Wachtwoordzin voor MARS-agent veilig opslaan en beheren in Azure Key Vault

Met Azure Backup met behulp van de Recovery Services-agent (MARS) kunt u een back-up maken van bestanden/mappen en systeemstatusgegevens naar azure Recovery Services-kluis. Deze gegevens worden versleuteld met behulp van een wachtwoordzin die u opgeeft tijdens de installatie en registratie van de MARS-agent. Deze wachtwoordzin is vereist voor het ophalen en herstellen van de back-upgegevens en moet worden opgeslagen op een veilige externe locatie.

Belangrijk

Als deze wachtwoordzin verloren gaat, kan Microsoft geen back-upgegevens ophalen die zijn opgeslagen in de Recovery Services-kluis. U wordt aangeraden deze wachtwoordzin op te slaan op een veilige externe locatie, zoals Azure Key Vault.

Nu kunt u uw wachtwoordzin voor versleuteling veilig opslaan in Azure Key Vault als geheim van de MARS-console tijdens de installatie voor nieuwe machines en door de wachtwoordzin voor bestaande machines te wijzigen. Als u het opslaan van de wachtwoordzin naar Azure Key Vault wilt toestaan, moet u de Recovery Services-kluis de machtigingen verlenen om een geheim te maken in Azure Key Vault.

Voordat u begint

• Maak een Recovery Services-kluis voor het geval u er geen hebt.
• U moet één Azure Key Vault gebruiken om al uw wachtwoordzinnen op te slaan. Maak een sleutelkluis voor het geval u er geen hebt.
• Azure Key Vault-prijzen zijn van toepassing wanneer u een nieuwe Azure Key Vault maakt om uw wachtwoordzin op te slaan.
• Nadat u de Sleutelkluis hebt gemaakt, moet u ervoor zorgen dat de beveiliging voor voorlopig verwijderen en opschonen is ingeschakeld om te beveiligen tegen onbedoelde of schadelijke verwijdering van de wachtwoordzin.
• Deze functie wordt alleen ondersteund in openbare Azure-regio's met MARS-agent versie 2.0.9262.0 of hoger.

De Recovery Services-kluis configureren om wachtwoordzin op te slaan in Azure Key Vault

Voordat u uw wachtwoordzin kunt opslaan in Azure Key Vault, moet u uw Recovery Services-kluis en Azure Key Vault configureren.

Als u een kluis wilt configureren, volgt u deze stappen in de opgegeven volgorde om de beoogde resultaten te bereiken. Elke actie wordt uitgebreid besproken in de onderstaande secties:

1. Door het systeem toegewezen beheerde identiteit ingeschakeld voor de Recovery Services-kluis.
2. Wijs machtigingen toe aan de Recovery Services-kluis om de wachtwoordzin op te slaan als een geheim in Azure Key Vault.
3. Schakel de beveiliging voor tijdelijk verwijderen en voor opschonen in voor Azure Key Vault.

Notitie

• Nadat u deze functie hebt ingeschakeld, moet u de beheerde identiteit niet uitschakelen (zelfs tijdelijk). Het uitschakelen van de beheerde identiteit kan leiden tot inconsistent gedrag.
• Door de gebruiker toegewezen beheerde identiteit wordt momenteel niet ondersteund voor het opslaan van wachtwoordzin in Azure Key Vault.

Door het systeem toegewezen beheerde identiteit inschakelen voor de Recovery Services-kluis

Kies een client:

Azure-portal

Volg vervolgens deze stappen:

1. Ga naar uw Recovery Services-kluisidentiteit>.

   

2. Selecteer het tabblad Systeem toegewezen .

3. Wijzig de status in Aan.

4. Selecteer Opslaan om de identiteit voor de kluis in te schakelen.

Er wordt een object-id gegenereerd. Dit is de door het systeem toegewezen beheerde identiteit van de kluis.

PowerShell

Als u door het systeem toegewezen beheerde identiteit wilt inschakelen voor de Recovery Services-kluis, gebruikt u de cmdlet Update-AzRecoveryServicesVault .

Voorbeeld

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

Gebruik de az backup vault identity assign opdracht om door het systeem toegewezen beheerde identiteit in te schakelen voor de Recovery Services-kluis.

Voorbeeld

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Machtigingen toewijzen om de wachtwoordzin op te slaan in Azure Key Vault

Raadpleeg de volgende secties op basis van het Key Vault-machtigingsmodel (op rollen gebaseerd toegangsmachtigingen of toegangsbeleidsmodel) dat is geconfigureerd voor Key Vault.

