Azure Backup'ta Resource Guard kullanarak çok kullanıcılı yetkilendirmeyi yapılandırma

Bu makalede, Kurtarma Hizmetleri kasalarınızdaki kritik işlemlere ek bir koruma katmanı eklemek üzere Azure Backup için Çok kullanıcılı yetkilendirmenin (MUA) nasıl yapılandırıldığı açıklanır.

Bu makalede, maksimum koruma sunan farklı bir kiracıda Resource Guard oluşturma işlemi gösterilmektedir. Ayrıca Resource Guard'ı barındıran kiracıda Microsoft Entra Privileged Identity Management kullanarak kritik işlemleri gerçekleştirmek için isteklerin nasıl istenip onaylanabilmesini de gösterir. İsteğe bağlı olarak, kurulumunuza göre Resource Guard'da JIT izinlerini yönetmek için başka mekanizmalar kullanabilirsiniz.

Dekont

• Azure Backup için çok kullanıcılı yetkilendirme tüm genel Azure bölgelerinde kullanılabilir.
• Yedekleme kasası için Resource Guard kullanılarak çoklu kullanıcı yetkilendirmesi genel kullanıma sunuldu. Daha fazla bilgi edinin.

Başlamadan önce

• Resource Guard ve Kurtarma Hizmetleri kasasının aynı Azure bölgesinde olduğundan emin olun.
• Yedekleme yöneticisinin Resource Guard üzerinde Katkıda Bulunan izinlerine sahip olmadığından emin olun. En yüksek yalıtımı sağlamak için Resource Guard'ın aynı dizine ait başka bir abonelikte veya başka bir dizinde olmasını seçebilirsiniz.
• Kurtarma Hizmetleri kasasını ve Resource Guard'ı (farklı aboneliklerde veya kiracılarda) içeren aboneliklerinizin Microsoft.RecoveryServices ve Microsoft.DataProtection sağlayıcılarını kullanacak şekilde kaydedildiğinden emin olun. Daha fazla bilgi için bkz . Azure kaynak sağlayıcıları ve türleri.

Çeşitli MUA kullanım senaryoları hakkında bilgi edinin.

Resource Guard oluşturma

Güvenlik yöneticisi Resource Guard'ı oluşturur. Kasa olarak farklı bir abonelikte veya farklı bir kiracıda oluşturmanızı öneririz. Ancak, kasayla aynı bölgede olmalıdır. Yedekleme yöneticisinin Resource Guard'da veya onu içeren abonelikte katkıda bulunan erişimi OLMAMALıDıR.

İstemci seçme

Azure portalı

Kasa kiracısından farklı bir kiracıda Resource Guard oluşturmak için şu adımları izleyin:

1. Azure portalında, Resource Guard'ı oluşturmak istediğiniz dizine gidin.

   

2. Arama çubuğunda Kaynak Korumaları'nı arayın ve açılan listeden ilgili öğeyi seçin.

   

   • Resource Guard oluşturmaya başlamak için Oluştur'u seçin.
   • Oluştur dikey penceresinde bu Resource Guard için gerekli ayrıntıları doldurun.
     • Resource Guard'ın Kurtarma Hizmetleri kasasıyla aynı Azure bölgelerinde olduğundan emin olun.
     • Ayrıca, gerektiğinde ilişkili kasalarda eylem gerçekleştirmek için erişim alma veya erişim isteme hakkında bir açıklama eklemek de yararlıdır. Bu açıklama, yedekleme yöneticisine gerekli izinleri alma konusunda yol göstermek için ilişkili kasalarda da görünür. Gerekirse açıklamayı daha sonra düzenleyebilirsiniz, ancak her zaman iyi tanımlanmış bir açıklamaya sahip olmanız tavsiye edilir.

3. Korumalı işlemler sekmesinde, bu kaynak korumasını kullanarak korumanız gereken işlemleri seçin.

   Resource Guard'ı oluşturduktan sonra koruma işlemlerini de seçebilirsiniz.

4. İsteğe bağlı olarak, gereksinimlere göre Resource Guard'a herhangi bir etiket ekleyin

5. Gözden Geçir + Oluştur'u seçin ve Resource Guard'ın durumu ve başarıyla oluşturulması için bildirimleri izleyin.

PowerShell

Kaynak koruyucusu oluşturmak için aşağıdaki cmdlet'i çalıştırın:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

Bir resource guard oluşturmak için aşağıdaki komutu çalıştırın:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Resource Guard kullanarak korunacak işlemleri seçme

Desteklenen tüm kritik işlemlerden Resource Guard'ı kullanarak korumak istediğiniz işlemleri seçin. Varsayılan olarak, desteklenen tüm kritik işlemler etkinleştirilir. Ancak, siz (güvenlik yöneticisi olarak) Resource Guard kullanarak belirli işlemleri MUA'nın saf görünümüne düşmekten muaf tutabilirsiniz.

