Delen via

Voorkomen van replicatie van objecten in Microsoft Entra-tenants

Objectreplicatie kopieert asynchroon blok-blobs uit een container in het ene opslagaccount naar een container in een ander opslagaccount. Wanneer u een objectreplicatiebeleid configureert, geeft u het bronaccount en de container en het doelaccount en de container op. Nadat het beleid is geconfigureerd, kopieert Azure Storage automatisch de resultaten van bewerkingen voor het maken, bijwerken en verwijderen van een bronobject naar het doelobject. Zie Objectreplicatie voor blok-blobs voor meer informatie over objectreplicatie in Azure Storage.

Een geautoriseerde gebruiker kan een objectreplicatiebeleid configureren waarbij het bronaccount zich in één Microsoft Entra-tenant bevindt en het doelaccount zich in een andere tenant bevindt als replicatie tussen tenants is toegestaan in Microsoft Entra-tenants. Als uw beveiligingsbeleid vereist dat u de objectreplicatie beperkt tot opslagaccounts die zich alleen in dezelfde tenant bevinden, kunt u het maken van beleidsregels waarbij de bron- en doelaccounts zich in verschillende tenants bevinden, niet togestaan. Standaard is replicatie van meerdere tenantobjecten uitgeschakeld voor alle nieuwe opslagaccounts die na 15 december 2023 zijn gemaakt, tenzij u dit expliciet toestaat.

In dit artikel wordt beschreven hoe u replicatie tussen tenantobjecten voor uw opslagaccounts herstelt. Ook wordt beschreven hoe u beleid maakt voor het afdwingen van een verbod op replicatie van objecten tussen tenants voor nieuwe en bestaande opslagaccounts.

Zie voor meer informatie over het configureren van beleidsregels voor objectreplicatie, waaronder beleidsregels voor meerdere tenants, Objectreplicatie configureren voor blok-blobs.

Replicatie van meerdere tenantobjecten herstellen

Als u objectreplicatie tussen Microsoft Entra-tenants wilt voorkomen, stelt u de eigenschap AllowCrossTenantReplication in op False voor het opslagaccount. Als een opslagaccount momenteel niet deelneemt aan enkele replicatiebeleid voor objecten tussen tenants, voorkomt het instellen van de eigenschap AllowCrossTenantReplication op false dat er toekomstig replicatiebeleid voor objecten tussen tenants kan worden geconfigureerd met dit opslagaccount als bron of bestemming. Als een opslagaccount momenteel echter deelneemt aan een of meer beleidsregels voor objectreplicatie tussen tenants, is het instellen van de eigenschap AllowCrossTenantReplication op false pas toegestaan als u het bestaande beleid voor meerdere tenants verwijdert.

Beleidsregels voor meerdere tenants zijn niet standaard toegestaan voor een opslagaccount dat is gemaakt na 15 december 2023. De eigenschap AllowCrossTenantReplication is echter niet standaard ingesteld voor een bestaand opslagaccount dat is gemaakt vóór 15 december 2023 en retourneert geen waarde totdat u deze expliciet hebt ingesteld. Het opslagaccount kan deelnemen aan objectreplicatiebeleid voor tenants wanneer de eigenschapswaarde null of true is voor accounts die vóór Dev 15, 2023 zijn gemaakt. Voor accounts die na die tijd zijn gemaakt, moet de eigenschap worden ingesteld op true. Als u de eigenschap AllowCrossTenantReplication instelt , treedt er geen downtime op voor het opslagaccount.

Herstel cross-tenant replicatie voor een nieuw account

Als u replicatie tussen tenants voor een nieuw opslagaccount wilt weigeren, gebruikt u Azure Portal, PowerShell of Azure CLI. De eigenschap wordt standaard ingesteld op onwaar voor nieuwe accounts die zijn gemaakt na 15 december 2023, zelfs als deze niet expliciet is ingesteld.

