Azure Backup'ta Resource Guard kullanarak çok kullanıcılı yetkilendirmeyi yapılandırma

Bu makalede, Kurtarma Hizmetleri kasalarında kritik işlemlerin güvenliğini artırmak amacıyla Azure Backup için Çok Kullanıcılı Yetkilendirmenin (MUA) nasıl yapılandırıldığı açıklanır. En yüksek koruma için ayrı bir kiracıda Resource Guard oluşturulmasını kapsar ve Resource Guard'ı barındıran kiracıda Microsoft Entra Privileged Identity Management kullanarak kritik işlem erişimi isteme ve onaylamayı gösterir. Alternatif olarak, kuruluş kurulumunuz temelinde tam zamanında (JIT) izinleri yönetmek için diğer yöntemleri kullanabilirsiniz.

Not

• Azure Backup için çok kullanıcılı yetkilendirme tüm genel Azure bölgelerinde kullanılabilir.
• Yedekleme kasası için Resource Guard kullanılarak çoklu kullanıcı yetkilendirmesi genel kullanıma sunuldu. Daha fazla bilgi edinin.

Önkoşullar

Kurtarma Hizmetleri kasası için çok kullanıcılı yetkilendirmeyi yapılandırmadan önce aşağıdaki önkoşulların karşılandığından emin olun:

• Resource Guard ve Kurtarma Hizmetleri deposu aynı Azure bölgesinde olmalıdır.
• Yedekleme yöneticisinin Resource Guard üzerinde Katkıda Bulunan, Yedekleme MUA Yöneticisi veya Yedekleme MUA İşleci izinleri olmamalıdır. En yüksek yalıtımı sağlamak için Resource Guard'ın aynı dizine ait başka bir abonelikte veya başka bir dizinde olmasını seçebilirsiniz.
• Kurtarma Hizmetleri kasası ve Resource Guard'ı (farklı aboneliklerde veya kiracılarda) içeren abonelikler, Microsoft.RecoveryServices ve Microsoft.DataProtection sağlayıcılarını kullanmak için kaydedilmelidir. Daha fazla bilgi için bkz . Azure kaynak sağlayıcıları ve türleri.

Çeşitli MUA kullanım senaryoları hakkında bilgi edinin.

Resource Guard oluşturma

Güvenlik yöneticisi Resource Guard'ı oluşturur. Kasa olarak farklı bir abonelikte veya farklı bir kiracıda oluşturmanızı öneririz. Ancak, kasayla aynı bölgede olmalıdır. Yedekleme yöneticisinin Resource Guard'da veya onu içeren abonelikte Katkıda Bulunan, Yedekleme MUA Yöneticisi veya Yedekleme MUA İşleci erişimi OLMAMALıDıR.

İstemci seçin

Azure portalı

Kasa kiracısından farklı bir kiracıda Resource Guard oluşturmak için şu adımları izleyin:

1. Azure portalında, Resource Guard'ı oluşturmak istediğiniz dizine gidin.

   

2. Arama çubuğunda Kaynak Korumaları'nı arayın ve açılan listeden ilgili öğeyi seçin.

   

   • Resource Guard oluşturmaya başlamak için Oluştur'u seçin.
   • Oluştur bölmesinde Resource Guard için gerekli ayrıntıları doldurun.
     • Resource Guard'ın Kurtarma Hizmetleri kasasıyla aynı Azure bölgelerinde olduğundan emin olun.
     • Ayrıca, gerektiğinde ilişkili kasalarda eylemler gerçekleştirmek için erişim almanın veya erişim istemenin nasıl yapılacağını açıklayan bir açıklama eklemek de faydalı olacaktır. Bu açıklama, yedekleme yöneticisine gerekli izinleri alma konusunda yol göstermek için ilişkili kasalarda da görünür. Gerekirse açıklamayı daha sonra düzenleyebilirsiniz, ancak her zaman iyi tanımlanmış bir açıklamaya sahip olmanız tavsiye edilir.

3. Korumalı işlemler sekmesinde, bu kaynak korumasını kullanarak korumanız gereken işlemleri seçin.

   Resource Guard'ı oluşturduktan sonra koruma işlemlerini de seçebilirsiniz.

4. İsteğe bağlı olarak, gereksinimlere göre Resource Guard'a herhangi bir etiket ekleyin

5. Gözden Geçir + Oluştur'u seçin ve Resource Guard'ın durumu ve başarıyla oluşturulması için bildirimleri izleyin.

PowerShell

Kaynak koruyucusu oluşturmak için aşağıdaki cmdlet'i çalıştırın:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

Bir resource guard oluşturmak için aşağıdaki komutu çalıştırın:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Resource Guard kullanarak korunacak işlemleri seçme

Desteklenen tüm kritik işlemlerden Resource Guard'ı kullanarak korumak istediğiniz işlemleri seçin. Varsayılan olarak, desteklenen tüm kritik işlemler etkinleştirilir. Ancak, güvenlik yöneticisi olarak Resource Guard kullanarak belirli işlemleri MUA'nın yetki kapsamına girmekten muaf tutabilirsiniz.

