Questo articolo descrive come configurare l'autorizzazione multiutente per Backup di Azure per aggiungere un ulteriore livello di protezione alle operazioni critiche sugli insiemi di credenziali di Servizi di ripristino.
Questo articolo illustra la creazione di Resource Guard in un tenant diverso che offre la massima protezione. Illustra anche come richiedere e approvare le richieste per l'esecuzione di operazioni critiche usando Microsoft Entra Privileged Identity Management nel tenant che ospita Resource Guard. Facoltativamente, è possibile usare altri meccanismi per gestire le autorizzazioni JIT in Resource Guard in base alla configurazione.
Nota
- L'autorizzazione multiutente per Backup di Azure è disponibile in tutte le aree di Azure pubbliche.
- L'autorizzazione multiutente che usa Resource Guard per l'insieme di credenziali di backup è ora disponibile a livello generale. Altre informazioni.
- Verificare che Resource Guard e l'insieme di credenziali di Servizi di ripristino si trovino nella stessa area di Azure.
- Assicurarsi che l'amministratore di Backup non disponga delle autorizzazioni Collaboratore, Amministratore MUA backup o Operatore MUA di backup per Resource Guard. È possibile scegliere di avere Resource Guard in un'altra sottoscrizione della stessa directory o in un'altra directory per garantire il massimo isolamento.
- Assicurarsi che le sottoscrizioni contenenti l'insieme di credenziali di Servizi di ripristino e Resource Guard (in sottoscrizioni o tenant diversi) siano registrate per usare i provider Microsoft.RecoveryServices e Microsoft.DataProtection. Per altre informazioni, vedere Provider e tipi di risorse di Azure.
Informazioni sui vari scenari di utilizzo di MUA.
L'amministratore della sicurezza crea Resource Guard. È consigliabile crearla in una sottoscrizione diversa o in un tenant diverso come insieme di credenziali. Tuttavia, deve trovarsi nella stessa area dell'insieme di credenziali. L'amministratore del backup non deve avere accesso come Collaboratore, Amministratore MUA backup o Operatore MUA di backup in Resource Guard o nella sottoscrizione che lo contiene.
Scegliere un client
Per creare Resource Guard in un tenant diverso dal tenant dell'insieme di credenziali, seguire questa procedura:
Nella portale di Azure passare alla directory in cui si vuole creare Resource Guard.
Cercare Guardie risorse nella barra di ricerca e quindi selezionare l'elemento corrispondente nell'elenco a discesa.
- Selezionare Crea per iniziare a creare un resource guard.
- Nel pannello crea immettere i dettagli necessari per Resource Guard.
- Assicurarsi che Resource Guard si trova nelle stesse aree di Azure dell'insieme di credenziali di Servizi di ripristino.
- Inoltre, è utile aggiungere una descrizione di come ottenere o richiedere l'accesso per eseguire azioni sugli insiemi di credenziali associati quando necessario. Questa descrizione viene visualizzata anche negli insiemi di credenziali associati per guidare l'amministratore di backup per ottenere le autorizzazioni necessarie. È possibile modificare la descrizione in un secondo momento, se necessario, ma è consigliabile avere una descrizione ben definita.
Nella scheda Operazioni protette selezionare le operazioni da proteggere usando questa protezione delle risorse.
È anche possibile selezionare le operazioni per la protezione dopo la creazione di Resource Guard.
Facoltativamente, aggiungere eventuali tag a Resource Guard in base ai requisiti
Selezionare Rivedi e crea e seguire le notifiche per lo stato e la corretta creazione di Resource Guard.
Per creare una risorsa guard, eseguire il cmdlet seguente:
New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”
Per creare una risorsa guard, eseguire il comando seguente:
az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"
Selezionare le operazioni da proteggere con Resource Guard
Scegliere le operazioni da proteggere usando Resource Guard per tutte le operazioni critiche supportate. Per impostazione predefinita, tutte le operazioni critiche supportate sono abilitate. Tuttavia, l'utente (come amministratore della sicurezza) può esentare determinate operazioni dalla purview di MUA usando Resource Guard.
Scegliere un client
Per esentare le operazioni, seguire questa procedura:
In Resource Guard creato in precedenza passare alla scheda Proprietà>insieme di credenziali di Servizi di ripristino.
Selezionare Disabilita per le operazioni da escludere dall'autorizzazione tramite Resource Guard.
