Objectreplicatie voorkomen in Microsoft Entra-tenants
Objectreplicatie kopieert asynchroon blok-blobs uit een container in het ene opslagaccount naar een container in een ander opslagaccount. Wanneer u een objectreplicatiebeleid configureert, geeft u het bronaccount en de container en het doelaccount en de container op. Nadat het beleid is geconfigureerd, kopieert Azure Storage automatisch de resultaten van bewerkingen voor het maken, bijwerken en verwijderen van een bronobject naar het doelobject. Zie Objectreplicatie voor blok-blobs voor meer informatie over objectreplicatie in Azure Storage.
Een geautoriseerde gebruiker kan een objectreplicatiebeleid configureren waarbij het bronaccount zich in één Microsoft Entra-tenant bevindt en het doelaccount zich in een andere tenant bevindt als replicatie tussen tenants is toegestaan in Microsoft Entra-tenants. Als uw beveiligingsbeleid vereist dat u de objectreplicatie beperkt tot opslagaccounts die zich alleen in dezelfde tenant bevinden, kunt u het maken van beleidsregels waarbij de bron- en doelaccounts zich in verschillende tenants bevinden, niet togestaan. Standaard is replicatie van meerdere tenantobjecten uitgeschakeld voor alle nieuwe opslagaccounts die na 15 december 2023 zijn gemaakt, tenzij u dit expliciet toestaat.
In dit artikel wordt beschreven hoe u replicatie tussen tenantobjecten voor uw opslagaccounts herstelt. Ook wordt beschreven hoe u beleid maakt voor het afdwingen van een verbod op replicatie van objecten tussen tenants voor nieuwe en bestaande opslagaccounts.
Zie Objectreplicatie configureren voor blok-blobs voor meer informatie over het configureren van beleidsregels voor objectreplicatie, waaronder beleidsregels voor meerdere tenants.
Replicatie van meerdere tenantobjecten herstellen
Als u objectreplicatie tussen Microsoft Entra-tenants wilt voorkomen, stelt u de eigenschap AllowCrossTenantReplication in op False voor het opslagaccount. Als een opslagaccount momenteel niet aan een replicatiebeleid voor meerdere tenantobjecten deelneemt, stelt u de eigenschap AllowCrossTenantReplication in op false om toekomstige configuratie van replicatiebeleid voor meerdere tenantobjecten met dit opslagaccount als bron of doel te voorkomen. Als een opslagaccount momenteel echter deelneemt aan een of meer beleidsregels voor objectreplicatie tussen tenants, is het instellen van de eigenschap AllowCrossTenantReplication op false niet toegestaan totdat u het bestaande beleid voor meerdere tenants verwijdert.
Beleidsregels voor meerdere tenants zijn standaard niet toegestaan voor een opslagaccount dat is gemaakt na 15 december 2023. De eigenschap AllowCrossTenantReplication is echter niet standaard ingesteld voor een bestaand opslagaccount dat is gemaakt vóór 15 december 2023 en retourneert geen waarde totdat u deze expliciet hebt ingesteld. Het opslagaccount kan deelnemen aan objectreplicatiebeleid voor tenants wanneer de eigenschapswaarde null of true is voor accounts die vóór Dev 15, 2023 zijn gemaakt. Voor accounts die na die tijd zijn gemaakt, moet de eigenschap worden ingesteld op true. Als u de eigenschap AllowCrossTenantReplication instelt, treedt er geen downtime op voor het opslagaccount.
Replicatie tussen tenants herstellen voor een nieuw account
Als u replicatie tussen tenants voor een nieuw opslagaccount wilt weigeren, gebruikt u Azure Portal, PowerShell of Azure CLI. De eigenschap wordt standaard ingesteld op onwaar voor nieuwe accounts die zijn gemaakt na 15 december 2023, zelfs als deze niet expliciet is ingesteld.
Voer de volgende stappen uit om replicatie van meerdere tenantobjecten voor een opslagaccount niet toe te laten:
Navigeer in Azure Portal naar de pagina Opslagaccounts en selecteer Maken.
Vul het tabblad Basisbeginselen voor het nieuwe opslagaccount in.
Zoek op het tabblad Geavanceerd in de sectie Blob Storage de instelling Replicatie tussen tenants toestaan en schakel het selectievakje uit.
Voltooi het proces voor het maken van het account.
Replicatie tussen tenants herstellen voor een bestaand account
Als u replicatie tussen tenants voor een bestaand opslagaccount wilt weigeren, gebruikt u Azure Portal, PowerShell of Azure CLI.
Voer de volgende stappen uit om replicatie van meerdere tenantobjecten voor een bestaand opslagaccount dat momenteel niet aan een beleid voor meerdere tenants deelneemt, niet toe te laten:
Ga in het Navigeer naar uw opslagaccount in de Azure-portal.
Selecteer objectreplicatie onder Gegevensbeheer.
Selecteer Geavanceerde instellingen.
Schakel Replicatie tussen tenants toestaan uit. Dit selectievakje is standaard ingeschakeld, omdat replicatie van meerdere tenantobjecten is toegestaan voor een opslagaccount, tenzij u het expliciet niet toegestaan hebt.
