在 Azure 備份中使用資源防護設定多使用者授權
本文說明如何設定 Azure 備份的多使用者授權 (MUA),以為復原服務保存庫上的重要作業提供多一層保護。
本文會示範如何在不同的租用戶中建立資源防護,以提供最大的保護。 它也示範如何要求和核准在裝載資源防護的租用戶中,使用 Microsoft Entra Privileged Identity Management 執行重要作業的要求。 您可以根據自己的設定,選擇使用其他機制來管理資源防護上的 JIT 權限。
注意
- Azure 備份的多使用者授權可使用於所有公用 Azure 區域。
- 針對備份保存庫使用資源防護的多使用者授權現已正式推出。 深入了解。
在您開始使用 Intune 之前
- 確保資源防護和復原服務保存庫位於同一個 Azure 區域。
- 請確認備份管理員沒有資源防護的參與者權限。 您可以選擇在同一目錄的另一個訂用帳戶中或在另一個目錄中使用資源防護,以確保最大限度的隔離。
- 確保包含復原服務保存庫以及資源防護 (在不同的訂用帳戶或租用戶中) 的訂用帳戶已註冊為使用提供者 - Microsoft.RecoveryServices 和 Microsoft.DataProtection。 如需詳細資訊,請參閱 Azure 資源提供者和類型。
瞭解各種 MUA 使用方式情節。
建立資源防護
安全性管理員會建立資源防護。 我們建議您在不同的訂用帳戶或不同的租用戶中建立其作為保存庫。 然而,其應該與保存庫位於相同的區域。 備份管理員不得對資源防護或包含其的訂用帳戶擁有參與者存取權。
選擇用戶端
若要在與保存庫租用戶不同的租用戶中建立資源防護,請遵循下列步驟:
在 Azure 入口網站中,前往要在其下方建立資源防護的目錄。
在搜尋列中搜尋 [資源防護],然後從下拉式清單中選取對應的項目。
- 選取 [建立] 以開始建立資源防護。
- 在 [建立] 刀鋒視窗中,填入此資源防護的必要詳細資料。
- 請確保資源防護與復原服務保存庫位於同一 Azure 區域。
- 此外,新增有關如何取得或要求存取權以在需要時對關聯的保存庫執行動作的描述也很有幫助。 此描述也會出現在關聯的保存庫中,以指導備份管理員取得所需的權限。 您稍後可以視需要編輯描述,但建議務必使用定義明確的描述。
在 [Protected operations] 索引標籤上,選取需要使用這項資源防護的作業。
您也可以在建立資源防護之後選取要保護的作業。
或者,根據需求向資源防護新增任何標籤
選取 [檢閱 + 建立],然後追蹤狀態和資源防護成功建立的通知。
使用資源防護選取要保護的作業
從所有受支援的重要作業中選擇要使用資源防護來保護的作業。 預設情況下,將啟用所有受支援的重要作業。 然而,您 (作為安全性管理員) 可以使用資源防護將某些作業排除在 MUA 的授權範圍之外。
選擇用戶端
若要豁免作業,請遵循下列步驟:
在上面建立的資源防護中,移至 [屬性]>[復原服務保存庫] 索引標籤。
請選取 [停用] 以執行您想要使用資源防護將其排除在授權之外的作業。
注意
您無法停用受保護的作業 - [停用虛刪除] 和 [移除 MUA 保護]。
或者,您還可以使用此刀鋒視窗更新資源防護的描述。
選取 [儲存]。
為資源防護上的備份管理員指派權限以啟用 MUA
若要在保存庫上啟用 MUA,保管庫管理員必須在資源防護或包含資源防護的訂用帳戶上擁有 [讀取程式] 角色。 若要在資源防護上指派 [讀取程式]角色,請執行以下作業:
在前述步驟建立的資源防護中,請前往 [存取控制 (IAM)] 刀鋒視窗,然後移至 [新增角色指派]。
從內建角色清單中選取 [讀取者],然後選取 [下一步]。