Nota
Non è possibile disabilitare le operazioni protette: disabilitare l'eliminazione temporanea e Rimuovere la protezione MUA.
Facoltativamente, è anche possibile aggiornare la descrizione per Resource Guard usando questo pannello.
Seleziona Salva.
Per aggiornare le operazioni. Queste operazioni di esclusione dalla protezione da parte di Resource Guard eseguono i cmdlet seguenti:
$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }
Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded
- Il primo comando recupera la protezione risorse che deve essere aggiornata.
- Il secondo e il terzo comando recuperano le operazioni critiche da aggiornare.
- Il quarto comando esclude alcune operazioni critiche dalla protezione delle risorse.
Per aggiornare le operazioni che devono essere escluse dalla protezione da resource guard, eseguire i comandi seguenti:
az dataprotection resource-guard update --name
--resource-group
[--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
[--resource-type {Microsoft.RecoveryServices/vaults}]
[--tags]
[--type]
Esempio:
az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy
Assegnare le autorizzazioni all'amministratore di Backup in Resource Guard per abilitare MUA
Per abilitare MUA in un insieme di credenziali, l'amministratore dell'insieme di credenziali deve avere il ruolo Lettore nella sottoscrizione o in Resource Guard contenente Resource Guard. Per assegnare il ruolo Lettore in Resource Guard:
Nel pannello Resource Guard creato in precedenza passare al pannello Controllo di accesso (IAM) e quindi passare a Aggiungi assegnazione di ruolo.
Selezionare Lettore nell'elenco dei ruoli predefiniti e selezionare Avanti.
Fare clic su Seleziona membri e aggiungere l'ID di posta elettronica dell'amministratore di backup per aggiungerli come lettore. In questo caso, l'amministratore di Backup si trova in un altro tenant, che verrà aggiunto come guest al tenant contenente Resource Guard.
Fare clic su Seleziona e quindi passare a Rivedi e assegna per completare l'assegnazione di ruolo.
Abilitare MUA in un insieme di credenziali di Servizi di ripristino
Al termine dell'assegnazione di ruolo Lettore in Resource Guard, abilitare l'autorizzazione multiutente negli insiemi di credenziali (come amministratore di Backup) gestiti.
Scegliere un client
Per abilitare MUA negli insiemi di credenziali, seguire questa procedura.
Passare a Insieme di credenziali di Servizi di ripristino. Passare a Proprietà nel pannello di spostamento sinistro, quindi su Autorizzazione multiutente e selezionare Aggiorna.
Viene ora visualizzata l'opzione per abilitare MUA e scegliere Resource Guard usando uno dei modi seguenti:
È possibile specificare l'URI di Resource Guard, assicurarsi di specificare l'URI di un oggetto Resource Guard a cui si ha accesso con autorizzazioni di lettura e che corrisponda alle stesse aree dell'insieme di credenziali. È possibile trovare l'URI (ID di Resource Guard) di Resource Guard nella schermata Panoramica :
In alternativa, è possibile selezionare Resource Guard dall'elenco delle guardie delle risorse a cui si ha accesso con autorizzazioni di lettura e quelle disponibili nell'area.
- Fare clic su Seleziona Resource Guard
- Selezionare l'elenco a discesa e quindi scegliere la directory in cui si trova Resource Guard.
- Selezionare Autentica per convalidare l'identità e l'accesso.
- Dopo l'autenticazione, scegliere Resource Guard dall'elenco visualizzato.
Selezionare Salva al termine per abilitare MUA.
Per abilitare MUA in un insieme di credenziali di Servizi di ripristino, eseguire il cmdlet seguente:
$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token
- Il primo comando recupera il token di accesso per il tenant di Resource Guard in cui è presente resource guard.
- Il secondo comando crea un mapping tra il $vault RSVault e Resource Guard.
Nota
Il parametro token è facoltativo ed è necessario solo per autenticare le operazioni protette tra tenant.
Per abilitare MUA in un insieme di credenziali di Servizi di ripristino, eseguire il comando seguente:
az backup vault resource-guard-mapping update --resource-guard-id
[--ids]
[--name]
[--resource-group]
[--tenant-id]
L'ID tenant è obbligatorio se la protezione delle risorse esiste in un tenant diverso.
Esempio:
az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId
Operazioni protette con MUA
Dopo aver abilitato MUA, le operazioni nell'ambito saranno limitate nell'insieme di credenziali, se l'amministratore di Backup tenta di eseguirle senza avere il ruolo necessario (ovvero, il ruolo Operatore MUA di backup) in Resource Guard.
