Compartilhar via


Configurar a autorização de vários usuários usando a Proteção de Recursos no Backup do Azure

Este artigo descreve como configurar a MUA (Autorização de vários usuários) para o Backup do Azure a fim de adicionar mais uma camada de proteção às operações críticas nos seus cofres dos Serviços de Recuperação.

Este artigo demonstra a criação do Resource Guard em um locatário diferente que ofereça proteção máxima. Também demonstra como solicitar e aprovar solicitações para executar operações críticas usando o Azure Entra Privileged Identity Management no locatário que hospeda a Proteção de Recursos. Opcionalmente, você pode usar outros mecanismos para gerenciar permissões JIT na Proteção de Recursos de acordo com sua configuração.

Observação

  • A autorização de vários usuários para o Backup do Azure está disponível em todas as regiões públicas do Azure.
  • A autorização de vários usuários com o Resource Guard para cofre do Backup já está em disponibilidade geral. Saiba mais.

Antes de começar

  • A Proteção de Recursos e o cofre dos Serviços de Recuperação precisam estar na mesma região do Azure.
  • Verifique se o Administrador de backup não tem permissões de Colaborador, Administrador da MUA de backup ou Operador da MUA de backup na Proteção de Recursos. Você pode optar por ter a Proteção de Recursos em outra assinatura do mesmo diretório ou em outro diretório para garantir o isolamento máximo.
  • Verifique se as assinaturas que contêm o cofre dos Serviços de Recuperação, bem como a Proteção de Recursos (em assinaturas ou locatários diferentes) estão registradas para usar os provedores Microsoft.RecoveryServices e Microsoft.DataProtection. Confira mais informações em Tipos e provedores de recursos do Azure.

Saiba mais sobre vários cenários de uso da MUA.

Criar um grupo de recursos

O administrador da Segurança cria a Proteção de Recursos. Recomendamos que você a crie em uma assinatura diferente ou em um locatário diferente dos do cofre. No entanto, ele deve estar na mesma região que o cofre. O administrador do Backup NÃO pode ter acesso de Colaborador, Administrador da MUA de backup ou Operador da MUA de backup na Proteção de Recursos ou na assinatura que a contém.

Selecione um cliente

Para criar o Resource Guard em um locatário diferente do locatário do cofre, siga estas etapas:

  1. No portal do Azure, acesse o diretório no qual você deseja criar o Resource Guard.

    Captura de tela que mostra as configurações do portal.

  2. Procure Resource Guards na barra de pesquisa e selecione o item correspondente na lista suspensa.

    Captura de tela que mostra como proteções de recursos.

    • Selecione Criar para começar a criar um Resource Guard.
    • Na folha Criar, preencha os detalhes necessários para a Proteção de Recursos.
      • Verifique se a Proteção de Recursos está nas mesmas regiões do Azure que o cofre dos Serviços de Recuperação.
      • Além disso, é útil adicionar uma descrição de como obter ou solicitar acesso para realizar ações nos cofres associados, quando necessário. Essa descrição também aparecerá nos cofres associados para orientar o administrador do Backup sobre como obter as permissões necessárias. Você pode editar a descrição posteriormente, se necessário, mas recomendamos ter sempre uma descrição bem definida.
  3. Na guia Operações protegidas, selecione as operações que devem ser protegidas com essa proteção de recursos.

    Você também pode selecionar as operações a serem protegidas após a criação da proteção de recursos.

  4. Opcionalmente, adicione marcas à Proteção de Recursos de acordo com os requisitos

  5. Selecione Revisar + Criar e siga as notificações sobre o status e a criação bem-sucedida do Resource Guard.

Selecionar operações a serem protegidas com a Proteção de Recursos

Escolha as operações que você deseja proteger usando a Proteção de Recursos dentre todas as operações críticas com suporte. Por padrão, todas as operações críticas com suporte estão habilitadas. No entanto, você, como o administrador de segurança, pode excluir determinadas operações do alcance de MUA por meio do Resource Guard.

