Impedir a replicação de objetos entre locatários do Microsoft Entra

A replicação de objetos copia de forma assíncrona blobs de bloco de um contêiner em uma conta de armazenamento para um contêiner em outra conta de armazenamento. Ao configurar uma política de replicação de objetos, você especifica a conta de origem e o contêiner e a conta e o contêiner de destino. Depois que a política é configurada, o Armazenamento do Azure copia automaticamente os resultados das operações de criação, atualização e exclusão em um objeto de origem para o objeto de destino. Para obter mais informações sobre a replicação de objetos no Armazenamento do Azure, consulte Replicação de objetos para blobs de bloco.

Um usuário autorizado pode configurar uma política de replicação de objeto em que a conta de origem está em um locatário do Microsoft Entra e a conta de destino está em um locatário diferente se a replicação entre locatários for permitida entre locatários do Microsoft Entra. Se suas políticas de segurança exigirem que você restrinja a replicação de objetos a contas de armazenamento que residam apenas no mesmo locatário, você poderá não permitir a criação de políticas em que as contas de origem e de destino estejam em locatários diferentes. Por padrão, a replicação de objetos entre locatários é desabilitada para todas as novas contas de armazenamento criadas após 15 de dezembro de 2023, a menos que você a permita explicitamente.

Este artigo descreve como corrigir a replicação de objetos entre locatários para suas contas de armazenamento. Ele também descreve como criar políticas para impor uma proibição de replicação de objeto entre locatários para contas de armazenamento novas e existentes.

Para obter mais informações sobre como configurar políticas de replicação de objetos, incluindo políticas entre locatários, consulte Configurar a replicação de objetos para blobs de bloco.

Remediar a replicação de objetos entre locatários

Para impedir a replicação de objetos entre locatários do Microsoft Entra, defina a propriedade AllowCrossTenantReplication da conta de armazenamento como false. Se uma conta de armazenamento não participar atualmente de nenhuma política de replicação de objeto entre locatários, definir a propriedade AllowCrossTenantReplication como false impedirá a configuração futura de políticas de replicação de objeto entre locatários com essa conta de armazenamento como origem ou destino. No entanto, se uma conta de armazenamento atualmente participa de uma ou mais políticas de replicação de objeto entre locatários, definir a propriedade AllowCrossTenantReplication como false não será permitido até que você exclua as políticas existentes entre locatários.

As políticas entre locatários não são permitidas por padrão para uma conta de armazenamento criada após 15 de dezembro de 2023. No entanto, a propriedade AllowCrossTenantReplication não foi definida por padrão para uma conta de armazenamento existente criada antes de 15 de dezembro de 2023 e não retorna um valor até que você o tenha definido explicitamente. A conta de armazenamento pode participar de políticas de replicação de objetos entre locatários quando o valor da propriedade for nulo ou verdadeiro para contas criadas antes da Dev 15, 2023. Para contas criadas após esse período, a propriedade precisa ser definida como true. A configuração da propriedade AllowCrossTenantReplication não incorre em nenhum tempo de inatividade na conta de armazenamento.

Corrigir a replicação entre locatários para uma nova conta

Para não permitir a replicação entre locatários para uma nova conta de armazenamento, use o portal do Azure, o PowerShell ou a CLI do Azure. O padrão da propriedade é false para novas contas criadas após 15 de dezembro de 2023, mesmo quando não definidas explicitamente.

Portal

Para não permitir a replicação de objeto entre locatários para uma conta de armazenamento, siga estas etapas:

1. No portal do Azure, navegue até a página Contas de armazenamento e selecione Criar.

2. Preencha a guia Noções básicas para a nova conta de armazenamento.

3. Na guia Avançado, na seção Armazenamento de Blob, localize a configuração Permitir replicação entre locatários e desmarque a caixa.