Voer de volgende stappen uit om replicatie van meerdere tenantobjecten voor een opslagaccount niet toe te laten:

  1. Navigeer in Azure Portal naar de pagina Opslagaccounts en selecteer Maken.

  2. Vul het tabblad Basisbeginselen voor het nieuwe opslagaccount in.

  3. Zoek op het tabblad Geavanceerd in de sectie Blob Storage de instelling Replicatie tussen tenants toestaan en schakel het selectievakje uit.

    Schermopname die laat zien hoe u replicatie van meerdere tenantobjecten voor een nieuw opslagaccount niet kunt weigeren

  4. Voltooi het proces voor het maken van het account.

Replicatie tussen tenants herstellen voor een bestaand account

Als u replicatie tussen tenants voor een bestaand opslagaccount wilt weigeren, gebruikt u Azure Portal, PowerShell of Azure CLI.

Voer de volgende stappen uit om replicatie van meerdere tenantobjecten voor een bestaand opslagaccount dat momenteel geen deel uitmaakt van een beleid voor meerdere tenants niet toe te laten:

  1. Navigeer naar uw opslagaccount in de Azure-portal.

  2. Selecteer objectreplicatie onder Gegevensbeheer.

  3. Selecteer Geavanceerde instellingen.

  4. Schakel Replicatie tussen tenants toestaan uit. Dit selectievakje is standaard ingeschakeld, omdat replicatie van meerdere tenantobjecten is toegestaan voor een opslagaccount, tenzij u het expliciet niet toegestaan hebt.

    Schermopname die laat zien hoe u replicatie van meerdere tenantobjecten voor een bestaand opslagaccount niet kunt weigeren

  5. Selecteer OK om uw wijzigingen op te slaan.

Als het opslagaccount momenteel deelneemt aan een of meer replicatiebeleidsregels voor meerdere tenants, kunt u de replicatie van objecten tussen tenants niet weigeren totdat u deze beleidsregels verwijdert. In dit scenario is de instelling niet beschikbaar in Azure Portal, zoals wordt weergegeven in de volgende afbeelding.

Screenshot

Wanneer u replicatie tussen tenants hebt uitgeschakeld, zal het configureren van een beleid voor meerdere tenants met het opslagaccount als bron of bestemming mislukken. Azure Storage retourneert een fout die aangeeft dat replicatie van meerdere tenantobjecten niet is toegestaan voor het opslagaccount.

Wanneer replicatie van meerdere tenantobjecten niet is toegestaan voor een opslagaccount, moet elk nieuw objectreplicatiebeleid dat u met dat account maakt, de volledige Azure Resource Manager-id's voor het bron- en doelaccount bevatten. Voor Azure Storage is de volledige resource-id vereist om te controleren of de bron- en doelaccounts zich binnen dezelfde tenant bevinden. Zie Volledige resource-id's opgeven voor bron- en doelaccounts voor meer informatie.

De eigenschap AllowCrossTenantReplication wordt ondersteund voor opslagaccounts die alleen gebruikmaken van het Azure Resource Manager-implementatiemodel. Zie Typen opslagaccounts voor informatie over welke opslagaccounts gebruikmaken van het Azure Resource Manager-implementatiemodel.

Machtigingen voor het toestaan of weigeren van replicatie tussen tenants

Als u de eigenschap AllowCrossTenantReplication voor een opslagaccount wilt instellen, moet een gebruiker over machtigingen beschikken om opslagaccounts te maken en te beheren. Azure RBAC-rollen (op rollen gebaseerd toegangsbeheer) van Azure die deze machtigingen bieden, omvatten de actie Microsoft.Storage/storageAccounts/write of Microsoft.Storage/storageAccounts/* . Ingebouwde rollen met deze actie zijn onder andere:

Deze rollen bieden geen toegang tot gegevens in een opslagaccount via Microsoft Entra-id. Ze bevatten echter de Microsoft.Storage/storageAccounts/listkeys/action, die toegang verleent tot de accounttoegangssleutels. Met deze machtiging kan een gebruiker de toegangssleutels voor het account gebruiken om toegang te krijgen tot alle gegevens in een opslagaccount.

