Megosztás a következőn keresztül:

Többfelhasználós engedélyezés konfigurálása a Resource Guard használatával az Azure Backupban

  • Cikk

Ez a cikk azt ismerteti, hogyan konfigurálhatja a többfelhasználós engedélyezést (MUA) az Azure Backuphoz, hogy további védelmi réteget adjon hozzá a helyreállítási tárak kritikus műveleteihez.

Ez a cikk bemutatja, hogy a Resource Guard létrehozása egy másik bérlőben, amely maximális védelmet nyújt. Azt is bemutatja, hogyan kérhet és hagyhat jóvá kéréseket kritikus műveletek végrehajtására a Microsoft Entra Privileged Identity Management használatával a Resource Guard-bérlőben. A beállításnak megfelelően más mechanizmusokkal is kezelheti a Resource Guard JIT-engedélyeit.

Feljegyzés

  • Az Azure Backup többfelhasználós engedélyezése minden nyilvános Azure-régióban elérhető.
  • A Resource Guard for Backup-tárolóval történő többfelhasználós engedélyezés általánosan elérhető. További információ.

Előkészületek

  • Győződjön meg arról, hogy a Resource Guard és a Recovery Services-tároló ugyanabban az Azure-régióban található.
  • Győződjön meg arról, hogy a biztonsági mentési rendszergazda nem rendelkezik közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel a Resource Guardon. A maximális elkülönítés érdekében dönthet úgy, hogy a Resource Guard egy másik előfizetésben található ugyanahhoz a címtárhoz vagy egy másik könyvtárhoz.
  • Győződjön meg arról, hogy a Recovery Services-tárolót tartalmazó előfizetések, valamint a Resource Guard (különböző előfizetésekben vagy bérlőkben) regisztrálva vannak a szolgáltatók – a Microsoft.RecoveryServices és a Microsoft.DataProtectionhasználatára. További információ: Azure-erőforrás-szolgáltatók és -típusok.

Ismerje meg a MUA különböző használati forgatókönyveit.

Resource Guard létrehozása

A biztonsági rendszergazda létrehozza a Resource Guardot. Javasoljuk, hogy hozzon létre egy másik előfizetésben vagy egy másik bérlőben tárolóként. Ennek azonban ugyanabban a régióban kell lennie, mint a tároló. A biztonsági mentési rendszergazdának NEM lehet közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori hozzáférése a Resource Guardon vagy az azt tartalmazó előfizetésen.

Ügyfél kiválasztása

Ha a Resource Guardot a tárolóbérlettől eltérő bérlőben szeretné létrehozni, kövesse az alábbi lépéseket:

  1. Az Azure Portalon lépjen arra a könyvtárra, amely alatt létre szeretné hozni a Resource Guardot.

    Képernyőkép a portál beállításairól.

  2. Keressen erőforrás-őröket a keresősávban, majd válassza ki a megfelelő elemet a legördülő listából.

    Képernyőkép az erőforrás-védők kereséséről.

    • Válassza a Létrehozás lehetőséget a Resource Guard létrehozásának megkezdéséhez.
    • A létrehozási panelen adja meg a Resource Guardhoz szükséges adatokat.
      • Győződjön meg arról, hogy a Resource Guard ugyanabban az Azure-régióban van, mint a Recovery Services-tároló.
      • Emellett hasznos leírást adni arról, hogyan kérhet vagy kérhet hozzáférést a társított tárolókon végzett műveletek végrehajtásához, ha szükséges. Ez a leírás a társított tárolókban is megjelenik, hogy a biztonsági mentési rendszergazda útmutatást kapjon a szükséges engedélyek beszerzéséhez. Szükség esetén később is szerkesztheti a leírást, de mindig javasolt egy jól definiált leírás.

  3. A Védett műveletek lapon válassza ki azokat a műveleteket, amelyekre szüksége van az erőforrás-védő használatával történő védelemhez.

    Az erőforrás-védő létrehozása után a védelmi műveleteket is kiválaszthatja.

  4. Igény szerint adjon hozzá címkéket a Resource Guardhoz a követelményeknek megfelelően

  5. Válassza a Felülvizsgálat + Értesítések létrehozása és követése lehetőséget a Resource Guard állapotának és sikeres létrehozásának érdekében.

A Resource Guard használatával védelmet biztosító műveletek kiválasztása

Válassza ki a Resource Guard használatával védeni kívánt műveleteket az összes támogatott kritikus művelet közül. Alapértelmezés szerint minden támogatott kritikus művelet engedélyezve van. Ön (mint biztonsági rendszergazda) azonban mentesíthet bizonyos műveleteket attól, hogy a Resource Guard használatával a MUA hatáskörébe tartoznak.

Ügyfél kiválasztása

A műveletek kivételéhez kövesse az alábbi lépéseket:

  1. A fent létrehozott Resource Guardban lépjen a Properties>Recovery Services-tároló fülre.

  2. Válassza a Letiltás lehetőséget azokhoz a műveletekhez, amelyeket ki szeretne zárni a Resource Guard használatával való engedélyezésből.

    Feljegyzés

    A védett műveletek nem tilthatók le – A helyreállítható törlés és a MUA-védelem eltávolítása.

  3. A Resource Guard leírását ezen a panelen is frissítheti.

  4. Válassza a Mentés lehetőséget.

    Képernyőkép a demo resource guard tulajdonságairól.

