Configurar a autorização multiusuário usando o Resource Guard no Backup do Azure

Este artigo descreve como configurar a autorização multiusuário (MUA) para o Backup do Azure para adicionar uma camada adicional de proteção a operações críticas em seus cofres dos Serviços de Recuperação.

Este artigo demonstra a criação do Resource Guard em um locatário diferente que oferece proteção máxima. Ele também demonstra como solicitar e aprovar solicitações para executar operações críticas usando o Microsoft Entra Privileged Identity Management no locatário que abriga o Resource Guard. Opcionalmente, você pode usar outros mecanismos para gerenciar permissões JIT no Resource Guard de acordo com sua configuração.

Nota

  • A autorização multiusuário para o Backup do Azure está disponível em todas as regiões públicas do Azure.
  • A autorização multiusuário usando o cofre do Resource Guard for Backup agora está disponível para o público em geral. Mais informações.

Antes de começar

  • Verifique se o Resource Guard e o cofre dos Serviços de Recuperação estão na mesma região do Azure.
  • Verifique se o administrador de Backup não tem permissões de Colaborador, Administrador de MUA de Backup ou Operador de MUA de Backup no Resource Guard. Você pode optar por ter o Resource Guard em outra assinatura do mesmo diretório ou em outro diretório para garantir o máximo isolamento.
  • Certifique-se de que as suas subscrições que contêm o cofre dos Serviços de Recuperação, bem como o Resource Guard (em subscrições ou inquilinos diferentes), estão registadas para utilizar os fornecedores - Microsoft.RecoveryServices e Microsoft.DataProtection . Para obter mais informações, consulte Tipos e provedores de recursos do Azure.

Saiba mais sobre vários cenários de uso do MUA.

Criar um Resource Guard

O administrador de segurança cria o Resource Guard. Recomendamos que você o crie em uma assinatura diferente ou em um locatário diferente como o cofre. No entanto, deve estar na mesma região do cofre. O administrador de backup NÃO deve ter acesso de Colaborador, administrador de MUA de backup ou operador de MUA de backup no Resource Guard ou na assinatura que o contém.

Escolha um cliente

Para criar o Resource Guard em um locatário diferente do locatário do vault, siga estas etapas:

  1. No portal do Azure, vá para o diretório sob o qual você deseja criar o Resource Guard.

    Captura de tela mostrando as configurações do portal.

  2. Procure Guardas de Recursos na barra de pesquisa e, em seguida, selecione o item correspondente na lista suspensa.

    A captura de tela mostra como pesquisar protetores de recursos.

    • Selecione Criar para começar a criar um Resource Guard.
    • Na folha de criação, preencha os detalhes necessários para este Resource Guard.
      • Verifique se o Resource Guard está nas mesmas regiões do Azure que o cofre dos Serviços de Recuperação.
      • Além disso, é útil adicionar uma descrição de como obter ou solicitar acesso para executar ações em cofres associados quando necessário. Essa descrição também apareceria nos cofres associados para orientar o administrador de backup sobre como obter as permissões necessárias. Você pode editar a descrição mais tarde, se necessário, mas ter uma descrição bem definida em todos os momentos é encorajado.
  3. Na guia Operações protegidas, selecione as operações que você precisa proteger usando esse protetor de recursos.

    Você também pode selecionar as operações para proteção depois de criar o protetor de recursos.

  4. Opcionalmente, adicione quaisquer tags ao Resource Guard de acordo com os requisitos

  5. Selecione Rever + Criar e siga as notificações para obter o estado e a criação bem-sucedida do Resource Guard.

Selecionar operações a serem protegidas usando o Resource Guard

Escolha as operações que deseja proteger usando o Resource Guard de todas as operações críticas suportadas. Por padrão, todas as operações críticas suportadas são habilitadas. No entanto, você (como administrador de segurança) pode isentar certas operações de cair sob a alçada do MUA usando o Resource Guard.

Escolha um cliente

Para isentar operações, siga estes passos:

  1. No Resource Guard criado acima, vá para a guia Cofre dos Serviços de Recuperação de Propriedades>.

  2. Selecione Desativar para operações que você deseja excluir de serem autorizadas usando o Resource Guard.

    Nota

    Não é possível desativar as operações protegidas - Desativar exclusão suave e Remover proteção MUA.