Nota
È consigliabile testare la configurazione dopo aver abilitato MUA per assicurarsi che le operazioni protette vengano bloccate come previsto e per assicurarsi che MUA sia configurato correttamente.
Di seguito è illustrata un'illustrazione di ciò che accade quando l'amministratore di Backup tenta di eseguire tale operazione protetta( ad esempio, la disabilitazione dell'eliminazione temporanea è illustrata qui. Altre operazioni protette hanno un'esperienza simile). I passaggi seguenti vengono eseguiti da un amministratore di Backup senza autorizzazioni necessarie.
Per disabilitare l'eliminazione temporanea, passare all'insieme di credenziali di Servizi >di ripristino Proprietà>Impostazioni di sicurezza e selezionare Aggiorna, che visualizza le impostazioni di sicurezza.
Disabilitare l'eliminazione temporanea usando il dispositivo di scorrimento. Si è informati che si tratta di un'operazione protetta ed è necessario verificarne l'accesso a Resource Guard.
Selezionare la directory contenente Resource Guard e Autenticarsi. Questo passaggio potrebbe non essere necessario se Resource Guard si trova nella stessa directory dell'insieme di credenziali.
Continuare a selezionare Salva. La richiesta ha esito negativo e viene visualizzato un errore che informa di non disporre di autorizzazioni sufficienti per Resource Guard per consentire l'esecuzione di questa operazione.
Autorizzare operazioni critiche (protette) con Microsoft Entra Privileged Identity Management
Le sezioni seguenti illustrano l'autorizzazione di queste richieste tramite PIM. In alcuni casi potrebbe essere necessario eseguire operazioni critiche sui backup e muA per assicurarsi che vengano eseguite solo quando esistono le approvazioni o le autorizzazioni appropriate. Come illustrato in precedenza, l'amministratore di Backup deve avere un ruolo Operatore MUA di backup in Resource Guard per eseguire operazioni critiche nell'ambito di Resource Guard. Uno dei modi per consentire operazioni just-in-time è l'uso di Microsoft Entra Privileged Identity Management.
Nota
Anche se l'uso di Microsoft Entra PIM è l'approccio consigliato, è possibile usare metodi manuali o personalizzati per gestire l'accesso per l'amministratore di Backup in Resource Guard. Per gestire manualmente l'accesso a Resource Guard, usare l'impostazione "Controllo di accesso (IAM)" sulla barra di spostamento sinistra di Resource Guard e concedere il ruolo Operatore MUA di backup all'amministratore di backup.
Creare un'assegnazione idonea per l'amministratore del backup (se si usa Microsoft Entra Privileged Identity Management)
L'amministratore della sicurezza può usare PIM per creare un'assegnazione idonea per l'amministratore del backup e fornire il ruolo Operatore MUA di backup a Resource Guard. Ciò consente all'amministratore di Backup di generare una richiesta (per il ruolo Operatore MUA di backup) quando è necessario eseguire un'operazione protetta. A tale scopo, l'amministratore della sicurezza esegue le operazioni seguenti:
Nel tenant di sicurezza (che contiene Resource Guard), passare a Privileged Identity Management (cercarlo nella barra di ricerca nella portale di Azure) e quindi passare a Risorse di Azure (in Gestisci nel menu a sinistra).
Selezionare la risorsa (Resource Guard o la sottoscrizione/RG contenitore) a cui si vuole assegnare il ruolo Operatore MUA di backup.
Se la risorsa corrispondente non viene visualizzata nell'elenco delle risorse, assicurarsi di aggiungere la sottoscrizione contenitore da gestire da PIM.
Nella risorsa selezionata passare a Assegnazioni (in Gestisci nel menu a sinistra) e passare a Aggiungi assegnazioni.
In Aggiungi assegnazioni:
- Selezionare il ruolo come Operatore MUA di backup.
- Passare a Seleziona membri e aggiungere il nome utente (o gli ID di posta elettronica) dell'amministratore di backup.
- Selezionare Avanti.
Nella schermata successiva:
- In Tipo di assegnazione scegliere Idoneo.
- Specificare la durata per cui l'autorizzazione idonea è valida.
- Selezionare Assegna per completare la creazione dell'assegnazione idonea.