İstemci seçin

Azure portalı

muaf işlemler için şu adımları izleyin:

1. Yukarıda oluşturulan Kaynak Koruyucu'da Özellikler>Kurtarma Hizmetleri kasası sekmesine gidin.

2. Resource Guard kullanılarak yetkilendirilmesinin dışında tutmak istediğiniz işlemler için Devre Dışı Bırak'ı seçin.

   Not

   Korumalı işlemleri devre dışı bırakamazsınız - Geçici silmeyi devre dışı bırakın ve MUA korumasını kaldırın.

3. İsteğe bağlı olarak, bu bölmeyi kullanarak Resource Guard'ın açıklamasını da güncelleştirebilirsiniz.

4. Kaydet'i seçin.

   

PowerShell

İşlemleri güncelleştirmek için. Bunlar, işlemleri resource guard tarafından korumanın dışında tutar, aşağıdaki cmdlet'leri çalıştırın:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• İlk komut, güncelleştirilmesi gereken resource guard'ı getirir.
• İkinci ve üçüncü komutlar, güncelleştirmek istediğiniz kritik işlemleri getirir.
• Dördüncü komut, bazı kritik işlemleri kaynak koruma mekanizmasının dışında tutar.

CLI

Resource guard tarafından korunmadan dışlanacak işlemleri güncelleştirmek için aşağıdaki komutları çalıştırın:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Örnek:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

MUA'yı etkinleştirmek için Resource Guard'da Yedekleme yöneticisine izinler atama

Bir kasada MUA'yı etkinleştirmek için kasa yöneticisinin Resource Guard'da bir Okuyucu rolüne veya Resource Guard'ı içeren aboneliğe sahip olması gerekir. Resource Guard'da Okuyucu rolünü atamak için:

1. Yukarıda oluşturulan Resource Guard'da Erişim Denetimi (IAM) bölmesine gidin ve rol ataması ekle'ye gidin.

   

2. Yerleşik roller listesinden Okuyucu'ya tıklayın ve İleri'ye tıklayın.

   

3. Üyeleri seç'e tıklayın ve Bunları Okuyucu olarak eklemek için Yedekleme yöneticisinin e-posta kimliğini ekleyin. Yedekleme yöneticisi bu durumda başka bir kiracıda olduğundan, Resource Guard'ı içeren kiracıya konuk olarak eklenir.

4. Seç'e tıklayın ve ardından rol atamasını tamamlamak için Gözden geçir ve ata'ya geçin.

   

Kurtarma Hizmetleri kasasında MUA'yı etkinleştirin

Resource Guard'da Okuyucu rolü ataması tamamlandıktan sonra, yönettiğiniz kasalarda (Yedekleme yöneticisi olarak) çok kullanıcılı yetkilendirmeyi etkinleştirin.

İstemci seçin

Azure portalı

Kasalarda MUA'yı etkinleştirmek için aşağıdaki adımları izleyin.

1. Kurtarma Hizmetleri depolama alanına gidin. Sol gezinti panelinde Özellikler'e gidin, ardından Çok Kullanıcılı Yetkilendirme'yegidin ve Güncelleştir'i seçin.

   

2. Şimdi size MUA'yı etkinleştirme ve aşağıdaki yollardan birini kullanarak bir Resource Guard seçme seçeneği sunulur:

   • Kaynak Koruyucusunun URI'sini belirtebilirsiniz. Okuyucu erişimine sahip olduğunuz Kaynak Koruyucu URI'sini ve kasayla aynı bölgede olduğunu belirttiğinizden emin olun. Resource Guard'ın URI'sini (Resource Guard Kimliği) Genel Bakış ekranında bulabilirsiniz:

     

   • Alternatif olarak, bölgede mevcut olan ve Okuyucu erişiminiz olan Kaynak Korumaları listesinden Resource Guard'ı seçebilirsiniz.

     1. Tıklayın Resource Guard Seç
     2. Açılan listeyi seçin ve ardından Resource Guard'ın içinde olduğu dizini seçin.
     3. Kimliğinizi ve erişiminizi doğrulamak için Kimliği doğrula'yı seçin.
     4. Kimlik doğrulamasından sonra, görüntülenen listeden Resource Guard'ı seçin.

     

3. MUA'yı etkinleştirmek için Tamamlandıktan sonra kaydet'i seçin.

   

PowerShell

Kurtarma Hizmetleri kasasında MUA'yı (Kullanıcı Hesapları Yönetimi) etkinleştirmek için aşağıdaki cmdlet komutunu çalıştırın:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• İlk komut, kaynak koruyucunun bulunduğu kiracı için erişim belirtecini getirir.
• İkinci komut, RSVault $vault ile Resource guard arasında bir eşleme oluşturur.

Not

Belirteç parametresi isteğe bağlıdır ve yalnızca kiracılar arası korumalı işlemlerin kimliğini doğrulamak için gereklidir.

CLI

Kurtarma Hizmetleri kasasında MUA'yı etkinleştirmek için aşağıdaki komutu çalıştırın.

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

Eğer kaynak koruyucu farklı bir kiracıda bulunuyorsa, kiracı kimliği gereklidir.

