebt en zich in dezelfde regio bevindt als de kluis. U vindt de URI (Resource Guard ID) van de Resource Guard op de overzichtspagina .

     

   • U kunt ook de Resource Guard selecteren in de lijst met Resource Guards waarvoor u lezertoegang hebt en de bronnen die beschikbaar zijn in de regio.

     1. Klik op Resource Guard selecteren.
     2. Selecteer de vervolgkeuzelijst en selecteer de map waarin Resource Guard zich bevindt.
     3. Selecteer Verifiëren om uw identiteit en toegang te valideren.
     4. Kies na verificatie de Resource Guard in de lijst die wordt weergegeven.

     

5. Selecteer Opslaan om MUA in te schakelen.

   

Beveiligde bewerkingen met MUA

Zodra de back-upbeheerder MUA inschakelt, worden de bewerkingen binnen het bereik beperkt voor de kluis en mislukken de bewerkingen als de back-upbeheerder deze probeert uit te voeren zonder de rol Inzender in de Resource Guard te hebben.

Notitie

We raden u ten zeerste aan om uw installatie te testen nadat u MUA hebt ingeschakeld om ervoor te zorgen dat:

• Beveiligde bewerkingen worden geblokkeerd zoals verwacht.
• MUA is correct geconfigureerd.

Voer de volgende stappen uit om een beveiligde bewerking uit te voeren (MUA uitschakelen):

1. Ga naar de kluiseigenschappen > in het linkerdeelvenster.

2. Schakel het selectievakje uit om MUA uit te schakelen.

   U ontvangt een melding dat het een beveiligde bewerking is en u moet toegang hebben tot de Resource Guard.

3. Selecteer de map met de Resource Guard en verifieer uzelf.

   Deze stap is mogelijk niet vereist als Resource Guard zich in dezelfde map bevindt als de kluis.

4. Selecteer Opslaan.

   De aanvraag mislukt met een fout dat u niet over voldoende machtigingen beschikt voor Resource Guard om deze bewerking uit te voeren.

   

Kritieke (beveiligde) bewerkingen autoriseren met Microsoft Entra Privileged Identity Management

Er zijn scenario's waarin u mogelijk kritieke bewerkingen op uw back-ups moet uitvoeren en u deze kunt uitvoeren met de juiste goedkeuringen of machtigingen met MUA. In de volgende secties wordt uitgelegd hoe u aanvragen voor kritieke bewerkingen kunt autoriseren met behulp van Privileged Identity Management (PIM).

De back-upbeheerder moet de rol Inzender hebben voor Resource Guard om kritieke bewerkingen uit te voeren in het bereik Resource Guard. Een van de manieren om Just-In-Time-bewerkingen (JIT) toe te staan, is door gebruik te maken van Microsoft Entra Privileged Identity Management.

Notitie

U wordt aangeraden microsoft Entra PIM te gebruiken. U kunt echter ook handmatige of aangepaste methoden gebruiken om de toegang te beheren voor de back-upbeheerder in Resource Guard. Als u de toegang tot Resource Guard handmatig wilt beheren, gebruikt u de instelling Voor toegangsbeheer (IAM) in het linkerdeelvenster van Resource Guard en verleent u de rol Inzender aan de back-upbeheerder.

Een in aanmerking komende toewijzing maken voor de back-upbeheerder met Behulp van Microsoft Entra Privileged Identity Management

De beveiligingsbeheerder kan PIM gebruiken om een in aanmerking komende toewijzing te maken voor de back-upbeheerder als inzender voor de Resource Guard. Hierdoor kan de back-upbeheerder een aanvraag indienen (voor de rol Inzender) wanneer ze een beveiligde bewerking moeten uitvoeren.

Volg de stappen om een in aanmerking komende toewijzing te maken:

1. Meld u aan bij de Azure-portal.

2. Ga naar de beveiligingstenant van Resource Guard en voer in de zoekopdracht Privileged Identity Management in.

3. Selecteer Beheren in het linkerdeelvenster Beheren en ga naar Azure-resources.

4. Selecteer de resource (de Resource Guard of het met abonnement/RG) waaraan u de rol Inzender wilt toewijzen.

   Als u geen bijbehorende resources vindt, voegt u het bijbehorende abonnement toe dat wordt beheerd door PIM.

5. Selecteer de resource en ga naar Toewijzingen beheren>En toewijzingen> toevoegen.

   

6. In de toewijzingen toevoegen:

   1. Selecteer de rol als Inzender.
   2. Ga naar Leden selecteren en voeg de gebruikersnaam (of e-mail-id's) van de back-upbeheerder toe.
   3. Selecteer Volgende.

   

7. Selecteer in Toewijzing In aanmerking komen en geef de geldigheid op van de duur van de in aanmerking komende machtiging.

8. Selecteer Toewijzen om het maken van de in aanmerking komende toewijzing te voltooien.

   

Goedkeurders instellen voor het activeren van de rol Inzender

Standaard is voor de bovenstaande installatie mogelijk geen fiatteur (en een goedkeuringsstroomvereiste) geconfigureerd in PIM. Om ervoor te zorgen dat goedkeurders de rol Inzender hebben voor goedkeuring van aanvragen, moet de beveiligingsbeheerder de volgende stappen uitvoeren:

Notitie

Als de instelling van de fiatteur niet is geconfigureerd, worden de aanvragen automatisch goedgekeurd zonder de beveiligingsbeheerders of de beoordeling van een aangewezen fiatteur te doorlopen. Meer informatie.

