Informationen zur Mehrbenutzerautorisierung mithilfe von Resource Guard
Mit der Mehrbenutzerautorisierung (Multi-User Authorization, MUA) für Azure Backup können Sie eine zusätzliche Schutzebene für kritische Vorgänge in Ihren Recovery Services- und Azure Backup-Tresoren hinzufügen. Für MUA verwendet Azure Backup eine weitere Azure-Ressource namens Resource Guard, um sicherzustellen, dass kritische Vorgänge nur mit geeigneter Autorisierung ausgeführt werden.
Hinweis
Mehrbenutzerautorisierung mithilfe von Resource Guard für einen Sicherungstresor ist jetzt allgemein verfügbar.
Wie funktioniert MUA for Backup?
Azure Backup verwendet Resource Guard als zusätzlichen Autorisierungsmechanismus für einen Recovery Services- oder Azure Backup-Tresor. Zum erfolgreichen Ausführen eines kritischen Vorgangs (wie unten beschrieben), müssen Sie daher auch über ausreichende Berechtigungen für den zugeordneten Resource Guard verfügen.
Wichtig
Um wie vorgesehen zu funktionieren, muss sich die Resource Guard-Instanz im Besitz eines anderen Benutzers befinden, und der Tresoradministrator darf nicht über die Berechtigung „Mitwirkender“ verfügen. Sie können Resource Guard in einem anderen Abonnement oder Mandanten als dem platzieren, der die Tresore enthält, um einen besseren Schutz zu bieten.
Kritische Vorgänge
In der folgenden Tabelle sind die Vorgänge aufgeführt, die als kritische Vorgänge definiert sind und durch eine Resource Guard-Instanz geschützt werden können. Sie können sich entscheiden, bestimmte Vorgänge vom Schutz durch die Resource Guard-Instanz auszuschließen, wenn sie ihr Tresore zuordnen.
Hinweis
Sie können Vorgänge, die als obligatorisch gekennzeichnet sind, nicht vom Schutz durch Resource Guard für die zugeordneten Tresore ausschließen. Darüber hinaus betrifft der Ausschluss der kritischen Vorgänge alle Tresore, die einer Resource Guard-Instanz zugeordnet sind.
Auswählen eines Tresors
| Vorgang | Obligatorisch/Optional |
|---|---|
| Deaktivieren des vorläufigen Löschens | Obligatorisch. |
| Deaktivieren des MUA-Schutzes | Obligatorisch. |
| Ändern der Sicherungsrichtlinie (reduzierte Aufbewahrung) | Optional |
| Ändern des Schutzes (reduzierte Aufbewahrung) | Optional |
| Beendigung des Schutzes mit Datenlöschung | Optional |
| Ändern der MARS-Sicherheits-PIN | Optional |
Konzepte und Prozesse
Die beteiligten Konzepte und Prozesse bei der Verwendung von MUA für Azure Backup werden unten erläutert.
Sehen wir uns die beiden folgenden Benutzer an, um ein klares Verständnis des Prozesses und der Zuständigkeiten zu erhalten. Auf diese beiden Rollen wird in diesem gesamten Artikel verwiesen.
Azure Backup-Administrator: Besitzer des Recovery Services- oder Azure Backup-Tresors, der Verwaltungsvorgänge für den Tresor ausführt. Zunächst darf der Backupadministrator über keinerlei Berechtigungen für die Resource Guard-Instanz verfügen.
Sicherheitsadministrator: Besitzer der Resource Guard-Instanz, der als Gatekeeper für kritische Vorgänge im Tresor fungiert. Daher steuert der Sicherheitsadministrator Berechtigungen, die der Backupadministrator benötigt, um kritische Vorgänge für den Tresor auszuführen.
Im Folgenden finden Sie eine Diagrammdarstellung zum Ausführen eines kritischen Vorgangs für einen Tresor, für den MUA mithilfe einer Resource Guard-Instanz konfiguriert wurde.
Dies ist der Ereignisablauf in einem typischen Szenario:
Der Azure Backup-Administrator erstellt den Recovery Services- oder Azure Backup-Tresor.
Der Sicherheitsadministrator erstellt die Resource Guard-Instanz. Die Resource Guard-Instanz kann in einem anderen Abonnement oder einem anderen Mandanten als der Tresor enthalten sein. Es muss sichergestellt werden, dass der Azure Backup-Administrator nicht über Mitwirkendenberechtigungen für Resource Guard verfügt.