Örnek:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

MUA kullanan korumalı işlemler

Yedekleme yöneticisi, Resource Guard'da gerekli role (yani Yedekleme MUA İşleci rolüne) sahip olmadan işlemleri gerçekleştirmeye çalışırsa, MUA'yı etkinleştirdikten sonra kasada kapsamdaki işlemler kısıtlanacaktır.

Not

Korumalı işlemlerin beklendiği gibi engellendiğinden ve MUA'nın doğru yapılandırıldığından emin olmak için MUA'yi etkinleştirdikten sonra kurulumunuzu test etmenizi kesinlikle öneririz.

Aşağıda, Yedekleme yöneticisi böyle bir korumalı işlemi gerçekleştirmeye çalıştığında ne olduğunu gösteren bir çizim verilmiştir (Örneğin, değişmezliği devre dışı bırakmak burada gösterilmiştir. Diğer korumalı işlemler benzer bir deneyime sahiptir). Aşağıdaki adımlar, gerekli izinlere sahip olmayan bir Yedekleme yöneticisi tarafından gerçekleştirilir.

Değişmezliği devre dışı bırakmak için şu adımları izleyin:

1. Kurtarma Hizmetleri kasası>Özellikler sayfasına gidin.

2. Özellikler bölmesinde, Değişmez Kasa altında Ayarlar'ı seçin.

3. Değiştirilemez Kasa bölmesinde, Kasa değiştirilemezliğini etkinleştir onay kutusunun işaretini kaldırarak Değiştirilemezliği devre dışı bırakın.

   Bunun korumalı bir işlem olduğu ve Resource Guard'a erişimini doğrulamanız gerektiği size bildirilir.

4. Resource Guard'ı içeren dizini seçin ve Kimliğinizi doğrulayın.

   Not

   Resource Guard, kasa ile aynı dizindeyse bu işlem gerekli değildir.

5. seçin, sonra daUygula'yı seçin.

   İstek, Resource Guard'da bu işlemi gerçekleştirmek için yeterli izinlere sahip olmadığınız bir hatayla başarısız oluyor.

Microsoft Entra Privileged Identity Management kullanarak kritik (korumalı) işlemleri yetkilendirme

Aşağıdaki bölümlerde, PIM kullanarak bu istekleri yetkilendirme ele alınıyor. Yedeklemelerinizde kritik işlemler gerçekleştirmeniz gerekebilecek durumlar vardır ve MUA bunların yalnızca doğru onaylar veya izinler mevcut olduğunda gerçekleştirilmesini sağlamanıza yardımcı olabilir. Daha önce açıklandığı gibi, Resource Guard kapsamındaki kritik işlemleri gerçekleştirmek için Yedekleme yöneticisinin Resource Guard'da bir Yedekleme MUA İşleci rolüne sahip olması gerekir. Bu tür işlemler için tam zamanında izin vermenin yollarından biri, Microsoft Entra Privileged Identity Management'ın kullanılmasıdır.

Not

Önerilen yaklaşım Microsoft Entra PIM kullanmak olsa da, Resource Guard'da Yedekleme yöneticisinin erişimini yönetmek için el ile veya özel yöntemler kullanabilirsiniz. Resource Guard'a erişimi el ile yönetmek için Resource Guard'ın sol gezinti çubuğundaki 'Erişim denetimi (IAM)' ayarını kullanın ve Yedekleme yöneticisine Yedekleme MUA İşleci rolü verin.

Yedekleme yöneticisi için uygun bir atama oluşturma (Microsoft Entra Privileged Identity Management kullanıyorsanız)

Güvenlik yöneticisi, Yedekleme yöneticisi için uygun bir atama oluşturmak ve Resource Guard'a Yedekleme MUA İşleci rolü sağlamak için PIM kullanabilir. Bu, Yedekleme yöneticisinin korumalı bir işlem gerçekleştirmesi gerektiğinde bir istek (Yedekleme MUA İşleci rolü için) oluşturmasını sağlar. Bunu yapmak için güvenlik yöneticisi aşağıdakileri gerçekleştirir:

1. Güvenlik kiracısında (Resource Guard'ı içerir), Privileged Identity Management'a gidin (Bunu Azure portalındaki arama çubuğunda arayın) ve ardından Azure Kaynakları'na gidin (soldaki menüde Yönet'in altında).

2. Yedekleme MUA İşleci rolünü atamak istediğiniz kaynağı (Resource Guard veya içeren abonelik/RG) seçin.

   Kaynak listesinde ilgili kaynağı görmüyorsanız, PIM tarafından yönetilecek içeren aboneliği eklediğinizden emin olun.

3. Seçili kaynakta Atamalar'a gidin (soldaki menüde Yönet'in altında) ve Atama ekle'ye gidin.

   

4. Atama ekle bölümünde:

   1. Rolü Yedekleme MUA İşleci olarak seçin.
   2. Üye seç'e gidin ve Yedekleme yöneticisinin kullanıcı adını (veya e-posta kimliklerini) ekleyin.
   3. İleri'yi seçin.

   

5. Sonraki ekranda:

   1. Atama türü altında Uygun'u seçin.
   2. Uygun iznin geçerli olduğu süreyi belirtin.
   3. Uygun atamayı oluşturmayı tamamlamak için Ata'yı seçin.