Configurare i responsabili approvazione per l'attivazione del ruolo Operatore MUA di backup
Per impostazione predefinita, l'installazione precedente potrebbe non avere un responsabile approvazione (e un requisito del flusso di approvazione) configurato in PIM. Per assicurarsi che i responsabili approvazione dispongano del ruolo Operatore MUA di backup per l'approvazione della richiesta, l'amministratore della sicurezza deve seguire questa procedura:
Nota
Se questa impostazione non è configurata, le richieste verranno approvate automaticamente senza passare attraverso gli amministratori della sicurezza o la revisione di un responsabile approvazione designato. Altri dettagli su questo sono disponibili qui
In Microsoft Entra PIM selezionare Risorse di Azure sulla barra di spostamento a sinistra e selezionare Resource Guard.
Passare a Impostazioni e quindi passare al ruolo Operatore MUA di backup.
Selezionare Modifica per aggiungere i revisori che devono esaminare e approvare la richiesta di attivazione per il ruolo Operatore MUA di backup nel caso in cui i responsabili approvazione visualizzino Nessuno o visualizzino responsabili approvazione non corretti.
Nella scheda Attivazione selezionare Richiedi approvazione per attivare e aggiungere i responsabili approvazione che devono approvare ogni richiesta.
Selezionare le opzioni di sicurezza, ad esempio l'autenticazione a più fattori (MFA), l'autorizzazione del ticket per attivare il ruolo Operatore MUA di backup.
Selezionare le opzioni appropriate nelle schede Assegnazione e Notifica in base alle esigenze.
Selezionare Aggiorna per completare l'installazione dei responsabili approvazione per attivare il ruolo Operatore MUA di backup.
Dopo che l'amministratore della sicurezza ha creato un'assegnazione idonea, l'amministratore di backup deve attivare l'assegnazione per il ruolo Operatore MUA di backup per poter eseguire azioni protette.
Per attivare l'assegnazione di ruolo, seguire questa procedura:
Passare a Microsoft Entra Privileged Identity Management. Se Resource Guard si trova in un'altra directory, passare a tale directory e quindi passare a Microsoft Entra Privileged Identity Management.
Passare a Ruoli personali Risorse> di Azure nel menu a sinistra.
Selezionare Attiva per attivare l'assegnazione idonea per il ruolo Operatore MUA di backup.
Viene visualizzata una notifica che informa che la richiesta viene inviata per l'approvazione.
Quando l'amministratore di Backup genera una richiesta di attivazione del ruolo Operatore MUA di backup, la richiesta deve essere esaminata e approvata dall'amministratore della sicurezza.
- Nel tenant di sicurezza passare a Microsoft Entra Privileged Identity Management.
- Passare a Approva richieste.
- In Risorse di Azure è possibile visualizzare la richiesta generata dall'amministratore di Backup che richiede l'attivazione come operatore MUA di backup.
- Esaminare la richiesta. Se originale, selezionare la richiesta e selezionare Approva per approvarla.
- L'amministratore di Backup viene informato tramite posta elettronica (o altri meccanismi di avviso dell'organizzazione) che la richiesta è ora approvata.
- Dopo l'approvazione, l'amministratore di Backup può eseguire operazioni protette per il periodo richiesto.
Dopo aver approvato la richiesta dell'amministratore di backup per il ruolo Operatore MUA di backup in Resource Guard, è possibile eseguire operazioni protette nell'insieme di credenziali associato. Se Resource Guard si trova in un'altra directory, l'amministratore di backup dovrà eseguire l'autenticazione.
Nota
Se l'accesso è stato assegnato usando un meccanismo JIT, il ruolo Operatore MUA di backup viene ritirato alla fine del periodo approvato. In caso contrario, l'amministratore della sicurezza rimuove manualmente il ruolo Operatore MUA di backup assegnato all'amministratore di backup per eseguire l'operazione critica.
Lo screenshot seguente mostra un esempio di disabilitazione dell'eliminazione temporanea per un insieme di credenziali abilitato per MUA.
Disabilitare MUA in un insieme di credenziali di Servizi di ripristino
La disabilitazione di MUA è un'operazione protetta, quindi gli insiemi di credenziali sono protetti tramite MUA. Se l'amministratore del backup vuole disabilitare MUA, è necessario avere il ruolo Operatore MUA di backup richiesto in Resource Guard.