按一下 [選取成員] 並加入備份管理員的電子郵件識別碼,以將其新增為 [讀取程式]。 由於備份管理員在本案例中位於另一個租用戶中,因此他們將作為來賓新增到包含資源防護的租用戶中。
按一下 [選取],然後繼續進行 [檢閱 + 指派] 以完成角色指派。
在復原服務保存庫上啟用 MUA
在資源防護上的讀取者角色指派完成之後,請在您管理的保存庫上啟用多使用者授權 (作為備份管理員)。
選擇用戶端
若要在保存庫上啟用 MUA,請遵循下列步驟。
移至 [復原服務保存庫]。 移至左側瀏覽面板中的 [屬性],然後移至 [多使用者授權],並選取 [更新]。
現在,您可以透過以下方式之一啟用 MUA 並選擇資源防護:
完成後,選取 [儲存] 以啟用 MUA。
使用 MUA 的受保護作業
啟用 MUA 後,如果備份管理員試圖在資源防護上沒有所需角色 (即參與者角色) 的情況下執行這些作業,則範圍內的作業將在保存庫上受到限制。
注意
強烈建議您在啟用 MUA 後測試設定,以確保如預期封鎖受保護的作業,並確保已正確設定 MUA。
以下描述備份管理員試圖執行此類受保護作業時會發生的事項 (例如,此處已描述停用虛刪除。其他受保護的作業也有類似經驗)。 以下步驟由沒有所需權限的備份管理員執行。
若要停用虛刪除,請移至 [復原服務保存庫]>[屬性]>[安全性設定],然後選取 [更新],這將顯示 [安全性設定]。
使用滑桿停用虛刪除。 已告知您這是受保護的作業,您需要驗證他們對資源防護的存取權。
選取包含資源防護的目錄並進行驗證。 如果資源防護與保存庫位於同一目錄中,則可能不需要執行此步驟。
繼續選取 [儲存]。 要求失敗並顯示錯誤,通知他們沒有足夠的資源防護權限讓您執行此作業。
使用 Microsoft Entra Privileged Identity Management 授權重要 (受保護) 作業
下列區段會討論如何使用 PIM 來授權這些要求。 在某些情況下,您可能需要對備份執行重要作業,而 MUA 可以協助您確保只有在獲得正確的核准或權限時才能執行這些作業。 如先前所述,備份管理員需要在資源防護上擁有參與者角色,以執行資源防護範圍內的重要作業。 允許 Just-In-Time 執行此類作業的方法之一是使用 Microsoft Entra Privileged Identity Management。
注意
雖然建議使用 Microsoft Entra PIM,但您可以使用手動或自訂方法來管理資源防護上備份管理員的存取權。 若要手動管理對資源防護的存取權,請使用資源防護左側瀏覽列上的「存取控制 (IAM)」設定,並將參與者角色授與備份管理員。
為備份管理員建立符合資格的指派 (如果使用 Microsoft Entra Privileged Identity Management)
安全性管理員可以使用 PIM 來為備份管理員建立符合資格的指派作為資源防護的參與者。 這可讓備份管理員能夠在需要執行受保護的作業時提出要求 (針對參與者角色)。 若要這樣做,安全性管理員會執行下列動作:
在安全性租用戶 (包含資源防護) 中,移至 [Privileged Identity Management] (在 Azure 入口網站的搜尋列中搜尋),然後移至 [Azure 資源] (在左側功能表的 [管理] 下方)。
選擇要指派 [參與者] 角色的資源 (資源防護或包含訂用帳戶/RG)。
如果在資源清單中看不到對應的資源,請確保新增要由 PIM 受控的包含訂用帳戶。
在選取的資源中,移至 [指派] (在左側功能表的 [管理] 下方) 並移至 [新增指派]。
在 [新增指派] 中:
- 選取角色作為參與者。
- 移至 [選取成員] 並新增備份管理員的使用者名稱 (或電子郵件識別碼)。
- 選取 [下一步]。
在下一個畫面中:
- 在指派類型下方,選擇 [符合資格]。
