Zelfstudie: Een Resource Guard maken en autorisatie voor meerdere gebruikers inschakelen in Azure Backup

In deze zelfstudie wordt beschreven hoe u een Resource Guard maakt en MUA (Multi-User Authorization) inschakelt voor een Recovery Services-kluis en Backup-kluis. Hiermee voegt u een extra beveiligingslaag toe aan kritieke bewerkingen in uw kluizen.

Opmerking

• Autorisatie voor meerdere gebruikers is nu algemeen beschikbaar voor zowel Recovery Services-kluizen als Backup-kluizen.
• Autorisatie voor meerdere gebruikers voor Azure Backup is beschikbaar in alle openbare Azure-regio's.

Meer informatie over MUA-concepten.

Vereiste voorwaarden

Voordat u begint:

Een kluis kiezen

Recovery Services-vault

• Zorg ervoor dat de Resource Guard en de Recovery Services-kluis zich in dezelfde Azure-regio bevinden.
• Zorg ervoor dat de back-upbeheerder geeninzendermachtigingen heeft voor Resource Guard. U kunt ervoor kiezen om Resource Guard in een ander abonnement van dezelfde directory of in een andere map te hebben om maximale isolatie te garanderen.
• Zorg ervoor dat uw abonnementen met de Recovery Services-kluis en de Resource Guard (in verschillende abonnementen of tenants) zijn geregistreerd om de Microsoft.RecoveryServices-provider te gebruiken. Zie Azure-resourceproviders en -typen voor meer informatie.

Backupkluis

• Zorg ervoor dat de Resource Guard en de Backup-kluis zich in dezelfde Azure-regio bevinden.
• Zorg ervoor dat de back-upbeheerder geeninzendermachtigingen heeft voor Resource Guard. U kunt ervoor kiezen om Resource Guard in een ander abonnement van dezelfde directory of in een andere map te hebben om maximale isolatie te garanderen.
• Zorg ervoor dat uw abonnementen de Backup-geheugenkluis en de Resource Guard (in verschillende abonnementen of tenants) geregistreerd zijn om gebruik te maken van de provider Microsoft.DataProtection 4. Zie Azure-resourceproviders en -typen voor meer informatie.

Meer informatie over verschillende MUA-gebruiksscenario's.

Een Resource Guard maken

De beveiligingsbeheerder maakt de Resource Guard. U wordt aangeraden het te maken in een ander abonnement of een andere tenant als de kluis. Deze moet zich echter in dezelfde regio bevinden als de kluis.

Opmerking

De back-upbeheerder mag geeninzendertoegang hebben voor Resource Guard of het abonnement dat deze bevat.

Een kluis kiezen

Recovery Services-vault

Als u de Resource Guard in een andere tenant wilt maken dan de kluistenant als beveiligingsbeheerder, voert u de volgende stappen uit:

1. Ga in Azure Portal naar de map waaronder u Resource Guard wilt maken.

2. Zoek naar Resource Guards in de zoekbalk en selecteer het bijbehorende item in de vervolgkeuzelijst.

   1. Selecteer Maken om een Resource Guard te maken.
   2. Vul in de blade Maken de vereiste gegevens voor deze Resource Guard in.
      • Zorg ervoor dat Resource Guard zich in dezelfde Azure-regio's bevindt als de Recovery Services-kluis.
      • Het is ook handig om een beschrijving toe te voegen van het verkrijgen of aanvragen van toegang om acties uit te voeren op gekoppelde kluizen wanneer dat nodig is. Deze beschrijving wordt ook weergegeven in de bijbehorende kluizen om de back-upbeheerder te begeleiden bij het verkrijgen van de vereiste machtigingen. U kunt de beschrijving desgewenst later bewerken, maar u wordt aangeraden altijd een goed gedefinieerde beschrijving te hebben.

3. Selecteer op het tabblad Beveiligde bewerkingen de bewerkingen die u wilt beschermen met deze resource guard.

   U kunt ook de bewerkingen selecteren die moeten worden beschermd nadat u de resource guard hebt gecreëerd.

4. Voeg eventueel tags toe aan Resource Guard op basis van de vereisten

5. Kies Controleren en maken en volg vervolgens meldingen voor de status en de succesvolle aanmaak van de Resource Guard.