Engedélyek hozzárendelése a Resource Guard biztonsági mentési rendszergazdájához a MUA engedélyezéséhez

A MUA tárolón való engedélyezéséhez a tároló rendszergazdájának olvasói szerepkörrel kell rendelkeznie a Resource Guardban vagy a Resource Guardot tartalmazó előfizetésben. Az Olvasó szerepkör hozzárendelése a Resource Guardhoz:

  1. A fent létrehozott Resource Guardban lépjen a Hozzáférés-vezérlés (IAM) panelre, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

    Képernyőkép a demo resource guard-access vezérlőről.

  2. Válassza az Olvasó lehetőséget a beépített szerepkörök listájából, és válassza a Tovább lehetőséget.

    Képernyőkép a demo resource guard-add szerepkör-hozzárendelésről.

  3. Kattintson a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda e-mail-azonosítóját, hogy olvasóként vegye fel őket. Mivel a biztonsági mentési rendszergazda ebben az esetben egy másik bérlőben van, vendégként hozzáadjuk őket a Resource Guardot tartalmazó bérlőhöz.

  4. Kattintson a Kijelölés gombra, majd folytassa a Véleményezés + hozzárendelés lehetőségre a szerepkör-hozzárendelés befejezéséhez.

    Képernyőkép a demo resource guard-select tagokról.

MUA engedélyezése Recovery Services-tárolón

Miután a Resource Guard olvasói szerepkör-hozzárendelése befejeződött, engedélyezze a többfelhasználós engedélyezést a felügyelt tárolókon (biztonsági mentési rendszergazdaként).

Ügyfél kiválasztása

Ha engedélyezni szeretné a MUA-t a tárolókban, kövesse az alábbi lépéseket.

  1. Nyissa meg a Recovery Services-tárolót. Nyissa meg a bal oldali navigációs panel Tulajdonságok elemét, majd a Többfelhasználós engedélyezés lehetőséget, és válassza a Frissítés lehetőséget.

    Képernyőkép a Recovery Services-tároló tulajdonságairól.

  2. Most megjelenik a MUA engedélyezésének és a Resource Guard kiválasztásának lehetősége az alábbi módok egyikével:

    • Megadhatja a Resource Guard URI-ját, és megadhatja annak a Resource Guardnak az URI-ját, amelyhez olvasói hozzáféréssel rendelkezik, és amely megegyezik a tárolóéval. A Resource Guard URI-ját (Resource Guard-azonosítóját) az áttekintési képernyőn találja:

      Képernyőkép a Resource Guardról.

    • Vagy kiválaszthatja a Resource Guardot azOknak az Erőforrás-őröknek a listájából, amelyekhez olvasói hozzáféréssel rendelkezik, és amelyek elérhetők a régióban.

      1. Kattintson a Resource Guard kiválasztása elemre
      2. Válassza ki a legördülő listát, majd válassza ki azt a könyvtárat, amelyben a Resource Guard található.
      3. Válassza a Hitelesítés lehetőséget az identitás és a hozzáférés ellenőrzéséhez.
      4. A hitelesítés után válassza ki a Resource Guardot a megjelenített listából.

      Képernyőkép a többfelhasználós engedélyezésről.

  3. A MUA engedélyezéséhez válassza a Mentés egyszer lehetőséget.

    Képernyőkép a többfelhasználós hitelesítés engedélyezéséről.

Védett műveletek MUA használatával

Miután engedélyezte a MUA-t, a hatókörben lévő műveletek korlátozottak lesznek a tárolón, ha a biztonsági mentési rendszergazda a szükséges szerepkör (azaz a Biztonsági mentés MUA-operátori szerepkör) nélkül próbálja végrehajtani őket a Resource Guardon.

Feljegyzés

Javasoljuk, hogy tesztelje a beállítást, miután engedélyezte a MUA-t, hogy a védett műveletek a várt módon legyenek letiltva, és hogy a MUA megfelelően legyen konfigurálva.

Az alábbi ábra azt szemlélteti, hogy mi történik, amikor a biztonsági mentési rendszergazda megpróbál végrehajtani egy ilyen védett műveletet (például itt látható a helyreállítható törlés letiltása). Más védett műveletek hasonló tapasztalattal rendelkeznek). A következő lépéseket egy biztonsági mentési rendszergazda hajtja végre a szükséges engedélyek nélkül.

  1. A helyreállítható törlés letiltásához nyissa meg a Recovery Services-tároló >tulajdonságainak>biztonsági beállításait, és válassza a Frissítés lehetőséget, amely megjeleníti a biztonsági beállításokat.

  2. Tiltsa le a helyreállítható törlést a csúszkával. Tájékoztatjuk, hogy ez egy védett művelet, és ellenőriznie kell, hogy hozzáférnek-e a Resource Guardhoz.

  3. Válassza ki a Resource Guardot tartalmazó könyvtárat, és hitelesítse magát. Ez a lépés nem feltétlenül szükséges, ha a Resource Guard ugyanabban a könyvtárban van, mint a tároló.

  4. Folytassa a Mentés lehetőség kiválasztásával. A kérés meghiúsul, és hibaüzenet jelenik meg arról, hogy a Resource Guard nem rendelkezik megfelelő engedélyekkel a művelet végrehajtásához.

    Képernyőkép a Test Vault tulajdonságainak biztonsági beállításairól.

