Konfigurera auktorisering för flera användare med Resource Guard i Azure Backup

Den här artikeln beskriver hur du konfigurerar MUA (Multi-User Authorization) för Azure Backup för att lägga till ytterligare ett skyddslager för kritiska åtgärder i dina Recovery Services-valv.

Den här artikeln visar hur Resource Guard skapas i en annan klientorganisation som erbjuder maximalt skydd. Den visar också hur du begär och godkänner begäranden om att utföra kritiska åtgärder med hjälp av Microsoft Entra Privileged Identity Management i klientorganisationen som rymmer Resource Guard. Du kan också använda andra mekanismer för att hantera JIT-behörigheter på Resource Guard enligt din konfiguration.

Kommentar

• Auktorisering för flera användare för Azure Backup är tillgängligt i alla offentliga Azure-regioner.
• Auktorisering för flera användare med Resource Guard för Backup-valv är nu allmänt tillgängligt. Läs mer.

Innan du börjar

• Kontrollera att Resource Guard och Recovery Services-valvet finns i samma Azure-region.
• Se till att säkerhetskopieringsadministratören inte har deltagarbehörigheter för Resource Guard. Du kan välja att ha Resource Guard i en annan prenumeration i samma katalog eller i en annan katalog för att säkerställa maximal isolering.
• Se till att dina prenumerationer som innehåller Recovery Services-valvet samt Resource Guard (i olika prenumerationer eller klienter) är registrerade för att använda leverantörerna – Microsoft.RecoveryServices och Microsoft.DataProtection . Mer information finns i Azure-resursprovidrar och typer.

Lär dig mer om olika MUA-användningsscenarier.

Skapa en Resource Guard

Säkerhetsadministratören skapar Resource Guard. Vi rekommenderar att du skapar den i en annan prenumeration eller en annan klientorganisation som valvet. Det bör dock finnas i samma region som valvet. Säkerhetskopieringsadministratören får INTE ha deltagaråtkomst till Resource Guard eller den prenumeration som innehåller den.

Välj en klient

Azure-portalen

Följ dessa steg för att skapa Resource Guard i en annan klientorganisation än valvklientorganisationen:

1. I Azure-portalen går du till katalogen där du vill skapa Resource Guard.

   

2. Sök efter Resursskydd i sökfältet och välj sedan motsvarande objekt i listrutan.

   

   • Välj Skapa för att börja skapa en Resource Guard.
   • På bladet Skapa fyller du i nödvändig information för den här Resource Guard.
     • Kontrollera att Resource Guard finns i samma Azure-regioner som Recovery Services-valvet.
     • Det är också bra att lägga till en beskrivning av hur du hämtar eller begär åtkomst för att utföra åtgärder på associerade valv när det behövs. Den här beskrivningen visas också i de associerade valv som hjälper säkerhetskopieringsadministratören att få de behörigheter som krävs. Du kan redigera beskrivningen senare om det behövs, men du bör alltid ha en väldefinierad beskrivning.

3. På fliken Skyddade åtgärder väljer du de åtgärder som du behöver skydda med hjälp av den här resursskyddet.

   Du kan också välja åtgärder för skydd när du har skapat resursskyddet.

4. Du kan också lägga till taggar i Resource Guard enligt kraven

5. Välj Granska + Skapa och följ meddelanden för status och lyckat skapande av Resource Guard.

PowerShell

Kör följande cmdlet för att skapa en resursskydd:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

Kör följande kommando för att skapa en resursskydd:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Välj åtgärder som ska skyddas med Hjälp av Resource Guard

Välj de åtgärder som du vill skydda med Hjälp av Resource Guard av alla kritiska åtgärder som stöds. Som standard är alla kritiska åtgärder som stöds aktiverade. Du (som säkerhetsadministratör) kan dock undanta vissa åtgärder från att omfattas av MUA med hjälp av Resource Guard.

Välj en klient

Azure-portalen

Följ dessa steg för att undanta åtgärder:

1. På fliken Resource Guard som skapades ovan går du till fliken Egenskaper>för Recovery Services-valv.

2. Välj Inaktivera för åtgärder som du vill undanta från att auktoriseras med hjälp av Resource Guard.

   Kommentar

   Du kan inte inaktivera de skyddade åtgärderna – Inaktivera mjuk borttagning och Ta bort MUA-skydd.