Selecteer OK om uw wijzigingen op te slaan.
Als het opslagaccount momenteel deelneemt aan een of meer replicatiebeleidsregels voor meerdere tenants, kunt u de replicatie van objecten tussen tenants niet weigeren totdat u deze beleidsregels verwijdert. In dit scenario is de instelling niet beschikbaar in Azure Portal, zoals wordt weergegeven in de volgende afbeelding.
Nadat u replicatie tussen tenants niet hebt toegedeeld, probeert u een beleid voor meerdere tenants met het opslagaccount te configureren als de bron of bestemming mislukt. Azure Storage retourneert een fout die aangeeft dat replicatie van meerdere tenantobjecten niet is toegestaan voor het opslagaccount.
Wanneer replicatie van meerdere tenantobjecten niet is toegestaan voor een opslagaccount, moet elk nieuw objectreplicatiebeleid dat u met dat account maakt, de volledige Azure Resource Manager-id's voor het bron- en doelaccount bevatten. Voor Azure Storage is de volledige resource-id vereist om te controleren of de bron- en doelaccounts zich binnen dezelfde tenant bevinden. Zie Volledige resource-id's opgeven voor de bron- en doelaccounts voor meer informatie.
De eigenschap AllowCrossTenantReplication wordt ondersteund voor opslagaccounts die alleen gebruikmaken van het Azure Resource Manager-implementatiemodel. Zie Typen opslagaccounts voor informatie over welke opslagaccounts gebruikmaken van het Azure Resource Manager-implementatiemodel.
Machtigingen voor het toestaan of ongedaan maken van toewijzing van replicatie tussen tenants
Als u de eigenschap AllowCrossTenantReplication voor een opslagaccount wilt instellen, moet een gebruiker over machtigingen beschikken om opslagaccounts te maken en te beheren. Azure RBAC-rollen (op rollen gebaseerd toegangsbeheer) van Azure die deze machtigingen bieden, omvatten de actie Microsoft.Storage/storageAccounts/write of Microsoft.Storage/storageAccounts/* . Ingebouwde rollen met deze actie zijn onder andere:
- De rol Eigenaar voor Azure Resource Managers
- De rol Inzender voor Azure Resource Managers
- De rol Eigenaar in het opslagaccount
Deze rollen bieden geen toegang tot gegevens in een opslagaccount via Microsoft Entra-id. Ze bevatten echter de Microsoft.Storage/storageAccounts/listkeys/action, die toegang verleent tot de accounttoegangssleutels. Met deze machtiging kan een gebruiker de toegangssleutels voor het account gebruiken om toegang te krijgen tot alle gegevens in een opslagaccount.
Roltoewijzingen moeten worden toegewezen aan het niveau van het opslagaccount of hoger, zodat een gebruiker replicatie van meerdere tenantobjecten voor het opslagaccount toestaat of niet toestaat. Zie Bereik begrijpen voor Azure RBAC voor meer informatie over rolbereik.
Wees voorzichtig met het beperken van de toewijzing van deze rollen aan degenen die de mogelijkheid nodig hebben om een opslagaccount te maken of de eigenschappen ervan bij te werken. Gebruik het principe van minimale bevoegdheden om ervoor te zorgen dat gebruikers de minste machtigingen hebben die ze nodig hebben om hun taken uit te voeren. Zie Best practices voor Azure RBAC voor meer informatie over het beheren van toegang met Azure RBAC.
Notitie
De klassieke abonnementsbeheerdersrollen Service Beheer istrator en Co-Beheer istrator bevatten het equivalent van de azure Resource Manager-eigenaarrol. De rol Eigenaar bevat alle acties, zodat een gebruiker met een van deze beheerdersrollen ook opslagaccounts kan maken en beheren. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.
Azure Policy gebruiken om te controleren op naleving
Als u een groot aantal opslagaccounts hebt, kunt u een controle uitvoeren om ervoor te zorgen dat deze accounts zijn geconfigureerd om replicatie van meerdere tenantobjecten te voorkomen. Gebruik Azure Policy om een set opslagaccounts voor hun naleving te controleren. Azure Policy is een service die u kunt gebruiken om beleidsregels te maken, toe te wijzen en te beheren die regels toepassen op Azure-resources. Azure Policy helpt u om deze resources te laten voldoen aan uw bedrijfsstandaarden en serviceovereenkomsten. Zie Overzicht van Azure Policy voor meer informatie.
Een beleid maken met een controle-effect
Azure Policy ondersteunt effecten die bepalen wat er gebeurt wanneer een beleidsregel wordt geëvalueerd op basis van een resource. Het controle-effect maakt een waarschuwing wanneer een resource niet voldoet aan de naleving, maar de aanvraag niet stopt. Zie Azure Policy-effecten begrijpen voor meer informatie over effecten.
Als u een beleid wilt maken met een controle-effect voor de replicatie-instelling voor meerdere tenantobjecten voor een opslagaccount met Azure Portal, voert u de volgende stappen uit:
Navigeer in de Azure-portal naar de Azure Policy-service.