   

4. Conclua o processo de criação da conta.

PowerShell

Para não permitir a replicação de objeto entre locatários para uma nova conta de armazenamento, chame o comando New-AzStorageAccount e inclua o AllowCrossTenantReplication parâmetro com um valor de $false.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account and disallow cross-tenant replication.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_LRS `
    -AllowBlobPublicAccess $false `
    -AllowCrossTenantReplication $false

# Read the property for the new storage account
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowCrossTenantReplication

CLI do Azure

Para não permitir a replicação de objeto entre locatários para uma nova conta de armazenamento, chame o comando az storage account create e inclua o allow-cross-tenant-replication parâmetro com um valor false.

# Create a storage account with cross-tenant replication disallowed.
az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_LRS \
    --allow-blob-public-access false \
    --allow-cross-tenant-replication false

# Read the property for the new storage account
az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowCrossTenantReplication \
    --output tsv

Corrigir a replicação entre locatários para uma conta existente

Para impedir a replicação entre locatários para uma conta de armazenamento existente, use o portal do Azure, o PowerShell ou a CLI do Azure.

Portal do Azure

Para não permitir a replicação de objeto entre locatários para uma conta de armazenamento existente que não esteja participando atualmente de nenhuma política entre locatários, siga estas etapas:

1. Navegue para a sua conta de armazenamento no portal do Azure.

2. Em Gerenciamento de dados, selecione Replicação de objetos.

3. Selecione Definições avançadas.

4. Desmarque Permitir replicação entre locatários. Por padrão, essa caixa está marcada, porque a replicação de objeto entre locatários é permitida para uma conta de armazenamento, a menos que você a desautorize explicitamente.

   

5. Selecione OK para salvar as alterações.

Se a conta de armazenamento estiver participando atualmente de uma ou mais políticas de replicação entre locatários, você não poderá impedir a replicação de objetos entre locatários até excluir essas políticas. Nesse cenário, a configuração não está disponível no portal do Azure, conforme mostrado na imagem a seguir.

PowerShell

Para não permitir a replicação de objeto entre locatários para uma conta de armazenamento existente que não esteja participando atualmente de nenhuma política de locatário cruzado, primeiro instale o módulo Az.Storage PowerShell, versão 3.7.0 ou posterior. Em seguida, configure a propriedade AllowCrossTenantReplication para a conta de armazenamento.

O exemplo a seguir mostra como não permitir a replicação de objeto entre locatários para uma conta de armazenamento existente com o PowerShell. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores:

$rgName = "<resource-group>"
$accountName = "<storage-account>"

Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -AllowCrossTenantReplication $false

Se a conta de armazenamento estiver participando atualmente de uma ou mais políticas de replicação entre locatários, você não poderá impedir a replicação de objetos entre locatários até excluir essas políticas. O PowerShell fornece um erro indicando que a operação falhou devido às políticas de replicação entre locatários existentes.

CLI do Azure

Para não permitir a replicação de objeto entre locatários para uma conta de armazenamento existente que não esteja participando atualmente de nenhuma política de locatário cruzado, primeiro instale a CLI do Azure versão 2.24.0 ou posterior. Para obter mais informações, consulte Instalar a CLI do Azure. Em seguida, configure a propriedade allowCrossTenantReplication para uma conta de armazenamento nova ou existente.

O exemplo a seguir mostra como não permitir a replicação de objeto entre locatários para uma conta de armazenamento existente com a CLI do Azure. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allow-cross-tenant-replication false

Se a conta de armazenamento estiver participando atualmente de uma ou mais políticas de replicação entre locatários, você não poderá impedir a replicação de objetos entre locatários até excluir essas políticas. A CLI do Azure fornece um erro indicando que a operação falhou devido a políticas de replicação entre locatários existentes.

Depois de não permitir a replicação entre locatários, a tentativa de configurar uma política entre locatários com a conta de armazenamento como origem ou destino falhará. O Armazenamento do Azure retorna um erro indicando que a replicação de objeto entre locatários não é permitida para a conta de armazenamento.

Quando a replicação de objeto entre locatários não é permitida para uma conta de armazenamento, todas as novas políticas de replicação de objeto criadas com essa conta devem incluir as IDs completas do Azure Resource Manager para a conta de origem e de destino. O Armazenamento do Azure requer a ID de recurso completa para verificar se as contas de origem e de destino residem no mesmo locatário. Para obter mais informações, consulte Especificar IDs de recursos completos para as contas de origem e destino.