Scegliere un client
Per disabilitare MUA in un insieme di credenziali, seguire questa procedura:
L'amministratore di Backup richiede l'amministratore della sicurezza per il ruolo Operatore MUA di backup in Resource Guard. Possono richiedere a questo scopo di usare i metodi approvati dall'organizzazione, ad esempio procedure JIT, come Microsoft Entra Privileged Identity Management o altri strumenti e procedure interni.
L'amministratore della sicurezza approva la richiesta (se lo ritiene degno di essere approvato) e informa l'amministratore di Backup. L'amministratore di backup ha ora il ruolo Operatore MUA di backup in Resource Guard.
L'amministratore di Backup passa all'insieme di credenziali >Proprietà>Autorizzazione multiutente.
Selezionare Aggiorna.
- Deselezionare la casella di controllo Proteggi con Resource Guard .
- Scegliere la directory che contiene Resource Guard e verificare l'accesso usando il pulsante Autentica (se applicabile).
- Dopo l'autenticazione, selezionare Salva. Con l'accesso corretto, la richiesta deve essere completata correttamente.
Per disabilitare MUA in un insieme di credenziali di Servizi di ripristino, usare il cmdlet seguente:
$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -Token $token
- Il primo comando recupera il token di accesso per il tenant di Resource Guard, in cui è presente la protezione delle risorse.
- Il secondo comando elimina il mapping tra l'insieme di credenziali di Servizi di ripristino e la protezione delle risorse.
Nota
Il parametro token è facoltativo ed è necessario solo per autenticare le operazioni protette tra tenant.
Per disabilitare MUA in un insieme di credenziali di Servizi di ripristino, eseguire il comando seguente:
az backup vault resource-guard-mapping delete [--ids]
[--name]
[--resource-group]
[--tenant-id]
[--yes]
L'ID tenant è obbligatorio se la protezione delle risorse esiste in un tenant diverso.
Esempio:
az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName
Questo articolo descrive come configurare l'autorizzazione multiutente per Backup di Azure per aggiungere un ulteriore livello di protezione alle operazioni critiche nell'insieme di credenziali di backup.
Questo articolo illustra la creazione di Resource Guard in un tenant diverso che offre la massima protezione. Illustra anche come richiedere e approvare le richieste per l'esecuzione di operazioni critiche usando Microsoft Entra Privileged Identity Management nel tenant che ospita Resource Guard. Facoltativamente, è possibile usare altri meccanismi per gestire le autorizzazioni JIT in Resource Guard in base alla configurazione.
Nota
- L'autorizzazione multiutente che usa Resource Guard per l'insieme di credenziali di backup è ora disponibile a livello generale.
- L'autorizzazione multiutente per Backup di Azure è disponibile in tutte le aree di Azure pubbliche.
- Assicurarsi che Resource Guard e l'insieme di credenziali di backup si trovino nella stessa area di Azure.
- Assicurarsi che l'amministratore di Backup non disponga delle autorizzazioni Collaboratore, Amministratore MUA backup o Operatore MUA di backup per Resource Guard. È possibile scegliere di avere Resource Guard in un'altra sottoscrizione della stessa directory o in un'altra directory per garantire il massimo isolamento.
- Assicurarsi che le sottoscrizioni contengano l'insieme di credenziali di Backup e Resource Guard (in sottoscrizioni o tenant diversi) siano registrate per usare il provider Microsoft.DataProtection 4. Per altre informazioni, vedere Provider e tipi di risorse di Azure.
Informazioni sui vari scenari di utilizzo di MUA.
L'amministratore della sicurezza crea Resource Guard. È consigliabile crearla in una sottoscrizione diversa o in un tenant diverso come insieme di credenziali. Tuttavia, deve trovarsi nella stessa area dell'insieme di credenziali.
L'amministratore del backup non deve avere accesso come collaboratore, amministratore MUA di backup o operatore MUA di backup in Resource Guard o nella sottoscrizione che lo contiene.
Per creare Resource Guard in un tenant diverso dal tenant dell'insieme di credenziali come amministratore della sicurezza, seguire questa procedura:
Nella portale di Azure passare alla directory in cui si vuole creare Resource Guard.
Cercare Resource Guard nella barra di ricerca e quindi selezionare l'elemento corrispondente nell'elenco a discesa.
- Selezionare Crea per creare una Risorsa Guard.
- Nel pannello Crea immettere i dettagli necessari per Resource Guard.
- Assicurarsi che Resource Guard si trova nella stessa area di Azure dell'insieme di credenziali di Backup.