3. Du kan också uppdatera beskrivningen för Resource Guard med det här bladet.

4. Välj Spara.

   

PowerShell

Uppdatera åtgärderna. Dessa undantar åtgärder från skydd av resursskyddet och kör följande cmdletar:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• Det första kommandot hämtar det resursskydd som behöver uppdateras.
• De andra och tredje kommandona hämtar de kritiska åtgärder som du vill uppdatera.
• Det fjärde kommandot exkluderar vissa kritiska åtgärder från resursskyddet.

CLI

Om du vill uppdatera de åtgärder som ska undantas från att skyddas av resursskyddet kör du följande kommandon:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Exempel:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Tilldela behörigheter till säkerhetskopieringsadministratören på Resource Guard för att aktivera MUA

Om du vill aktivera MUA i ett valv måste administratören för valvet ha rollen Läsare i Resource Guard eller prenumerationen som innehåller Resource Guard. Så här tilldelar du rollen Läsare på Resource Guard:

1. Gå till bladet Åtkomstkontroll (IAM) i Resource Guard som skapades ovan och gå sedan till Lägg till rolltilldelning.

   

2. Välj Läsare i listan över inbyggda roller och välj Nästa.

   

3. Klicka på Välj medlemmar och lägg till säkerhetskopieringsadministratörens e-post-ID för att lägga till dem som läsare. Eftersom säkerhetskopieringsadministratören finns i en annan klientorganisation i det här fallet läggs de till som gäster i klientorganisationen som innehåller Resource Guard.

4. Klicka på Välj och fortsätt sedan till Granska + tilldela för att slutföra rolltilldelningen.

   

Aktivera MUA i ett Recovery Services-valv

När rolltilldelningen Läsare på Resource Guard har slutförts aktiverar du auktorisering för flera användare i valv (som administratör för säkerhetskopiering) som du hanterar.

Välj en klient

Azure-portalen

Följ dessa steg för att aktivera MUA i valven.

1. Gå till Recovery Services-valvet. Gå till Egenskaper på den vänstra navigeringspanelen och sedan till Auktorisering för flera användare och välj Uppdatera.

   

2. Nu visas alternativet att aktivera MUA och välja en Resource Guard på något av följande sätt:

   • Du kan antingen ange URI:n för Resource Guard, kontrollera att du anger URI:n för en Resource Guard som du har läsåtkomst till och att det är samma regioner som valvet. Du hittar URI:n (Resource Guard-ID) för Resource Guard på skärmen Översikt :

     

   • Eller så kan du välja Resource Guard i listan över resursskydd som du har läsbehörighet till och de som är tillgängliga i regionen.

     1. Klicka på Välj Resource Guard
     2. Välj listrutan och välj sedan den katalog som Resource Guard finns i.
     3. Välj Autentisera för att verifiera din identitet och åtkomst.
     4. Efter autentiseringen väljer du Resource Guard i listan som visas.

     

3. Välj Spara när du är klar för att aktivera MUA.

   

PowerShell

Om du vill aktivera MUA i ett Recovery Services-valv kör du följande cmdlet:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• Det första kommandot hämtar åtkomsttoken för resursskyddsklientorganisationen där resursskyddet finns.
• Det andra kommandot skapar en mappning mellan RSVault-$vault och Resource Guard.

Kommentar

Tokenparametern är valfri och behövs bara för att autentisera åtgärder som skyddas av flera klientorganisationer.

CLI

Om du vill aktivera MUA i ett Recovery Services-valv kör du följande kommando:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

Klientorganisations-ID krävs om resursskyddet finns i en annan klientorganisation.

Exempel:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

Skyddade åtgärder med MUA

När du har aktiverat MUA begränsas åtgärderna i omfånget i valvet, om säkerhetskopieringsadministratören försöker utföra dem utan att ha den roll som krävs (dvs. deltagarrollen) på Resource Guard.

Kommentar

Vi rekommenderar starkt att du testar konfigurationen när du har aktiverat MUA för att säkerställa att skyddade åtgärder blockeras som förväntat och för att säkerställa att MUA är korrekt konfigurerat.