   

Yedekleme MUA İşleci rolünü etkinleştirmek için onaylayıcıları belirleme

Varsayılan olarak, yukarıdaki kurulumun PIM'de yapılandırılmış bir onaylayanı (ve onay akışı gereksinimi) olmayabilir. Onaylayanların istek onayı için Yedekleme MUA İşleci rolüne sahip olduğundan emin olmak için Güvenlik yöneticisinin şu adımları izlemesi gerekir:

Not

Bu yapılandırılmazsa, tüm istekler güvenlik yöneticilerine veya atanmış bir onaylayanın gözden geçirmesine gerek kalmadan otomatik olarak onaylanır. Bununla ilgili daha fazla ayrıntıya buradan ulaşabilirsiniz

1. Microsoft Entra PIM'de sol gezinti çubuğundan Azure Kaynakları'nı seçin ve Resource Guard'ınızı seçin.

2. Ayarlar'a ve ardından Yedekleme MUA İşleci rolüne gidin.

   

3. Onaylayanların Hiçbiri'ni gösterdiğini veya yanlış onaylayanları görüntülediğini fark etmeniz durumunda, Yedekleme MUA İşleci rolü için etkinleştirme isteğini gözden geçirip onaylayacak olan gözden geçirenleri listeye eklemek amacıyla Düzenle'yi seçin.

4. Etkinleştirme sekmesinde, Onay gerektir'i seçin ve her isteği onaylaması gereken onaylayanları ekleyin.

5. Güvenlik seçeneklerini belirleyin, örneğin çok faktörlü kimlik doğrulaması (MFA), Yedekleme MUA Operatörü rolünü etkinleştirmek için bilet zorunluluğu gibi.

6. Ödev ve Bildirim sekmelerinde gerektiği gibi uygun seçenekleri belirleyin.

   

7. Onaylayanların kurulumunu tamamlamak ve Yedek MUA İşleci rolünü etkinleştirmek için Güncelleştir'i seçin.

Kritik işlemleri gerçekleştirmek için uygun atamanın etkinleştirilmesini isteme

Güvenlik yöneticisi uygun bir atama oluşturduğunda, Yedekleme yöneticisinin korumalı eylemler gerçekleştirebilmesi için Yedekleme MUA operatörü rolünün atamasını etkinleştirmesi gerekir.

Rol atamasını etkinleştirmek için şu adımları izleyin:

1. Microsoft Entra Privileged Identity Management'a gidin. Resource Guard başka bir dizindeyse, bu dizine geçin ve ardından Microsoft Entra Privileged Identity Management'a gidin.

2. Soldaki menüden Rollerim>Azure kaynakları'na gidin.

3. Yedekleme MUA İşleci rolü için uygun atamayı etkinleştirmek için Etkinleştir'i seçin.

   İsteğin onay için gönderildiğini bildiren bir bildirim görüntülenir.

   

Kritik işlemleri gerçekleştirmek için isteklerin etkinleştirilmesini onaylama

Yedekleme yöneticisi, Yedekleme MUA İşleci rolünü etkinleştirme isteğinde bulunduktan sonra, isteğin güvenlik yöneticisi tarafından gözden geçirilmesi ve onaylanması gerekir.

1. Güvenlik kiracısında Microsoft Entra Privileged Identity Management'a gidin.
2. İstekleri Onayla'ya gidin.
3. Azure kaynakları altında, Yedekleme yöneticisinin Yedekleme MUA İşleci olarak etkinleştirilmesi için yaptığı talep görülebilir.
4. İsteği gözden geçirin. Gerçekse isteği seçin ve onaylamak için Onayla'yı seçin.
5. Yedekleme yöneticisine, e-posta (veya diğer kuruluş uyarı mekanizmaları) tarafından isteğinin onaylandığı bildirilir.
6. Onaylandığında, Yedekleme yöneticisi istenen süre boyunca korumalı işlemler gerçekleştirebilir.

Onaydan sonra korumalı işlem gerçekleştirme

Backup yöneticisinin Resource Guard'da Yedekleme MUA İşleci rolüne yönelik isteği onaylandıktan sonra ilişkili kasada korumalı işlemler gerçekleştirebilir. Resource Guard başka bir dizindeyse, Yedekleme yöneticisinin kimliğini doğrulaması gerekir.

Not

Erişim bir JIT mekanizması kullanılarak atandıysa, onaylanan sürenin sonunda Yedekleme MUA İşleci rolü geri çekilir. Aksi halde, Güvenlik yöneticisi kritik işlemi gerçekleştirmek için Yedekleme yöneticisine atanan Yedekleme MUA İşleci rolünü el ile kaldırır.

Kurtarma Hizmetleri kasasında MUA'yı devre dışı bırakın

MUA'yı devre dışı bırakmak korumalı bir işlem olduğundan kasalar MUA kullanılarak korunur. (Yedekleme yöneticisi) MUA'yı devre dışı bırakmak istiyorsanız, Resource Guard'da gerekli Yedekleme MUA İşleci rolüne sahip olmanız gerekir.

İstemci seçin

Azure portalı

Bir kasada MUA'yı devre dışı bırakmak için şu adımları izleyin:

1. Yedekleme yöneticisi, Resource Guard'da Yedekleme MUA İşleci rolü için Güvenlik yöneticisine istekte bulunur. Kuruluş tarafından onaylanan yöntemler, örneğin Microsoft Entra Privileged Identity Management gibi JIT prosedürleri veya diğer iç araçlar ve yöntemlerin kullanılmasını talep edebilirler.