- Aggiungere una descrizione su come richiedere l'accesso per eseguire azioni sugli insiemi di credenziali associati quando necessario. Questa descrizione viene visualizzata negli insiemi di credenziali associati per guidare l'amministratore di Backup su come ottenere le autorizzazioni necessarie.
Nella scheda Operazioni protette selezionare le operazioni da proteggere usando questa protezione delle risorse nella scheda Insieme di credenziali di backup.
Attualmente, la scheda Operazioni protette include solo l'opzione Elimina istanza di backup da disabilitare.
È anche possibile selezionare le operazioni per la protezione dopo la creazione di Resource Guard.
Facoltativamente, aggiungere eventuali tag a Resource Guard in base ai requisiti.
Selezionare Rivedi e crea e quindi seguire le notifiche per monitorare lo stato e la creazione corretta di Resource Guard.
Selezionare le operazioni da proteggere con Resource Guard
Dopo la creazione dell'insieme di credenziali, l'amministratore della sicurezza può anche scegliere le operazioni per la protezione usando Resource Guard tra tutte le operazioni critiche supportate. Per impostazione predefinita, tutte le operazioni critiche supportate sono abilitate. Tuttavia, l'amministratore della sicurezza può esentare determinate operazioni dall'eliminazione di MUA tramite Resource Guard.
Per selezionare le operazioni per la protezione, seguire questa procedura:
Nella scheda Resource Guard creata passare alla scheda Proprietà>Insieme di credenziali di backup.
Selezionare Disabilita per le operazioni da escludere dall'autorizzazione.
Non è possibile disabilitare le operazioni Rimuovi protezione MUA e Disabilita eliminazione temporanea.
Facoltativamente, nella scheda Insiemi di credenziali di backup aggiornare la descrizione per Resource Guard.
Seleziona Salva.
Assegnare le autorizzazioni all'amministratore di Backup in Resource Guard per abilitare MUA
L'amministratore di Backup deve avere il ruolo lettore nella sottoscrizione o in Resource Guard che contiene Resource Guard per abilitare MUA in un insieme di credenziali. L'amministratore della sicurezza deve assegnare questo ruolo all'amministratore di Backup.
Per assegnare il ruolo Lettore in Resource Guard, seguire questa procedura:
Nel pannello Resource Guard creato in precedenza passare al pannello Controllo di accesso (IAM) e quindi passare a Aggiungi assegnazione di ruolo.
Selezionare Lettore nell'elenco dei ruoli predefiniti e selezionare Avanti.
Fare clic su Seleziona membri e aggiungere l'ID di posta elettronica dell'amministratore di backup per assegnare il ruolo Lettore .
Poiché gli amministratori di backup si trovano in un altro tenant, verranno aggiunti come guest al tenant che contiene Resource Guard.
Fare clic su Seleziona>rivedi e assegna per completare l'assegnazione di ruolo.
Abilitare MUA in un insieme di credenziali di backup
Quando l'amministratore di Backup ha il ruolo lettore in Resource Guard, può abilitare l'autorizzazione multiutente negli insiemi di credenziali gestiti seguendo questa procedura:
Passare all'insieme di credenziali di backup per cui si vuole configurare MUA.
Nel pannello sinistro selezionare Proprietà.
Passare a Autorizzazione multiutente e selezionare Aggiorna.
Per abilitare MUA e scegliere Resource Guard, eseguire una delle azioni seguenti:
È possibile specificare l'URI di Resource Guard. Assicurarsi di specificare l'URI di un oggetto Resource Guard a cui si ha accesso con autorizzazioni di lettura e che si trovi nella stessa area dell'insieme di credenziali. È possibile trovare l'URI (ID Resource Guard) di Resource Guard nella pagina Panoramica .
In alternativa, è possibile selezionare Resource Guard dall'elenco delle guardie delle risorse a cui si ha accesso con autorizzazioni di lettura e quelle disponibili nell'area.
- Fare clic su Seleziona Resource Guard.
- Selezionare l'elenco a discesa e selezionare la directory in cui si trova Resource Guard.
- Selezionare Autentica per convalidare l'identità e l'accesso.
- Dopo l'autenticazione, scegliere Resource Guard dall'elenco visualizzato.
Selezionare Salva per abilitare MUA.