Selecione um cliente

Para isentar as contas, siga estas etapas:

  1. No Resource Guard criado acima, acesse Propriedades>guia cofre dos Serviços de Recuperação.

  2. Selecione Desabilitar nas operações que você deseja excluir de serem autorizadas com o Resource Guard.

    Observação

    Não é possível desabilitar as operações protegidas Desabilitar a exclusão temporária e Remover a proteção da MUA.

  3. Opcionalmente, você também pode atualizar a descrição da Proteção de Recursos usando essa folha.

  4. Selecione Salvar.

    Captura de tela que mostra as propriedades da Proteção de Recursos de demonstração.

Atribuir permissões ao administrador do Backup na Proteção de Recursos para habilitar a MUA

Para habilitar a MUA em um cofre, o administrador do cofre precisa ter a função Leitor na Proteção de Recursos ou na assinatura que contém a Proteção de Recursos. Para atribuir a função Leitor na Proteção de Recursos:

  1. No Resource Guard criado acima, acesse a folha Controle de Acesso (IAM) e acesse Adicionar atribuição de função.

    Captura de tela que mostra o controle de acesso da Proteção de Recursos de demonstração.

  2. Selecione Leitor na lista de funções internas e escolha Avançar.

    Captura de tela que mostra a adição de atribuição de função da Proteção de Recursos.

  3. Clique em Selecionar membros e adicione o ID de email do administrador do Backup para adicioná-lo como Leitor. Como, nesse caso, o Administrador de backup está em outro locatário, ele será adicionado como convidado no locatário que contém o Resource Guard.

  4. Clique em Selecionar e vá para Examinar + atribuir a fim de concluir a atribuição de função.

    Captura de tela que mostra a escolha de membros da Proteção de Recursos de demonstração.

Habilitar MUA em um cofre dos Serviços de Recuperação

Depois que a atribuição de função leitor no Resource Guard for concluída, habilite a autorização de vários usuários em cofres (como o administrador de Backup) que você gerencia.

Selecione um cliente

Para habilitar MUA nos cofres, siga estas etapas.

  1. Acesse o cofre dos Serviços de Recuperação. Acesse Propriedades no painel de navegação à esquerda, em seguida, Autorização de Vários Usuários e selecione Atualizar.

    Captura de tela mostrando as propriedades do cofre dos Serviços de Recuperação.

  2. Agora você tem a opção de habilitar a MUA e escolher um Resource Guard de uma das seguintes maneiras:

    • Você pode especificar o URI da Proteção de Recursos; especifique o URI de uma Proteção de Recursos na qual tenha acesso de Leitor e verifique se estão nas mesmas regiões que o cofre. Você pode encontrar o URI (ID da Proteção de Recursos) da Proteção de Recursos na tela Visão Geral:

      Captura de tela que mostra a Proteção de Recursos.

    • Você também pode selecionar a Proteção de Recursos na lista de Proteção de Recursos às quais você tem acesso de Leitor e aqueles disponíveis na região.

      1. Clique em Selecionar Proteção de Recursos
      2. Selecione a lista suspensa e escolha o diretório no qual o Resource Guard se encontra.
      3. Selecione Autenticar para validar a identidade e o acesso.
      4. Após a autenticação, escolha a Proteção de Recursos na lista exibida.

      Captura de tela que mostra a autorização de vários usuários.

  3. Selecione Salvar quando terminar de habilitar a MUA.

    Captura de tela que mostra como habilitar a autenticação de vários usuários.

Operações protegidas por meio da MUA

Depois que você habilitar a MUA, as operações no escopo ficarão restritas no cofre se o Administrador de backup tentar realizá-las sem ter a função necessária (ou seja, a função de Operador da MUA de backup) na Proteção de Recursos.

Observação

Recomendamos fortemente que você teste a configuração depois de habilitar a MUA para garantir que as operações protegidas sejam bloqueadas conforme esperado e para garantir que a MUA esteja configurada corretamente.