2. Güvenlik yöneticisi isteği onaylar (onaylanmayı hak ederse) ve Yedekleme yöneticisine bildirir. Yedekleme yöneticisi artık Resource Guard'da Yedekleme MUA İşleci rolüne sahiptir.

3. Yedekleme yöneticisi Kasa >Özellikleri>Çok Kullanıcılı Yetkilendirme'ye gider.

4. Güncelleştir'i seçin.

   1. Resource Guard ile koru onay kutusunu temizleyin.
   2. Resource Guard'ı içeren Dizini seçin ve Kimliği Doğrula düğmesini (varsa) kullanarak erişimi doğrulayın.
   3. Kimlik doğrulamasının ardından Kaydet'i seçin. Doğru erişimle, istek başarıyla tamamlanmalıdır.

   

PowerShell

Kurtarma Hizmetleri kasasında MUA'yı devre dışı bırakmak için aşağıdaki cmdlet'i kullanın:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• İlk komut, resource guard'ın bulunduğu resource guard kiracısı için erişim belirtecini getirir.
• İkinci komut, Kurtarma Hizmetleri kasası ile kaynak koruyucusu arasındaki eşlemeyi siler.

Not

Belirteç parametresi isteğe bağlıdır ve yalnızca tenants arası korumalı işlemleri doğrulamak için gereklidir.

CLI

Kurtarma Hizmetleri kasasında MUA'yı devre dışı bırakmak için aşağıdaki komutu çalıştırın.

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

Eğer kaynak koruyucu farklı bir kiracıda bulunuyorsa, kiracı kimliği gereklidir.

Örnek:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Bu makalede, Yedekleme kasalarında kritik işlemlerin güvenliğini artırmak için Azure Backup için Çok Kullanıcılı Yetkilendirmenin (MUA) nasıl yapılandırıldığı açıklanır. En yüksek koruma için ayrı bir kiracıda Resource Guard oluşturulmasını kapsar ve Resource Guard'ı barındıran kiracıda Microsoft Entra Privileged Identity Management kullanarak kritik işlem erişimi isteme ve onaylamayı gösterir. Alternatif olarak, kuruluş kurulumunuz temelinde tam zamanında (JIT) izinleri yönetmek için diğer yöntemleri kullanabilirsiniz.

Not

• Yedekleme kasası için Resource Guard kullanılarak çoklu kullanıcı yetkilendirmesi genel kullanıma sunuldu.
• Azure Backup için çok kullanıcılı yetkilendirme tüm genel Azure bölgelerinde kullanılabilir.

Önkoşullar

Bir Backup kasası için çok kullanıcılı yetkilendirmeyi yapılandırmadan önce aşağıdaki önkoşulların karşılandığından emin olun:

• Resource Guard ve Backup kasası aynı Azure bölgesinde olmalıdır.
• Yedekleme yöneticisinin Resource Guard üzerinde Katkıda Bulunan, Yedekleme MUA Yöneticisi veya Yedekleme MUA İşleci izinleri olmamalıdır. En yüksek yalıtımı sağlamak için Resource Guard'ın aynı dizine ait başka bir abonelikte veya başka bir dizinde olmasını seçebilirsiniz.
• Abonelikler Backup kasasını ve Resource Guard'ı (farklı aboneliklerde veya kiracılarda) sağlayıcıyı kullanmak için kayıtlı olmalıdır - Microsoft.DataProtection4. Daha fazla bilgi için bkz . Azure kaynak sağlayıcıları ve türleri.

Çeşitli MUA kullanım senaryoları hakkında bilgi edinin.

Resource Guard oluşturma

Güvenlik yöneticisi Resource Guard'ı oluşturur. Kasa olarak farklı bir abonelikte veya farklı bir kiracıda oluşturmanızı öneririz. Ancak, kasayla aynı bölgede olmalıdır.

Yedekleme yöneticisinin katkı sağlayan, Yedek MUA Yöneticisi veya Yedekleme MUA İşletimcisi erişimi Resource Guard'da veya onu içeren abonelikte OLMAMALIDIR.

Kasa kiracısından farklı bir kiracıda Güvenlik yöneticisi olarak Resource Guard oluşturmak için şu adımları izleyin:

1. Azure portalında, Resource Guard'ı oluşturmak istediğiniz dizine gidin.

   

2. Arama çubuğunda Kaynak Korumaları'nı arayın ve açılan listeden ilgili öğeyi seçin.

   

   1. Resource Guard oluşturmak için Oluştur'u seçin.
   2. Oluştur bölmesinde, bu Resource Guard için gerekli ayrıntıları doldurun.
      • Resource Guard'ın Backup kasasıyla aynı Azure bölgesinde olduğundan emin olun.
      • Gerektiğinde ilişkili kasalarda eylem gerçekleştirmek için erişim isteme hakkında bir açıklama ekleyin. Bu açıklama, Yedekleme yöneticisine gerekli izinleri edinme konusunda rehberlik etmek için ilişkili kasalarda görünür.