Kritikus (védett) műveletek engedélyezése a Microsoft Entra Privileged Identity Management használatával

A következő szakaszok a kérések PIM használatával történő engedélyezését ismertetik. Előfordulhat, hogy kritikus műveleteket kell végrehajtania a biztonsági másolatokon, és a MUA segíthet annak biztosításában, hogy ezek csak a megfelelő jóváhagyások vagy engedélyek megléte esetén legyenek végrehajtva. Ahogy korábban már említettük, a biztonsági mentési rendszergazdának rendelkeznie kell biztonsági mentési MUA-operátori szerepkörrel a Resource Guardon a Resource Guard hatókörében található kritikus műveletek végrehajtásához. Az ilyen műveletek igény szerint történő engedélyezésének egyik módja a Microsoft Entra Privileged Identity Management használata.

Feljegyzés

Bár a Microsoft Entra PIM használata az ajánlott módszer, manuális vagy egyéni módszerekkel kezelheti a Resource Guard biztonsági mentési rendszergazdájának hozzáférését. A Resource Guardhoz való hozzáférés manuális kezeléséhez használja a Resource Guard bal oldali navigációs sávjának "Hozzáférés-vezérlés (IAM)" beállítását, és adja meg a biztonsági mentési MUA-operátor szerepkört a biztonsági mentés rendszergazdájának.

Jogosult hozzárendelés létrehozása a biztonsági mentési rendszergazda számára (ha a Microsoft Entra Privileged Identity Managementet használja)

A biztonsági rendszergazda a PIM használatával létrehozhat egy jogosult hozzárendelést a biztonsági mentési rendszergazda számára, és biztonsági mentési MUA-operátori szerepkört biztosíthat a Resource Guard számára. Ez lehetővé teszi, hogy a biztonsági mentési rendszergazda kérést küldjön (a biztonsági mentési MUA-operátori szerepkörhöz), amikor védett műveletet kell végrehajtaniuk. Ehhez a biztonsági rendszergazda a következőket hajtja végre:

  1. A biztonsági bérlőben (amely tartalmazza a Resource Guardot) lépjen a Privileged Identity Management (keresés erre az Azure Portal keresősávján), majd nyissa meg az Azure Resourcest ( a bal oldali menü Kezelés területén ).

  2. Válassza ki azt az erőforrást (a Resource Guardot vagy az azt tartalmazó előfizetést/RG-t), amelyhez hozzá szeretné rendelni a biztonsági mentési MUA-operátor szerepkört.

    Ha nem látja a megfelelő erőforrást az erőforrások listájában, győződjön meg arról, hogy hozzáadja a PIM által felügyelni kívánt előfizetést.

  3. A kijelölt erőforrásban lépjen a Hozzárendelések elemre ( a bal oldali menü Kezelés területén), és válassza a Hozzárendelések hozzáadása lehetőséget.

    A hozzárendelések hozzáadását bemutató képernyőkép.

  4. A Hozzárendelések hozzáadása területen:

    1. Válassza ki a szerepkört biztonsági mentési MUA-operátorként.
    2. Lépjen a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda felhasználónevét (vagy e-mail-azonosítóját).
    3. Válassza a Tovább lehetőséget.

    Képernyőkép a hozzárendelés-tagság hozzáadásáról.

  5. A következő képernyőn:

    1. A hozzárendelés típusa alatt válassza a Jogosult lehetőséget.
    2. Adja meg azt az időtartamot, amelyre a jogosult engedély érvényes.
    3. Válassza a Hozzárendelés lehetőséget a jogosult hozzárendelés létrehozásának befejezéséhez.

    A hozzárendelések beállításának hozzáadását bemutató képernyőkép.

Jóváhagyók beállítása a biztonsági mentési MUA-operátor szerepkör aktiválásához

Alapértelmezés szerint előfordulhat, hogy a fenti beállítás nem rendelkezik a PIM-ben konfigurált jóváhagyóval (és jóváhagyási folyamattal). Annak érdekében, hogy a jóváhagyók rendelkezzenek biztonsági mentési MUA-operátori szerepkörrel a kérelem jóváhagyásához, a biztonsági rendszergazdának az alábbi lépéseket kell követnie:

Feljegyzés

Ha ez nincs konfigurálva, a rendszer automatikusan jóváhagyja a kéréseket anélkül, hogy át kellene mennie a biztonsági rendszergazdákon vagy a kijelölt jóváhagyó véleményén. További részletek erről itt találhatók

  1. A Microsoft Entra PIM-ben válassza az Azure-erőforrásokat a bal oldali navigációs sávon, és válassza ki a Resource Guardot.

  2. Nyissa meg a Beállítások lehetőséget , majd lépjen a Biztonsági mentés MUA-operátor szerepkörre.

    Képernyőkép a közreműködő hozzáadásáról.

  3. Válassza a Szerkesztés lehetőséget azoknak a véleményezőknek a hozzáadásához, akiknek felül kell vizsgálniuk és jóvá kell hagyniuk a biztonsági mentési MUA-operátori szerepkör aktiválási kérését, ha azt tapasztalja, hogy a jóváhagyók nem jelennek meg, vagy helytelen jóváhagyó(ka)t jelenítenek meg.

  4. Az Aktiválás lapon válassza a Jóváhagyás megkövetelése aktiválása lehetőséget, és adja hozzá azokat a jóváhagyó(ka)t, akiknek jóvá kell hagyniuk az egyes kéréseket.