Abaixo está uma ilustração do que acontece quando o administrador do Backup tenta executar uma operação protegida desse tipo (por exemplo, a desabilitação da exclusão temporária é ilustrada aqui. Outras operações protegidas têm uma experiência semelhante). As etapas a seguir são executadas por um administrador do Backup sem as permissões necessárias.

  1. Para desabilitar a exclusão temporária, acesse o cofre dos Serviços de Recuperação >Propriedades>Configurações de Segurança e escolha Atualizar, o que abrirá as Configurações de Segurança.

  2. Desabilite a exclusão temporária usando o controle deslizante. Você é informado de que essa é uma operação protegida e de que precisa verificar seu acesso ao Resource Guard.

  3. Selecione o diretório que contém a Proteção de Recursos e autentique-se. Essa etapa poderá não ser necessária se a Proteção de Recursos estiver no mesmo diretório que o cofre.

  4. Prossiga para selecionar Salvar. A solicitação falha com um erro que informa sobre a falta de permissões suficientes na Proteção de Recursos para que você possa executar essa operação.

    Captura de tela mostrando as configurações de segurança das propriedades do Cofre de Teste.

Autorizar operações críticas (protegidas) usando o Microsoft Entra Privileged Identity Management

As seções a seguir abordam a autorização dessas solicitações com o PIM. Há casos em que talvez seja necessário realizar operações críticas em seus backups, e a MUA pode ajudar você a ter certeza de que elas serão realizadas somente quando houver as aprovações ou permissões corretas. Conforme discutido anteriormente, o administrador do Backup precisa ter uma função de Operador da MUA de backup na Proteção de Recursos para realizar operações críticas que estejam no escopo da Proteção de Recursos. Uma das maneiras de permitir just-in-time para essas operações é por meio do uso do Microsoft Entra Privileged Identity Management.

Observação

Embora o uso do Microfone Entra PIM seja a abordagem recomendada, você pode usar métodos manuais ou personalizados para gerenciar o acesso do administrador do Backup na Proteção de Recursos. Para gerenciar o acesso à Proteção de Recursos manualmente, use a configuração Controle de acesso (IAM) na barra de navegação à esquerda da Proteção de Recursos e conceda a função Operador da MUA de backup ao Administrador do backup.

Criar uma atribuição qualificada para o administrador do Backup (se estiver usando o Microsoft Entra Privileged Identity Management)

O Administrador de segurança pode usar o PIM para criar uma atribuição qualificada para o Administrador de backup e fornecer a função de Operador da MUA de backup ao Resource Guard. Isso permitirá que o Administrador do backup ative uma solicitação (para a função de Operador da MUA de backup) quando precisar executar uma operação protegida. Para isso, o administrador da Segurança deve realizar o seguinte:

  1. No locatário de segurança (que contém a Proteção de Recursos), acesse o Privileged Identity Management (pesquise-o na barra de pesquisa do portal do Azure) e acesse Recursos do Azure (em Gerenciar no menu à esquerda).

  2. Selecione o recurso (a Proteção de Recursos ou a assinatura/RG que a contém) ao qual você deseja atribuir a função de Operador da MUA de backup.

    Se você não vir o recurso correspondente na lista de recursos, adicione a assinatura contentora que será gerenciada pelo PIM.

  3. No recurso selecionado, acesse Atribuições (em Gerenciar no menu à esquerda) e Adicionar atribuições.

    Captura de tela que mostra como adicionar atribuições.

  4. Em Adicionar atribuições:

    1. Selecione a função como Operador da MUA de backup.
    2. Acesse Selecionar membros e adicione o nome de usuário (ou as IDs de email) do Administrador de backup.
    3. Selecione Avançar.

    Captura de tela que mostra como adicionar membros às atribuições.

  5. Na próxima tela:

    1. Em Tipo de atribuição, escolha Qualificado.
    2. Especifique o período pelo qual a permissão qualificada é válida.
    3. Escolha Atribuir para concluir a criação da atribuição qualificada.

    Captura de tela que mostra como configurar a adição de atribuições.