Der Sicherheitsadministrator erteilt dem Backupadministrator die Rolle Leser für die Resource Guard-Instanz (oder einen relevanten Bereich). Der Backupadministrator benötigt die Leserrolle, um MUA für den Tresor zu aktivieren.
Der Azure Backup-Administrator konfiguriert nun den Tresor so, dass er über die Resource Guard-Instanz durch MUA geschützt wird.
Wenn der Backupadministrator jetzt einen kritischen Vorgang für den Tresor ausführen möchte, muss er Zugriff auf die Resource Guard-Instanz anfordern. Der Backupadministrator kann sich an den Sicherheitsadministrator wenden, um Zugangsdetails zum Ausführen solcher Vorgänge zu erhalten. Sie können dies mithilfe von PIM (Privileged Identity Management) oder anderer Prozesse tun, nach Maßgabe der Organisation.
Der Sicherheitsadministrator erteilt dem Backupadministrator vorübergehend die Rolle Mitwirkender für die Resource Guard-Instanz, um kritische Vorgänge auszuführen.
Der Backupadministrator leitet nun den kritischen Vorgang ein.
Azure Resource Manager überprüft, ob der Backupadministrator über ausreichende Berechtigungen verfügt. Da der Backupadministrator jetzt über die Rolle „Mitwirkender“ für die Resource Guard-Instanz verfügt, wird die Anforderung abgeschlossen.
Wenn der Azure Backup-Administrator nicht über die erforderlichen Berechtigungen/Rollen verfügt hätte, wäre die Anforderung fehlgeschlagen.
Der Sicherheitsadministrator vergewissert sich, dass die Berechtigungen zum Ausführen kritischer Vorgänge nach dem Ausführen der autorisierten Aktionen oder nach einer definierten Dauer widerrufen werden. Die Verwendung der JIT-Tools von Microsoft Entra Privileged Identity Management kann dafür nützlich sein.
Hinweis
MUA bietet Schutz für die oben aufgeführten Vorgänge, die nur für die Sicherungen in Tresoren ausgeführt werden. Alle Vorgänge, die direkt für die Datenquelle (d. h. die geschützte Azure-Ressource/Workload) ausgeführt werden, liegen außerhalb des Bereichs der Resource Guard-Instanz.
Verwendungsszenarios
In der folgenden Tabelle sind die Szenarien zum Erstellen Ihre Resource Guard-Instanz und der Tresore (Recovery Services-Tresor und Azure Backup-Tresor) sowie der jeweilige relative Schutz aufgeführt.
Wichtig
Der Backupadministrator darf in keinem der Szenarien über die Berechtigung „Mitwirkender“ für Resource Guard verfügen.
| Verwendungsszenario | Schutz durch MUA | Einfache Implementierung | Hinweise |
|---|---|---|---|
| Tresor und Resource Guard sind in demselben Abonnement enthalten. Der Backup-Administrator oder die Backup-Administratorin hat keinen Zugriff auf Resource Guard. |
Geringste Isolation zwischen dem Backupadministrator und dem Sicherheitsadministrator. | Relativ einfach zu implementieren, da nur ein Abonnement erforderlich ist. | Berechtigungen/Rollen auf Ressourcenebene müssen unbedingt ordnungsgemäß zugewiesen werden. |
| Tresor und Resource Guard sind in verschiedenen Abonnements, aber in demselben Mandanten, enthalten. Der Azure Backup-Administrator hat keinen Zugriff auf Resource Guard oder das entsprechende Abonnement. |
Mittlere Isolation zwischen dem Backupadministrator und dem Sicherheitsadministrator. | Relativ mittlere Einfachheit der Implementierung, da zwei Abonnements (aber nur ein einzelner Mandant) erforderlich sind. | Stellen Sie sicher, dass die Berechtigungen/Rollen für die Ressource oder das Abonnement ordnungsgemäß zugewiesen sind. |
| Tresor und Resource Guard sind in verschiedenen Mandanten enthalten. Der Azure Backup-Administrator hat keinen Zugriff auf Resource Guard, das entsprechende Abonnement oder den entsprechenden Mandanten. |
Maximale Isolation zwischen dem Backupadministrator und dem Sicherheitsadministrator, daher maximale Sicherheit. | Relativ schwierig zu testen, da zum Testen zwei Mandanten oder Verzeichnisse erforderlich sind. | Stellen Sie sicher, dass die Berechtigungen/Rollen für die Ressource, das Abonnement oder das Verzeichnis ordnungsgemäß zugewiesen sind. |
Nächste Schritte
Konfigurieren der Mehrbenutzerautorisierung mit Resource Guard.