İstemci seçme

Azure portalı

muaf işlemler için şu adımları izleyin:

1. Yukarıda oluşturulan Resource Guard'da Özellikler>Kurtarma Hizmetleri kasası sekmesine gidin.

2. Resource Guard kullanılarak yetkilendirilmesinin dışında tutmak istediğiniz işlemler için Devre Dışı Bırak'ı seçin.

   Dekont

   Korumalı işlemleri devre dışı bırakamazsınız - Geçici silmeyi devre dışı bırakın ve MUA korumasını kaldırın.

3. İsteğe bağlı olarak, bu dikey pencereyi kullanarak Resource Guard'ın açıklamasını da güncelleştirebilirsiniz.

4. Kaydet'i seçin.

   

PowerShell

İşlemleri güncelleştirmek için. Bunlar, işlemleri resource guard tarafından korumanın dışında tutar, aşağıdaki cmdlet'leri çalıştırın:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• İlk komut, güncelleştirilmesi gereken resource guard'ı getirir.
• İkinci ve üçüncü komutlar, güncelleştirmek istediğiniz kritik işlemleri getirir.
• Dördüncü komut, bazı kritik işlemleri resource guard'ın dışında tutar.

CLI

Resource guard tarafından korunmadan dışlanacak işlemleri güncelleştirmek için aşağıdaki komutları çalıştırın:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Örnek:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

MUA'yı etkinleştirmek için Resource Guard'da Yedekleme yöneticisine izinler atama

Kasada MUA'yı etkinleştirmek için kasa yöneticisinin Resource Guard'da okuyucu rolüne veya Resource Guard'ı içeren aboneliğe sahip olması gerekir. Resource Guard'da Okuyucu rolünü atamak için:

1. Yukarıda oluşturulan Resource Guard'da Erişim Denetimi (IAM) dikey penceresine gidin ve rol ataması ekle'ye gidin.

   

2. Yerleşik roller listesinden Okuyucu'ya tıklayın ve İleri'ye tıklayın.

   

3. Üyeleri seç'e tıklayın ve Bunları Okuyucu olarak eklemek için Yedekleme yöneticisinin e-posta kimliğini ekleyin. Yedekleme yöneticisi bu durumda başka bir kiracıda olduğundan, Resource Guard'ı içeren kiracıya konuk olarak eklenir.

4. Seç'e tıklayın ve ardından rol atamasını tamamlamak için Gözden geçir ve ata'ya geçin.

   

Kurtarma Hizmetleri kasasında MUA'yı etkinleştirme

Resource Guard'da Okuyucu rolü ataması tamamlandıktan sonra, yönettiğiniz kasalarda (Yedekleme yöneticisi olarak) çok kullanıcılı yetkilendirmeyi etkinleştirin.

İstemci seçme

Azure portalı

Kasalarda MUA'yı etkinleştirmek için aşağıdaki adımları izleyin.

1. Kurtarma Hizmetleri kasasına gidin. Sol gezinti panelinde Özellikler'e gidin, ardından Çok Kullanıcılı Yetkilendirme'yegidin ve Güncelleştir'i seçin.

   

2. Şimdi size MUA'yı etkinleştirme ve aşağıdaki yollardan birini kullanarak bir Resource Guard seçme seçeneği sunulur:

   • Resource Guard'ın URI'sini belirtebilir, Okuyucu erişimine sahip olduğunuz ve kasayla aynı bölgeler olan resource Guard'ın URI'sini belirttiğinizden emin olun. Resource Guard'ın URI'sini (Resource Guard Kimliği) Genel Bakış ekranında bulabilirsiniz:

     

   • Alternatif olarak, Okuyucu erişiminiz olan Ve bölgede bulunan Kaynak Korumaları listesinden Resource Guard'ı seçebilirsiniz.

     1. Resource Guard Seç'e tıklayın
     2. Açılan listeyi seçin ve ardından Resource Guard'ın içinde olduğu dizini seçin.
     3. Kimliğinizi ve erişiminizi doğrulamak için Kimliği doğrula'yı seçin.
     4. Kimlik doğrulamasından sonra, görüntülenen listeden Resource Guard'ı seçin.

     

3. MUA'yı etkinleştirmek için Tamamlandıktan sonra kaydet'i seçin.

   

PowerShell

Kurtarma Hizmetleri kasasında MUA'yı etkinleştirmek için aşağıdaki cmdlet'i çalıştırın:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• İlk komut, resource guard'ın bulunduğu resource guard kiracısı için erişim belirtecini getirir.
• İkinci komut, RSVault $vault ile Resource guard arasında bir eşleme oluşturur.

Dekont

Belirteç parametresi isteğe bağlıdır ve yalnızca kiracılar arası korumalı işlemlerin kimliğini doğrulamak için gereklidir.

CLI

Kurtarma Hizmetleri kasasında MUA'yı etkinleştirmek için aşağıdaki komutu çalıştırın:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

Kaynak koruyucu farklı bir kiracıda varsa kiracı kimliği gereklidir.

Örnek:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

MUA kullanan korumalı işlemler

MUA'yı etkinleştirdikten sonra, Backup yöneticisi bunları Resource Guard'da gerekli role (katkıda bulunan rolü) sahip olmadan gerçekleştirmeye çalışırsa kasada kapsamdaki işlemler kısıtlanır.