Configurar aprovadores para ativar a função Operador da MUA de backup

Por padrão, talvez a configuração acima não tenha um aprovador (e um requisito de fluxo de aprovação) configurado no PIM. Para garantir que os aprovadores tenham a função de Operador da MUA de backup para aprovação da solicitação, o Administrador de segurança precisa seguir estas etapas:

Observação

Se isso não estiver configurado, todas as solicitações serão aprovadas automaticamente sem passar pela revisão dos administradores de segurança ou de um aprovador designado. Você pode encontrar mais detalhes sobre isso aqui

  1. No Microsoft Entra PIM, selecione Recursos do Azure na barra de navegação à esquerda e selecione a Proteção de Recursos.

  2. Vá para Configurações e, em seguida, acesse a função de Operador da MUA de backup.

    Captura de tela que mostra como adicionar o colaborador.

  3. Selecione Editar para adicionar os revisores que precisam revisar e aprovar a solicitação de ativação para a função de Operador da MUA de backup, caso você descubra que a opção Aprovadores mostra Nenhum ou exibe aprovadores incorretos.

  4. Na guia Ativação, selecione Exigir aprovação para ativar e adicione os aprovadores que precisam aprovar cada solicitação.

  5. Selecione as opções de segurança, como a MFA (autenticação multifator) e a obrigatoriedade de tíquete para ativar a função de Operador da MUA de backup.

  6. Selecione as opções apropriadas nas guias Atribuição e Notificação, conforme necessário.

    Captura de tela que mostra como editar a configuração de função.

  7. Escolha Atualizar para concluir a configuração de aprovadores para ativar a função de Operador da MUA de backup.

Solicitar ativação de uma atribuição qualificada para realizar operações críticas

Depois que o administrador da Segurança cria uma atribuição qualificada, o administrador do Backup precisa ativar a atribuição para que a função de Operador da MUA de backup possa realizar ações protegidas.

Para ativar a atribuição de função, siga as etapas:

  1. Acesse Microsoft Entra Privileged Identity Management. Se a Proteção de Recursos estiver em outro diretório, alterne para ele e acesse o Microsoft Entra Privileged Identity Management.

  2. Acesse Minhas funções>Recursos do Azure no menu à esquerda.

  3. Selecione Ativar para ativar a atribuição qualificada para a função de Operador da MUA de backup.

    Uma notificação é exibida informando que a solicitação foi enviada para aprovação.

    Captura de tela que mostra como ativar as atribuições qualificadas.

Aprovar a ativação de solicitações para executar operações críticas

Depois que o administrador do Backup gera uma solicitação de ativação da função de Operador da MUA de backup, a solicitação é analisada e aprovada pelo Administrador de segurança.

  1. No locatário de segurança, acesse o Microsoft Entra Privileged Identity Management.
  2. Acesse Aprovar solicitações.
  3. Em Recursos do Azure, é possível ver a solicitação gerada pelo Administrador do backup para ativação como Operador da MUA de backup.
  4. Examine a solicitação. Se ela for genuína, selecione a solicitação e clique em Aprovar para aprová-la.
  5. O administrador do Backup é informado por email (ou outros mecanismos de alerta organizacional) de que sua solicitação foi aprovada.
  6. Depois de aprovado, o administrador do Backup pode realizar operações protegidas durante o período solicitado.

Executando uma operação protegida após a aprovação

Quando a solicitação do Administrador do backup para a função de Operador da MUA de backup no a Proteção de Recursos for aprovada, ele pode realizar operações protegidas no cofre associado. Se a Proteção de Recursos estiver em outro diretório, o administrador do Backup precisará se autenticar.

Observação

Se o acesso foi atribuído usando um mecanismo JIT, a função de Operador da MUA de backup será cancelada no final do período aprovado. Caso contrário, o administrador da Segurança removerá manualmente a função de Operador da MUA de backup atribuída ao administrador do Backup para executar a operação crítica.