- 指定符合資格權限的有效期限。
- 選取 [指派] 以完成建立符合資格的指派。
設定啟用參與者角色的核准者
預設情況下,上述設定可能沒有在 PIM 中設定核准者 (以及核准流程需求)。 若要確保僅允許核准者進行授權的要求,安全性管理員必須執行下列步驟。
注意
如果未進行設定,任何要求都將自動取得核准,而無需經過安全性管理員或指定核准者的檢閱。 如需此操作的更多詳細資料,請參閱此處
在 Microsoft Entra PIM 中,選取左側瀏覽列上的 [Azure 資源],然後選取您的資源防護。
移至 [設定],然後移至 [參與者] 角色。
如果名為 [核准者] 的設定顯示 [無] 或顯示不正確的核准者,請選取 [編輯] 新增需要檢閱和核准參與者角色啟用要求的檢閱者。
在 [啟用] 索引標籤上,選取 [需要核准以啟用],並新增需要核准每個要求的核准者。 您還可以選取其他安全性選項,如使用 MFA 和強制票證選項來啟動參與者角色。 或者,視您的需求在 [指派] 和 [通知] 索引標籤上選取相關設定。
完成後,選取 [更新]。
要求啟用符合資格的指派以執行重要作業
在安全性管理員建立符合資格的指派後,備份管理員需要啟動指派,以使參與者角色能夠執行受保護的作業。 以下動作由備份管理員執行,以啟動角色指派。
移至 [Microsoft Entra Privileged Identity Management]。 如果資源防護在另一個目錄中,請切換至該目錄,然後移至 [Microsoft Entra Privileged Identity Management]。
移至左側功能表上的 [我的角色]>[Azure 資源]。
備份管理員可以看到參與者角色的符合資格指派。 選取 [啟動] 以進行啟動。
備份管理員會透過入口網站通知傳送要求以供核准。
核准要求的啟用以執行重要作業
備份管理員提出啟用參與者角色的要求後,安全性管理員將進行檢閱並核准此要求。
- 在安全性租用戶中,移至 [Microsoft Entra Privileged Identity Management]。
- 移至 [核准要求]。
- 在 [Azure 資源] 下方,可以看到備份管理員作為參與者要求啟用的要求。
- 檢閱要求。 若為正版,請選取 [要求],然後選取 [核准] 以進行核准。
- 備份管理員透過電子郵件 (或其他組織警示機制) 得知他們的要求現在已獲得核准。
- 獲得核准後,備份管理員可以在要求的期間內執行受保護的作業。
在核准後執行受保護的作業
一旦備份管理員對資源防護上的參與者角色的要求獲得核准,他們就可以在關聯的保存庫上執行受保護的作業。 如果資源防護在另一個目錄中,則備份管理員需要進行自行驗證。
注意
如果使用 JIT 機制指派存取權,則參與者角色將在核准期間結束時撤回。 否則,安全性管理員將手動移除指派給備份管理員的參與者角色,以執行重要作業。
下列螢幕擷取畫面顯示為啟用 MUA 的保存庫停用虛刪除的範例。
在復原服務保存庫上停用 MUA
停用 MUA 是受保護的作業,因此保存庫會使用 MUA 來保護。 如果您 (備份管理員) 想要停用 MUA,則必須在資源防護中具有必要的參與者角色。
選擇用戶端
若要在保存庫上停用 MUA,請遵循下列步驟:
備份管理員為資源防護上的參與者角色要求安全性管理員。 他們可以要求此作業以使用組織核准的方法 (如 JIT 程序),像是 Microsoft Entra Privileged Identity Management 或其他內部工具和程序。
安全性管理員會核准要求 (如果他們認為此要求值得核准),並會通知備份管理員。現在,備份管理員在資源防護上擁有「參與者」角色。
備份管理員會移至保存庫 >[屬性]>[多使用者授權]。
選取更新。