Dekont

Korumalı işlemlerin beklendiği gibi engellendiğinden ve MUA'nın doğru yapılandırıldığından emin olmak için MUA'yi etkinleştirdikten sonra kurulumunuzu test etmenizi kesinlikle öneririz.

Aşağıda, Yedekleme yöneticisi böyle bir korumalı işlemi gerçekleştirmeye çalıştığında ne olduğunu gösteren bir çizim verilmiştir (Örneğin, geçici silmeyi devre dışı bırakmak burada gösterilmiştir. Diğer korumalı işlemler benzer bir deneyime sahiptir). Aşağıdaki adımlar, gerekli izinlere sahip olmayan bir Yedekleme yöneticisi tarafından gerçekleştirilir.

1. Geçici silmeyi devre dışı bırakmak için Kurtarma Hizmetleri kasası >Özellikler>Güvenlik Ayarlar gidin ve Güvenlik Ayarlar getiren Güncelleştir'i seçin.

2. Kaydırıcıyı kullanarak geçici silmeyi devre dışı bırakın. Bunun korumalı bir işlem olduğu ve Resource Guard'a erişimini doğrulamanız gerektiği size bildirilir.

3. Resource Guard'ı içeren dizini seçin ve Kimliğinizi doğrulayın. Resource Guard kasayla aynı dizindeyse bu adım gerekli olmayabilir.

4. Kaydet'i seçmek için devam edin. İstek, bu işlemi gerçekleştirmenize izin vermek için Resource Guard'da yeterli izinlere sahip olmadığı konusunda bilgilendiren bir hatayla başarısız oluyor.

   

Microsoft Entra Privileged Identity Management kullanarak kritik (korumalı) işlemleri yetkilendirme

Aşağıdaki bölümlerde, PIM kullanarak bu istekleri yetkilendirme ele alınıyor. Yedeklemelerinizde kritik işlemler gerçekleştirmeniz gerekebilecek durumlar vardır ve MUA bunların yalnızca doğru onaylar veya izinler mevcut olduğunda gerçekleştirilmesini sağlamanıza yardımcı olabilir. Daha önce açıklandığı gibi, Resource Guard kapsamındaki kritik işlemleri gerçekleştirmek için Yedekleme yöneticisinin Resource Guard'da Katkıda Bulunan rolüne sahip olması gerekir. Bu tür işlemler için tam zamanında izin vermenin yollarından biri, Microsoft Entra Privileged Identity Management'ın kullanılmasıdır.

Dekont

Önerilen yaklaşım Microsoft Entra PIM kullanmak olsa da, Resource Guard'da Yedekleme yöneticisinin erişimini yönetmek için el ile veya özel yöntemler kullanabilirsiniz. Resource Guard'a erişimi el ile yönetmek için Resource Guard'ın sol gezinti çubuğundaki 'Erişim denetimi (IAM)' ayarını kullanın ve Yedekleme yöneticisine Katkıda Bulunan rolü verin.

Yedekleme yöneticisi için uygun bir atama oluşturma (Microsoft Entra Privileged Identity Management kullanıyorsanız)

Güvenlik yöneticisi, Resource Guard'a Katkıda Bulunan olarak Yedekleme yöneticisi için uygun bir atama oluşturmak üzere PIM kullanabilir. Bu, Yedekleme yöneticisinin korumalı bir işlem gerçekleştirmesi gerektiğinde bir istek (Katkıda Bulunan rolü için) oluşturmasını sağlar. Bunu yapmak için güvenlik yöneticisi aşağıdakileri gerçekleştirir:

1. Güvenlik kiracısında (Resource Guard'ı içerir), Privileged Identity Management'a gidin (Bunu Azure portalındaki arama çubuğunda arayın) ve ardından Azure Kaynakları'na gidin (soldaki menüde Yönet'in altında).

2. Katkıda Bulunan rolünü atamak istediğiniz kaynağı (Resource Guard veya içeren abonelik/RG) seçin.

   Kaynak listesinde ilgili kaynağı görmüyorsanız, PIM tarafından yönetilecek içeren aboneliği eklediğinizden emin olun.

3. Seçili kaynakta Atamalar'a gidin (soldaki menüde Yönet'in altında) ve Atama ekle'ye gidin.

   

4. Atama ekle bölümünde:

   1. Katkıda Bulunan olarak rolü seçin.
   2. Üye seç'e gidin ve Yedekleme yöneticisinin kullanıcı adını (veya e-posta kimliklerini) ekleyin.
   3. İleri'yi seçin.

   

5. Sonraki ekranda:

   1. Atama türü altında Uygun'u seçin.
   2. Uygun iznin geçerli olduğu süreyi belirtin.
   3. Uygun atamayı oluşturmayı tamamlamak için Ata'yı seçin.

   

Katkıda Bulunan rolünü etkinleştirmek için onaylayanları ayarlama

Varsayılan olarak, yukarıdaki kurulumun PIM'de yapılandırılmış bir onaylayanı (ve onay akışı gereksinimi) olmayabilir. Onaylayanların yalnızca yetkili isteklerin geçmesine izin vermek için gerekli olduğundan emin olmak için güvenlik yöneticisinin aşağıdaki adımları gerçekleştirmesi gerekir.