  3. Opcionalmente, você também pode atualizar a descrição do Resource Guard usando essa folha.

  4. Selecione Guardar.

    Captura de tela mostrando as propriedades do protetor de recursos de demonstração.

Atribua permissões ao administrador de Backup no Resource Guard para habilitar o MUA

Para habilitar o MUA em um cofre, o administrador do cofre deve ter a função de Leitor no Resource Guard ou uma assinatura que contenha o Resource Guard. Para atribuir a função de Leitor no Resource Guard:

  1. No Resource Guard criado acima, vá para a folha Controle de Acesso (IAM) e vá para Adicionar atribuição de função.

    Captura de tela mostrando o controle de acesso de guarda de recursos de demonstração.

  2. Selecione Leitor na lista de funções internas e selecione Avançar.

    Captura de tela mostrando a atribuição de função de guarda de recursos de demonstração.

  3. Clique em Selecionar membros e adicione o ID de e-mail do administrador do Backup para adicioná-los como leitor. Como o administrador de Backup está em outro locatário nesse caso, ele será adicionado como convidado ao locatário que contém o Resource Guard.

  4. Clique em Selecionar e, em seguida, prossiga para Rever + atribuir para concluir a atribuição de função.

    Captura de tela mostrando os membros da seleção de protetores de recursos de demonstração.

Habilitar MUA em um cofre dos Serviços de Recuperação

Depois que a atribuição da função Leitor no Resource Guard estiver concluída, habilite a autorização multiusuário nos cofres (como administrador de backup) que você gerencia.

Escolha um cliente

Para habilitar o MUA nos cofres, siga estas etapas.

  1. Vá para o cofre dos Serviços de Recuperação. Vá para Propriedades no painel de navegação esquerdo, depois para Autorização Multiusuário e selecione Atualizar.

    Captura de ecrã a mostrar as propriedades do cofre dos serviços de recuperação.

  2. Agora, você tem a opção de habilitar o MUA e escolher um Resource Guard usando uma das seguintes maneiras:

    • Você pode especificar o URI do Resource Guard, certifique-se de especificar o URI de um Resource Guard ao qual você tem acesso de leitor e que seja as mesmas regiões do vault. Você pode encontrar o URI (Resource Guard ID) do Resource Guard em sua tela Visão geral :

      Captura de ecrã a mostrar o Resource Guard.

    • Ou, você pode selecionar o Resource Guard na lista de Resource Guards aos quais você tem acesso ao Reader e aqueles disponíveis na região.

      1. Clique em Selecionar Resource Guard
      2. Selecione a lista suspensa e, em seguida, escolha o diretório em que o Resource Guard está.
      3. Selecione Autenticar para validar sua identidade e acesso.
      4. Após a autenticação, escolha o Resource Guard na lista exibida.

      Captura de tela mostrando a autorização multiusuário.

  3. Selecione Salvar uma vez concluído para ativar o MUA.

    Captura de ecrã a mostrar como ativar a autenticação multiutilizador.

Operações protegidas usando MUA

Depois de habilitar o MUA, as operações no escopo serão restritas no cofre, se o administrador de Backup tentar executá-las sem ter a função necessária (ou seja, a função de Operador de MUA de Backup ) no Resource Guard.

Nota

É altamente recomendável que você teste sua configuração depois de habilitar o MUA para garantir que as operações protegidas sejam bloqueadas conforme o esperado e para garantir que o MUA esteja configurado corretamente.

Abaixo está uma ilustração do que acontece quando o administrador de backup tenta executar uma operação protegida (por exemplo, a desativação da exclusão suave é descrita aqui. Outras operações protegidas têm uma experiência semelhante). As etapas a seguir são executadas por um administrador de backup sem as permissões necessárias.

  1. Para desativar a exclusão suave, vá para as Configurações de Segurança das Propriedades>do cofre> dos Serviços de Recuperação e selecione Atualizar, que exibe as Configurações de Segurança.

  2. Desative a exclusão suave usando o controle deslizante. Você é informado de que esta é uma operação protegida e precisa verificar seu acesso ao Resource Guard.