- 清除 [使用資源防護進行保護] 核取方塊。
- 選擇包含 [資源防護] 的目錄,然後使用 [驗證] 按鈕驗證存取權 (如果適用)。
- [驗證] 後,選取 [儲存]。 使用正確的存取權,要求應該成功完成。
如果資源防護存在於不同的租用戶中,則需要租用戶識別碼。
範例:
az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName
本文說明如何設定 Azure 備份的多使用者授權 (MUA),以為備份保存庫上的重要作業提供多一層保護。
本文會示範如何在不同的租用戶中建立資源防護,以提供最大的保護。 它也示範如何要求和核准在裝載資源防護的租用戶中,使用 Microsoft Entra Privileged Identity Management 執行重要作業的要求。 您可以根據自己的設定,選擇使用其他機制來管理資源防護上的 JIT 權限。
注意
- 針對備份保存庫使用資源防護的多使用者授權現已正式推出。
- Azure 備份的多使用者授權可使用於所有公用 Azure 區域。
在您開始使用 Intune 之前
- 請確定資源防護和備份保存庫位於相同的 Azure 區域中。
- 請確認備份管理員沒有資源防護的參與者權限。 您可以選擇在同一目錄的另一個訂用帳戶中或在另一個目錄中使用資源防護,以確保最大限度的隔離。
- 請確定您的訂用帳戶包含備份保存庫,以及資源防護(在不同的訂用帳戶或租用戶中) 已註冊以使用提供者 - Microsoft.DataProtection4。 如需詳細資訊,請參閱 Azure 資源提供者和類型。
瞭解各種 MUA 使用方式情節。
建立資源防護
安全性管理員會建立資源防護。 我們建議您在不同的訂用帳戶或不同的租用戶中建立其作為保存庫。 然而,其應該與保存庫位於相同的區域。
備份管理員不得對資源防護或包含其的訂用帳戶擁有參與者存取權。
若要在與保存庫租用戶不同的租用戶中建立資源防護作為安全性管理員,請遵循下列步驟:
在 Azure 入口網站中,前往要在其下方建立資源防護的目錄。
在搜尋列中搜尋 [資源防護],然後從下拉式清單中選取對應的項目。
- 選取 [建立],以建立資源防護。
- 在 [建立] 刀鋒視窗中,填入此資源防護的必要詳細資料。
- 請確定資源防護位於與備份保存庫相同的 Azure 區域中。
- 新增如何要求存取權以在需要時在相關聯的保存庫上執行動作的說明。 此說明也會出現在相關聯的保存庫中,以引導備份管理員取得所需的權限。
在 [受保護的作業] 索引標籤上,選取 [備份保存庫] 索引標籤之下需要使用這項資源防護的作業。
目前,[受保護的作業] 索引標籤只包含要停用的 [刪除備份執行個體] 選項。
您也可以在建立資源防護之後選取要保護的作業。
或者,根據需求向資源防護新增任何標籤。
選取 [檢閱 + 建立],然後遵循通知來監視狀態並成功建立資源防護。
使用資源防護選取要保護的作業
建立保存庫之後,安全性管理員也可在所有支援的關鍵作業中,選擇要使用資源防護保護的作業。 預設情況下,將啟用所有受支援的重要作業。 然而,安全性管理員可以使用資源防護將某些作業排除在 MUA 的授權範圍之外。
若要選取要保護的作業,請遵循下列步驟:
在您已建立的資源防護中,移至 [屬性]>[備份保存庫] 索引標籤。
針對您想要從授權中排除的作業選取 [停用]。
您無法停用 [移除 MUA 保護] 和 [停用虛刪除] 作業。
或者,在 [備份保存庫] 索引標籤中,更新資源防護的說明。
選取 [儲存]。
為資源防護上的備份管理員指派權限以啟用 MUA
若要在保存庫上啟用 MUA,備份管理員必須在資源防護或包含資源防護的訂用帳戶上擁有 [讀取者] 角色。 安全性管理員必須將此角色指派給備份管理員。