1. Selecteer In Microsoft Entra PIM Azure-resources in het linkerdeelvenster en selecteer uw Resource Guard.

2. Ga naar de rol Instellingen> Contributor.

   

3. Selecteer Bewerken om de revisoren toe te voegen die de activeringsaanvraag voor de rol Inzender moeten controleren en goedkeuren voor het geval u merkt dat goedkeurders geen weergeven of onjuiste fiatteur(s) weergeven.

4. Selecteer op het tabblad Activering goedkeuring vereisen om te activeren om de fiatteur(s) toe te voegen die elke aanvraag moeten goedkeuren.

5. Selecteer beveiligingsopties, zoals Multi-Factor Authentication (MFA), een mandating-ticket om de rol Inzender te activeren.

6. Selecteer de juiste opties op de tabbladen Toewijzing en Melding op basis van uw behoeften.

   

7. Selecteer Bijwerken om de installatie van goedkeurders te voltooien om de rol Inzender te activeren.

Activering van een in aanmerking komende toewijzing aanvragen om kritieke bewerkingen uit te voeren

Nadat de beveiligingsbeheerder een in aanmerking komende toewijzing heeft gemaakt, moet de back-upbeheerder de roltoewijzing voor de rol Inzender activeren om beveiligde acties uit te voeren.

Volg de stappen om de roltoewijzing te activeren:

1. Ga naar Microsoft Entra Privileged Identity Management. Als Resource Guard zich in een andere map bevindt, schakelt u over naar die map en gaat u vervolgens naar Microsoft Entra Privileged Identity Management.

2. Ga naar Mijn rollen>Azure-resources in het linkerdeelvenster.

3. Selecteer Activeren om de in aanmerking komende toewijzing voor de rol Inzender te activeren.

   Er wordt een melding weergegeven met de melding dat de aanvraag wordt verzonden voor goedkeuring.

   

Activeringsaanvragen goedkeuren om kritieke bewerkingen uit te voeren

Zodra de back-upbeheerder een aanvraag voor het activeren van de rol Inzender heeft ingediend, moet de beveiligingsbeheerder de aanvraag controleren en goedkeuren.

Voer de volgende stappen uit om de aanvraag te controleren en goed te keuren:

1. Ga in de beveiligingstenant naar Microsoft Entra Privileged Identity Management.

2. Ga naar Aanvragen goedkeuren.

3. Onder Azure-resources ziet u de aanvraag die wacht op goedkeuring.

   Selecteer Goedkeuren om de legitieme aanvraag te controleren en goed te keuren.

Nadat de goedkeuring is goedgekeurd, ontvangt de back-upbeheerder een melding via e-mail of andere interne waarschuwingsopties. Nu kan de back-upbeheerder de beveiligde bewerkingen uitvoeren voor de aangevraagde periode.

Een beveiligde bewerking uitvoeren na goedkeuring

Zodra de beveiligingsbeheerder de aanvraag van de back-upbeheerder voor de rol Inzender voor Resource Guard goedkeurt, kunnen ze beveiligde bewerkingen uitvoeren op de gekoppelde kluis. Als de Resource Guard zich in een andere map bevindt, moet de back-upbeheerder zichzelf verifiëren.

Notitie

Als de toegang is toegewezen met behulp van een JIT-mechanisme, wordt de rol Inzender aan het einde van de goedgekeurde periode ingetrokken. Anders verwijdert de beveiligingsbeheerder handmatig de rol Inzender die is toegewezen aan de back-upbeheerder om de kritieke bewerking uit te voeren.

In de volgende schermopname ziet u een voorbeeld van het uitschakelen van voorlopig verwijderen voor een kluis met MUA-functionaliteit.

MUA uitschakelen in een Back-upkluis

Het uitschakelen van de MUA is een beveiligde bewerking die alleen door de back-upbeheerder moet worden uitgevoerd. Hiervoor moet de back-upbeheerder de vereiste rol Inzender hebben in Resource Guard. Om deze machtiging te verkrijgen, moet de back-upbeheerder eerst de beveiligingsbeheerder vragen voor de rol Inzender voor Resource Guard met behulp van de JIT-procedure (Just-In-Time), zoals Microsoft Entra Privileged Identity Management of interne hulpprogramma's.

Vervolgens keurt de beveiligingsbeheerder de aanvraag goed als deze echt is en werkt de back-upbeheerder bij die nu de rol Inzender heeft voor de Resource Guard. Meer informatie over het verkrijgen van deze rol.

Als u de MUA wilt uitschakelen, moeten de back-upbeheerders de volgende stappen uitvoeren:

1. Ga naar kluiseigenschappen >>autorisatie voor meerdere gebruikers.

2. Schakel het selectievakje Beveiligen met Resource Guard in en schakel het selectievakje Bijwerken uit.

3. Selecteer Verifiëren (indien van toepassing) om de map te kiezen die de Resource Guard bevat en controleer de toegang.

4. Selecteer Opslaan om het proces van het uitschakelen van de MUA te voltooien.

   

Volgende stappen

Meer informatie over multigebruikersautorisatie met Resource Guard.