  3. Selecione o diretório que contém o Resource Guard e autentique-se. Esta etapa pode não ser necessária se o Resource Guard estiver no mesmo diretório do vault.

  4. Prossiga para selecionar Salvar. A solicitação falha com um erro informando sobre não ter permissões suficientes no Resource Guard para permitir que você execute essa operação.

    Captura de tela mostrando as configurações de segurança das propriedades do Test Vault.

Autorizar operações críticas (protegidas) usando o Microsoft Entra Privileged Identity Management

As seções a seguir discutem a autorização dessas solicitações usando o PIM. Há casos em que você pode precisar executar operações críticas em seus backups e o MUA pode ajudá-lo a garantir que elas sejam executadas somente quando existirem as aprovações ou permissões corretas. Como discutido anteriormente, o administrador de backup precisa ter uma função de operador de MUA de backup no Resource Guard para executar operações críticas que estão no escopo do Resource Guard. Uma das maneiras de permitir o just-in-time para tais operações é através do uso do Microsoft Entra Privileged Identity Management.

Nota

Embora o uso do Microsoft Entra PIM seja a abordagem recomendada, você pode usar métodos manuais ou personalizados para gerenciar o acesso para o administrador de Backup no Resource Guard. Para gerenciar manualmente o acesso ao Resource Guard, use a configuração 'Controle de acesso (IAM)' na barra de navegação esquerda do Resource Guard e conceda a função Operador MUA de Backup ao administrador do Backup.

Criar uma atribuição qualificada para o administrador de Backup (se estiver usando o Microsoft Entra Privileged Identity Management)

O administrador de segurança pode usar o PIM para criar uma atribuição qualificada para o administrador de backup e fornecer a função de operador de MUA de backup para o Resource Guard. Isso permite que o administrador de backup levante uma solicitação (para a função Operador de MUA de backup ) quando precisar executar uma operação protegida. Para fazer isso, o administrador de segurança executa o seguinte:

  1. No locatário de segurança (que contém o Resource Guard), vá para Privileged Identity Management (pesquise isso na barra de pesquisa no portal do Azure) e vá para Recursos do Azure (em Gerenciar no menu à esquerda).

  2. Selecione o recurso (o Resource Guard ou a assinatura/RG que o contém) ao qual você deseja atribuir a função de Operador de MUA de Backup .

    Se você não vir o recurso correspondente na lista de recursos, certifique-se de adicionar a assinatura que contém a ser gerenciada pelo PIM.

  3. No recurso selecionado, vá para Atribuições (em Gerenciar no menu à esquerda) e vá para Adicionar atribuições.

    Captura de ecrã a mostrar como adicionar atribuições.

  4. Em Adicionar atribuições:

    1. Selecione a função como Operador de MUA de Backup.
    2. Vá para Selecionar membros e adicione o nome de usuário (ou IDs de e-mail) do administrador de backup.
    3. Selecione Seguinte.

    Captura de tela mostrando como adicionar atribuições-associação.

  5. No ecrã seguinte:

    1. Em Tipo de atribuição, escolha Elegível.
    2. Especifique a duração para a qual a permissão elegível é válida.
    3. Selecione Atribuir para concluir a criação da atribuição qualificada.

    Captura de tela mostrando como adicionar a configuração de atribuições.

Configurar aprovadores para ativar a função Operador de MUA de Backup

Por padrão, a configuração acima pode não ter um aprovador (e um requisito de fluxo de aprovação) configurado no PIM. Para garantir que os aprovadores tenham a função Operador de MUA de Backup para aprovação de solicitação, o administrador de segurança deve seguir estas etapas:

Nota

Se isso não estiver configurado, todas as solicitações serão aprovadas automaticamente sem passar pelos administradores de segurança ou pela revisão de um aprovador designado. Mais detalhes sobre isso podem ser encontrados aqui

  1. No Microsoft Entra PIM, selecione Recursos do Azure na barra de navegação esquerda e selecione o Resource Guard.

  2. Vá para Configurações e, em seguida, vá para a função Operador de MUA de Backup .

    Captura de ecrã a mostrar como adicionar um colaborador.

