Tutorial: Criar um Resource Guard e habilitar a autorização de vários usuários no Backup do Azure

Este tutorial descreve como criar um Resource Guard e habilitar a MUA (autorização multiusuário) em um cofre dos Serviços de Recuperação e no cofre de Backup. Isso adiciona uma camada adicional de proteção a operações críticas em seus cofres.

Observação

  • A autorização de vários usuários agora está disponível para cofres dos Serviços de Recuperação e cofres de Backup.
  • A autorização de vários usuários para o Backup do Azure está disponível em todas as regiões públicas do Azure.

Saiba mais sobre os conceitos de MUA.

Pré-requisitos

Antes de começar:

Escolher um cofre

  • A Proteção de Recursos e o cofre dos Serviços de Recuperação precisam estar na mesma região do Azure.
  • Verifique se o administrador do Backup não tem permissões de Colaborador no Resource Guard. Você pode optar por ter a Proteção de Recursos em outra assinatura do mesmo diretório ou em outro diretório para garantir o isolamento máximo.
  • Verifique se as assinaturas que contêm o cofre dos Serviços de Recuperação, bem como a Proteção de Recursos (em assinaturas ou locatários diferentes) estão registradas para usar o provedor Microsoft.RecoveryServices. Para obter mais detalhes, confira Provedores e tipos de recursos do Azure.

Saiba mais sobre vários cenários de uso da MUA.

Criar um grupo de recursos

O administrador da Segurança cria a Proteção de Recursos. Recomendamos que você a crie em uma assinatura diferente ou em um locatário diferente dos do cofre. No entanto, ele deve estar na mesma região que o cofre.

Observação

O administrador do Backup NÃO pode ter acesso de colaborador na Proteção de Recursos ou na assinatura que a contém.

Escolher um cofre

Para criar o Resource Guard em um locatário diferente do locatário do cofre como um Administrador de segurança, siga estas etapas:

  1. No portal do Azure, acesse o diretório no qual você deseja criar o Resource Guard.

  2. Pesquise por Proteção de Recursos na barra de pesquisa e selecione o item correspondente na lista suspensa.

    1. Selecione Criar para começar a criar um Resource Guard.
    2. Na folha Criar, preencha os detalhes necessários para esta Proteção de Recursos.
      • Verifique se a Proteção de Recursos está nas mesmas regiões do Azure que o cofre dos Serviços de Recuperação.
      • Além disso, é útil adicionar uma descrição de como obter ou solicitar acesso para realizar ações nos cofres associados, quando necessário. Essa descrição também aparecerá nos cofres associados para orientar o administrador do Backup sobre como obter as permissões necessárias. Você pode editar a descrição posteriormente, se necessário, mas recomendamos ter sempre uma descrição bem definida.
  3. Na guia Operações protegidas, selecione as operações que devem ser protegidas com essa proteção de recursos.

    Você também pode selecionar as operações a serem protegidas após a criação do resource guard.

  4. Opcionalmente, adicione marcas à Proteção de Recursos de acordo com os requisitos

  5. Selecione Examinar + Criar e, em seguida, siga as notificações para o status e a criação bem-sucedida do Resource Guard.

Selecionar operações a serem protegidas com a Proteção de Recursos

Após a criação do cofre, o Administrador de segurança também pode escolher as operações de proteção usando o Resource Guard entre todas as operações críticas com suporte. Por padrão, todas as operações críticas com suporte estão habilitadas. No entanto, o Administrador de segurança pode excluir determinadas operações do alcance da MUA por meio do Resource Guard.

Escolher um cofre

Para selecionar as operações de proteção, siga estas etapas:

  1. No Resource Guard criado acima, acesse Propriedades>guia cofre dos Serviços de Recuperação.

  2. Selecione Desabilitar para operações que você deseja excluir de serem autorizadas usando o Resource Guard.

    Observação

    As operações Desativar exclusão reversível e Remover proteção MUA não podem ser desativadas.

  3. Opcionalmente, você também pode atualizar a descrição da Proteção de Recursos usando essa folha.

  4. Clique em Salvar.

Atribuir permissões ao administrador do Backup na Proteção de Recursos para habilitar a MUA

O Administrador do Backup precisa ter a função Leitor no Resource Guard ou na assinatura que contém o Resource Guard para habilitar a MUA em um cofre. O Administrador de segurança precisa atribuir essa função ao Administrador de backup.

Escolher um cofre

Para atribuir a função Leitor no Resource Guard, siga estas etapas:

  1. Na Proteção de Recursos criada acima, acesse a folha Controle de Acesso (IAM) e Adicionar atribuição de função.
  2. Selecione Leitor na lista de funções internas e selecione Avançar.
  3. Clique em Selecionar membros e adicione o ID de email do administrador do Backup para adicioná-lo como Leitor. Como o administrador de Backup está em outro locatário nesse caso, eles serão adicionados como convidados ao locatário que contém o Resource Guard.
  4. Clique em Selecionar e vá para Examinar + atribuir a fim de concluir a atribuição de função.

Habilitar a MUA em um cofre

Depois que o Administrador de backup tiver a função Leitor no Resource Guard, ele poderá habilitar a Autorização de vários usuários nos cofres gerenciados seguindo estas etapas:

Escolher um cofre

  1. Acesse o cofre dos Serviços de Recuperação.

  2. Vá para Propriedades>de Autorização multiusuário e selecione Atualizar.

  3. Agora você tem a opção de habilitar o MUA e escolher um Resource Guard usando uma das seguintes maneiras:

    1. Você pode especificar o URI da Proteção de Recursos; especifique o URI de uma Proteção de Recursos na qual tenha acesso de Leitor e verifique se estão nas mesmas regiões que o cofre. Você pode encontrar o URI (ID da Proteção de Recursos) da Proteção de Recursos na tela Visão Geral:

    2. Ou você pode selecionar a Proteção de Recursos na lista de Proteções de Recursos às quais você tem acesso de Leitor e aquelas disponíveis na região.

      1. Clique em Selecionar Proteção de Recursos
      2. Selecione a lista de seleção e escolha o diretório no qual a Proteção de Recursos está.
      3. Selecione Autenticar para validar a identidade e o acesso.
      4. Após a autenticação, escolha a Proteção de Recursos na lista exibida.
  4. Escolha Salvar para habilitar a MUA.

Próximas etapas