Backupkluis

Als u de Resource Guard in een andere tenant wilt maken dan de kluistenant als beveiligingsbeheerder, voert u de volgende stappen uit:

1. Ga in Azure Portal naar de map waaronder u Resource Guard wilt maken.

2. Zoek naar Resource Guards in de zoekbalk en selecteer het bijbehorende item in de vervolgkeuzelijst.

   1. Selecteer Maken om een Resource Guard te maken.
   2. Vul in de blade Maken de vereiste gegevens voor deze Resource Guard in.
      • Zorg ervoor dat Resource Guard zich in dezelfde Azure-regio's bevindt als de Backup-kluis.
      • Voeg een beschrijving toe over het aanvragen van toegang tot het uitvoeren van acties op gekoppelde kluizen wanneer dat nodig is. Deze beschrijving wordt weergegeven in de gekoppelde kluizen om de back-upbeheerder te begeleiden bij het verkrijgen van de vereiste machtigingen.

3. Selecteer op het tabblad Beveiligde bewerkingen de bewerkingen die u wilt beveiligen met deze resourcebescherming. Ga daarna naar het tabblad Back-upkluis.

   Op dit moment bevat het tabblad Beveiligde bewerkingen alleen de optie Back-upexemplaar verwijderen om uit te schakelen.

   U kunt ook de bewerkingen voor beveiliging selecteren nadat u de resourceguard hebt gemaakt.

4. Voeg eventueel tags toe aan Resource Guard volgens de vereisten.

5. Selecteer Controleren en maken en volg vervolgens de meldingen om de status en een geslaagde creatie van de Resource Guard te controleren.

Bewerkingen selecteren om te beveiligen met Resource Guard

Nadat de kluis is gemaakt, kan de beveiligingsbeheerder ook de bewerkingen voor bescherming kiezen met behulp van de Resource Guard voor alle ondersteunde kritieke bewerkingen. Standaard zijn alle ondersteunde kritieke bewerkingen ingeschakeld. De beveiligingsbeheerder kan echter bepaalde bewerkingen uitsluiten van het onder de bevoegdheid van MUA vallen met behulp van Resource Guard.

Een kluis kiezen

Recovery Services-vault

Voer de volgende stappen uit om de bewerkingen voor beveiliging te selecteren:

1. Ga in de hierboven gemaakte Resource Guard naar het tabblad Eigenschappen>Recovery Services-kluis.

2. Selecteer Uitschakelen voor bewerkingen die u wilt uitsluiten van toestemming met behulp van Resource Guard.

   Opmerking

   De bewerkingen Voorlopig verwijderen uitschakelen en MUA-beveiliging verwijderen kunnen niet worden uitgeschakeld.

3. U kunt eventueel ook de beschrijving voor Resource Guard bijwerken met behulp van deze blade.

4. Selecteer Opslaan.

Backupkluis

Voer de volgende stappen uit om de bewerkingen voor beveiliging te selecteren:

1. Ga in de Resource Guard die u hebt gemaakt naar Properties>Backup vault.

2. Selecteer Uitschakelen voor de bewerkingen die u wilt uitsluiten van toestemming.

   U kunt de bewerkingen Verwijder MUA-bescherming en Voorlopig verwijderen uitschakelen niet deactiveren.

3. Werk desgewenst op het tabblad Back-upkluizen de beschrijving voor Resource Guard bij.

4. Selecteer Opslaan.

Machtigingen toewijzen aan de back-upbeheerder op de Resource Guard om MUA in te schakelen

De back-upbeheerder moet de rol Lezer hebben op de Resource Guard of het abonnement dat de Resource Guard bevat om MUA in te schakelen voor een kluis. De beveiligingsbeheerder moet deze rol toewijzen aan de back-upbeheerder.