3. Korumalı işlemler sekmesinde, Yedekleme kasası sekmesinin altında bu kaynak korumasını kullanarak korumanız gereken işlemleri seçin.

   Şu anda Korumalı işlemler sekmesi yalnızca devre dışı bırakmak için Yedekleme örneğini sil seçeneğini içerir.

   Resource Guard'ı oluşturduktan sonra koruma işlemlerini de seçebilirsiniz.

   

4. İsteğe bağlı olarak, gereksinimlere göre Resource Guard'a herhangi bir etiket ekleyin.

5. Gözden Geçir + Oluştur'u seçin ve ardından Resource Guard'ın durumunu ve başarıyla oluşturulmasını izlemek için bildirimleri izleyin.

Resource Guard kullanarak korunacak işlemleri seçme

Kasa oluşturulduktan sonra Güvenlik Yöneticisi, desteklenen tüm kritik operasyonlar arasında Resource Guard'ı kullanarak koruma operasyonlarını da seçebilir. Varsayılan olarak, desteklenen tüm kritik işlemler etkinleştirilir. Ancak, Güvenlik yöneticisi Resource Guard kullanarak belirli işlemleri MUA'nın kapsamına düşmekten muaf tutabilirsiniz.

Koruma işlemlerini seçmek için şu adımları izleyin:

1. Oluşturduğunuz Resource Guard'da Özelliklergidin.

2. Yetkilendirilmesinin dışında tutmak istediğiniz işlemler için Devre Dışı Bırak'ı seçin.

   MUA korumasını kaldır ve Geçici silme işlemlerini devre dışı bırakamazsınız.

3. İsteğe bağlı olarak, Yedekleme kasaları sekmesinde Resource Guard'ın açıklamasını güncelleştirin.

4. Kaydet'i seçin.

   

MUA'yı etkinleştirmek için Resource Guard'da Yedekleme yöneticisine izinler atama

Bir kasada MUA'yı etkinleştirmek için Yedekleme yöneticisinin Resource Guard'da veya Resource Guard'ı içeren abonelikte Okuyucu rolüne sahip olması gerekir. Güvenlik yöneticisinin bu rolü Yedekleme yöneticisine ataması gerekir.

Resource Guard'da Okuyucu rolünü atamak için şu adımları izleyin:

1. Yukarıda oluşturulan Resource Guard'da Erişim Denetimi (IAM) bölmesine gidin ve rol ataması ekle'ye gidin.

   

2. Yerleşik roller listesinden Okuyucu'ya tıklayın ve İleri'ye tıklayın.

   

3. Üyeleri seç'e tıklayın ve Okuyucu rolünü atamak için Yedekleme yöneticisinin e-posta kimliğini ekleyin.

   Yedekleme yöneticileri başka bir kiracıda olduğundan, Resource Guard'ı içeren kiracıya konuk olarak eklenirler.

4. Rol atamasını tamamlamak için Seç'e>Gözden Geçir + Ata'ya tıklayın.

   

Yedekleme kasasında MUA'yı etkinleştirme

Yedekleme yöneticisi Resource Guard'da Okuyucu rolüne sahip olduktan sonra, aşağıdaki adımları izleyerek yönetilen kasalarda çok kullanıcılı yetkilendirmeyi etkinleştirebilir:

1. MUA'nın yapılandırılmasını istediğiniz yedekleme kasasına gidin.

2. Sol panelde Özellikler'i seçin.

3. Çok Kullanıcılı Yetkilendirme'ye gidin ve Güncelleştir'i seçin.

   

4. MUA'yı etkinleştirmek ve resource guard seçmek için aşağıdaki eylemlerden birini gerçekleştirin:

   • Resource Guard'ın URI'sini belirtebilirsiniz. Okuyucu erişiminiz olan bir Resource Guard'ın URI'sini belirttiğinizden ve bunun kasayla aynı bölgede olduğundan emin olun. Resource Guard'ın URI'sini (Resource Guard Kimliği) Genel Bakış sayfasında bulabilirsiniz.

     

   • Alternatif olarak, bölgede mevcut olan ve Okuyucu erişiminiz olan Kaynak Korumaları listesinden Resource Guard'ı seçebilirsiniz.

     1. Resource Guard'u Seç'e tıklayın.
     2. Açılan listeyi seçin ve Resource Guard'ın içinde olduğu dizini seçin.
     3. Kimliğinizi ve erişiminizi doğrulamak için Kimliği doğrula'yı seçin.
     4. Kimlik doğrulamasından sonra, görüntülenen listeden Resource Guard'ı seçin.

     

5. MUA'yı etkinleştirmek için Kaydet'i seçin.

   

MUA kullanan korumalı işlemler

Yedekleme yöneticisi MUA'yı etkinleştirdikten sonra, belirtilen kapsam içindeki işlemler veri deposunda kısıtlanır ve eğer Yedekleme yöneticisi bu işlemleri Resource Guard üzerinde Backup MUA İşleci rolüne sahip olmadan gerçekleştirmeye çalışırsa, bu işlemler başarısız olur.

Not

MUA'nın aşağıdakiler için etkinleştirilmesini sağladıktan sonra kurulumunuzu test etmenizi kesinlikle öneririz:

• Korumalı işlemler beklendiği gibi engellenir.
• MUA doğru yapılandırıldı.