Dekont

Bu yapılandırılmazsa, tüm istekler güvenlik yöneticilerine veya atanmış bir onaylayanın gözden geçirmesine gerek kalmadan otomatik olarak onaylanır. Bununla ilgili daha fazla ayrıntıya buradan ulaşabilirsiniz

1. Microsoft Entra PIM'de sol gezinti çubuğundan Azure Kaynakları'nı seçin ve Resource Guard'ınızı seçin.

2. Ayarlar ve ardından Katkıda Bulunan rolüne gidin.

   

3. Onaylayanlar adlı ayar Yok gösteriyorsa veya yanlış onaylayanlar görüntülüyorsa, Katılımcı rolü için etkinleştirme isteğini gözden geçirmesi ve onaylaması gereken gözden geçirenleri eklemek için Düzenle'yi seçin.

4. Etkinleştirme sekmesinde, her isteği onaylaması gereken onaylayanları etkinleştirmek ve eklemek için Onay gerektir'i seçin. Katkıda Bulunan rolünü etkinleştirmek için MFA kullanma ve bilet seçeneklerini mandating gibi diğer güvenlik seçeneklerini de belirleyebilirsiniz. İsteğe bağlı olarak, gereksinimlerinize göre Ödev ve Bildirim sekmelerinde ilgili ayarları seçin.

   

5. Bitirdikten sonra Güncelleştir'i seçin.

Kritik işlemleri gerçekleştirmek için uygun atamanın etkinleştirilmesini isteme

Güvenlik yöneticisi uygun bir atama oluşturduğunda, Korumalı eylemler gerçekleştirebilmek için Yedekleme yöneticisinin Katkıda Bulunan rolü atamasını etkinleştirmesi gerekir. Rol atamasını etkinleştirmek için Yedekleme yöneticisi tarafından aşağıdaki eylemler gerçekleştirilir.

1. Microsoft Entra Privileged Identity Management'a gidin. Resource Guard başka bir dizindeyse, bu dizine geçin ve ardından Microsoft Entra Privileged Identity Management'a gidin.

2. Soldaki menüden Rollerim>Azure kaynakları'na gidin.

3. Yedekleme yöneticisi katkıda bulunan rolü için uygun atamayı görebilir. Etkinleştirmek için Etkinleştir'i seçin.

4. Yedekleme yöneticisine portal bildirimi aracılığıyla isteğin onay için gönderildiği bildirilir.

   

Kritik işlemleri gerçekleştirmek için isteklerin etkinleştirilmesini onaylama

Yedekleme yöneticisi Katkıda Bulunan rolünü etkinleştirme isteğinde bulunduktan sonra, isteğin güvenlik yöneticisi tarafından gözden geçirilmesi ve onaylanması gerekir.

1. Güvenlik kiracısında Microsoft Entra Privileged Identity Management'a gidin.
2. İstekleri Onayla'ya gidin.
3. Azure kaynakları altında, Katkıda Bulunan olarak etkinleştirme isteğinde bulunan Yedekleme yöneticisi tarafından gönderilen istek görülebilir.
4. İsteği gözden geçirin. Orijinalse, isteği seçin ve onaylamak için Onayla'yı seçin.
5. Yedekleme yöneticisine, e-posta (veya diğer kuruluş uyarı mekanizmaları) tarafından isteğinin onaylandığı bildirilir.
6. Onaylandığında, Yedekleme yöneticisi istenen süre boyunca korumalı işlemler gerçekleştirebilir.

Onaydan sonra korumalı işlem gerçekleştirme

Yedekleme yöneticisinin Resource Guard'da Katkıda Bulunan rolüne yönelik isteği onaylandıktan sonra ilişkili kasada korumalı işlemler gerçekleştirebilir. Resource Guard başka bir dizindeyse, Yedekleme yöneticisinin kimliğini doğrulaması gerekir.

Dekont

Erişim bir JIT mekanizması kullanılarak atandıysa, onaylanan sürenin sonunda Katkıda Bulunan rolü geri çekilir. Aksi halde, Güvenlik yöneticisi kritik işlemi gerçekleştirmek için Yedekleme yöneticisine atanan Katkıda Bulunan rolünü el ile kaldırır.

Aşağıdaki ekran görüntüsünde, MUA özellikli kasa için geçici silmeyi devre dışı bırakma örneği gösterilmektedir.

Kurtarma Hizmetleri kasasında MUA'yi devre dışı bırakma

MUA'yı devre dışı bırakmak korumalı bir işlem olduğundan kasalar MUA kullanılarak korunur. MUA'yı devre dışı bırakmak istiyorsanız (Yedekleme yöneticisi) Resource Guard'da gerekli Katkıda Bulunan rolüne sahip olmanız gerekir.