Machtigingen inschakelen met behulp van op rollen gebaseerd toegangsmachtigingsmodel voor Key Vault

Kies een client:

Azure-portal

Voer de volgende stappen uit om de machtigingen toe te wijzen:

1. Ga naar de toegangsconfiguratie voor azure Key Vault-instellingen>>om ervoor te zorgen dat het machtigingsmodel RBAC is.

   

2. Selecteer Toegangsbeheer (IAM)>+Toevoegen om roltoewijzing toe te voegen.

3. Voor de Recovery Services-kluisidentiteit is de machtiging Set voor Geheim vereist om de wachtwoordzin als geheim te maken en toe te voegen aan de Sleutelkluis.

   U kunt een ingebouwde rol selecteren, zoals Key Vault Secrets Officer met de machtiging (samen met andere machtigingen die niet vereist zijn voor deze functie) of een aangepaste rol maken met alleen machtigingen instellen voor geheim.

   Selecteer Onder Details de optie Weergeven om de machtigingen weer te geven die door de rol zijn verleend en zorg ervoor dat machtigingen instellen voor geheim beschikbaar is.

   

   

4. Selecteer Volgende om door te gaan met het selecteren van leden voor toewijzing.

5. Selecteer Beheerde identiteit en selecteer vervolgens + Leden selecteren. kies het abonnement van de Recovery Services-doelkluis en selecteer Recovery Services-kluis onder Door het systeem toegewezen beheerde identiteit.

   Zoek en selecteer de naam van de Recovery Services-kluis.

   

6. Selecteer Volgende, controleer de opdracht en selecteer Beoordelen en toewijzen.

   

7. Ga naar Toegangsbeheer (IAM) in de Sleutelkluis, selecteer Roltoewijzingen en zorg ervoor dat de Recovery Services-kluis wordt vermeld.

   

PowerShell

Voer de volgende cmdlet uit om de machtigingen toe te wijzen:

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 00001111-aaaa-2222-bbbb-3333cccc4444} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

CLI

Voer de volgende opdracht uit om de machtigingen toe te wijzen:

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "11112222-bbbb-3333-cccc-4444dddd5555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Machtigingen inschakelen met behulp van toegangsbeleidsmachtigingsmodel voor Key Vault

Kies een client:

Azure-portal

Volg vervolgens deze stappen:

1. Ga naar uw Toegangsbeleid> voor Azure Key Vault>en selecteer vervolgens + Maken.

   

2. Selecteer onder Geheime machtigingen de bewerking Instellen.

   Hiermee geeft u de toegestane acties voor het geheim op.

   

3. Ga naar Principal selecteren en zoek naar uw kluis in het zoekvak met de naam of beheerde identiteit.

   Selecteer de kluis in het zoekresultaat en kies Selecteren.

   

4. Ga naar Controleren en maken, zorg ervoor dat de machtiging Instellen beschikbaar is en Principal de juiste Recovery Services-kluis is en selecteer vervolgens Maken.

   

   

PowerShell

Gebruik de cmdlet Get-AzADServicePrincipal om de principal-id van de Recovery Services-kluis op te halen. Gebruik vervolgens deze id in de cmdlet Get-AzADServicePrincipal om een toegangsbeleid voor de sleutelkluis in te stellen.

Voorbeeld

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

CLI

Gebruik de az ad sp list opdracht om de principal-id van de Recovery Services-kluis op te halen. Gebruik vervolgens deze id in de az keyvault set-policy opdracht om een toegangsbeleid voor de sleutelkluis in te stellen.

Voorbeeld

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

Beveiliging tegen voorlopig verwijderen en opschonen inschakelen in Azure Key Vault

U moet beveiliging tegen voorlopig verwijderen en opschonen inschakelen in uw Azure Key Vault waarin uw versleutelingssleutel wordt opgeslagen.

Een client kiezen*

Azure-portal

U kunt beveiliging tegen voorlopig verwijderen en opschonen inschakelen vanuit Azure Key Vault.

U kunt deze eigenschappen ook instellen tijdens het maken van de Key Vault. Meer informatie over deze Key Vault-eigenschappen.