Nedan visas en bild av vad som händer när säkerhetskopieringsadministratören försöker utföra en sådan skyddad åtgärd (till exempel visas inaktivering av mjuk borttagning här. Andra skyddade åtgärder har en liknande upplevelse). Följande steg utförs av en administratör för säkerhetskopiering utan nödvändiga behörigheter.

1. Om du vill inaktivera mjuk borttagning går du till Recovery Services-valvets >egenskapssäkerhet>Inställningar och väljer Uppdatera, vilket ger Inställningar.

2. Inaktivera mjuk borttagning med skjutreglaget. Du är informerad om att det här är en skyddad åtgärd och att du måste verifiera deras åtkomst till Resource Guard.

3. Välj katalogen som innehåller Resource Guard och Autentisera dig själv. Det här steget kanske inte krävs om Resource Guard finns i samma katalog som valvet.

4. Fortsätt för att välja Spara. Begäran misslyckas med ett fel som informerar dem om att du inte har tillräcklig behörighet för Resource Guard så att du kan utföra den här åtgärden.

   

Auktorisera kritiska (skyddade) åtgärder med Microsoft Entra Privileged Identity Management

I följande avsnitt beskrivs hur du auktoriserar dessa begäranden med hjälp av PIM. Det finns fall där du kan behöva utföra kritiska åtgärder på dina säkerhetskopior och MUA kan hjälpa dig att se till att dessa endast utförs när rätt godkännanden eller behörigheter finns. Som tidigare nämnts måste säkerhetskopieringsadministratören ha en deltagarroll i Resource Guard för att utföra kritiska åtgärder som finns i Resource Guard-omfånget. Ett sätt att tillåta just-in-time för sådana åtgärder är att använda Microsoft Entra Privileged Identity Management.

Kommentar

Även om användning av Microsoft Entra PIM är den rekommenderade metoden kan du använda manuella eller anpassade metoder för att hantera åtkomst för säkerhetskopieringsadministratören på Resource Guard. Om du vill hantera åtkomsten till Resource Guard manuellt använder du inställningen Åtkomstkontroll (IAM) i det vänstra navigeringsfältet i Resource Guard och ger rollen Deltagare till administratören för säkerhetskopiering.

Skapa en berättigad tilldelning för säkerhetskopieringsadministratören (om du använder Microsoft Entra Privileged Identity Management)

Säkerhetsadministratören kan använda PIM för att skapa en berättigad tilldelning för säkerhetskopieringsadministratören som deltagare i Resource Guard. På så sätt kan säkerhetskopieringsadministratören skapa en begäran (för rollen Deltagare) när de behöver utföra en skyddad åtgärd. För att göra det utför säkerhetsadministratören följande:

1. I säkerhetsklientorganisationen (som innehåller Resource Guard) går du till Privileged Identity Management (sök efter detta i sökfältet i Azure-portalen) och går sedan till Azure-resurser (under Hantera på den vänstra menyn).

2. Välj den resurs (Resource Guard eller den innehållande prenumerationen/RG) som du vill tilldela rollen Deltagare till.

   Om du inte ser motsvarande resurs i listan över resurser måste du lägga till den innehållande prenumerationen som ska hanteras av PIM.

3. I den valda resursen går du till Tilldelningar (under Hantera på den vänstra menyn) och går till Lägg till tilldelningar.

   

4. I Lägg till tilldelningar:

   1. Välj rollen som deltagare.
   2. Gå till Välj medlemmar och lägg till användarnamnet (eller e-post-ID:t) för säkerhetskopieringsadministratören.
   3. Välj Nästa.

   

5. På nästa skärm:

   1. Under tilldelningstyp väljer du Berättigad.
   2. Ange den varaktighet för vilken den berättigade behörigheten är giltig.
   3. Välj Tilldela för att slutföra skapandet av den berättigade tilldelningen.

   

Konfigurera godkännare för aktivering av deltagarroll

Som standard kanske inte konfigurationen ovan har en godkännare (och ett krav på godkännandeflöde) som konfigurerats i PIM. Säkerhetsadministratören måste utföra följande steg för att säkerställa att godkännare krävs för att endast tillåta auktoriserade begäranden att gå igenom.