  3. Selecione Editar para adicionar os revisores que devem revisar e aprovar a solicitação de ativação para a função Operador de MUA de Backup caso você descubra que os aprovadores mostram Nenhum ou exibem aprovadores incorretos.

  4. Na guia Ativação, selecione Exigir aprovação para ativar e adicionar o(s) aprovador(es) que precisam aprovar cada solicitação.

  5. Selecione opções de segurança, como autenticação multifator (MFA), tíquete obrigatório para ativar a função Operador de MUA de Backup .

  6. Selecione as opções apropriadas nas guias Atribuição e Notificação , conforme necessário.

    Captura de tela mostrando como editar a configuração de função.

  7. Selecione Atualizar para concluir a configuração dos aprovadores para ativar a função Operador de MUA de Backup .

Solicitar a ativação de uma atribuição elegível para executar operações críticas

Depois que o administrador de segurança cria uma atribuição qualificada, ele precisa ativar a atribuição para a função Operador de MUA de Backup para poder executar ações protegidas.

Para ativar a atribuição de função, siga estas etapas:

  1. Vá para Microsoft Entra Privileged Identity Management. Se o Resource Guard estiver em outro diretório, alterne para esse diretório e vá para Microsoft Entra Privileged Identity Management.

  2. Vá para Minhas funções>Recursos do Azure no menu à esquerda.

  3. Selecione Ativar para ativar a atribuição qualificada para a função de Operador de MUA de Backup .

    É apresentada uma notificação a notificar que o pedido foi enviado para aprovação.

    Captura de ecrã a mostrar para ativar atribuições elegíveis.

Aprovar a ativação de solicitações para executar operações críticas

Depois que o administrador de backup fizer uma solicitação para ativar a função Operador de MUA de backup, a solicitação deverá ser revisada e aprovada pelo administrador de segurança.

  1. No locatário de segurança, vá para Microsoft Entra Privileged Identity Management.
  2. Vá para Aprovar solicitações.
  3. Em Recursos do Azure, a solicitação gerada pelo administrador de Backup solicitando a ativação como um Operador de MUA de Backup pode ser vista.
  4. Analise o pedido. Se for original, selecione a solicitação e selecione Aprovar para aprová-la.
  5. O administrador do Backup é informado por e-mail (ou outros mecanismos de alerta organizacionais) de que sua solicitação foi aprovada.
  6. Uma vez aprovado, o administrador de backup pode executar operações protegidas pelo período solicitado.

Execução de uma operação protegida após aprovação

Depois que a solicitação do administrador de backup para a função Operador de MUA de Backup no Resource Guard for aprovada, ele poderá executar operações protegidas no cofre associado. Se o Resource Guard estiver em outro diretório, o administrador do Backup precisará se autenticar.

Nota

Se o acesso tiver sido atribuído usando um mecanismo JIT, a função Operador de MUA de Backup será retirada no final do período aprovado. Caso contrário, o administrador de segurança remove manualmente a função de operador de MUA de backup atribuída ao administrador de backup para executar a operação crítica.

A captura de tela a seguir mostra um exemplo de desativação da exclusão suave para um cofre habilitado para MUA.

Captura de tela mostrando para desativar a exclusão suave.

Desabilitar o MUA em um cofre dos Serviços de Recuperação

A desativação do MUA é uma operação protegida, portanto, os cofres são protegidos usando o MUA. Se você (o administrador de backup) quiser desabilitar o MUA, deverá ter a função de Operador de MUA de backup necessária no Resource Guard.

Escolha um cliente

Para desativar o MUA em um cofre, siga estas etapas:

  1. O administrador de backup solicita ao administrador de segurança a função de operador de MUA de backup no Resource Guard. Eles podem solicitar isso para usar os métodos aprovados pela organização, como procedimentos JIT, como o Microsoft Entra Privileged Identity Management, ou outras ferramentas e procedimentos internos.

  2. O administrador de segurança aprova a solicitação (se achar que ela merece ser aprovada) e informa o administrador de backup. Agora, o administrador de Backup tem a função de Operador de MUA de Backup no Resource Guard.