Roltoewijzingen moeten worden toegewezen aan het niveau van het opslagaccount of hoger, zodat een gebruiker replicatie van meerdere tenantobjecten voor het opslagaccount toestaat of niet toestaat. Zie Bereik begrijpen voor Azure RBAC voor meer informatie over rolbereik.

Wees voorzichtig met het beperken van de toewijzing van deze rollen aan degenen die de mogelijkheid nodig hebben om een opslagaccount te maken of de eigenschappen ervan bij te werken. Gebruik het principe van minimale bevoegdheden om ervoor te zorgen dat gebruikers de minste machtigingen hebben die ze nodig hebben om hun taken uit te voeren. Zie Best practices voor Azure RBAC voor meer informatie over het beheren van toegang met Azure RBAC.

Opmerking

De klassieke abonnementsbeheerdersrollen Servicebeheerder en Medebeheerder bevatten het equivalent van de rol Azure Resource Manager-eigenaar. De rol Eigenaar bevat alle acties, zodat een gebruiker met een van deze beheerdersrollen ook opslagaccounts kan maken en beheren. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.

Azure Policy gebruiken om te controleren op naleving

Als u een groot aantal opslagaccounts hebt, kunt u een controle uitvoeren om ervoor te zorgen dat deze accounts zijn geconfigureerd om replicatie van meerdere tenantobjecten te voorkomen. Gebruik Azure Policy om een set opslagaccounts voor hun naleving te controleren. Azure Policy is een service die u kunt gebruiken om beleidsregels te maken, toe te wijzen en te beheren die regels toepassen op Azure-resources. Azure Policy helpt u om deze resources te laten voldoen aan uw bedrijfsstandaarden en serviceovereenkomsten. Zie Overzicht van Azure Policy voor meer informatie.

Een beleid maken met een controle-effect

Azure Policy ondersteunt effecten die bepalen wat er gebeurt wanneer een beleidsregel wordt geëvalueerd op basis van een resource. Het controle-effect genereert een waarschuwing wanneer een resource niet voldoet aan de eisen, maar de aanvraag wordt niet gestopt. Zie Azure Policy-effecten begrijpen voor meer informatie over effecten.

Als u een beleid wilt maken met een controle-effect voor de replicatie-instelling voor meerdere tenantobjecten voor een opslagaccount met Azure Portal, voert u de volgende stappen uit:

  1. Navigeer in de Azure-portal naar de Azure Policy-service.

  2. Onder de sectie Auteur, selecteer Definities.

  3. Selecteer Beleidsdefinitie toevoegen om een nieuwe beleidsdefinitie te maken.

  4. Selecteer voor het veld Definitielocatie de knop Meer om op te geven waar de resource voor het controlebeleid zich bevindt.

  5. Geef een naam op voor het beleid. U kunt desgewenst een beschrijving en categorie opgeven.

  6. Voeg onder Beleidsregel de volgende beleidsdefinitie toe aan de sectie policyRule .

    {
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "audit"
  }
}

  7. Sla het beleid op.

Het beleid toewijzen

Wijs vervolgens het beleid toe aan een resource. De omvang van het beleid komt overeen met die bron en alle onderliggende bronnen. Meer informatie over beleidstoewijzing is te vinden in de Azure Policy-toewijzingsstructuur.