Kommentar

Om detta inte har konfigurerats godkänns alla begäranden automatiskt utan att gå igenom säkerhetsadministratörerna eller en utsedd godkännares granskning. Mer information om detta finns här

1. I Microsoft Entra PIM väljer du Azure-resurser i det vänstra navigeringsfältet och väljer din Resource Guard.

2. Gå till Inställningar och gå sedan till rollen Deltagare.

   

3. Om inställningen med namnet Godkännare visar Ingen eller visar felaktiga godkännare väljer du Redigera för att lägga till granskare som skulle behöva granska och godkänna aktiveringsbegäran för rollen Deltagare.

4. På fliken Aktivering väljer du Kräv godkännande för att aktivera och lägger till godkännare som behöver godkänna varje begäran. Du kan också välja andra säkerhetsalternativ som att använda MFA och ge behörighet till biljettalternativ för att aktivera deltagarrollen. Du kan också välja relevanta inställningar på flikarna Tilldelning och Meddelande enligt dina behov.

   

5. Välj Uppdatera när du är klar.

Begära aktivering av en berättigad tilldelning för att utföra kritiska åtgärder

När säkerhetsadministratören har skapat en berättigad tilldelning måste säkerhetskopieringsadministratören aktivera tilldelningen för rollen Deltagare för att kunna utföra skyddade åtgärder. Följande åtgärder utförs av säkerhetskopieringsadministratören för att aktivera rolltilldelningen.

1. Gå till Microsoft Entra Privileged Identity Management. Om Resource Guard finns i en annan katalog växlar du till den katalogen och går sedan till Microsoft Entra Privileged Identity Management.

2. Gå till Mina roller>Azure-resurser på den vänstra menyn.

3. Säkerhetskopieringsadministratören kan se en berättigad tilldelning för deltagarrollen. Välj Aktivera för att aktivera den.

4. Administratören för säkerhetskopiering informeras via portalmeddelande om att begäran skickas för godkännande.

   

Godkänna aktivering av begäranden för att utföra kritiska åtgärder

När säkerhetskopieringsadministratören skickar en begäran om att aktivera deltagarrollen ska begäran granskas och godkännas av säkerhetsadministratören.

1. I säkerhetsklientorganisationen går du till Microsoft Entra Privileged Identity Management.
2. Gå till Godkänn begäranden.
3. Under Azure-resurser visas den begäran som genererats av säkerhetskopieringsadministratören som begär aktivering som deltagare.
4. Granska begäran. Om den är äkta väljer du begäran och väljer Godkänn för att godkänna den.
5. Säkerhetskopieringsadministratören informeras via e-post (eller andra mekanismer för organisationsaviseringar) om att deras begäran nu har godkänts.
6. När säkerhetskopieringsadministratören har godkänts kan den utföra skyddade åtgärder under den begärda perioden.

Utföra en skyddad åtgärd efter godkännande

När säkerhetskopieringsadministratörens begäran om deltagarrollen på Resource Guard har godkänts kan de utföra skyddade åtgärder i det associerade valvet. Om Resource Guard finns i en annan katalog måste säkerhetskopieringsadministratören autentisera sig själv.

Kommentar

Om åtkomsten tilldelades med hjälp av en JIT-mekanism återkallas deltagarrollen i slutet av den godkända perioden. Annars tar säkerhetsadministratören bort rollen Deltagare manuellt som tilldelats säkerhetskopieringsadministratören för att utföra den kritiska åtgärden.

Följande skärmbild visar ett exempel på hur du inaktiverar mjuk borttagning för ett MUA-aktiverat valv.

Inaktivera MUA i ett Recovery Services-valv

Att inaktivera MUA är en skyddad åtgärd, så valv skyddas med hjälp av MUA. Om du (säkerhetskopieringsadministratören) vill inaktivera MUA måste du ha den deltagarroll som krävs i Resource Guard.

Välj en klient

Azure-portalen

Så här inaktiverar du MUA i ett valv:

1. Säkerhetskopieringsadministratören begär rollen Säkerhetsadministratör för deltagare i Resource Guard. De kan begära detta för att använda de metoder som godkänts av organisationen, till exempel JIT-procedurer, till exempel Microsoft Entra Privileged Identity Management eller andra interna verktyg och procedurer.