  5. Válassza ki a biztonsági beállításokat, például a többtényezős hitelesítést (MFA), a biztonsági mentési MUA-operátori szerepkör aktiválására vonatkozó mandating jegyet.

  6. Szükség szerint válassza ki a megfelelő beállításokat a Hozzárendelés és értesítés lapon.

    Képernyőkép a szerepkör-beállítás szerkesztéséről.

  7. Válassza a Frissítés lehetőséget a jóváhagyók beállításának befejezéséhez a biztonsági mentési MUA-operátor szerepkör aktiválásához.

Jogosult hozzárendelés aktiválásának kérése kritikus műveletek végrehajtásához

Miután a biztonsági rendszergazda létrehozott egy jogosult hozzárendelést, a biztonsági mentési rendszergazdának aktiválnia kell a biztonsági mentési MUA-operátor szerepkör hozzárendelését a védett műveletek végrehajtásához.

A szerepkör-hozzárendelés aktiválásához kövesse az alábbi lépéseket:

  1. Nyissa meg a Microsoft Entra Privileged Identity Managementet. Ha a Resource Guard egy másik könyvtárban van, váltson erre a könyvtárra, majd lépjen a Microsoft Entra Privileged Identity Managementre.

  2. Nyissa meg a Saját szerepkörök>Azure-erőforrásokat a bal oldali menüben.

  3. Válassza az Aktiválás lehetőséget a biztonsági mentési MUA-operátor szerepkör jogosult hozzárendelésének aktiválásához.

    Megjelenik egy értesítés, amely értesíti a kérelmet jóváhagyásra.

    A jogosult hozzárendelések aktiválását bemutató képernyőkép.

Kritikus műveletek végrehajtására irányuló kérések aktiválásának jóváhagyása

Miután a biztonsági mentési rendszergazda kérést küld a biztonsági mentési MUA-operátor szerepkör aktiválására, a kérést a biztonsági rendszergazdának kell felülvizsgálnia és jóvá kell hagynia.

  1. A biztonsági bérlőben nyissa meg a Microsoft Entra Privileged Identity Managementet.
  2. Lépjen a Kérelmek jóváhagyása elemre.
  3. Az Azure-erőforrások alatt a biztonsági mentési rendszergazda által a Backup MUA-operátorként történő aktiválást kérő kérés látható.
  4. Tekintse át a kérést. Ha eredeti, válassza ki a kérelmet, és a jóváhagyáshoz válassza a Jóváhagyás lehetőséget.
  5. A biztonsági mentési rendszergazdát e-mailben (vagy más szervezeti riasztási mechanizmusokkal) értesítjük arról, hogy a kérése már jóvá lett hagyva.
  6. A jóváhagyást követően a biztonsági mentési rendszergazda védett műveleteket hajthat végre a kért időszakra.

Védett művelet végrehajtása jóváhagyás után

Ha a biztonsági mentési rendszergazda kérése a Resource Guard biztonsági mentési MUA-operátori szerepkörére vonatkozóan jóváhagyásra kerül, védett műveleteket hajthatnak végre a társított tárolón. Ha a Resource Guard egy másik könyvtárban található, a biztonsági mentési rendszergazdának hitelesítenie kell magát.

Feljegyzés

Ha a hozzáférés JIT-mechanizmussal lett hozzárendelve, a biztonsági mentési MUA-operátor szerepkör a jóváhagyott időszak végén lesz visszavonva. Máskülönben a biztonsági rendszergazda manuálisan eltávolítja a biztonsági mentési rendszergazdához rendelt biztonsági mentési MUA-operátori szerepkört a kritikus művelet végrehajtásához.

Az alábbi képernyőképen egy mua-kompatibilis tároló helyreállítható törlésének letiltására szolgáló példa látható.

Képernyőkép a helyreállítható törlés letiltásához.

MUA letiltása Recovery Services-tárolón

A MUA letiltása védett művelet, ezért a tárolók a MUA használatával vannak védve. Ha ön (a biztonsági mentési rendszergazda) le szeretné tiltani a MUA-t, akkor rendelkeznie kell a szükséges biztonsági mentési MUA-operátori szerepkörével a Resource Guardban.

Ügyfél kiválasztása

Ha le szeretné tiltani a MUA-t egy tárolón, kövesse az alábbi lépéseket:

  1. A biztonsági mentési rendszergazda a Biztonsági mentési MUA-operátor szerepkört kéri a Resource Guardon. Kérhetik, hogy a szervezet által jóváhagyott módszereket, például a JIT-eljárásokat, például a Microsoft Entra Privileged Identity Managementet vagy más belső eszközöket és eljárásokat használják.

  2. A biztonsági rendszergazda jóváhagyja a kérést (ha érdemesnek találják a jóváhagyásra), és tájékoztatja a biztonsági mentési rendszergazdát. Most a biztonsági mentési rendszergazda rendelkezik a Backup MUA-operátor szerepkörével a Resource Guardon.

  3. A biztonsági mentési rendszergazda a tároló >többfelhasználós>engedélyezésére lép.

  4. Válassza a Frissítés lehetőséget.

    1. Törölje a Jelet a Védelem a Resource Guard használatával jelölőnégyzetből.
    2. Válassza ki a Resource Guardot tartalmazó könyvtárat, és ellenőrizze a hozzáférést a Hitelesítés gombbal (ha van ilyen).
    3. A hitelesítés után válassza a Mentés lehetőséget. A megfelelő hozzáféréssel a kérést sikeresen be kell fejezni.