Korumalı bir işlem gerçekleştirmek (MUA'yı devre dışı bırakmak) için şu adımları izleyin:

1. Sol bölmedeki >Özellikler sekmesinde depoya gidin.

2. MUA'yi devre dışı bırakmak için onay kutusunu temizleyin.

   Bunun korumalı bir işlem olduğunu belirten bir bildirim alırsınız ve Resource Guard'a erişiminiz olması gerekir.

3. Resource Guard'ı içeren dizini seçin ve kimliğinizi doğrulayın.

   Resource Guard kasayla aynı dizinde olduğu takdirde bu adım gerekmez.

4. Kaydet'i seçin.

   İstek, Resource Guard'da bu işlemi gerçekleştirmek için yeterli izinlere sahip olmadığınızı belirten bir hatayla başarısız oluyor.

   

Microsoft Entra Privileged Identity Management kullanarak kritik (korumalı) işlemleri yetkilendirme

Yedeklemelerinizde kritik işlemler gerçekleştirmeniz gerekebileceği ve bunları MUA ile doğru onaylar veya izinlerle gerçekleştirebileceğiniz senaryolar vardır. Aşağıdaki bölümlerde Privileged Identity Management (PIM) kullanarak kritik işlem isteklerinin nasıl yetkilendirilecekleri açıklanmaktadır.

Resource Guard kapsamında kritik işlemler gerçekleştirmek için Yedekleme yöneticisinin Resource Guard'da Bir Yedekleme MUA İşleci rolü olmalıdır. Tam zamanında (JIT) işlemlere izin vermenin yollarından biri, Microsoft Entra Privileged Identity Management'ın kullanılmasıdır.

Not

Microsoft Entra PIM'i kullanmanızı öneririz. Ancak, Resource Guard'da Yedekleme yöneticisinin erişimini yönetmek için el ile veya özel yöntemler de kullanabilirsiniz. Resource Guard'a erişimi el ile yönetmek için Resource Guard'ın sol bölmesindeki Erişim denetimi (IAM) ayarını kullanın ve Yedekleme yöneticisine Yedekleme MUA İşleci rolü verin.

Microsoft Entra Privileged Identity Management kullanarak Yedekleme yöneticisi için uygun bir atama oluşturma

Güvenlik yöneticisi, Resource Guard'a Yedekleme MUA İşleci olarak Yedekleme yöneticisi için uygun bir atama oluşturmak üzere PIM kullanabilir. Bu, Yedekleme yöneticisinin korumalı bir işlem gerçekleştirmesi gerektiğinde bir istek (Yedekleme MUA İşleci rolü için) oluşturmasını sağlar.

Uygun bir atama oluşturmak için aşağıdaki adımları izleyin:

1. Azure Portal’ında oturum açın.

2. Resource Guard'ın güvenlik kiracısına gidin ve aramaya Privileged Identity Management yazın.

3. Sol bölmede Yönet'i seçin ve Azure Kaynakları'na gidin.

4. Yedekleme MUA İşleci rolünü atamak istediğiniz kaynağı (Resource Guard veya içeren abonelik/RG) seçin.

   Eğer karşılık gelen kaynakları bulamazsanız, PIM tarafından yönetilen ve kaynakları içeren aboneliği ekleyin.

5. Kaynağı seçin ve Atamaları YönetAtama ekle'ye>> gidin.

   

6. Atama ekle bölümünde:

   1. Rolü Yedekleme MUA İşleci olarak seçin.
   2. Üye seç'e gidin ve Yedekleme yöneticisinin kullanıcı adını (veya e-posta kimliklerini) ekleyin.
   3. İleri'yi seçin.

   

7. Atama'da Uygun'a tıklayın ve uygun izin süresinin geçerliliğini belirtin.

8. Uygun atamayı oluşturmayı tamamlamak için Ata'yı seçin.

   

Katkıda Bulunan rolünün etkinleştirilmesi için onaylayıcıları ayarlayın

Varsayılan olarak, yukarıdaki kurulumun PIM'de yapılandırılmış bir onaylayanı (ve onay akışı gereksinimi) olmayabilir. Onaylayanların istek onayı için Katkıda Bulunan rolüne sahip olduğundan emin olmak için Güvenlik yöneticisinin şu adımları izlemesi gerekir:

Not

Onaylayıcı kurulumu yapılandırılmamışsa, istekler Güvenlik yöneticileri veya atanmış bir onaylayıcının incelemesine gerek kalmadan otomatik olarak onaylanır. Daha fazla bilgi edinin.

1. Microsoft Entra PIM'de sol bölmede Azure Kaynakları'nı seçin ve Resource Guard'ınızı seçin.

2. Ayarlar>Katkıda Bulunan rolü'ne gidin.

   Katılımcı ekleme yöntemini gösteren ekran görüntüsü.

3. Onaylayanların Hiçbiri'ni gösterdiğini veya yanlış onaylayanları görüntülediğini fark etmeniz durumunda Katkıda Bulunan rolü için etkinleştirme isteğini gözden geçirmesi ve onaylaması gereken gözden geçirenleri eklemek için Düzenle'yi seçin.