2. Säkerhetsadministratören godkänner begäran (om de anser att den är värd att godkännas) och informerar administratören för säkerhetskopiering. Nu har säkerhetskopieringsadministratören rollen Deltagare i Resource Guard.

3. Säkerhetskopieringsadministratören går till valvegenskaperna >>För flera användare auktorisering.

4. Välj Uppdatera.

   1. Avmarkera kryssrutan Skydda med Resource Guard .
   2. Välj den katalog som innehåller Resource Guard och kontrollera åtkomsten med hjälp av knappen Autentisera (om tillämpligt).
   3. Efter autentisering väljer du Spara. Med rätt åtkomst bör begäran slutföras.

   

PowerShell

Om du vill inaktivera MUA i ett Recovery Services-valv använder du följande cmdlet:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• Det första kommandot hämtar åtkomsttoken för resursskyddsklientorganisationen, där resursskyddet finns.
• Det andra kommandot tar bort mappningen mellan Recovery Services-valvet och resursskyddet.

Kommentar

Tokenparametern är valfri och behövs bara för att autentisera de korsklientskyddade åtgärderna.

CLI

Om du vill inaktivera MUA i ett Recovery Services-valv kör du följande kommando:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

Klientorganisations-ID krävs om resursskyddet finns i en annan klientorganisation.

Exempel:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Den här artikeln beskriver hur du konfigurerar MUA (Multi-User Authorization) för Azure Backup för att lägga till ytterligare ett skyddslager för kritiska åtgärder i säkerhetskopieringsvalvet.

Den här artikeln visar hur Resource Guard skapas i en annan klientorganisation som erbjuder maximalt skydd. Den visar också hur du begär och godkänner begäranden om att utföra kritiska åtgärder med hjälp av Microsoft Entra Privileged Identity Management i klientorganisationen som rymmer Resource Guard. Du kan också använda andra mekanismer för att hantera JIT-behörigheter på Resource Guard enligt din konfiguration.

Kommentar

• Auktorisering för flera användare med Resource Guard för Backup-valv är nu allmänt tillgängligt.
• Auktorisering för flera användare för Azure Backup är tillgängligt i alla offentliga Azure-regioner.

Innan du börjar

• Kontrollera att Resource Guard och Backup-valvet finns i samma Azure-region.
• Se till att säkerhetskopieringsadministratören inte har deltagarbehörigheter för Resource Guard. Du kan välja att ha Resource Guard i en annan prenumeration i samma katalog eller i en annan katalog för att säkerställa maximal isolering.
• Se till att dina prenumerationer innehåller Backup-valvet samt Resource Guard (i olika prenumerationer eller klientorganisationer) är registrerade för att använda providern – Microsoft.DataProtection4. Mer information finns i Azure-resursprovidrar och typer.

Lär dig mer om olika MUA-användningsscenarier.

Skapa en Resource Guard

Säkerhetsadministratören skapar Resource Guard. Vi rekommenderar att du skapar den i en annan prenumeration eller en annan klientorganisation som valvet. Det bör dock finnas i samma region som valvet.

Säkerhetskopieringsadministratören får INTE ha deltagaråtkomst till Resource Guard eller den prenumeration som innehåller den.

Följ dessa steg för att skapa Resource Guard i en klientorganisation som skiljer sig från valvklientorganisationen som säkerhetsadministratör:

1. I Azure-portalen går du till katalogen där du vill skapa Resource Guard.

   

2. Sök efter Resursskydd i sökfältet och välj sedan motsvarande objekt i listrutan.

   

   1. Välj Skapa för att skapa en Resource Guard.
   2. På bladet Skapa fyller du i nödvändig information för den här Resource Guard.
      • Kontrollera att Resource Guard finns i samma Azure-region som Backup-valvet.
      • Lägg till en beskrivning av hur du begär åtkomst för att utföra åtgärder på associerade valv när det behövs. Den här beskrivningen visas i de associerade valv som hjälper säkerhetskopieringsadministratören att få de behörigheter som krävs.

3. På fliken Skyddade åtgärder väljer du de åtgärder som du behöver skydda med hjälp av den här resursskyddet under fliken Säkerhetskopieringsvalv .