Volg deze stappen om het beleid toe te wijzen met Azure Portal:

  1. Navigeer in de Azure-portal naar de Azure Policy-service.
  2. Onder de Authoring sectie, selecteer Assignments.
  3. Selecteer Beleid toewijzen om een nieuwe beleidstoewijzing te maken.
  4. Selecteer voor het veld Bereik het bereik van de beleidstoewijzing.
  5. Selecteer voor het veld Beleidsdefinitie de knop Meer en selecteer vervolgens het beleid dat u in de vorige sectie in de lijst hebt gedefinieerd.
  6. Geef een naam op voor de beleidstoewijzing. De beschrijving is optioneel.
  7. Laat Beleidshandhaving ingesteld op Ingeschakeld. Deze instelling heeft geen invloed op het controlebeleid.
  8. Selecteer Beoordelen en maken om de opdracht te maken.

Nalevingsrapport weergeven

Nadat u het beleid hebt toegewezen, kunt u het nalevingsrapport bekijken. Het nalevingsrapport voor een controlebeleid bevat informatie over welke opslagaccounts nog steeds replicatiebeleid voor meerdere tenantobjecten toestaan. Zie Beleid nalevingsgegevens ophalen voor meer informatie.

Het kan enkele minuten duren voordat het nalevingsrapport beschikbaar is nadat de beleidstoewijzing is gemaakt.

Voer de volgende stappen uit om het nalevingsrapport weer te geven in Azure Portal:

  1. Navigeer in de Azure-portal naar de Azure Policy-service.

  2. Kies Naleving.

  3. Filter de resultaten voor de naam van de beleidstoewijzing die u in de vorige stap hebt gemaakt. Het rapport bevat resources die niet voldoen aan het beleid.

  4. U kunt inzoomen op het rapport voor meer informatie, waaronder een lijst met opslagaccounts die niet in overeenstemming zijn.

    Schermopname van nalevingsrapport voor controlebeleid voor replicatie van blob-objecten tussen tenants

Azure Policy gebruiken om replicatiebeleid voor dezelfde tenant af te dwingen

Azure Policy ondersteunt cloudgovernance door ervoor te zorgen dat Azure-resources voldoen aan vereisten en standaarden. Om ervoor te zorgen dat opslagaccounts in uw organisatie replicatie tussen tenants niet toestaan, kunt u een beleid maken dat het maken van een nieuw opslagaccount voor replicatiebeleid voor meerdere tenantobjecten voorkomt. Het afdwingingsbeleid gebruikt het effect Weigeren om te voorkomen dat een aanvraag, die een opslagaccount maakt of wijzigt, replicatie van objecten tussen tenants mogelijk maakt. Het beleid Weigeren verhindert ook dat er configuratiewijzigingen in een bestaand account worden aangebracht als de reproductie-instelling voor cross-tenant objecten voor dat account niet in overeenstemming is met het beleid. Zie Azure Policy-effecten begrijpen voor meer informatie over het effect Weigeren.

Als u een beleid wilt maken met een weigerend effect voor replicatie van meerdere tenantobjecten, volgt u dezelfde stappen die worden beschreven in Azure Policy gebruiken om te controleren op naleving, maar geeft u de volgende JSON op in de sectie policyRule van de beleidsdefinitie:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Nadat u het beleid hebt gemaakt met het effect Weigeren en dit hebt toegewezen aan een bereik, kan een gebruiker geen opslagaccount maken dat replicatie van meerdere tenantobjecten toestaat. Een gebruiker kan geen configuratiewijzigingen aanbrengen in een bestaand opslagaccount dat momenteel replicatie van meerdere tenantobjecten toestaat. Als u dit probeert, treedt er een fout op. De eigenschap AllowCrossTenantReplication voor het opslagaccount moet zijn ingesteld op false om door te gaan met het maken van accounts of configuratie-updates, in overeenstemming met het beleid.

In de volgende afbeelding ziet u de fout die optreedt als u probeert een opslagaccount te maken dat replicatie van meerdere tenantobjecten toestaat (de standaardinstelling voor een nieuw account) wanneer een beleid met een deny-effect vereist dat replicatie van meerdere tenantobjecten niet is toegestaan.

Schermopname van de fout die optreedt bij het maken van een opslagaccount in strijd met het beleid

Zie ook

  • Last updated on