Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Tutorial ini menjelaskan cara membuat resource guard dan mengaktifkan otorisasi multi-pengguna (MUA) pada brankas Layanan Pemulihan dan brankas Cadangan. Ini menambahkan lapisan perlindungan tambahan ke operasi penting pada vault Anda.
Nota
- Otorisasi multi-pengguna sekarang tersedia secara umum untuk brankas Layanan Pemulihan dan brankas Pencadangan.
- Otorisasi multipengguna untuk Azure Backup tersedia di semua wilayah Azure publik.
Pelajari tentang konsep MUA.
Prasyarat
Sebelum memulai:
Pilih brankas
- Pastikan Resource Guard dan vault Recovery Services berada di wilayah Azure yang sama.
- Pastikan Administrator Cadangan tidak memiliki izin Kontributor pada Resource Guard. Anda dapat memilih untuk memiliki Resource Guard di langganan lain dari direktori yang sama atau di direktori lain untuk memastikan isolasi maksimum.
- Pastikan bahwa langganan Anda yang berisi Recovery Services vault serta Resource Guard (di langganan atau penyewa yang berbeda) terdaftar untuk menggunakan penyedia Microsoft.RecoveryServices. Untuk informasi selengkapnya, lihat Penyedia dan jenis sumber daya Azure.
Pelajari tentang berbagai skenario penggunaan MUA.
Buat Penjaga Sumber Daya
Admin keamanan membuat Resource Guard. Sebaiknya Anda membuat Resource Guard di langganan yang berbeda atau penyewa yang berbeda sebagai brankas. Namun, harus berada di wilayah yang sama dengan brankas.
Nota
Admin Cadangan TIDAK boleh memiliki akses kontributor di Resource Guard atau langganan yang berisinya.
Pilih brankas
Untuk membuat Resource Guard di penyewa yang berbeda dari penyewa vault sebagai admin Keamanan, ikuti langkah-langkah berikut:
Di portal Microsoft Azure, buka direktori tempat Anda ingin membuat Resource Guard.
Cari Resource Guards di bilah pencarian dan pilih item yang sesuai dari menu drop-down.
- Pilih Buat untuk mulai membuat Resource Guard.
- Di bilah Buat , isi detail yang diperlukan untuk Resource Guard ini.
- Pastikan Resource Guard berada di wilayah Azure yang sama dengan brankas Recovery Services.
- Selain itu, sangat membantu untuk menambahkan deskripsi tentang cara mendapatkan atau meminta akses untuk melakukan tindakan pada vault terkait saat diperlukan. Deskripsi ini juga akan muncul di brankas terkait untuk memandu admin cadangan dalam mendapatkan izin yang diperlukan. Anda dapat mengedit deskripsi nanti jika diperlukan, tetapi sangat dianjurkan untuk memiliki deskripsi yang terdefinisi dengan baik setiap saat.
Pada tab Operasi terproteksi, pilih operasi yang perlu Anda lindungi menggunakan resource guard ini.
Anda juga dapat memilih operasi yang akan dilindungi setelah membuat penjaga sumber daya.
Secara opsional, tambahkan tag apa pun ke Resource Guard sesuai persyaratan
Pilih Tinjau + Buat lalu ikuti pemberitahuan untuk status dan pembuatan Resource Guard yang berhasil.
Pilih operasi yang akan dilindungi menggunakan Resource Guard
Setelah pembuatan vault, admin Keamanan juga dapat memilih operasi untuk perlindungan menggunakan Resource Guard di antara semua operasi penting yang didukung. Secara default, semua operasi penting yang didukung diaktifkan. Namun, Admin Keamanan dapat membebaskan operasi tertentu agar tidak termasuk dalam cakupan MUA menggunakan Resource Guard.
Pilih brankas
Untuk memilih operasi perlindungan, ikuti langkah-langkah berikut:
Di Resource Guard yang dibuat di atas, buka tab Properti>Brankas Layanan Pemulihan.
Pilih Nonaktifkan untuk operasi yang ingin Anda kecualikan agar tidak diotorisasi menggunakan Resource Guard.
Nota
Operasi Nonaktifkan penghapusan sementara dan Hapus perlindungan MUA tidak dapat dinonaktifkan.
Secara opsional, Anda juga dapat memperbarui deskripsi untuk Resource Guard menggunakan blade ini.
Pilih Simpan.
Tetapkan izin ke admin Cadangan di Resource Guard untuk mengaktifkan MUA
Admin Cadangan harus memiliki peran Pembaca di Resource Guard atau langganan yang berisi Resource Guard untuk mengaktifkan MUA pada vault. Admin Keamanan perlu menetapkan peran ini ke admin Cadangan.
Pilih brankas
Untuk menetapkan peran Pembaca di Resource Guard, ikuti langkah-langkah berikut:
- Di Resource Guard yang dibuat di atas, buka bilah Kontrol Akses (IAM), lalu buka Tambahkan penetapan peran.
- Pilih Pembaca dari daftar peran bawaan dan pilih Berikutnya.
- Klik Pilih anggota dan tambahkan ID email admin Cadangan untuk menambahkan mereka sebagai Pembaca. Karena Admin Cadangan berada di penyewa lain dalam hal ini, mereka akan ditambahkan sebagai tamu ke penyewa yang berisi Resource Guard.
- Klik Pilih lalu lanjutkan ke Tinjau + tetapkan untuk menyelesaikan penetapan peran.
Mengaktifkan MUA pada brankas
Setelah admin Cadangan memiliki peran Pembaca di Resource Guard, mereka dapat mengaktifkan otorisasi multi-pengguna pada vault yang dikelola dengan mengikuti langkah-langkah berikut:
Pilih brankas
Pergi ke vault Layanan Pemulihan.
Buka Properti>Otorisasi Multi-Pengguna, lalu pilih Perbarui.
Sekarang Anda disajikan dengan opsi untuk mengaktifkan MUA dan memilih Resource Guard menggunakan salah satu cara berikut:
Anda dapat memilih untuk menentukan URI dari Resource Guard atau memastikan bahwa Anda menentukan URI dari Resource Guard yang Anda memiliki akses sebagai Pembaca dan berada di wilayah yang sama dengan brankas. Anda dapat menemukan URI (ID Resource Guard) dari Resource Guard di layar Gambaran Umum:
Atau Anda dapat memilih Resource Guard dari daftar Resource Guard yang dapat Anda akses sebagai Pembaca, dan yang tersedia di wilayah tersebut.
- Klik Pilih Penjaga Sumber Daya
- Pilih daftar dropdown dan pilih direktori tempat Resource Guard berada.
- Pilih Autentikasi untuk memvalidasi identitas dan akses Anda.
- Setelah autentikasi, pilih Resource Guard dari daftar yang ditampilkan.
Pilih Simpan untuk mengaktifkan MUA.
Langkah berikutnya
- Operasi yang dilindungi menggunakan MUA
- Mengotorisasi operasi penting (dilindungi) menggunakan Microsoft Entra Privileged Identity Management
- Melakukan operasi yang dilindungi setelah persetujuan
- Nonaktifkan MUA pada vault Layanan Pemulihan atau vault Cadangan.