  3. O administrador do Backup vai para a Autorização Multiusuário de Propriedades> do vault.>

  4. Selecione Atualizar.

    1. Desmarque a caixa de seleção Proteger com o Resource Guard .
    2. Escolha o diretório que contém o Resource Guard e verifique o acesso usando o botão Autenticar (se aplicável).
    3. Após a autenticação, selecione Salvar. Com o acesso certo, o pedido deve ser concluído com sucesso.

    Captura de ecrã a mostrar para desativar a autenticação multiutilizador.

O ID do locatário será necessário se o protetor de recursos existir em um locatário diferente.

Exemplo:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Este artigo descreve como configurar a autorização multiusuário (MUA) para o Backup do Azure para adicionar uma camada adicional de proteção a operações críticas em seu cofre de backup.

Este artigo demonstra a criação do Resource Guard em um locatário diferente que oferece proteção máxima. Ele também demonstra como solicitar e aprovar solicitações para executar operações críticas usando o Microsoft Entra Privileged Identity Management no locatário que abriga o Resource Guard. Opcionalmente, você pode usar outros mecanismos para gerenciar permissões JIT no Resource Guard de acordo com sua configuração.

Nota

  • A autorização multiusuário usando o cofre do Resource Guard for Backup agora está disponível para o público em geral.
  • A autorização multiusuário para o Backup do Azure está disponível em todas as regiões públicas do Azure.

Antes de começar

  • Verifique se o Resource Guard e o cofre de Backup estão na mesma região do Azure.
  • Verifique se o administrador de Backup não tem permissões de Colaborador, Administrador de MUA de Backup ou Operador de MUA de Backup no Resource Guard. Você pode optar por ter o Resource Guard em outra assinatura do mesmo diretório ou em outro diretório para garantir o máximo isolamento.
  • Certifique-se de que suas assinaturas contenham o cofre de backup, bem como o Resource Guard (em diferentes assinaturas ou locatários) estão registrados para usar o provedor - Microsoft.DataProtection4. Para obter mais informações, consulte Tipos e provedores de recursos do Azure.

Saiba mais sobre vários cenários de uso do MUA.

Criar um Resource Guard

O administrador de segurança cria o Resource Guard. Recomendamos que você o crie em uma assinatura diferente ou em um locatário diferente como o cofre. No entanto, deve estar na mesma região do cofre.

O administrador de backup NÃO deve ter acesso de colaborador, administrador de MUA de backup ou operador de MUA de backup no Resource Guard ou na assinatura que o contém.

Para criar o Resource Guard em um locatário diferente do locatário do vault como administrador de segurança, siga estas etapas:

  1. No portal do Azure, vá para o diretório sob o qual você deseja criar o Resource Guard.

    Captura de tela mostrando as configurações do portal a serem configuradas para o cofre de backup.

  2. Procure Guardas de Recursos na barra de pesquisa e, em seguida, selecione o item correspondente na lista pendente.

    Captura de tela mostrando protetores de recursos para o cofre de backup.

    1. Selecione Criar para criar um Resource Guard.
    2. Na folha Criar, preencha os detalhes necessários para este Resource Guard.
      • Verifique se o Resource Guard está na mesma região do Azure que o cofre de backup.
      • Adicione uma descrição sobre como solicitar acesso para executar ações em cofres associados quando necessário. Esta descrição aparece nos cofres associados para orientar o administrador do Backup sobre como obter as permissões necessárias.
  3. Na guia Operações protegidas, selecione as operações que você precisa proteger usando esse protetor de recursos na guia Cofre de backup.

    Atualmente, a guia Operações protegidas inclui apenas a opção Excluir instância de backup a ser desabilitada.

    Você também pode selecionar as operações para proteção depois de criar o protetor de recursos.

    Captura de tela mostrando como selecionar operações de proteção usando o Resource Guard.

  4. Opcionalmente, adicione quaisquer tags ao Resource Guard de acordo com os requisitos.

  5. Selecione Rever + Criar e, em seguida, siga as notificações para monitorizar o estado e a criação bem-sucedida do Resource Guard.

Selecionar operações a serem protegidas usando o Resource Guard

Após a criação do cofre, o administrador de segurança também pode escolher as operações para proteção usando o Resource Guard entre todas as operações críticas suportadas. Por padrão, todas as operações críticas suportadas são habilitadas. No entanto, o administrador de segurança pode isentar certas operações de cair sob a alçada do MUA usando o Resource Guard.