Een kluis kiezen

Recovery Services-vault

Voer de volgende stappen uit om de rol Lezer toe te wijzen aan Resource Guard:

1. Ga in de hierboven gemaakte Resource Guard naar de blade Toegangsbeheer (IAM) en ga vervolgens naar Roltoewijzing toevoegen.
2. Selecteer Lezer in de lijst met ingebouwde rollen en selecteer Volgende.
3. Klik op Leden selecteren en voeg de e-mail-id van de back-upbeheerder toe om deze toe te voegen als lezer. Omdat de back-upbeheerder zich in dit geval in een andere tenant bevindt, worden ze als gast toegevoegd aan de tenant die de Resource Guard bevat.
4. Klik op Selecteren en ga vervolgens verder met Beoordelen en toewijzen om de roltoewijzing te voltooien.

Backupkluis

Voer de volgende stappen uit om de rol Lezer toe te wijzen aan Resource Guard:

1. Ga in de hierboven gemaakte Resource Guard naar de blade Toegangsbeheer (IAM) en ga vervolgens naar Roltoewijzing toevoegen.

2. Selecteer Lezer in de lijst met ingebouwde rollen en selecteer Volgende.

3. Klik op Leden selecteren en voeg de e-mail-id van de back-upbeheerder toe om de rol Lezer toe te wijzen.

   Als de back-upbeheerders zich in een andere tenant bevinden, worden ze toegevoegd als gasten aan de tenant die de Resource Guard bevat.

4. Klik op Selecteer>Controleren + toewijzen om de roltoewijzing te voltooien.

Multifactor Authenticatie inschakelen in een kluis

Zodra de back-upbeheerder de rol Lezer voor Resource Guard heeft, kunnen ze autorisatie voor meerdere gebruikers inschakelen voor kluizen die worden beheerd door de volgende stappen uit te voeren:

Een kluis kiezen

Recovery Services-vault

1. Ga naar de Recovery Services-kluis.

2. Ga naar Eigenschappen>voor meervoudige gebruikersautorisatie en selecteer Vervolgens Bijwerken.

3. U krijgt nu de mogelijkheid om MUA in te schakelen en een Resource Guard te kiezen op een van de volgende manieren:

   1. U kunt de URI van de Resource Guard opgeven, ervoor zorgen dat u de URI opgeeft van een Resource Guard waartoe u lezer toegang hebt en dat dezelfde regio's zijn als de kluis. U vindt de URI (Resource Guard ID) van De Resource Guard in het overzichtsscherm :

   2. U kunt ook de Resource Guard selecteren uit de lijst met Resource Guards waarvoor u lezertoegang hebt en die beschikbaar zijn in de regio.

      1. Klik op Resource Guard selecteren
      2. Selecteer de vervolgkeuzelijst en kies de map waarin Resource Guard zich bevindt.
      3. Selecteer Verifiëren om uw identiteit en toegang te valideren.
      4. Kies na verificatie de Resource Guard in de lijst die wordt weergegeven.

4. Selecteer Opslaan om MUA in te schakelen.

Backupkluis

1. Ga naar de Backup-kluis waarvoor u MUA wilt configureren.

2. Selecteer Eigenschappen in het linkerdeelvenster.

3. Ga naar Autorisatie voor meerdere gebruikers en selecteer Bijwerken.

4. Als u MUA wilt inschakelen en een Resource Guard wilt kiezen, voert u een van de volgende acties uit:

   • U kunt de URI van de Resource Guard opgeven. Zorg ervoor dat u de URI opgeeft van een Resource Guard waartoe u Reader toegang hebt en deze zich in dezelfde regio bevindt als de kluis. U vindt de URI (Resource Guard ID) van de Resource Guard op de overzichtspagina .

   • U kunt ook de Resource Guard selecteren uit de lijst met Resource Guards waarvoor u lezertoegang hebt, en die beschikbaar zijn in de regio.

     1. Klik op Resource Guard selecteren.
     2. Selecteer de vervolgkeuzelijst en selecteer de map waarin Resource Guard zich bevindt.
     3. Selecteer Verifiëren om uw identiteit en toegang te valideren.
     4. Kies na verificatie de Resource Guard in de lijst die wordt weergegeven.

5. Selecteer Opslaan om MUA in te schakelen.

Volgende stappen

• Beveiligde bewerkingen met MUA
• Kritieke (beveiligde) bewerkingen autoriseren met Microsoft Entra Privileged Identity Management
• Een beveiligde bewerking uitvoeren na goedkeuring
• MUA uitschakelen op een Recovery Services-kluis of een Backup-kluis.