Selecteer Definities in de sectie Ontwerpen.
Selecteer Beleidsdefinitie toevoegen om een nieuwe beleidsdefinitie te maken.
Selecteer voor het veld Definitielocatie de knop Meer om op te geven waar de resource voor het controlebeleid zich bevindt.
Geef een naam op voor het beleid. U kunt desgewenst een beschrijving en categorie opgeven.
Voeg onder Beleidsregel de volgende beleidsdefinitie toe aan de sectie policyRule .
{ "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Storage/storageAccounts" }, { "not": { "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication", "equals": "false" } } ] }, "then": { "effect": "audit" } }Sla het beleid op.
Het beleid toewijzen
Wijs vervolgens het beleid toe aan een resource. Het bereik van het beleid komt overeen met die resource en alle onderliggende resources. Zie de structuur van Azure Policy-toewijzingen voor meer informatie over beleidstoewijzing.
Volg deze stappen om het beleid toe te wijzen met Azure Portal:
- Navigeer in de Azure-portal naar de Azure Policy-service.
- Selecteer Opdrachten in de sectie Ontwerpen.
- Selecteer Beleid toewijzen om een nieuwe beleidstoewijzing te maken.
- Selecteer voor het veld Bereik het bereik van de beleidstoewijzing.
- Selecteer voor het veld Beleidsdefinitie de knop Meer en selecteer vervolgens het beleid dat u in de vorige sectie in de lijst hebt gedefinieerd.
- Geef een naam op voor de beleidstoewijzing. De beschrijving is optioneel.
- Laat beleids afdwingen ingesteld op Ingeschakeld. Deze instelling heeft geen invloed op het controlebeleid.
- Selecteer Beoordelen en maken om de opdracht te maken.
Nalevingsrapport weergeven
Nadat u het beleid hebt toegewezen, kunt u het nalevingsrapport bekijken. Het nalevingsrapport voor een controlebeleid bevat informatie over welke opslagaccounts nog steeds replicatiebeleid voor meerdere tenantobjecten toestaan. Zie Nalevingsgegevens voor beleid ophalen voor meer informatie.
Het kan enkele minuten duren voordat het nalevingsrapport beschikbaar is nadat de beleidstoewijzing is gemaakt.
Voer de volgende stappen uit om het nalevingsrapport weer te geven in Azure Portal:
Navigeer in de Azure-portal naar de Azure Policy-service.
Selecteer Naleving.
Filter de resultaten voor de naam van de beleidstoewijzing die u in de vorige stap hebt gemaakt. Het rapport bevat resources die niet voldoen aan het beleid.
U kunt inzoomen op het rapport voor meer informatie, waaronder een lijst met opslagaccounts die niet in overeenstemming zijn.
Azure Policy gebruiken om replicatiebeleid voor dezelfde tenant af te dwingen
Azure Policy ondersteunt cloudgovernance door ervoor te zorgen dat Azure-resources voldoen aan vereisten en standaarden. Om ervoor te zorgen dat opslagaccounts in uw organisatie replicatie tussen tenants niet toestaan, kunt u een beleid maken dat het maken van een nieuw opslagaccount voor replicatiebeleid voor meerdere tenantobjecten voorkomt. Het afdwingingsbeleid maakt gebruik van het effect Weigeren om te voorkomen dat een aanvraag die een opslagaccount maakt of wijzigt om replicatie van meerdere tenantobjecten toe te staan. Het beleid voor weigeren voorkomt ook dat alle configuratiewijzigingen in een bestaand account worden gewijzigd als de instelling voor replicatie van meerdere tenantobjecten voor dat account niet compatibel is met het beleid. Zie Azure Policy-effecten begrijpen voor meer informatie over het effect Weigeren.
Als u een beleid wilt maken met een weigerend effect voor replicatie van meerdere tenantobjecten, volgt u dezelfde stappen die worden beschreven in Azure Policy gebruiken om te controleren op naleving, maar geeft u de volgende JSON op in de sectie policyRule van de beleidsdefinitie:
{
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"not": {
"field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
"equals": "false"
}
}
]
},
"then": {
"effect": "deny"
}
}
Nadat u het beleid hebt gemaakt met het effect Weigeren en dit hebt toegewezen aan een bereik, kan een gebruiker geen opslagaccount maken dat replicatie van meerdere tenantobjecten toestaat. Een gebruiker kan geen configuratiewijzigingen aanbrengen in een bestaand opslagaccount dat momenteel replicatie van meerdere tenantobjecten toestaat. Als u dit probeert, treedt er een fout op. De eigenschap AllowCrossTenantReplication voor het opslagaccount moet zijn ingesteld op false om door te gaan met het maken van accounts of configuratie-updates, in overeenstemming met het beleid.
In de volgende afbeelding ziet u de fout die optreedt als u probeert een opslagaccount te maken dat replicatie van meerdere tenantobjecten toestaat (de standaardinstelling voor een nieuw account) wanneer een beleid met een deny-effect vereist dat replicatie van meerdere tenantobjecten niet is toegestaan.