İstemci seçme

Azure portalı

Kasada MUA'yı devre dışı bırakmak için şu adımları izleyin:

1. Yedekleme yöneticisi, Resource Guard'da Katkıda Bulunan rolü için Güvenlik yöneticisine istekte bulunur. Microsoft Entra Privileged Identity Management gibi JIT yordamları veya diğer iç araçlar ve yordamlar gibi kuruluş tarafından onaylanan yöntemlerin kullanılmasını isteyebilirler.

2. Güvenlik yöneticisi isteği onaylar (onaylanmayı hak ederse) ve Yedekleme yöneticisine bildirir. Artık Backup yöneticisi Resource Guard'da 'Katkıda Bulunan' rolüne sahiptir.

3. Yedekleme yöneticisi Kasa >Özellikleri>Çok Kullanıcılı Yetkilendirme'ye gider.

4. Güncelleştir'i seçin.

   1. Resource Guard ile koru onay kutusunu temizleyin.
   2. Resource Guard'ı içeren Dizini seçin ve Kimliği Doğrula düğmesini (varsa) kullanarak erişimi doğrulayın.
   3. Kimlik doğrulamasının ardından Kaydet'i seçin. Doğru erişimle, istek başarıyla tamamlanmalıdır.

   

PowerShell

Kurtarma Hizmetleri kasasında MUA'yı devre dışı bırakmak için aşağıdaki cmdlet'i kullanın:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• İlk komut, resource guard'ın bulunduğu resource guard kiracısı için erişim belirtecini getirir.
• İkinci komut, Kurtarma Hizmetleri kasası ile resource guard arasındaki eşlemeyi siler.

Dekont

Belirteç parametresi isteğe bağlıdır ve yalnızca kiracılar arası korumalı işlemlerin kimliğini doğrulamak için gereklidir.

CLI

Kurtarma Hizmetleri kasasında MUA'yı devre dışı bırakmak için aşağıdaki komutu çalıştırın:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

Kaynak koruyucu farklı bir kiracıda varsa kiracı kimliği gereklidir.

Örnek:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Bu makalede, Backup kasanızdaki kritik işlemlere ek bir koruma katmanı eklemek üzere Azure Backup için Çok kullanıcılı yetkilendirmenin (MUA) nasıl yapılandırıldığı açıklanır.

Bu makalede, maksimum koruma sunan farklı bir kiracıda Resource Guard oluşturma işlemi gösterilmektedir. Ayrıca Resource Guard'ı barındıran kiracıda Microsoft Entra Privileged Identity Management kullanarak kritik işlemleri gerçekleştirmek için isteklerin nasıl istenip onaylanabilmesini de gösterir. İsteğe bağlı olarak, kurulumunuza göre Resource Guard'da JIT izinlerini yönetmek için başka mekanizmalar kullanabilirsiniz.

Dekont

• Yedekleme kasası için Resource Guard kullanılarak çoklu kullanıcı yetkilendirmesi genel kullanıma sunuldu.
• Azure Backup için çok kullanıcılı yetkilendirme tüm genel Azure bölgelerinde kullanılabilir.

Başlamadan önce

• Resource Guard ve Backup kasasının aynı Azure bölgesinde olduğundan emin olun.
• Yedekleme yöneticisinin Resource Guard üzerinde Katkıda Bulunan izinlerine sahip olmadığından emin olun. En yüksek yalıtımı sağlamak için Resource Guard'ın aynı dizine ait başka bir abonelikte veya başka bir dizinde olmasını seçebilirsiniz.
• Aboneliklerinizin Backup kasasını içerdiğinden ve Resource Guard'ın (farklı aboneliklerde veya kiracılarda) sağlayıcıyı kullanacak şekilde kayıtlı olduğundan emin olun - Microsoft.DataProtection4. Daha fazla bilgi için bkz . Azure kaynak sağlayıcıları ve türleri.

Çeşitli MUA kullanım senaryoları hakkında bilgi edinin.

Resource Guard oluşturma

Güvenlik yöneticisi Resource Guard'ı oluşturur. Kasa olarak farklı bir abonelikte veya farklı bir kiracıda oluşturmanızı öneririz. Ancak, kasayla aynı bölgede olmalıdır.

Yedekleme yöneticisinin Resource Guard'da veya onu içeren abonelikte katkıda bulunan erişimi OLMAMALıDıR.

Kasa kiracısından farklı bir kiracıda Güvenlik yöneticisi olarak Resource Guard oluşturmak için şu adımları izleyin:

1. Azure portalında, Resource Guard'ı oluşturmak istediğiniz dizine gidin.

   

2. Arama çubuğunda Kaynak Korumaları'nı arayın ve açılan listeden ilgili öğeyi seçin.

   

   1. Resource Guard oluşturmak için Oluştur'u seçin.
   2. Oluştur dikey penceresinde bu Resource Guard için gerekli ayrıntıları doldurun.
      • Resource Guard'ın Backup kasasıyla aynı Azure bölgesinde olduğundan emin olun.
      • Gerektiğinde ilişkili kasalarda eylem gerçekleştirmek için erişim isteme hakkında bir açıklama ekleyin. Bu açıklama, Yedekleme yöneticisine gerekli izinleri nasıl edinecekleri konusunda yol göstermek için ilişkili kasalarda görünür.