若要在資源防護上指派 [讀取者] 角色,請遵循下列步驟:
在前述步驟建立的資源防護中,請前往 [存取控制 (IAM)] 刀鋒視窗,然後移至 [新增角色指派]。
從內建角色清單中選取 [讀取者],然後選取 [下一步]。
按一下 [選取成員] 並加入備份管理員的電子郵件識別碼,以指派 [讀取者] 角色。
當備份管理員位於另一個租用戶時,他們將會以來賓身分新增至包含資源防護的租用戶。
按一下 [選取]>[檢閱 + 指派],以完成角色指派。
在備份保存庫上啟用 MUA
一旦備份管理員在資源防護上具有讀取者角色後,他們就可以透過以下步驟在所管理的保存庫上啟用多使用者授權:
移至您要為其設定 MUA 的備份保存庫。
在左面板上,選取 [屬性]。
移至 [多使用者授權],然後選取 [更新]。
若要啟用 MUA 並選擇資源防護,請執行下列其中一個動作:
選取 [儲存] 以啟用 MUA。
使用 MUA 的受保護作業
備份管理員啟用 MUA 之後,範圍中的作業將會在保存庫上受到限制,且如果備份管理員嘗試在資源防護上沒有參與者角色的情況下執行作業,則作業會失敗。
注意
強烈建議您在啟用 MUA 之後測試您的設定,以確保:
- 受保護的作業會如預期遭到封鎖。
- MUA 已正確設定。
若要執行受保護的作業 (停用 MUA),請遵循下列步驟:
移至左窗格中的保存庫 >[屬性]。
清除核取方塊以停用 MUA。
您會收到一則通知,指出它是受保護的作業,且您必須具有資源防護的存取權。
選取包含資源防護的目錄並自行進行驗證。
如果資源防護與保存庫位於同一目錄中,則可能不需要執行此步驟。
選取 [儲存]。
要求失敗,並出現您在資源防護上沒有足夠的權限來執行這項作業的錯誤。
使用 Microsoft Entra Privileged Identity Management 授權重要 (受保護) 作業
在某些情況下,您可能需要在備份上執行重要作業,且您可以使用正確的核准或 MUA 權限來執行這些作業。 下列各節說明如何使用 Privileged Identity Management (PIM) 授權重要作業要求。
備份管理員必須在資源防護上具有參與者角色,才能在資源防護範圍內執行重要作業。 允許 Just-In-Time (JIT) 作業的其中一種方式是透過使用 Microsoft Entra Privileged Identity Management。
注意
建議您使用 Microsoft Entra PIM。 不過,您也可以使用手動或自訂方法來管理資源防護上備份管理員的存取權。 若要手動管理對資源防護的存取權,請使用資源防護左窗格上的「存取控制 (IAM)」設定,並將參與者角色授與備份管理員。
使用 Microsoft Entra Privileged Identity Management 為備份管理員建立符合資格的指派
安全性管理員可以使用 PIM 來為備份管理員建立符合資格的指派作為資源防護的參與者。 這可讓備份管理員能夠在需要執行受保護的作業時提出要求 (針對參與者角色)。
若要建立合格的指派,請遵循下列步驟:
登入 Azure 入口網站。
移至資源防護的安全性租用戶,然後在搜尋中輸入 Privileged Identity Management。
在左窗格中,選取 [管理並移至 Azure 資源]。
選擇要指派參與者角色的資源 (資源防護或包含訂用帳戶/RG)。
如果您找不到任何對應的資源,請新增 PIM 所管理的包含訂用帳戶。
選取資源,然後移至 [管理]>[指派]>[新增指派]。
在 [新增指派] 中:
- 選取角色作為參與者。
- 移至 [選取成員] 並新增備份管理員的使用者名稱 (或電子郵件識別碼)。
- 選取 [下一步]。
在 [指派] 中,選取 [合格],並指定合格權限持續時間的有效性。