    Képernyőkép a többfelhasználós hitelesítés letiltásához.

A bérlőazonosítóra akkor van szükség, ha az erőforrás-őr egy másik bérlőben található.

Példa:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Ez a cikk azt ismerteti, hogyan konfigurálhatja a többfelhasználós engedélyezést (MUA) az Azure Backuphoz egy további védelmi réteg hozzáadásához a Backup-tároló kritikus műveleteihez.

Ez a cikk bemutatja, hogy a Resource Guard létrehozása egy másik bérlőben, amely maximális védelmet nyújt. Azt is bemutatja, hogyan kérhet és hagyhat jóvá kéréseket kritikus műveletek végrehajtására a Microsoft Entra Privileged Identity Management használatával a Resource Guard-bérlőben. A beállításnak megfelelően más mechanizmusokkal is kezelheti a Resource Guard JIT-engedélyeit.

Feljegyzés

  • A Resource Guard for Backup-tárolóval történő többfelhasználós engedélyezés általánosan elérhető.
  • Az Azure Backup többfelhasználós engedélyezése minden nyilvános Azure-régióban elérhető.

Előkészületek

  • Győződjön meg arról, hogy a Resource Guard és a Backup-tároló ugyanabban az Azure-régióban található.
  • Győződjön meg arról, hogy a biztonsági mentési rendszergazda nem rendelkezik közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel a Resource Guardon. A maximális elkülönítés érdekében dönthet úgy, hogy a Resource Guard egy másik előfizetésben található ugyanahhoz a címtárhoz vagy egy másik könyvtárhoz.
  • Győződjön meg arról, hogy az előfizetései tartalmazzák a Backup-tárolót, valamint a Resource Guardot (különböző előfizetésekben vagy bérlőkben) a szolgáltató – Microsoft.DataProtection4 – használatához. További információ: Azure-erőforrás-szolgáltatók és -típusok.

Ismerje meg a MUA különböző használati forgatókönyveit.

Resource Guard létrehozása

A biztonsági rendszergazda létrehozza a Resource Guardot. Javasoljuk, hogy hozzon létre egy másik előfizetésben vagy egy másik bérlőben tárolóként. Ennek azonban ugyanabban a régióban kell lennie, mint a tároló.

A biztonsági mentési rendszergazdának NEM kell közreműködői, biztonsági mentési MUA-rendszergazdával vagy biztonsági mentési MUA-operátori hozzáféréssel rendelkeznie a Resource Guardon vagy az azt tartalmazó előfizetésen.

Ha a Resource Guardot biztonsági rendszergazdaként szeretné létrehozni a tárolóbérlõtől eltérő bérlőben, kövesse az alábbi lépéseket:

  1. Az Azure Portalon lépjen arra a könyvtárra, amely alatt létre szeretné hozni a Resource Guardot.

    Képernyőkép a Backup-tárolóhoz konfigurálni kívánt portálbeállításokról.

  2. Keressen erőforrás-őröket a keresősávban, majd válassza ki a megfelelő elemet a legördülő listából.

    Képernyőkép a Backup-tároló erőforrás-védőiről.

    1. Resource Guard létrehozásához válassza a Létrehozás lehetőséget .
    2. A Létrehozás panelen adja meg a Resource Guardhoz szükséges adatokat.
      • Győződjön meg arról, hogy a Resource Guard ugyanabban az Azure-régióban található, mint a Backup-tároló.
      • Adjon meg egy leírást arról, hogyan kérhet hozzáférést a társított tárolókon végzett műveletek végrehajtásához, ha szükséges. Ez a leírás a társított tárolókban jelenik meg, hogy a biztonsági mentési rendszergazda útmutatást nyújt a szükséges engedélyek beszerzéséhez.

  3. A Védett műveletek lapon válassza ki azokat a műveleteket, amelyekre szüksége van az erőforrás-védelemmel való védelemhez a Biztonsági mentési tároló lapon.

    A Védett műveletek lap jelenleg csak a Letiltandó biztonsági másolat törlése lehetőséget tartalmazza.

    Az erőforrás-védő létrehozása után a védelmi műveleteket is kiválaszthatja.

    Képernyőkép a Resource Guard-védelemmel kapcsolatos műveletek kiválasztásáról.

  4. Igény szerint adjon hozzá címkéket a Resource Guardhoz a követelményeknek megfelelően.

  5. Válassza a Véleményezés + Létrehozás lehetőséget, majd kövesse az értesítéseket a Resource Guard állapotának és sikeres létrehozásának figyeléséhez.

A Resource Guard használatával védelmet biztosító műveletek kiválasztása

A tároló létrehozása után a biztonsági rendszergazda a Resource Guard használatával is kiválaszthatja a védelmi műveleteket az összes támogatott kritikus művelet közül. Alapértelmezés szerint minden támogatott kritikus művelet engedélyezve van. A biztonsági rendszergazda azonban mentesíthet bizonyos műveleteket attól, hogy a Resource Guard használatával a MUA hatáskörébe tartoznak.

A védelmi műveletek kiválasztásához kövesse az alábbi lépéseket:

  1. A létrehozott Resource Guardban lépjen a Tulajdonságok>biztonsági mentési tároló lapjára.

  2. Válassza a Letiltás lehetőséget azokhoz a műveletekhez, amelyeket ki szeretne zárni az engedélyezésből.

    A MUA eltávolítása és a helyreállítható törlési műveletek letiltása nem tiltható le.