3. Korumalı işlemler sekmesinde, Yedekleme kasası sekmesinin altında bu kaynak korumasını kullanarak korumanız gereken işlemleri seçin.

   Şu anda Korumalı işlemler sekmesi yalnızca devre dışı bırakmak için Yedekleme örneğini sil seçeneğini içerir.

   Resource Guard'ı oluşturduktan sonra koruma işlemlerini de seçebilirsiniz.

   

4. İsteğe bağlı olarak, gereksinimlere göre Resource Guard'a herhangi bir etiket ekleyin.

5. Gözden Geçir + Oluştur'u seçin ve ardından Resource Guard'ın durumunu ve başarıyla oluşturulmasını izlemek için bildirimleri izleyin.

Resource Guard kullanarak korunacak işlemleri seçme

Kasa oluşturulduktan sonra Güvenlik yöneticisi, desteklenen tüm kritik işlemler arasında Resource Guard'ı kullanarak koruma işlemlerini de seçebilir. Varsayılan olarak, desteklenen tüm kritik işlemler etkinleştirilir. Ancak, Güvenlik yöneticisi Resource Guard kullanarak belirli işlemleri MUA'nın kapsamına düşmekten muaf tutabilirsiniz.

Koruma işlemlerini seçmek için şu adımları izleyin:

1. Oluşturduğunuz Resource Guard'da Özellikler>Yedekleme kasası sekmesine gidin.

2. Yetkilendirilmesinin dışında tutmak istediğiniz işlemler için Devre Dışı Bırak'ı seçin.

   MUA korumasını kaldır ve Geçici silme işlemlerini devre dışı bırakamazsınız.

3. İsteğe bağlı olarak, Yedekleme kasaları sekmesinde Resource Guard'ın açıklamasını güncelleştirin.

4. Kaydet'i seçin.

   

MUA'yı etkinleştirmek için Resource Guard'da Yedekleme yöneticisine izinler atama

Bir kasada MUA'yı etkinleştirmek için Yedekleme yöneticisinin Resource Guard'da veya Resource Guard'ı içeren abonelikte Okuyucu rolüne sahip olması gerekir. Güvenlik yöneticisinin bu rolü Yedekleme yöneticisine ataması gerekir.

Resource Guard'da Okuyucu rolünü atamak için şu adımları izleyin:

1. Yukarıda oluşturulan Resource Guard'da Erişim Denetimi (IAM) dikey penceresine gidin ve rol ataması ekle'ye gidin.

   

2. Yerleşik roller listesinden Okuyucu'ya tıklayın ve İleri'ye tıklayın.

   

3. Üyeleri seç'e tıklayın ve Okuyucu rolünü atamak için Yedekleme yöneticisinin e-posta kimliğini ekleyin.

   Yedekleme yöneticileri başka bir kiracıda olduğundan, Resource Guard'ı içeren kiracıya konuk olarak eklenirler.

4. Rol atamasını tamamlamak için Gözden Geçir + ata'yı seçin'e>tıklayın.

   

Yedekleme kasasında MUA'yı etkinleştirme

Yedekleme yöneticisi Resource Guard'da Okuyucu rolüne sahip olduktan sonra, aşağıdaki adımları izleyerek yönetilen kasalarda çok kullanıcılı yetkilendirmeyi etkinleştirebilir:

1. MUA'nın yapılandırılmasını istediğiniz Backup kasasına gidin.

2. Sol panelde Özellikler'i seçin.

3. Çok Kullanıcılı Yetkilendirme'ye gidin ve Güncelleştir'i seçin.

   

4. MUA'yı etkinleştirmek ve resource guard seçmek için aşağıdaki eylemlerden birini gerçekleştirin:

   • Resource Guard'ın URI'sini belirtebilirsiniz. Okuyucu erişiminiz olan bir Resource Guard'ın URI'sini belirttiğinizden ve kasayla aynı bölgede olduğundan emin olun. Resource Guard'ın URI'sini (Resource Guard Kimliği) Genel Bakış sayfasında bulabilirsiniz.

     

   • Alternatif olarak, Okuyucu erişiminiz olan Ve bölgede bulunan Kaynak Korumaları listesinden Resource Guard'ı seçebilirsiniz.

     1. Resource Guard Seç'e tıklayın.
     2. Açılan listeyi seçin ve Resource Guard'ın içinde olduğu dizini seçin.
     3. Kimliğinizi ve erişiminizi doğrulamak için Kimliği doğrula'yı seçin.
     4. Kimlik doğrulamasından sonra, görüntülenen listeden Resource Guard'ı seçin.

     

5. MUA'yı etkinleştirmek için Kaydet'i seçin.

   

MUA kullanan korumalı işlemler

Yedekleme yöneticisi MUA'yı etkinleştirdikten sonra kapsamdaki işlemler kasada kısıtlanır ve Yedekleme yöneticisi Bunları Resource Guard'da Katkıda Bulunan rolüne sahip olmadan gerçekleştirmeye çalışırsa işlemler başarısız olur.