   För närvarande innehåller fliken Skyddade åtgärder endast alternativet Ta bort säkerhetskopieringsinstans att inaktivera.

   Du kan också välja åtgärder för skydd när du har skapat resursskyddet.

   

4. Du kan också lägga till taggar i Resource Guard enligt kraven.

5. Välj Granska + Skapa och följ sedan meddelandena för att övervaka statusen och det lyckade skapandet av Resource Guard.

Välj åtgärder som ska skyddas med Hjälp av Resource Guard

När valvet har skapats kan säkerhetsadministratören också välja åtgärder för skydd med hjälp av Resource Guard bland alla kritiska åtgärder som stöds. Som standard är alla kritiska åtgärder som stöds aktiverade. Säkerhetsadministratören kan dock undanta vissa åtgärder från att omfattas av MUA med hjälp av Resource Guard.

Följ dessa steg för att välja åtgärder för skydd:

1. På den Resource Guard som du har skapat går du till fliken Egenskaper>säkerhetskopieringsvalv .

2. Välj Inaktivera för de åtgärder som du vill undanta från att auktoriseras.

   Du kan inte inaktivera åtgärderna Ta bort MUA-skydd och Inaktivera mjuk borttagning .

3. Du kan också uppdatera beskrivningen för Resource Guard på fliken Säkerhetskopieringsvalv .

4. Välj Spara.

   

Tilldela behörigheter till säkerhetskopieringsadministratören på Resource Guard för att aktivera MUA

Säkerhetskopieringsadministratören måste ha rollen Läsare i Resource Guard eller prenumerationen som innehåller Resource Guard för att aktivera MUA i ett valv. Säkerhetsadministratören måste tilldela den här rollen till säkerhetskopieringsadministratören.

Följ dessa steg för att tilldela rollen Läsare på Resource Guard:

1. Gå till bladet Åtkomstkontroll (IAM) i Resource Guard som skapades ovan och gå sedan till Lägg till rolltilldelning.

   

2. Välj Läsare i listan över inbyggda roller och välj Nästa.

   

3. Klicka på Välj medlemmar och lägg till säkerhetskopieringsadministratörens e-post-ID för att tilldela rollen Läsare .

   Eftersom säkerhetskopieringsadministratörerna finns i en annan klientorganisation läggs de till som gäster i klientorganisationen som innehåller Resource Guard.

4. Klicka på Välj>Granska + tilldela för att slutföra rolltilldelningen.

   

Aktivera MUA i ett säkerhetskopieringsvalv

När säkerhetskopieringsadministratören har rollen Läsare på Resource Guard kan de aktivera auktorisering för flera användare i valv som hanteras genom att följa dessa steg:

1. Gå till säkerhetskopieringsvalvet som du vill konfigurera MUA för.

2. Välj Egenskaper på den vänstra panelen.

3. Gå till Auktorisering för flera användare och välj Uppdatera.

   

4. Om du vill aktivera MUA och välja en Resource Guard utför du någon av följande åtgärder:

   • Du kan antingen ange URI:n för Resource Guard. Se till att du anger URI:n för en Resource Guard som du har läsbehörighet till och att den finns i samma region som valvet. Du hittar URI:n (Resource Guard-ID) för Resource Guard på sidan Översikt .

     

   • Eller så kan du välja Resource Guard i listan över resursskydd som du har läsbehörighet till och de som är tillgängliga i regionen.

     1. Klicka på Välj Resource Guard.
     2. Välj listrutan och välj den katalog som Resource Guard finns i.
     3. Välj Autentisera för att verifiera din identitet och åtkomst.
     4. Efter autentiseringen väljer du Resource Guard i listan som visas.

     

5. Välj Spara för att aktivera MUA.

   

Skyddade åtgärder med MUA

När säkerhetskopieringsadministratören aktiverar MUA begränsas åtgärderna i omfånget i valvet och åtgärderna misslyckas om säkerhetskopieringsadministratören försöker utföra dem utan att ha rollen Deltagare i Resource Guard.

Kommentar

Vi rekommenderar starkt att du testar konfigurationen när du har aktiverat MUA för att säkerställa att:

• Skyddade åtgärder blockeras som förväntat.
• MUA är korrekt konfigurerat.