  3. A Biztonsági mentési tárolók lapon szükség esetén frissítse a Resource Guard leírását.

  4. Válassza a Mentés lehetőséget.

    Képernyőkép a Backup-tároló demóerőforrás-védelmi tulajdonságairól.

Engedélyek hozzárendelése a Resource Guard biztonsági mentési rendszergazdájához a MUA engedélyezéséhez

A biztonsági mentési rendszergazdának olvasói szerepkörrel kell rendelkeznie a Resource Guardban vagy az előfizetésben, amely a Resource Guardot tartalmazza a MUA tárolón való engedélyezéséhez. A biztonsági rendszergazdának hozzá kell rendelnie ezt a szerepkört a biztonsági mentési rendszergazdához.

A Resource Guard olvasói szerepkörének hozzárendeléséhez kövesse az alábbi lépéseket:

  1. A fent létrehozott Resource Guardban lépjen a Hozzáférés-vezérlés (IAM) panelre, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

    Képernyőkép a Backup-tároló demó erőforrásőr-hozzáférés-vezérlésről.

  2. Válassza az Olvasó lehetőséget a beépített szerepkörök listájából, és válassza a Tovább lehetőséget.

    Képernyőkép a Backup-tároló demo resource guard-add szerepkör-hozzárendelését ábrázoló bemutatóról.

  3. Kattintson a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda e-mail-azonosítóját az Olvasó szerepkör hozzárendeléséhez.

    Mivel a biztonsági mentési rendszergazdák egy másik bérlőben vannak, vendégként hozzáadjuk őket a Resource Guardot tartalmazó bérlőhöz.

  4. A szerepkör-hozzárendelés befejezéséhez kattintson a Véleményezés + hozzárendelés gombra.>

    Képernyőkép a biztonsági mentési tároló biztonsági mentési elemeinek védelmére szolgáló erőforrásőr-választó tagokról.

MUA engedélyezése Backup-tárolón

Ha a biztonsági mentési rendszergazda rendelkezik a Resource Guard Olvasó szerepkörével, az alábbi lépések végrehajtásával engedélyezheti a többfelhasználós hitelesítést a felügyelt tárolókon:

  1. Nyissa meg azt a Biztonsági mentési tárolót, amelyhez a MUA-t konfigurálni szeretné.

  2. A bal oldali panelen válassza a Tulajdonságok lehetőséget.

  3. Nyissa meg a többfelhasználós engedélyezést, és válassza a Frissítés lehetőséget.

    Képernyőkép a Backup-tároló tulajdonságairól.

  4. A MUA engedélyezéséhez és a Resource Guard kiválasztásához hajtsa végre az alábbi műveletek egyikét:

    • Megadhatja a Resource Guard URI-ját. Győződjön meg arról, hogy megadja a Resource Guard URI-ját, amelyhez olvasói hozzáféréssel rendelkezik, és ugyanabban a régióban van, mint a tároló. A Resource Guard URI-ját (Resource Guard-azonosítóját ) az áttekintési oldalon találja.

      Képernyőkép a Resource Guard biztonsági mentési tároló védelméről.

    • Vagy kiválaszthatja a Resource Guardot azOknak az Erőforrás-őröknek a listájából, amelyekhez olvasói hozzáféréssel rendelkezik, és amelyek elérhetők a régióban.

      1. Kattintson a Resource Guard kiválasztása elemre.
      2. Válassza ki a legördülő menüt, és válassza ki azt a könyvtárat, amelyben a Resource Guard található.
      3. Válassza a Hitelesítés lehetőséget az identitás és a hozzáférés ellenőrzéséhez.
      4. A hitelesítés után válassza ki a Resource Guardot a megjelenített listából.

      Képernyőkép a Backup-tárolóban engedélyezett többfelhasználós engedélyezésről.

  5. A MUA engedélyezéséhez válassza a Mentés lehetőséget .

    Képernyőkép a többfelhasználós hitelesítés engedélyezéséről.

Védett műveletek MUA használatával

Miután a biztonsági mentési rendszergazda engedélyezte a MUA-t, a hatókörben lévő műveletek korlátozottak lesznek a tárolón, és a műveletek meghiúsulnak, ha a biztonsági mentési rendszergazda a Biztonsági mentési MUA-operátori szerepkör nélkül próbálja végrehajtani őket a Resource Guardon.

Feljegyzés

Javasoljuk, hogy tesztelje a beállítást, miután engedélyezte a MUA-t, hogy biztosítsa a következőket:

  • A védett műveletek a várt módon le vannak tiltva.
  • A MUA megfelelően van konfigurálva.

Védett művelet végrehajtásához (a MUA letiltásához) kövesse az alábbi lépéseket:

  1. Lépjen a >tároló tulajdonságai elemre a bal oldali panelen.

  2. Törölje a jelet a jelölőnégyzetből a MUA letiltásához.

    Értesítést kap arról, hogy ez egy védett művelet, és hozzá kell férnie a Resource Guardhoz.

  3. Válassza ki a Resource Guardot tartalmazó könyvtárat, és hitelesítse magát.

    Ez a lépés nem feltétlenül szükséges, ha a Resource Guard ugyanabban a könyvtárban van, mint a tároló.

  4. Válassza a Mentés lehetőséget.

    A kérés olyan hibával meghiúsul, hogy nem rendelkezik a Resource Guard megfelelő engedélyeivel a művelet végrehajtásához.