Para selecionar as operações de proteção, siga estas etapas:

  1. No Resource Guard que você criou, vá para a guia Cofre do Backup de Propriedades>.

  2. Selecione Desativar para as operações que você deseja excluir da autorização.

    Não é possível desativar as operações Remover proteção MUA e Desativar exclusão suave .

  3. Opcionalmente, na guia Cofres de backup, atualize a descrição do Resource Guard.

  4. Selecione Guardar.

    Captura de tela mostrando as propriedades do protetor de recursos de demonstração para o cofre de backup.

Atribua permissões ao administrador de Backup no Resource Guard para habilitar o MUA

O administrador de Backup deve ter a função de Leitor no Resource Guard ou uma assinatura que contenha o Resource Guard para habilitar o MUA em um cofre. O administrador de segurança precisa atribuir essa função ao administrador de backup.

Para atribuir a função de leitor no Resource Guard, siga estes passos:

  1. No Resource Guard criado acima, vá para a folha Controle de Acesso (IAM) e vá para Adicionar atribuição de função.

    Captura de tela mostrando o controle de acesso de proteção de recursos de demonstração para o cofre de backup.

  2. Selecione Leitor na lista de funções internas e selecione Avançar.

    Captura de tela mostrando a atribuição de função demo resource guard-add para o cofre de backup.

  3. Clique em Selecionar membros e adicione o ID de e-mail do administrador do Backup para atribuir a função de Leitor .

    Como os administradores de backup estão em outro locatário, eles serão adicionados como convidados ao locatário que contém o Resource Guard.

  4. Clique em Selecionar>Revisão + atribuir para concluir a atribuição de função.

    Captura de tela mostrando os membros da demo resource guard-select para proteger os itens de backup no cofre de backup.

Habilitar MUA em um cofre de backup

Depois que o administrador do Backup tiver a função de Leitor no Resource Guard, ele poderá habilitar a autorização multiusuário em cofres gerenciados seguindo estas etapas:

  1. Vá para o cofre de backup para o qual você deseja configurar o MUA.

  2. No painel esquerdo, selecione Propriedades.

  3. Vá para Autorização Multiusuário e selecione Atualizar.

    Captura de tela mostrando as propriedades do cofre de backup.

  4. Para habilitar o MUA e escolher um Resource Guard, execute uma das seguintes ações:

    • Você pode especificar o URI do Resource Guard. Certifique-se de especificar o URI de um Resource Guard ao qual você tem acesso ao Reader e ele esteja na mesma região do cofre. Você pode encontrar o URI (Resource Guard ID) do Resource Guard em sua página Visão geral .

      Captura de tela mostrando a proteção do cofre do Resource Guard for Backup.

    • Ou, você pode selecionar o Resource Guard na lista de Resource Guards aos quais você tem acesso ao Reader e aqueles disponíveis na região.

      1. Clique em Selecionar Resource Guard.
      2. Selecione a lista suspensa e selecione o diretório em que o Resource Guard está.
      3. Selecione Autenticar para validar sua identidade e acesso.
      4. Após a autenticação, escolha o Resource Guard na lista exibida.

      Captura de tela mostrando a autorização multiusuário habilitada no cofre de backup.

  5. Selecione Salvar para ativar o MUA.

    Captura de ecrã a mostrar como ativar a autenticação multiutilizador.

Operações protegidas usando MUA

Depois que o administrador de Backup habilitar o MUA, as operações no escopo serão restritas no cofre e as operações falharão se o administrador de Backup tentar executá-las sem ter a função de Operador de MUA de Backup no Resource Guard.

Nota

É altamente recomendável que você teste sua configuração depois de habilitar o MUA para garantir que:

  • As operações protegidas são bloqueadas conforme o esperado.
  • O MUA está configurado corretamente.

Para executar uma operação protegida (desativar o MUA), siga estes passos:

  1. Vá para as Propriedades do cofre >no painel esquerdo.

  2. Desmarque a caixa de seleção para desativar o MUA.

    Você receberá uma notificação informando que se trata de uma operação protegida e precisará ter acesso ao Resource Guard.