Dekont

MUA'nın aşağıdakiler için etkinleştirilmesini sağladıktan sonra kurulumunuzu test etmenizi kesinlikle öneririz:

• Korumalı işlemler beklendiği gibi engellenir.
• MUA doğru yapılandırıldı.

Korumalı bir işlem gerçekleştirmek (MUA'yı devre dışı bırakmak) için şu adımları izleyin:

1. Sol bölmedeki kasa >Özellikleri'ne gidin.

2. MUA'yi devre dışı bırakmak için onay kutusunu temizleyin.

   Bunun korumalı bir işlem olduğunu belirten bir bildirim alırsınız ve Resource Guard'a erişiminiz olması gerekir.

3. Resource Guard'ı içeren dizini seçin ve kimliğinizi doğrulayın.

   Resource Guard kasayla aynı dizindeyse bu adım gerekli olmayabilir.

4. Kaydet'i seçin.

   İstek, Resource Guard'da bu işlemi gerçekleştirmek için yeterli izinlere sahip olmadığınızı belirten bir hatayla başarısız oluyor.

   

Microsoft Entra Privileged Identity Management kullanarak kritik (korumalı) işlemleri yetkilendirme

Yedeklemelerinizde kritik işlemler gerçekleştirmeniz gerekebileceği ve bunları MUA ile doğru onaylar veya izinlerle gerçekleştirebileceğiniz senaryolar vardır. Aşağıdaki bölümlerde Privileged Identity Management (PIM) kullanarak kritik işlem isteklerinin nasıl yetkilendirilecekleri açıklanmaktadır.

Resource Guard kapsamında kritik işlemler gerçekleştirmek için Yedekleme yöneticisinin Resource Guard'da Katkıda Bulunan rolü olmalıdır. Tam zamanında (JIT) işlemlere izin vermenin yollarından biri, Microsoft Entra Privileged Identity Management'ın kullanılmasıdır.

Dekont

Microsoft Entra PIM'i kullanmanızı öneririz. Ancak, Resource Guard'da Yedekleme yöneticisinin erişimini yönetmek için el ile veya özel yöntemler de kullanabilirsiniz. Resource Guard'a erişimi el ile yönetmek için Resource Guard'ın sol bölmesindeki Erişim denetimi (IAM) ayarını kullanın ve Yedekleme yöneticisine Katkıda Bulunan rolü verin.

Microsoft Entra Privileged Identity Management kullanarak Yedekleme yöneticisi için uygun bir atama oluşturma

Güvenlik yöneticisi, Resource Guard'a Katkıda Bulunan olarak Yedekleme yöneticisi için uygun bir atama oluşturmak üzere PIM kullanabilir. Bu, Yedekleme yöneticisinin korumalı bir işlem gerçekleştirmesi gerektiğinde bir istek (Katkıda Bulunan rolü için) oluşturmasını sağlar.

Uygun bir atama oluşturmak için aşağıdaki adımları izleyin:

1. Azure Portal oturum açın.

2. Resource Guard'ın güvenlik kiracısına gidin ve aramaya Privileged Identity Management yazın.

3. Sol bölmede Yönet'i seçin ve Azure Kaynakları'na gidin.

4. Katkıda Bulunan rolünü atamak istediğiniz kaynağı (Resource Guard veya içeren abonelik/RG) seçin.

   Karşılık gelen kaynak bulamazsanız, PIM tarafından yönetilen içeren aboneliği ekleyin.

5. Kaynağı seçin ve Atamaları Yönet>Atama ekle'ye> gidin.

   

6. Atama ekle bölümünde:

   1. Katkıda Bulunan olarak rolü seçin.
   2. Üye seç'e gidin ve Yedekleme yöneticisinin kullanıcı adını (veya e-posta kimliklerini) ekleyin.
   3. İleri'yi seçin.

   

7. Atama'da Uygun'a tıklayın ve uygun izin süresinin geçerliliğini belirtin.

8. Uygun atamayı oluşturmayı tamamlamak için Ata'yı seçin.

   

Katkıda Bulunan rolünü etkinleştirmek için onaylayanları ayarlama

Varsayılan olarak, yukarıdaki kurulumun PIM'de yapılandırılmış bir onaylayanı (ve onay akışı gereksinimi) olmayabilir. Onaylayanların istek onayı için Katkıda Bulunan rolüne sahip olduğundan emin olmak için Güvenlik yöneticisinin şu adımları izlemesi gerekir:

Dekont

Onaylayan kurulumu yapılandırılmamışsa, istekler Güvenlik yöneticilerine veya atanmış bir onaylayanın gözden geçirmesine gerek kalmadan otomatik olarak onaylanmıştır. Daha fazla bilgi edinin.

1. Microsoft Entra PIM'de sol bölmede Azure Kaynakları'nı seçin ve Resource Guard'ınızı seçin.

2. Ayarlar> Contributor rolüne gidin.

   

3. Onaylayanların Hiçbiri'ni gösterdiğini veya yanlış onaylayanları görüntülediğini fark etmeniz durumunda Katkıda Bulunan rolü için etkinleştirme isteğini gözden geçirmesi ve onaylaması gereken gözden geçirenleri eklemek için Düzenle'yi seçin.