Operazioni protette con MUA
Quando l'amministratore di Backup abilita MUA, le operazioni nell'ambito saranno limitate nell'insieme di credenziali e le operazioni avranno esito negativo se l'amministratore di Backup tenta di eseguirli senza avere il ruolo Operatore MUA di backup in Resource Guard.
Nota
È consigliabile testare la configurazione dopo aver abilitato MUA per assicurarsi che:
- Le operazioni protette vengono bloccate come previsto.
- MUA è configurato correttamente.
Per eseguire un'operazione protetta (disabilitando MUA), seguire questa procedura:
Passare all'insieme di credenziali >Proprietà nel riquadro sinistro.
Deselezionare la casella di controllo per disabilitare MUA.
Si riceverà una notifica che indica che si tratta di un'operazione protetta ed è necessario avere accesso a Resource Guard.
Selezionare la directory contenente Resource Guard e autenticarsi manualmente.
Questo passaggio potrebbe non essere necessario se Resource Guard si trova nella stessa directory dell'insieme di credenziali.
Seleziona Salva.
La richiesta ha esito negativo con un errore che indica che non si dispone di autorizzazioni sufficienti per Resource Guard per eseguire questa operazione.
Autorizzare operazioni critiche (protette) con Microsoft Entra Privileged Identity Management
Esistono scenari in cui potrebbe essere necessario eseguire operazioni critiche sui backup ed è possibile eseguirle con le approvazioni o le autorizzazioni appropriate con MUA. Le sezioni seguenti illustrano come autorizzare le richieste di operazioni critiche usando Privileged Identity Management (PIM).
L'amministratore di Backup deve avere un ruolo Operatore MUA di backup in Resource Guard per eseguire operazioni critiche nell'ambito di Resource Guard. Uno dei modi per consentire operazioni JIT (Just-In-Time) consiste nell'usare Microsoft Entra Privileged Identity Management.
Nota
È consigliabile usare Microsoft Entra PIM. Tuttavia, è anche possibile usare metodi manuali o personalizzati per gestire l'accesso per l'amministratore di Backup in Resource Guard. Per gestire manualmente l'accesso a Resource Guard, usare l'impostazione Controllo di accesso (IAM) nel riquadro sinistro di Resource Guard e concedere il ruolo Operatore MUA di backup all'amministratore di backup.
Creare un'assegnazione idonea per l'amministratore di backup usando Microsoft Entra Privileged Identity Management
L'amministratore della sicurezza può usare PIM per creare un'assegnazione idonea per l'amministratore di Backup come operatore MUA di backup in Resource Guard. Ciò consente all'amministratore di Backup di generare una richiesta (per il ruolo Operatore MUA di backup) quando è necessario eseguire un'operazione protetta.
Per creare un'assegnazione idonea, seguire questa procedura:
Accedere al portale di Azure.
Passare al tenant di sicurezza di Resource Guard e nella ricerca immettere Privileged Identity Management.
Nel riquadro sinistro selezionare Gestisci e passare a Risorse di Azure.
Selezionare la risorsa (Resource Guard o la sottoscrizione/RG contenitore) a cui si vuole assegnare il ruolo Operatore MUA di backup.
Se non si trovano risorse corrispondenti, aggiungere la sottoscrizione contenitore gestita da PIM.
Selezionare la risorsa e passare a Gestisci>assegnazioni>Aggiungi assegnazioni.
In Aggiungi assegnazioni:
- Selezionare il ruolo come Operatore MUA di backup.
- Passare a Seleziona membri e aggiungere il nome utente (o gli ID di posta elettronica) dell'amministratore di backup.
- Selezionare Avanti.
In Assegnazione selezionare Idoneo e specificare la validità della durata dell'autorizzazione idonea.
Selezionare Assegna per completare la creazione dell'assegnazione idonea.
Configurare i responsabili approvazione per l'attivazione del ruolo Collaboratore
Per impostazione predefinita, l'installazione precedente potrebbe non avere un responsabile approvazione (e un requisito del flusso di approvazione) configurato in PIM. Per assicurarsi che i responsabili approvazione abbiano il ruolo Collaboratore per l'approvazione della richiesta, l'amministratore della sicurezza deve seguire questa procedura:
Nota
Se l'installazione del responsabile approvazione non è configurata, le richieste vengono approvate automaticamente senza passare attraverso gli amministratori della sicurezza o la revisione di un responsabile approvazione designato. Altre informazioni.
In Microsoft Entra PIM selezionare Risorse di Azure nel riquadro sinistro e selezionare Resource Guard.