  3. Selecione o diretório que contém o Resource Guard e autentique-se.

    Esta etapa pode não ser necessária se o Resource Guard estiver no mesmo diretório do vault.

  4. Selecione Guardar.

    A solicitação falha com um erro de que você não tem permissões suficientes no Resource Guard para executar essa operação.

    Captura de tela mostrando as configurações de segurança das propriedades do cofre de backup de teste.

Autorizar operações críticas (protegidas) usando o Microsoft Entra Privileged Identity Management

Há cenários em que você pode precisar executar operações críticas em seus backups e pode executá-las com as aprovações ou permissões corretas com o MUA. As seções a seguir explicam como autorizar as solicitações de operação críticas usando o Privileged Identity Management (PIM).

O administrador de backup deve ter uma função de operador de MUA de backup no Resource Guard para executar operações críticas no escopo do Resource Guard. Uma das maneiras de permitir operações just-in-time (JIT) é por meio do uso do Microsoft Entra Privileged Identity Management.

Nota

Recomendamos que você use o Microsoft Entra PIM. No entanto, você também pode usar métodos manuais ou personalizados para gerenciar o acesso do administrador do Backup no Resource Guard. Para gerenciar manualmente o acesso ao Resource Guard, use a configuração Controle de acesso (IAM) no painel esquerdo do Resource Guard e conceda a função Operador de MUA de Backup ao administrador do Backup.

Criar uma atribuição qualificada para o administrador de Backup usando o Microsoft Entra Privileged Identity Management

O administrador de segurança pode usar o PIM para criar uma atribuição qualificada para o administrador de backup como um operador de MUA de backup para o Resource Guard. Isso permite que o administrador de backup levante uma solicitação (para a função Operador de MUA de backup ) quando precisar executar uma operação protegida.

Para criar uma atribuição elegível, siga os passos:

  1. Inicie sessão no portal do Azure.

  2. Vá para locatário de segurança do Resource Guard e, na pesquisa, insira Privileged Identity Management.

  3. No painel esquerdo, selecione Gerenciar e vá para Recursos do Azure.

  4. Selecione o recurso (o Resource Guard ou a assinatura/RG que o contém) ao qual você deseja atribuir a função de Operador de MUA de Backup .

    Se você não encontrar nenhum recurso correspondente, adicione a assinatura que contém o PIM.

  5. Selecione o recurso e vá para Gerenciar>atribuições>Adicionar atribuições.

    Captura de tela mostrando como adicionar atribuições para proteger um cofre de backup.

  6. Em Adicionar atribuições:

    1. Selecione a função como Operador de MUA de Backup.
    2. Vá para Selecionar membros e adicione o nome de usuário (ou IDs de e-mail) do administrador de backup.
    3. Selecione Seguinte.

    Captura de tela mostrando como adicionar atribuições-associação para proteger um cofre de backup.

  7. Em Atribuição, selecione Elegível e especifique a validade da duração da permissão qualificada.

  8. Selecione Atribuir para concluir a criação da atribuição qualificada.

    Captura de tela mostrando como adicionar a configuração de atribuições para proteger um cofre de backup.

Configurar aprovadores para ativar a função de Colaborador

Por padrão, a configuração acima pode não ter um aprovador (e um requisito de fluxo de aprovação) configurado no PIM. Para garantir que os aprovadores tenham a função de Colaborador para aprovação de solicitação, o administrador de segurança deve seguir estas etapas:

Nota

Se a configuração do aprovador não estiver configurada, as solicitações serão aprovadas automaticamente sem passar pelos administradores de segurança ou pela revisão de um aprovador designado. Mais informações.

  1. No Microsoft Entra PIM, selecione Recursos do Azure no painel esquerdo e selecione o Resource Guard.

  2. Vá para Configurações>Função de Colaborador .

    Captura de ecrã a mostrar como adicionar um colaborador.

  3. Selecione Editar para adicionar os revisores que devem revisar e aprovar a solicitação de ativação para a função de Colaborador caso você descubra que os aprovadores mostram Nenhum ou exibem aprovadores incorretos.