A propriedade AllowCrossTenantReplication tem suporte para contas de armazenamento que usam apenas o modelo de implantação do Azure Resource Manager. Para obter informações sobre quais contas de armazenamento usam o modelo de implantação do Azure Resource Manager, consulte Tipos de contas de armazenamento.

Permissões para permitir ou não a replicação entre locatários

Para definir a propriedade AllowCrossTenantReplication para uma conta de armazenamento, um usuário deve ter permissões para criar e gerenciar contas de armazenamento. As funções de controle de acesso baseado em função do Azure (Azure RBAC) que fornecem essas permissões incluem a ação Microsoft.Storage/storageAccounts/write ou Microsoft.Storage/storageAccounts/* . As funções incorporadas com esta ação incluem:

• A função de Proprietário do Azure Resource Manager
• A função de Contribuidor do Azure Resource Manager
• A função de Contribuidor de Conta de Armazenamento

Essas funções não fornecem acesso a dados em uma conta de armazenamento por meio do Microsoft Entra ID. No entanto, eles incluem Microsoft.Storage /storageAccounts/listkeys/action, que concede acesso às chaves de acesso da conta. Com essa permissão, um usuário pode usar as chaves de acesso da conta para acessar todos os dados em uma conta de armazenamento.

As atribuições de função devem ter o escopo definido no nível da conta de armazenamento ou superior para permitir que um usuário permita ou não a replicação de objetos entre locatários para a conta de armazenamento. Para obter mais informações sobre o escopo da função, consulte Entender o escopo do RBAC do Azure.

Tenha cuidado para restringir a atribuição dessas funções apenas àqueles que exigem a capacidade de criar uma conta de armazenamento ou atualizar suas propriedades. Use o princípio do menor privilégio para garantir que os usuários tenham o menor número de permissões de que precisam para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Práticas recomendadas para o RBAC do Azure.

Nota

As funções clássicas de administrador de subscrição Administrador de Serviços e Coadministrador incluem o equivalente à função de Proprietário do Azure Resource Manager. A função Proprietário inclui todas as ações, para que um usuário com uma dessas funções administrativas também possa criar e gerenciar contas de armazenamento. Para obter mais informações, consulte Funções do Azure, Funções do Microsoft Entra e funções clássicas de administrador de assinatura.

Usar a Política do Azure para auditar a conformidade

Se você tiver um grande número de contas de armazenamento, convém executar uma auditoria para garantir que essas contas estejam configuradas para impedir a replicação de objetos entre locatários. Para auditar um conjunto de contas de armazenamento quanto à sua conformidade, use a Política do Azure. O Azure Policy é um serviço que você pode usar para criar, atribuir e gerenciar políticas que aplicam regras aos recursos do Azure. O Azure Policy ajuda-o a manter esses recursos em conformidade com os seus padrões empresariais e contratos de nível de serviço. Para obter mais informações, consulte Visão geral da Política do Azure.

Criar uma política com um efeito de auditoria

A Política do Azure dá suporte a efeitos que determinam o que acontece quando uma regra de política é avaliada em relação a um recurso. O efeito Auditoria cria um aviso quando um recurso não está em conformidade, mas não interrompe a solicitação. Para obter mais informações sobre efeitos, consulte Compreender os efeitos da Política do Azure.

Para criar uma política com um efeito de auditoria para a configuração de replicação de objeto entre locatários para uma conta de armazenamento com o portal do Azure, siga estas etapas:

1. No portal do Azure, navegue para o serviço Azure Policy.

2. Na seção Criação, selecione Definições.

3. Selecione Adicionar definição de política para criar uma nova definição de política.

4. Para o campo Local da definição, selecione o botão Mais para especificar onde o recurso de política de auditoria está localizado.