Utför en skyddad åtgärd (inaktivera MUA) genom att följa dessa steg:

1. Gå till valvegenskaperna > i den vänstra rutan.

2. Avmarkera kryssrutan för att inaktivera MUA.

   Du får ett meddelande om att det är en skyddad åtgärd och att du måste ha åtkomst till Resource Guard.

3. Välj katalogen som innehåller Resource Guard och autentisera dig själv.

   Det här steget kanske inte krävs om Resource Guard finns i samma katalog som valvet.

4. Välj Spara.

   Begäran misslyckas med ett fel om att du inte har tillräcklig behörighet för Resource Guard för att utföra den här åtgärden.

   

Auktorisera kritiska (skyddade) åtgärder med Microsoft Entra Privileged Identity Management

Det finns scenarier där du kan behöva utföra kritiska åtgärder på dina säkerhetskopior och du kan utföra dem med rätt godkännanden eller behörigheter med MUA. I följande avsnitt beskrivs hur du auktoriserar kritiska åtgärdsbegäranden med hjälp av Privileged Identity Management (PIM).

Säkerhetskopieringsadministratören måste ha rollen Deltagare i Resource Guard för att kunna utföra kritiska åtgärder i Resource Guard-omfånget. Ett sätt att tillåta jit-åtgärder (just-in-time) är att använda Microsoft Entra Privileged Identity Management.

Kommentar

Vi rekommenderar att du använder Microsoft Entra PIM. Du kan dock också använda manuella eller anpassade metoder för att hantera åtkomst för säkerhetskopieringsadministratören på Resource Guard. Om du vill hantera åtkomst till Resource Guard manuellt använder du inställningen Åtkomstkontroll (IAM) i den vänstra rutan i Resource Guard och beviljar rollen Deltagare till säkerhetskopieringsadministratören.

Skapa en berättigad tilldelning för säkerhetskopieringsadministratören med Microsoft Entra Privileged Identity Management

Säkerhetsadministratören kan använda PIM för att skapa en berättigad tilldelning för säkerhetskopieringsadministratören som deltagare i Resource Guard. På så sätt kan säkerhetskopieringsadministratören skapa en begäran (för rollen Deltagare) när de behöver utföra en skyddad åtgärd.

Följ stegen för att skapa en berättigad tilldelning:

1. Logga in på Azure-portalen.

2. Gå till säkerhetsklientorganisationen för Resource Guard och ange Privileged Identity Management i sökningen.

3. I den vänstra rutan väljer du Hantera och går till Azure-resurser.

4. Välj den resurs (Resource Guard eller den innehållande prenumerationen/RG) som du vill tilldela rollen Deltagare till.

   Om du inte hittar några motsvarande resurser lägger du till den innehållande prenumeration som hanteras av PIM.

5. Välj resursen och gå till Hantera>tilldelningar>Lägg till tilldelningar.

   

6. I Lägg till tilldelningar:

   1. Välj rollen som deltagare.
   2. Gå till Välj medlemmar och lägg till användarnamnet (eller e-post-ID:t) för säkerhetskopieringsadministratören.
   3. Välj Nästa.

   

7. I Tilldelning väljer du Berättigad och anger giltigheten för varaktigheten för den berättigade behörigheten.

8. Välj Tilldela för att slutföra skapandet av den berättigade tilldelningen.

   

Konfigurera godkännare för aktivering av deltagarroll

Som standard kanske inte ovanstående installation har en godkännare (och ett krav för godkännandeflöde) konfigurerat i PIM. För att säkerställa att godkännare har rollen Deltagare för godkännande av begäran måste säkerhetsadministratören följa dessa steg:

Kommentar

Om installationsprogrammet för godkännaren inte har konfigurerats godkänns begäranden automatiskt utan att gå igenom säkerhetsadministratörerna eller en utsedd godkännares granskning. Läs mer.

1. I Microsoft Entra PIM väljer du Azure-resurser i den vänstra rutan och väljer din Resource Guard.

2. Gå till rollen Inställningar> Contributor.

   

3. Välj Redigera för att lägga till granskare som måste granska och godkänna aktiveringsbegäran för deltagarrollenom du upptäcker att Godkännare visar Ingen eller visar felaktiga godkännare.