Passare al ruolo Collaboratore impostazioni>.
Selezionare Modifica per aggiungere i revisori che devono esaminare e approvare la richiesta di attivazione per il ruolo Collaboratore nel caso in cui i responsabili approvazione visualizzino Nessuno o visualizzino responsabili approvazione non corretti.
Nella scheda Attivazione selezionare Richiedi approvazione per attivare per aggiungere i responsabili approvazione che devono approvare ogni richiesta.
Selezionare le opzioni di sicurezza, ad esempio l'autenticazione a più fattori (MFA), l'assegnazione di ticket per attivare il ruolo Collaboratore .
Selezionare le opzioni appropriate nelle schede Assegnazione e Notifica in base alle esigenze.
Selezionare Aggiorna per completare l'installazione dei responsabili approvazione per attivare il ruolo Collaboratore .
Dopo che l'amministratore della sicurezza ha creato un'assegnazione idonea, l'amministratore di Backup deve attivare l'assegnazione di ruolo per il ruolo Collaboratore per eseguire azioni protette.
Per attivare l'assegnazione di ruolo, seguire questa procedura:
Passare a Microsoft Entra Privileged Identity Management. Se Resource Guard si trova in un'altra directory, passare a tale directory e quindi passare a Microsoft Entra Privileged Identity Management.
Passare a Ruoli personali Risorse> di Azure nel riquadro sinistro.
Selezionare Attiva per attivare l'assegnazione idonea per il ruolo Collaboratore .
Viene visualizzata una notifica che informa che la richiesta viene inviata per l'approvazione.
Quando l'amministratore di Backup genera una richiesta di attivazione del ruolo Collaboratore, l'amministratore della sicurezza deve esaminare e approvare la richiesta.
Per esaminare e approvare la richiesta, seguire questa procedura:
Nel tenant di sicurezza passare a Microsoft Entra Privileged Identity Management.
Passare a Approva richieste.
In Risorse di Azure è possibile visualizzare la richiesta in attesa dell'approvazione.
Selezionare Approva per esaminare e approvare la richiesta autentica.
Dopo l'approvazione, l'amministratore di Backup riceve una notifica, tramite posta elettronica o altre opzioni di avviso interne, che la richiesta viene approvata. A questo punto, l'amministratore di Backup può eseguire le operazioni protette per il periodo richiesto.
Dopo che l'amministratore della sicurezza approva la richiesta dell'amministratore di backup per il ruolo Operatore MUA di backup in Resource Guard, può eseguire operazioni protette nell'insieme di credenziali associato. Se Resource Guard si trova in un'altra directory, l'amministratore di Backup deve autenticarsi.
Nota
Se l'accesso è stato assegnato usando un meccanismo JIT, il ruolo Operatore MUA di backup viene ritirato alla fine del periodo approvato. In caso contrario, l'amministratore della sicurezza rimuove manualmente il ruolo Operatore MUA di backup assegnato all'amministratore di backup per eseguire l'operazione critica.
Lo screenshot seguente mostra un esempio di disabilitazione dell'eliminazione temporanea per un insieme di credenziali abilitato per MUA.
Disabilitare MUA in un insieme di credenziali di backup
La disabilitazione dell'muA è un'operazione protetta che deve essere eseguita solo dall'amministratore di Backup. A tale scopo, l'amministratore di Backup deve avere il ruolo Operatore MUA backup richiesto in Resource Guard. Per ottenere questa autorizzazione, l'amministratore di Backup deve prima richiedere l'amministratore della sicurezza per il ruolo Operatore MUA di backup in Resource Guard usando la procedura JIT (Just-In-Time), ad esempio Microsoft Entra Privileged Identity Management o gli strumenti interni.
L'amministratore della sicurezza approva quindi la richiesta se è autentica e aggiorna l'amministratore di backup che ora ha il ruolo Operatore MUA di backup in Resource Guard. Altre informazioni su come ottenere questo ruolo.
Per disabilitare l'muA, gli amministratori di backup devono seguire questa procedura:
Passare all'insieme di credenziali >Proprietà>Autorizzazione multiutente.
Selezionare Aggiorna e deselezionare la casella di controllo Proteggi con Resource Guard .
Selezionare Autentica (se applicabile) per scegliere la directory che contiene Resource Guard e verificare l'accesso.
Selezionare Salva per completare il processo di disabilitazione dell'muA.