5. Especifique um nome para a política. Opcionalmente, pode especificar uma descrição e uma categoria.

6. Em Regra de política, adicione a seguinte definição de política à seção policyRule .

   {
     "if": {
       "allOf": [
         {
           "field": "type",
           "equals": "Microsoft.Storage/storageAccounts"
         },
         {
           "not": {
             "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
             "equals": "false"
           }
         }
       ]
     },
     "then": {
       "effect": "audit"
     }
   }
   

7. Guardar a política.

Atribuir a política

Em seguida, atribua a política a um recurso. O âmbito da política corresponde a esse recurso e a quaisquer recursos por baixo deste. Para obter mais informações sobre atribuição de política, consulte Estrutura de atribuição de política do Azure.

Para atribuir a política com o portal do Azure, siga estes passos:

1. No portal do Azure, navegue para o serviço Azure Policy.
2. Na seção Criação, selecione Atribuições.
3. Selecione Atribuir política para criar uma nova atribuição de política .
4. Para o campo Escopo , selecione o escopo da atribuição de política.
5. Para o campo Definição de política, selecione o botão Mais e, em seguida, selecione a política definida na seção anterior na lista.
6. Indique um nome para a atribuição de política. A descrição é opcional.
7. Deixe a aplicação da política definida como Habilitada. Esta definição não tem efeito na política de auditoria.
8. Selecione Rever + criar para criar a atribuição.

Ver relatório de conformidade

Depois de atribuir a política, você pode exibir o relatório de conformidade. O relatório de conformidade de uma política de auditoria fornece informações sobre quais contas de armazenamento ainda estão permitindo políticas de replicação de objetos entre locatários. Para obter mais informações, consulte Obter dados de conformidade de políticas.

Pode levar vários minutos para que o relatório de conformidade fique disponível após a atribuição de política ser criada.

Para exibir o relatório de conformidade no portal do Azure, siga estas etapas:

1. No portal do Azure, navegue para o serviço Azure Policy.

2. Selecione Conformidade.

3. Filtre os resultados para o nome da atribuição de política que você criou na etapa anterior. O relatório mostra recursos que não estão em conformidade com a política.

4. Você pode detalhar o relatório para obter detalhes adicionais, incluindo uma lista de contas de armazenamento que não estão em conformidade.

   

Usar a Política do Azure para impor políticas de replicação do mesmo locatário

A Política do Azure dá suporte à governança da nuvem, garantindo que os recursos do Azure cumpram os requisitos e padrões. Para garantir que as contas de armazenamento em sua organização não permitam a replicação entre locatários, você pode criar uma política que impeça a criação de uma nova conta de armazenamento que permita políticas de replicação de objetos entre locatários. A política de imposição usa o efeito Negar para impedir uma solicitação que criaria ou modificaria uma conta de armazenamento para permitir a replicação de objeto entre locatários. A política Negar também impedirá todas as alterações de configuração em uma conta existente se a configuração de replicação de objeto entre locatários para essa conta não estiver em conformidade com a política. Para obter mais informações sobre o efeito Negar, consulte Compreender os efeitos da Política do Azure.

Para criar uma política com um efeito Negar para replicação de objeto entre locatários, siga as mesmas etapas descritas em Usar a Política do Azure para auditar a conformidade, mas forneça o seguinte JSON na seção policyRule da definição de política:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Depois de criar a política com o efeito Negar e atribuí-la a um escopo, um usuário não pode criar uma conta de armazenamento que permita a replicação de objeto entre locatários. Um usuário também não pode fazer alterações de configuração em uma conta de armazenamento existente que atualmente permite a replicação de objeto entre locatários. Tentar fazer isso resulta em um erro. A propriedade AllowCrossTenantReplication da conta de armazenamento deve ser definida como false para prosseguir com a criação da conta ou as atualizações de configuração, em conformidade com a política.

A imagem a seguir mostra o erro que ocorre se você tentar criar uma conta de armazenamento que permita a replicação de objeto entre locatários (o padrão para uma nova conta) quando uma política com um efeito Negar requer que a replicação de objeto entre locatários não seja permitida.

Consulte também

• Replicação de objetos para blobs de bloco
• Configurar a replicação de objetos para blobs de bloco
• Recomendações de segurança para armazenamento de Blob