4. På fliken Aktivering väljer du Kräv godkännande för att aktivera för att lägga till godkännare som måste godkänna varje begäran.

5. Välj säkerhetsalternativ, till exempel Multi-Factor Authentication (MFA), Mandating ticket to activate Contributor role (Mandating ticket to activate Contributor role).

6. Välj lämpliga alternativ på flikarna Tilldelning och Meddelande enligt dina behov.

   

7. Välj Uppdatera för att slutföra installationen av godkännare för att aktivera deltagarrollen.

Begära aktivering av en berättigad tilldelning för att utföra kritiska åtgärder

När säkerhetsadministratören har skapat en berättigad tilldelning måste säkerhetskopieringsadministratören aktivera rolltilldelningen för rollen Deltagare för att utföra skyddade åtgärder.

Följ stegen för att aktivera rolltilldelningen:

1. Gå till Microsoft Entra Privileged Identity Management. Om Resource Guard finns i en annan katalog växlar du till den katalogen och går sedan till Microsoft Entra Privileged Identity Management.

2. Gå till Mina roller>Azure-resurser i det vänstra fönstret.

3. Välj Aktivera för att aktivera den berättigade tilldelningen för deltagarrollen .

   Ett meddelande visas som meddelar att begäran skickas för godkännande.

   

Godkänna aktiveringsbegäranden för att utföra kritiska åtgärder

När säkerhetskopieringsadministratören skickar en begäran om att aktivera deltagarrollen måste säkerhetsadministratören granska och godkänna begäran.

Följ dessa steg för att granska och godkänna begäran:

1. I säkerhetsklientorganisationen går du till Microsoft Entra Privileged Identity Management.

2. Gå till Godkänn begäranden.

3. Under Azure-resurser kan du se begäran som väntar på godkännande.

   Välj Godkänn för att granska och godkänna den äkta begäran.

Efter godkännandet får säkerhetskopieringsadministratören ett meddelande via e-post eller andra interna aviseringsalternativ om att begäran har godkänts. Nu kan säkerhetskopieringsadministratören utföra de skyddade åtgärderna för den begärda perioden.

Utföra en skyddad åtgärd efter godkännande

När säkerhetsadministratören har godkänt säkerhetskopieringsadministratörens begäran om deltagarrollen i Resource Guard kan de utföra skyddade åtgärder i det associerade valvet. Om Resource Guard finns i en annan katalog måste säkerhetskopieringsadministratören autentisera sig själv.

Kommentar

Om åtkomsten tilldelades med hjälp av en JIT-mekanism återkallas deltagarrollen i slutet av den godkända perioden. Annars tar säkerhetsadministratören bort rollen Deltagare manuellt som tilldelats säkerhetskopieringsadministratören för att utföra den kritiska åtgärden.

Följande skärmbild visar ett exempel på hur du inaktiverar mjuk borttagning för ett MUA-aktiverat valv.

Inaktivera MUA i ett säkerhetskopieringsvalv

Att inaktivera MUA är en skyddad åtgärd som endast måste utföras av säkerhetskopieringsadministratören. För att göra detta måste säkerhetskopieringsadministratören ha den deltagarroll som krävs i Resource Guard. För att få den här behörigheten måste säkerhetskopieringsadministratören först be säkerhetsadministratören om rollen Deltagare i Resource Guard med hjälp av jit-proceduren (just-in-time), till exempel Microsoft Entra Privileged Identity Management eller interna verktyg.

Sedan godkänner säkerhetsadministratören begäran om den är äkta och uppdaterar säkerhetskopieringsadministratören som nu har rollen Deltagare i Resource Guard. Läs mer om hur du hämtar den här rollen.

Om du vill inaktivera MUA måste säkerhetskopieringsadministratörerna följa dessa steg:

1. Gå till Valvegenskaper >>Auktorisering för flera användare.

2. Välj Uppdatera och avmarkera kryssrutan Skydda med Resource Guard .

3. Välj Autentisera (om tillämpligt) för att välja den katalog som innehåller Resource Guard och verifiera åtkomsten.

4. Välj Spara för att slutföra processen med att inaktivera MUA.

   

Nästa steg

Läs mer om auktorisering för flera användare med Resource Guard.