  4. Na guia Ativação, selecione Exigir aprovação para ativar para adicionar o(s) aprovador(es) que devem aprovar cada solicitação.

  5. Selecione opções de segurança, como autenticação multifator (MFA), tíquete obrigatório para ativar a função de Colaborador .

  6. Selecione as opções apropriadas nas guias Atribuição e Notificação de acordo com sua necessidade.

    Captura de tela mostrando como editar a configuração de função.

  7. Selecione Atualizar para concluir a configuração dos aprovadores para ativar a função de Colaborador .

Solicitar a ativação de uma atribuição elegível para executar operações críticas

Depois que o administrador de Segurança cria uma atribuição qualificada, o administrador de Backup precisa ativar a atribuição de função para que a função de Colaborador execute ações protegidas.

Para ativar a atribuição de função, siga as etapas:

  1. Vá para Microsoft Entra Privileged Identity Management. Se o Resource Guard estiver em outro diretório, alterne para esse diretório e vá para Microsoft Entra Privileged Identity Management.

  2. Vá para Minhas funções>Recursos do Azure no painel esquerdo.

  3. Selecione Ativar para ativar a atribuição qualificada para a função de Colaborador .

    É apresentada uma notificação a notificar que o pedido foi enviado para aprovação.

    Captura de ecrã a mostrar como ativar atribuições elegíveis.

Aprovar solicitações de ativação para executar operações críticas

Depois que o administrador de Backup fizer uma solicitação para ativar a função de Colaborador, o administrador de Segurança deverá revisar e aprovar a solicitação.

Para rever e aprovar o pedido, siga estes passos:

  1. No locatário de segurança, vá para Microsoft Entra Privileged Identity Management.

  2. Vá para Aprovar solicitações.

  3. Em Recursos do Azure, você pode ver a solicitação aguardando aprovação.

    Selecione Aprovar para analisar e aprovar a solicitação genuína.

Após a aprovação, o administrador do Backup recebe uma notificação, por e-mail ou outras opções de alerta internas, de que a solicitação foi aprovada. Agora, o administrador de backup pode executar as operações protegidas pelo período solicitado.

Executar uma operação protegida após a aprovação

Depois que o administrador de Segurança aprovar a solicitação do administrador de Backup para a função Operador de MUA de Backup no Resource Guard, ele poderá executar operações protegidas no cofre associado. Se o Resource Guard estiver em outro diretório, o administrador do Backup deverá autenticar-se.

Nota

Se o acesso tiver sido atribuído usando um mecanismo JIT, a função Operador de MUA de Backup será retirada no final do período aprovado. Caso contrário, o administrador de segurança removerá manualmente a função Operador de MUA de backup atribuída ao administrador de backup para executar a operação crítica.

A captura de tela a seguir mostra um exemplo de desativação da exclusão suave para um cofre habilitado para MUA.

Captura de tela mostrando para desativar a exclusão suave para um cofre habilitado para MUA.

Desativar MUA em um cofre de backup

A desativação do MUA é uma operação protegida que deve ser feita apenas pelo administrador do backup. Para fazer isso, o administrador de backup deve ter a função de operador de MUA de backup necessária no Resource Guard. Para obter essa permissão, o administrador de Backup deve primeiro solicitar ao administrador de Segurança a função de Operador de MUA de Backup no Resource Guard usando o procedimento just-in-time (JIT), como o Microsoft Entra Privileged Identity Management ou ferramentas internas.

Em seguida, o administrador de segurança aprova a solicitação se ela for genuína e atualiza o administrador de backup que agora tem a função de operador de MUA de backup no protetor de recursos. Saiba mais sobre como obter essa função.

Para desativar o MUA, os administradores de backup devem seguir estas etapas:

  1. Vá para Autorização Multiusuário de Propriedades> do vault.>

  2. Selecione Atualizar e desmarque a caixa de seleção Proteger com o Resource Guard .

  3. Selecione Autenticar (se aplicável) para escolher o diretório que contém o Resource Guard e verificar o acesso.

  4. Selecione Salvar para concluir o processo de desativação do MUA.

    Captura de ecrã a mostrar como desativar a autorização multiutilizador.

Próximos passos

Saiba mais sobre a autorização multiusuário usando o Resource Guard.