PowerShell

1. Meld u aan bij uw Azure-account.

   Login-AzAccount
   

2. Selecteer het abonnement dat uw kluis bevat.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Schakel voorlopig verwijderen in.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Schakel beveiliging tegen opschonen in.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   
   

CLI

1. Meld u aan bij uw Azure-account.

   az login
   

2. Selecteer het abonnement dat uw kluis bevat.

   az account set --subscription "Subscription1"
   

3. Voorlopig verwijderen inschakelen

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Beveiliging tegen opschonen inschakelen

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true 
   

Wachtwoordzin opslaan in Azure Key Vault voor een nieuwe MARS-installatie

Voordat u doorgaat met het installeren van de MARS-agent, moet u ervoor zorgen dat u de Recovery Services-kluis hebt geconfigureerd om de wachtwoordzin op te slaan in Azure Key Vault en dat u het volgende hebt:

1. Uw Recovery Services-kluis gemaakt.

2. De door het systeem toegewezen beheerde identiteit van de Recovery Services-kluis is ingeschakeld.

3. Toegewezen machtigingen aan uw Recovery Services-kluis om geheim te maken in uw Key Vault.

4. Voorlopig verwijderen en beveiliging tegen opschonen ingeschakeld voor uw Key Vault.

5. Als u de MARS-agent op een computer wilt installeren, downloadt u het MARS-installatieprogramma vanuit Azure Portal en gebruikt u vervolgens de installatiewizard.

6. Nadat u de Recovery Services-kluisreferenties hebt opgegeven tijdens de registratie, selecteert u in de versleutelingsinstelling de optie om de wachtwoordzin op te slaan in Azure Key Vault.

   

7. Voer uw wachtwoordzin in of selecteer Wachtwoordzin genereren.

8. Open uw Key Vault in Azure Portal en kopieer de Key Vault-URI.

   

9. Plak de Key Vault-URI in de MARS-console en selecteer Registreren.

   Als er een fout optreedt, raadpleegt u de sectie probleemoplossing voor meer informatie.

10. Zodra de registratie is geslaagd, wordt de optie om de id naar het geheim te kopiëren gemaakt en wordt de wachtwoordzin NIET lokaal opgeslagen in een bestand.

    

    Als u de wachtwoordzin in de toekomst voor deze MARS-agent wijzigt, wordt er een nieuwe versie van het geheim toegevoegd met de meest recente wachtwoordzin.

U kunt dit proces automatiseren met behulp van de nieuwe KeyVaultUri-optie in Set-OBMachineSetting command het installatiescript.

Wachtwoordzin opslaan in Azure Key Vault voor een bestaande MARS-installatie

Als u een bestaande MARS-agentinstallatie hebt en uw wachtwoordzin wilt opslaan in Azure Key Vault, werkt u uw agent bij naar versie 2.0.9262.0 of hoger en voert u een wijzigingswachtwoordzinbewerking uit.

Nadat u de MARS-agent hebt bijgewerkt, moet u ervoor zorgen dat u de Recovery Services-kluis hebt geconfigureerd om wachtwoordzin op te slaan in Azure Key Vault en dat u het volgende hebt:

1. Uw Recovery Services-kluis gemaakt.
2. De door het systeem toegewezen beheerde identiteit van de Recovery Services-kluis is ingeschakeld.
3. Toegewezen machtigingen aan uw Recovery Services-kluis om geheim te maken in uw Key Vault.
4. Voorlopig verwijderen en beveiliging tegen opschonen voor uw Key Vault ingeschakeld

De wachtwoordzin opslaan in Key Vault:

1. Open de MARS-agentconsole.

   U ziet nu een banner waarin u wordt gevraagd een koppeling te selecteren om de wachtwoordzin op te slaan in Azure Key Vault.

   U kunt ook De wachtwoordzin Wijzigen van eigenschappen>selecteren om door te gaan.

   

2. In het dialoogvenster Eigenschappen wijzigen wordt de optie voor het opslaan van de wachtwoordzin voor Key Vault weergegeven door een Key Vault-URI op te geven.

   Notitie

   Als de computer al is geconfigureerd om de wachtwoordzin op te slaan in Key Vault, wordt de Key Vault-URI automatisch ingevuld in het tekstvak.

   

3. Open Azure Portal, open uw Key Vault en kopieer de Key Vault-URI.

   

4. Plak de Key Vault-URI in de MARS-console en selecteer OK.

   Als er een fout optreedt, raadpleegt u de sectie probleemoplossing voor meer informatie.

5. Zodra de wijzigingszin is geslaagd, wordt een optie om de id naar het geheim te kopiëren gemaakt en wordt de wachtwoordzin NIET lokaal opgeslagen in een bestand.

   

   Als u de wachtwoordzin in de toekomst voor deze MARS-agent wijzigt, wordt er een nieuwe versie van het geheim toegevoegd met de meest recente wachtwoordzin.

