Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce tutoriel explique comment créer un Resource Guard et activer l’autorisation multi-utilisateur (MUA) sur un coffre Recovery Services et un coffre de sauvegarde. Cela ajoute une couche supplémentaire de protection aux opérations critiques sur vos coffres.
Remarque
- L’autorisation multi-utilisateur est désormais généralement disponible pour les coffres Recovery Services et les coffres de sauvegarde.
- L’autorisation multi-utilisateur pour la Sauvegarde Azure est disponible dans toutes les régions Azure publiques.
Découvrir les concepts MUA.
Conditions préalables
Avant de commencer :
Choisir un coffre
- Vérifiez que la Protection des ressources et le coffre Recovery Services se trouvent dans la même région Azure.
- Vérifiez que l’administrateur de sauvegarde ne dispose pas des autorisations Contributeur sur Resource Guard. Vous pouvez choisir de faire en sorte que le service de protection des ressources se trouve dans un autre abonnement du même répertoire ou dans un autre répertoire pour garantir un isolement maximal.
- Assurez-vous que vos abonnements contenant le coffre Recovery Services ainsi que la protection des ressources (dans des abonnements ou des locataires différents) sont inscrits pour utiliser le fournisseur Microsoft.RecoveryServices. Pour plus d’informations, consultez Fournisseurs et types de ressources Azure.
Découvrez les différents scénarios d’utilisation de MUA.
Créer un groupe de ressources
L’administrateur de la sécurité crée la protection des ressources. Nous vous recommandons de la créer dans un autre abonnement ou un autre locataire que le coffre. Cependant, elle doit se trouver dans la même région que le coffre.
Remarque
L’administrateur de sauvegarde ne doit pas disposer d’un accès contributeur sur Resource Guard ou l’abonnement qui le contient.
Choisir un coffre
Pour créer la protection des ressources dans un abonné différent de l’abonné du coffre en tant qu’administrateur de sécurité, procédez comme suit :
Dans le portail Azure, accédez au répertoire sous lequel vous souhaitez créer Resource Guard.
Recherchez Resource Guard dans la barre de recherche et sélectionnez l’élément correspondant dans la liste déroulante.
- Sélectionnez Créer pour commencer à créer une protection des ressources.
- Dans le panneau Créer , renseignez les détails requis pour ce Resource Guard.
- Assurez-vous que la protection des ressources se trouve dans les mêmes régions Azure que le coffre Recovery Services.
- En outre, il est utile d’ajouter une description de l’obtention ou de la demande d’accès pour effectuer des actions sur les coffres associés, si nécessaire. Cette description apparaît également dans les coffres associés pour guider l’administrateur de sauvegarde sur l’obtention des autorisations requises. Vous pouvez modifier la description ultérieurement si nécessaire, mais il est recommandé d’avoir une description bien définie à tout moment.
Sous l’onglet Opérations protégées, sélectionnez les opérations que vous avez besoin de protéger à l’aide de cette protection des ressources.
Vous pouvez également sélectionner les opérations à protéger après avoir créé resource guard.
Si vous le souhaitez, ajoutez des balises à la protection des ressources conformément aux exigences
Sélectionnez Vérifier + Créer, puis suivez les notifications pour l’état et la création réussie de Resource Guard.
Sélectionner les opérations à protéger à l’aide de la protection des ressources
Après la création du coffre, l’administrateur de sécurité peut également choisir les opérations de protection à l’aide de la protection des ressources parmi toutes les opérations critiques prises en charge. Par défaut, toutes les opérations critiques prises en charge sont activées. Toutefois, l’administrateur de la sécurité peut exempter certaines opérations de tomber sous le portée de MUA à l’aide de la protection des ressources.
Choisir un coffre
Pour sélectionner les opérations de protection, procédez comme suit :
Dans la protection de ressources créée ci-dessus, accédez à l’onglet Propriétés>Coffre Recovery Services.
Sélectionnez Désactiver pour les opérations que vous souhaitez exclure de l’autorisation à l’aide de Resource Guard.
Remarque
Les opérations Désactiver la suppression réversible et supprimer la protection MUA ne peuvent pas être désactivées.
Si vous le souhaitez, vous pouvez également mettre à jour la description de la protection des ressources à l’aide de ce panneau.
Cliquez sur Enregistrer.
Affecter des autorisations à l’administrateur de sauvegarde sur le service de protection des ressources pour activer MUA
L’administrateur de sauvegarde doit avoir le rôle Lecteur sur le service de protection des ressources ou l’abonnement contenant la protection des ressources pour activer MUA sur un coffre. L’administrateur de sécurité doit attribuer ce rôle à l’administrateur de sauvegarde.
Choisir un coffre
Pour attribuer le rôle Lecteur sur la protection de ressource, procédez comme suit :
- Dans Resource Guard créé ci-dessus, accédez au panneau Contrôle d’accès (IAM), puis accédez à Ajouter une attribution de rôle.
- Sélectionnez Lecteur dans la liste des rôles intégrés, puis sélectionnez Suivant.
- Cliquez sur Sélectionner des membres et ajoutez l’ID de messagerie de l’administrateur de sauvegarde pour l’ajouter en tant que Lecteur. Étant donné que l’administrateur de sauvegarde se trouve dans un autre locataire dans ce cas, il sera ajouté en tant qu’invité au locataire contenant Resource Guard.
- Cliquez sur Sélectionner, puis passez à Réviser + affecter pour terminer l’attribution de rôle.
Activer la MUA sur un coffre
Une fois que l’administrateur de sauvegarde dispose du rôle Lecteur sur la protection des ressources, il peut activer l’autorisation multi-utilisateurs sur les coffres gérés, en procédant comme suit :
Choisir un coffre
Accédez au coffre Recovery Services.
Accédez à Propriétés>Autorisation multi-utilisateur, puis sélectionnez Mettre à jour.
Vous disposez maintenant de l’option permettant d’activer MUA et de choisir un Resource Guard de l’une des manières suivantes :
Vous pouvez spécifier l’URI de la protection des ressources, veillez à spécifier l’URI d’une protection de ressource à laquelle vous avez accès en tant que Lecteur et qui correspond aux mêmes régions que le coffre. Vous pouvez trouver l’URI (ID de protection de ressource) de la protection de ressource dans l’écran Présentation :
Ou vous pouvez sélectionner la protection de ressource dans la liste des protections des ressources auxquelles vous avez accès en tant que Lecteur, et celles qui sont disponibles dans la région.
- Cliquer sur Sélectionner la protection de ressources
- Sélectionnez la liste déroulante et choisissez le répertoire dans lequel se trouve la clause de protection des ressources.
- Sélectionnez Authentifier pour valider votre identité et votre accès.
- Après l’authentification, choisissez la protection des ressources dans la liste affichée.
Sélectionnez Enregistrer pour activer MUA.