    Képernyőkép a biztonsági mentési tároló tulajdonságainak biztonsági beállításairól.

Kritikus (védett) műveletek engedélyezése a Microsoft Entra Privileged Identity Management használatával

Vannak olyan helyzetek, amikor kritikus műveleteket kell végrehajtania a biztonsági másolatokon, és a MUA-val megfelelő jóváhagyásokkal vagy engedélyekkel hajthatja végre őket. A következő szakaszok bemutatják, hogyan engedélyezheti a kritikus műveleti kérelmeket a Privileged Identity Management (PIM) használatával.

A biztonsági mentési rendszergazdának rendelkeznie kell biztonsági mentési MUA-operátori szerepkörrel a Resource Guardon a Resource Guard-hatókör kritikus műveleteinek elvégzéséhez. Az igény szerinti (JIT) műveletek engedélyezésének egyik módja a Microsoft Entra Privileged Identity Management használata.

Feljegyzés

Javasoljuk, hogy használja a Microsoft Entra PIM-et. A Resource Guard biztonsági mentési rendszergazdájának hozzáférését azonban manuális vagy egyéni módszerekkel is kezelheti. A Resource Guardhoz való hozzáférés manuális kezeléséhez használja a Resource Guard bal oldali ablaktáblájának Hozzáférés-vezérlési (IAM) beállítását, és adja meg a Biztonsági mentési MUA-operátor szerepkört a biztonsági mentési rendszergazdának.

Jogosult hozzárendelés létrehozása a biztonsági mentési rendszergazda számára a Microsoft Entra Privileged Identity Management használatával

A biztonsági rendszergazda a PIM használatával létrehozhat egy jogosult hozzárendelést a biztonsági mentési rendszergazda számára biztonsági mentési MUA-operátorként a Resource Guardhoz. Ez lehetővé teszi, hogy a biztonsági mentési rendszergazda kérést küldjön (a biztonsági mentési MUA-operátori szerepkörhöz), amikor védett műveletet kell végrehajtaniuk.

Jogosult hozzárendelés létrehozásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen a Resource Guard biztonsági bérlőjéhez, és a keresés során adja meg a Privileged Identity Management kifejezést.

  3. A bal oldali panelen válassza a Kezelés lehetőséget, és lépjen az Azure-erőforrásokra.

  4. Válassza ki azt az erőforrást (a Resource Guardot vagy az azt tartalmazó előfizetést/RG-t), amelyhez hozzá szeretné rendelni a biztonsági mentési MUA-operátor szerepkört.

    Ha nem talál megfelelő erőforrásokat, adja hozzá a PIM által felügyelt előfizetést.

  5. Jelölje ki az erőforrást, és válassza a Hozzárendelések hozzáadása hozzárendelések> kezelése>lehetőséget.

    A Backup-tároló védelmére szolgáló hozzárendelések hozzáadását bemutató képernyőkép.

  6. A Hozzárendelések hozzáadása területen:

    1. Válassza ki a szerepkört biztonsági mentési MUA-operátorként.
    2. Lépjen a Tagok kijelölése elemre, és adja hozzá a biztonsági mentési rendszergazda felhasználónevét (vagy e-mail-azonosítóját).
    3. Válassza a Tovább lehetőséget.

    Képernyőkép arról, hogyan adhat hozzá hozzárendelés-tagságot a Backup-tároló védelméhez.

  7. A Hozzárendelés területen válassza a Jogosult lehetőséget, és adja meg a jogosult engedély időtartamának érvényességét.

  8. Válassza a Hozzárendelés lehetőséget a jogosult hozzárendelés létrehozásához.

    Képernyőkép arról, hogyan adhat hozzá hozzárendelés-beállítást a Backup-tároló védelméhez.

Jóváhagyók beállítása közreműködői szerepkör aktiválásához

Alapértelmezés szerint előfordulhat, hogy a fenti beállítás nem rendelkezik a PIM-ben konfigurált jóváhagyóval (és jóváhagyási folyamattal). Annak biztosításához, hogy a jóváhagyók közreműködői szerepkörrel rendelkezzenek a kérelem jóváhagyásához, a biztonsági rendszergazdának az alábbi lépéseket kell követnie:

Feljegyzés

Ha a jóváhagyó beállítása nincs konfigurálva, a rendszer automatikusan jóváhagyja a kérelmeket anélkül, hogy átmennek a biztonsági rendszergazdákon vagy a kijelölt jóváhagyó véleményén. További információ.

  1. A Microsoft Entra PIM-ben válassza a bal oldali panelen az Azure-erőforrásokat , és válassza ki a Resource Guardot.

  2. Nyissa meg a Beállítások>közreműködői szerepkört.

    Képernyőkép közreműködő hozzáadásáról.

  3. Válassza a Szerkesztés lehetőséget azoknak a véleményezőknek a hozzáadásához, akiknek felül kell vizsgálniuk és jóvá kell hagyniuk a közreműködői szerepkör aktiválási kérését, ha azt tapasztalja, hogy a jóváhagyók nem jelennek meg, vagy helytelen jóváhagyó(ka)t jelenítenek meg.

  4. Az Aktiválás lapon válassza a Jóváhagyás megkövetelése az aktiváláshoz lehetőséget az egyes kérések jóváhagyásához szükséges jóváhagyó(k) hozzáadásához.