選取 [指派] 以完成建立合格的指派。
設定啟用參與者角色的核准者
預設情況下,上方設定可能沒有在 PIM 中設定核准者 (以及核准流程需求)。 若要確保核准者具有要求核准的參與者角色,安全性系統管理員必須遵循下列步驟:
注意
如果未設定核准者設定,則要求會自動核准,而不需經過安全性系統管理員或指定的核准者檢閱。 深入了解。
在 Microsoft Entra PIM 中,選取左窗格上的 [Azure 資源],然後選取您的資源防護。
移至 [設定]>[參與者] 角色。
選取 [編輯] 以新增必須檢閱並核准 [參與者] 角色之啟用要求的檢閱者,以防您發現核准者顯示 [無] 或顯示不正確的核准者。
在 [啟用] 索引標籤上,選取 [需要核准以啟用],以新增必須核准每個要求的核准者。
選取安全性選項,例如多重要素驗證 (MFA),要求票證以啟動 [參與者] 角色。
根據您的需求,在 [指派] 和 [通知] 索引標籤上選取適當的選項。
選取 [更新] 以完成核准者的設定,以啟動 [參與者] 角色。
要求啟用符合資格的指派以執行重要作業
在安全性管理員建立符合資格的指派後,備份管理員需要啟動角色指派,以使參與者角色執行受保護的作業。
若要啟用角色指派,請遵循下列步驟:
移至 [Microsoft Entra Privileged Identity Management]。 如果資源防護在另一個目錄中,請切換至該目錄,然後移至 [Microsoft Entra Privileged Identity Management]。
移至左窗格中的 [我的角色]>[Azure 資源]。
選取 [啟動] 以啟動 [參與者] 角色的合格指派。
隨即出現通知,通知已傳送要求以供核准。
核准要求的啟用以執行重要作業
備份管理員提出啟動參與者角色的要求後,安全性管理員必須進行檢閱並核准要求。
若要檢閱並核准要求,請遵循下列步驟:
在安全性租用戶中,移至 [Microsoft Entra Privileged Identity Management]。
移至 [核准要求]。
在 [Azure 資源] 下,您可以看到等待核准的要求。
選取 [核准] 以檢閱並核准正版要求。
核准之後,備份管理員會透過電子郵件或其他內部警示選項收到通知,表示要求已核准。 現在,備份管理員可以在要求的期間內執行受保護的作業。
在核准後執行受保護的作業
一旦安全性管理員核准備份管理員對資源防護上參與者角色的要求,他們就可以在關聯的保存庫上執行受保護的作業。 如果資源防護在另一個目錄中,則備份管理員必須自行驗證。
注意
如果使用 JIT 機制指派存取權,則參與者角色將在核准期間結束時撤回。 否則,安全性管理員將手動移除指派給備份管理員的參與者角色,以執行重要作業。
下列螢幕擷取畫面顯示為啟用 MUA 的保存庫停用虛刪除的範例。
在備份保存庫上停用 MUA
停用 MUA 是一項受保護的作業,只能由備份管理員完成。 若要這樣做,備份管理員必須在資源防護中擁有所需的 [參與者] 角色。 若要取得此權限,備份管理員必須先使用 Just-In-Time (JIT) 程序,例如 Microsoft Entra Privileged Identity Management 或內部工具,針對資源防護上的參與者角色要求安全性管理員。
然後,如果要求為正版,安全性系統管理員會核准要求,並更新目前在資源防護上具有參與者角色的備份管理員。 深入了解如何取得此角色。
若要停用 MUA,備份系統管理員必須遵循下列步驟:
移至保存庫 >[屬性]>[多使用者授權]。
選取 [更新],並清除 [使用資源防護進行保護] 核取方塊。
選取 [驗證] (如果適用) 以選擇包含資源防護的目錄,然後驗證存取權。
選取 [儲存] 以完成停用 MUA 的流程。