4. Etkinleştirme sekmesinde, her isteği onaylaması gereken onaylayanları eklemek için etkinleştirmek için Onay gerektir'i seçin.

5. Katkıda Bulunan rolünü etkinleştirmek için çok faktörlü kimlik doğrulaması (MFA), Mandating bileti gibi güvenlik seçeneklerini belirleyin.

6. Atama ve Bildirim sekmelerinde, gereksinimlerinize göre uygun seçenekleri belirleyin.

   

7. Onaylayıcıların kurulumunu tamamlamak veKatkıda Bulunan rolünü etkinleştirmek için Güncelleştir'i seçin.

Kritik işlemleri gerçekleştirmek için uygun atamanın etkinleştirilmesini isteme

Güvenlik yöneticisi uygun bir atama oluşturduğunda, Yedekleme yöneticisinin korumalı eylemler gerçekleştirmek için Katkıda Bulunan rolü için rol atamasını etkinleştirmesi gerekir.

Rol atamasını etkinleştirmek için aşağıdaki adımları izleyin:

1. Microsoft Entra Privileged Identity Management'a gidin. Resource Guard başka bir dizindeyse, bu dizine geçin ve ardından Microsoft Entra Privileged Identity Management'a gidin.

2. Sol bölmede Rollerim>Azure kaynakları'na gidin.

3. Etkinleştir'i seçin ve Katkıda Bulunan rolü için uygun atamayı etkinleştirin.

   İsteğin onay için gönderildiğini bildiren bir bildirim görüntülenir.

   

Kritik işlemleri gerçekleştirmek için etkinleştirme isteklerini onaylama

Yedekleme yöneticisi Katkıda Bulunan rolünü etkinleştirme isteğinde bulunduktan sonra Güvenlik yöneticisinin isteği gözden geçirmesi ve onaylaması gerekir.

İsteği gözden geçirmek ve onaylamak için şu adımları izleyin:

1. Güvenlik kiracısında Microsoft Entra Privileged Identity Management'a gidin.

2. İstekleri Onayla'ya gidin.

3. Azure kaynakları altında onay bekleyen isteği görebilirsiniz.

   Orijinal isteği gözden geçirmek ve onaylamak için Onayla'yı seçin.

Onaydan sonra, Yedekleme yöneticisi e-posta veya diğer iç uyarı seçenekleri aracılığıyla isteğin onaylandığını belirten bir bildirim alır. Artık Yedekleme yöneticisi istenen süre boyunca korumalı işlemleri gerçekleştirebilir.

Onaydan sonra korumalı işlem gerçekleştirme

Güvenlik yöneticisi, Yedekleme yöneticisinin Kaynak Koruyucu'da Yedekleme MUA Operatörü rolü isteğini onayladıktan sonra, ilişkili kasada korumalı işlemler gerçekleştirebilir. Resource Guard başka bir dizindeyse, Yedekleme yöneticisinin kimliğini doğrulaması gerekir.

Not

Erişim bir JIT mekanizması kullanılarak atandıysa, onaylanan sürenin sonunda Yedekleme MUA İşleci rolü geri çekilir. Aksi takdirde, Güvenlik yöneticisi kritik işlemi gerçekleştirmek için Yedekleme yöneticisine atanan Yedekleme MUA İşleci rolünü el ile kaldırır.

Aşağıdaki ekran görüntüsünde, MUA özellikli kasa için geçici silmeyi devre dışı bırakma örneği gösterilmektedir.

Yedekleme kasasında MUA'yı devre dışı bırakın

MUA'nın devre dışı bırakılması, yalnızca Yedekleme yöneticisi tarafından yapılması gereken korumalı bir işlemdir. Bunu yapmak için Yedekleme yöneticisinin Resource Guard'da gerekli Yedekleme MUA İşleci rolüne sahip olması gerekir. Bu izni almak için, Yedekleme yöneticisinin, Resource Guard'da Yedekleme MUA İşleci rolü için Güvenlik yöneticisinden, Microsoft Entra Privileged Identity Management veya iç araçlar gibi tam zamanında (JIT) yöntemi kullanarak istekte bulunması gerekir.

Ardından, Güvenlik yöneticisi isteğin gerçekse onaylar ve şu anda Kaynak koruyucu üzerinde Yedekleme MUA Operatörü rolüne sahip olan Yedekleme yöneticisini günceller. Bu rolü nasıl edinebileceğiniz hakkında daha fazla bilgi edinin.

MUA'yı devre dışı bırakmak için Yedekleme yöneticilerinin şu adımları izlemesi gerekir:

1. Kasa >Özellikleri>Çok Kullanıcılı Yetkilendirme'ye gidin.

2. Güncelleştir'iseçin ve Resource Guard ile koru onay kutusunu temizleyin.

3. Resource Guard'ı içeren Dizini seçmek ve erişimi doğrulamak için Kimlik Doğrulaması (varsa) seçeneğini belirleyin.

4. MUA'yı devre dışı bırakma işlemini tamamlamak için Kaydet'i seçin.

   

Sonraki adımlar

Resource Guard kullanarak çok kullanıcılı yetkilendirme hakkında daha fazla bilgi edinin.