4. Etkinleştirme sekmesinde, her isteği onaylaması gereken onaylayanları eklemek için etkinleştirmek için Onay gerektir'i seçin.

5. Katkıda Bulunan rolünü etkinleştirmek için Multi-Factor Authentication (MFA), Mandating bileti gibi güvenlik seçeneklerini belirleyin.

6. Atama ve Bildirim sekmelerinde, gereksinimlerinize göre uygun seçenekleri belirleyin.

   

7. Katkıda Bulunan rolünü etkinleştirmek üzere onaylayanların kurulumunu tamamlamak için Güncelleştir'i seçin.

Kritik işlemleri gerçekleştirmek için uygun atamanın etkinleştirilmesini isteme

Güvenlik yöneticisi uygun bir atama oluşturduğunda, Yedekleme yöneticisinin korumalı eylemler gerçekleştirmek için Katkıda Bulunan rolü için rol atamasını etkinleştirmesi gerekir.

Rol atamasını etkinleştirmek için aşağıdaki adımları izleyin:

1. Microsoft Entra Privileged Identity Management'a gidin. Resource Guard başka bir dizindeyse, bu dizine geçin ve ardından Microsoft Entra Privileged Identity Management'a gidin.

2. Sol bölmede Rollerim>Azure kaynakları'na gidin.

3. Katkıda Bulunan rolü için uygun atamayı etkinleştirmek için Etkinleştir'i seçin.

   İsteğin onay için gönderildiğini bildiren bir bildirim görüntülenir.

   

Kritik işlemleri gerçekleştirmek için etkinleştirme isteklerini onaylama

Yedekleme yöneticisi Katkıda Bulunan rolünü etkinleştirme isteğinde bulunduktan sonra Güvenlik yöneticisinin isteği gözden geçirmesi ve onaylaması gerekir.

İsteği gözden geçirmek ve onaylamak için şu adımları izleyin:

1. Güvenlik kiracısında Microsoft Entra Privileged Identity Management'a gidin.

2. İstekleri Onayla'ya gidin.

3. Azure kaynakları altında onay bekleyen isteği görebilirsiniz.

   Orijinal isteği gözden geçirmek ve onaylamak için Onayla'yı seçin.

Onaydan sonra, Yedekleme yöneticisi e-posta veya diğer iç uyarı seçenekleri aracılığıyla isteğin onaylandığını belirten bir bildirim alır. Artık Yedekleme yöneticisi istenen süre boyunca korumalı işlemleri gerçekleştirebilir.

Onaydan sonra korumalı işlem gerçekleştirme

Güvenlik yöneticisi, Backup yöneticisinin Resource Guard'da Katkıda Bulunan rolü isteğini onayladıktan sonra ilişkili kasada korumalı işlemler gerçekleştirebilir. Resource Guard başka bir dizindeyse, Yedekleme yöneticisinin kimliğini doğrulaması gerekir.

Dekont

Erişim bir JIT mekanizması kullanılarak atandıysa, onaylanan sürenin sonunda Katkıda Bulunan rolü geri çekilir. Aksi takdirde, Güvenlik yöneticisi kritik işlemi gerçekleştirmek için Yedekleme yöneticisine atanan Katkıda Bulunan rolünü el ile kaldırır.

Aşağıdaki ekran görüntüsünde, MUA özellikli kasa için geçici silmeyi devre dışı bırakma örneği gösterilmektedir.

Yedekleme kasasında MUA'yi devre dışı bırakma

MUA'nın devre dışı bırakılması, yalnızca Yedekleme yöneticisi tarafından yapılması gereken korumalı bir işlemdir. Bunu yapmak için Yedekleme yöneticisinin Resource Guard'da gerekli Katkıda Bulunan rolüne sahip olması gerekir. Bu izni almak için, Yedekleme yöneticisinin ilk olarak Microsoft Entra Privileged Identity Management veya iç araçlar gibi tam zamanında (JIT) yordamını kullanarak Resource Guard'da Katkıda Bulunan rolü için Güvenlik yöneticisini istemesi gerekir.

Ardından Güvenlik yöneticisi orijinalse isteği onaylar ve Resource guard'da katkıda bulunan rolüne sahip olan Yedekleme yöneticisini güncelleştirir. Bu rolü nasıl edinebileceğiniz hakkında daha fazla bilgi edinin.

MUA'yı devre dışı bırakmak için Yedekleme yöneticilerinin şu adımları izlemesi gerekir:

1. Kasa >Özellikleri>Çok Kullanıcılı Yetkilendirme'ye gidin.

2. Güncelleştir'iseçin ve Resource Guard ile koru onay kutusunu temizleyin.

3. Resource Guard'ı içeren Dizini seçmek ve erişimi doğrulamak için Kimlik Doğrulaması (varsa) seçeneğini belirleyin.

4. MUA'yı devre dışı bırakma işlemini tamamlamak için Kaydet'i seçin.

   

Sonraki adımlar

Resource Guard kullanarak çok kullanıcılı yetkilendirme hakkında daha fazla bilgi edinin.