U kunt deze stap automatiseren met behulp van de nieuwe KeyVaultUri-optie in de cmdlet Set-OBMachineSetting .

Wachtwoordzin ophalen uit Azure Key Vault voor een machine

Als uw computer niet meer beschikbaar is en u back-upgegevens uit de Recovery Services-kluis wilt herstellen via een alternatieve locatie, moet u de wachtwoordzin van de computer gebruiken om door te gaan.

De wachtwoordzin wordt als geheim opgeslagen in Azure Key Vault. Er wordt één geheim per machine gemaakt en er wordt een nieuwe versie toegevoegd aan het geheim wanneer de wachtwoordzin voor de machine wordt gewijzigd. Het geheim heeft de naam AzBackup-machine fully qualified name-vault name.

Ga als volgt te werk om de wachtwoordzin van de machine te vinden:

1. Open in Azure Portal de sleutelkluis die wordt gebruikt om de wachtwoordzin voor de machine op te slaan.

   U wordt aangeraden één sleutelkluis te gebruiken om al uw wachtwoordzinnen op te slaan.

2. Selecteer Geheimen en zoek naar het geheim met de naam AzBackup-<machine name>-<vaultname>.

   

3. Selecteer het geheim, open de nieuwste versie en kopieer de waarde van het geheim.

   Dit is de wachtwoordzin van de machine die moet worden gebruikt tijdens het herstel.

   

   Als u een groot aantal geheimen in de Sleutelkluis hebt, gebruikt u de Key Vault CLI om het geheim weer te geven en te zoeken.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

Veelvoorkomende scenario's oplossen

Deze sectie bevat veelvoorkomende fouten bij het opslaan van de wachtwoordzin in Azure Key Vault.

Systeemidentiteit is niet geconfigureerd: 391224

Oorzaak: Deze fout treedt op als voor de Recovery Services-kluis geen door het systeem toegewezen beheerde identiteit is geconfigureerd.

Aanbevolen actie: Zorg ervoor dat door het systeem toegewezen beheerde identiteit correct is geconfigureerd voor de Recovery Services-kluis volgens de vereisten.

Machtigingen zijn niet geconfigureerd: 391225

Oorzaak: De Recovery Services-kluis heeft een door het systeem toegewezen beheerde identiteit, maar er is geen machtiging Ingesteld voor het maken van een geheim in de doelsleutelkluis.

Aanbevolen actie:

1. Zorg ervoor dat de gebruikte kluisreferentie overeenkomt met de beoogde Recovery Services-kluis.
2. Zorg ervoor dat de Key Vault-URI overeenkomt met de beoogde Sleutelkluis.
3. Zorg ervoor dat de naam van de Recovery Services-kluis wordt vermeld onder Key Vault -> Toegangsbeleid -> Toepassing, met geheime machtigingen als ingesteld.

Als deze niet wordt vermeld, configureert u de machtiging opnieuw.

Azure Key Vault-URI is onjuist- 100272

Oorzaak: De OPGEGEVEN Key Vault-URI heeft niet de juiste indeling.

Aanbevolen actie: Zorg ervoor dat u een Key Vault-URI hebt ingevoerd die u hebt gekopieerd uit Azure Portal. Bijvoorbeeld: https://myvault.vault.azure.net/.

 

UserErrorSecretExistsSoftDeleted (391282)

Oorzaak: Er bestaat al een geheim in de verwachte indeling in de Sleutelkluis, maar deze heeft een voorlopig verwijderde status. Tenzij het geheim is hersteld, kan MARS de wachtwoordzin voor die machine niet opslaan in de opgegeven Sleutelkluis.

Aanbevolen actie: Controleer of er een geheim bestaat in de kluis met de naam AzBackup-<machine name>-<vaultname> en of het een voorlopig verwijderde status heeft. Herstel het voorlopig verwijderde geheim om de wachtwoordzin op te slaan.

UserErrorKeyVaultSoftDeleted (391283)

Oorzaak: De sleutelkluis die aan MARS is verstrekt, heeft een voorlopig verwijderde status.

Aanbevolen actie: De sleutelkluis herstellen of een nieuwe sleutelkluis opgeven.

Registratie is onvolledig

Oorzaak: U hebt de MARS-registratie niet voltooid door de wachtwoordzin te registreren. U kunt dus geen back-ups configureren totdat u zich registreert.

Aanbevolen actie: selecteer het waarschuwingsbericht en voltooi de registratie.