  5. Válassza ki a biztonsági beállításokat, például a többtényezős hitelesítést (MFA), a közreműködői szerepkör aktiválásához a mandating jegyet.

  6. Válassza ki a megfelelő beállításokat a Hozzárendelés és értesítés lapon a követelményeknek megfelelően.

    Képernyőkép a szerepkör-beállítás szerkesztéséről.

  7. Válassza a Frissítés lehetőséget a jóváhagyók beállításának befejezéséhez a közreműködői szerepkör aktiválásához.

Jogosult hozzárendelés aktiválásának kérése kritikus műveletek végrehajtásához

Miután a biztonsági rendszergazda létrehozott egy jogosult hozzárendelést, a biztonsági mentési rendszergazdának aktiválnia kell a közreműködői szerepkör szerepkör-hozzárendelését a védett műveletek végrehajtásához.

A szerepkör-hozzárendelés aktiválásához kövesse az alábbi lépéseket:

  1. Nyissa meg a Microsoft Entra Privileged Identity Managementet. Ha a Resource Guard egy másik könyvtárban van, váltson erre a könyvtárra, majd lépjen a Microsoft Entra Privileged Identity Managementre.

  2. Nyissa meg a Saját szerepkörök>Azure-erőforrásokat a bal oldali panelen.

  3. Válassza az Aktiválás lehetőséget a közreműködői szerepkör jogosult hozzárendelésének aktiválásához.

    Megjelenik egy értesítés, amely értesíti a kérelmet jóváhagyásra.

    Képernyőkép a jogosult hozzárendelések aktiválásáról.

Aktiválási kérelmek jóváhagyása kritikus műveletek végrehajtásához

Miután a biztonsági mentési rendszergazda kérést küld a közreműködői szerepkör aktiválására, a biztonsági rendszergazdának át kell tekintenie és jóvá kell hagynia a kérést.

A kérelem áttekintéséhez és jóváhagyásához kövesse az alábbi lépéseket:

  1. A biztonsági bérlőben nyissa meg a Microsoft Entra Privileged Identity Managementet.

  2. Lépjen a Kérelmek jóváhagyása elemre.

  3. Az Azure-erőforrások alatt láthatja a jóváhagyásra váró kérést.

    Válassza a Jóváhagyás lehetőséget az eredeti kérés áttekintéséhez és jóváhagyásához.

A jóváhagyást követően a biztonsági mentési rendszergazda e-mailben vagy más belső riasztási beállításon keresztül értesítést kap a kérés jóváhagyásáról. A biztonsági mentési rendszergazda most már végrehajthatja a védett műveleteket a kért időszakra.

Védett művelet végrehajtása jóváhagyás után

Ha a biztonsági rendszergazda jóváhagyja a biztonsági mentési rendszergazda kérését a Resource Guard biztonsági mentési MUA-operátori szerepkörére vonatkozóan, a társított tárolón végezhet védett műveleteket. Ha a Resource Guard egy másik könyvtárban található, a biztonsági mentési rendszergazdának hitelesítenie kell magát.

Feljegyzés

Ha a hozzáférés JIT-mechanizmussal lett hozzárendelve, a biztonsági mentési MUA-operátor szerepkör a jóváhagyott időszak végén lesz visszavonva. Ellenkező esetben a biztonsági rendszergazda manuálisan eltávolítja a Biztonsági mentési MUA-operátor szerepkört a biztonsági mentési rendszergazdához a kritikus művelet végrehajtásához.

Az alábbi képernyőképen egy mua-kompatibilis tároló helyreállítható törlésének letiltására szolgáló példa látható.

Képernyőkép egy MUA-kompatibilis tároló helyreállítható törlésének letiltásához.

MUA letiltása biztonsági mentési tárolón

A MUA letiltása olyan védett művelet, amelyet csak a biztonsági mentési rendszergazdának kell elvégeznie. Ehhez a biztonsági mentési rendszergazdának rendelkeznie kell a szükséges biztonsági mentési MUA-operátori szerepkörével a Resource Guardban. Az engedély beszerzéséhez a biztonsági mentési rendszergazdának először kérnie kell a biztonsági rendszergazdát a Resource Guard biztonsági mentési MUA-operátori szerepköréhez az igény szerinti (JIT) eljárással, például a Microsoft Entra Privileged Identity Managementtel vagy belső eszközökkel.

Ezután a biztonsági rendszergazda jóváhagyja a kérést, ha az eredeti, és frissíti azt a biztonsági mentési rendszergazdát, aki most biztonsági mentési MUA-operátori szerepkörrel rendelkezik a Resource Guardon. További információ a szerepkör beszerzéséről.

A MUA letiltásához a biztonsági mentés rendszergazdáinak az alábbi lépéseket kell követniük:

  1. Nyissa meg a tároló >tulajdonságainak>többfelhasználós engedélyezését.

  2. Válassza a Frissítés lehetőséget, és törölje a jelet a Védelem a Resource Guard használatával jelölőnégyzetből.

  3. Válassza a Hitelesítés (ha van) lehetőséget a Resource Guardot tartalmazó címtár kiválasztásához és a hozzáférés ellenőrzéséhez.

  4. Válassza a Mentés lehetőséget a MUA letiltásának befejezéséhez.

    Képernyőkép a többfelhasználós engedélyezés letiltásáról.

Következő lépések

További információ a többfelhasználós engedélyezésről a Resource Guard használatával.