A captura de tela a seguir mostra um exemplo de desabilitação de exclusão temporária para um cofre habilitado para MUA.

Captura de tela mostrando como desabilitar a exclusão temporária.

Desabilitar MUA em um cofre dos serviços de recuperação

Desabilitar a MUA é uma operação protegida e, portanto, os cofres são protegidos usando a MUA. Se você (o Administrador do backup) quiser desabilitar o MUA, precisará ter a função de Operador da MUA de backup necessária na Proteção de Recursos.

Selecione um cliente

Para desabilitar MUA em um cofre, siga estas etapas:

  1. O administrador do Backup solicita ao administrador da Segurança a função Operador da MUA de backup na Proteção de Recursos. Ele pode solicitar isso para usar os métodos aprovados pela organização, por exemplo, procedimentos de JIT, o Microsoft Entra Privileged Identity Management ou outras ferramentas e procedimentos internos.

  2. O administrador de segurança aprova a solicitação (se achar que ela é digna de ser aprovada) e informa o Administrador de backup. Agora, o administrador de backup tem a função Operador MUA de Backup na Proteção de Recursos.

  3. O Administrador de backup acessa o cofre, >Propriedades>Autorização de vários usuários.

  4. Selecione Atualizar.

    1. Desmarque a caixa de seleção Proteger com o Resource Guard.
    2. Escolha o diretório que contém a Proteção de Recursos e verifique o acesso usando o botão Autenticar (se aplicável).
    3. Após a autenticação, escolha Salvar. Com o acesso correto, a solicitação deve ser concluída com êxito.

    Captura de tela mostrando para desabilitar a autenticação de vários usuários.

A ID do locatário será necessária se a proteção de recursos existir em um locatário diferente.

Exemplo:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

Este artigo descreve como configurar a MUA (Autorização de vários usuários) para o Backup do Azure a fim de adicionar mais uma camada de proteção às operações críticas no seu cofre do Backup.

Este artigo demonstra a criação do Resource Guard em um locatário diferente que ofereça proteção máxima. Também demonstra como solicitar e aprovar solicitações para executar operações críticas usando o Azure Entra Privileged Identity Management no locatário que hospeda a Proteção de Recursos. Opcionalmente, você pode usar outros mecanismos para gerenciar permissões JIT na Proteção de Recursos de acordo com sua configuração.

Observação

  • A autorização de vários usuários com o Resource Guard para cofre do Backup já está em disponibilidade geral.
  • A autorização de vários usuários para o Backup do Azure está disponível em todas as regiões públicas do Azure.

Antes de começar

  • Verifique se o Resource Guard e o cofre do Backup estão na mesma região do Azure.
  • Verifique se o Administrador de backup não tem permissões de Colaborador, Administrador da MUA de backup ou Operador da MUA de backup na Proteção de Recursos. Você pode optar por ter a Proteção de Recursos em outra assinatura do mesmo diretório ou em outro diretório para garantir o isolamento máximo.
  • Verifique se as assinaturas que contêm o cofre do Backup, bem como o Resource Guard (em assinaturas ou locatários diferentes), estão registradas para usar o provedor Microsoft.DataProtection4. Confira mais informações em Tipos e provedores de recursos do Azure.

Saiba mais sobre vários cenários de uso da MUA.

Criar um grupo de recursos

O administrador da Segurança cria a Proteção de Recursos. Recomendamos que você a crie em uma assinatura diferente ou em um locatário diferente dos do cofre. No entanto, ele deve estar na mesma região que o cofre.

O administrador do Backup NÃO pode ter acesso de colaborador, Administrador da MUA de backup ou Operador da MUA de backup na Proteção de Recursos ou na assinatura que a contém.

Para criar o Resource Guard em um locatário diferente do locatário do cofre como um Administrador de segurança, siga estas etapas:

  1. No portal do Azure, acesse o diretório no qual você deseja criar o Resource Guard.

    Captura de tela que mostra as configurações do portal a serem definidas para o cofre do Backup.

  2. Procure Resource Guards na barra de pesquisa e selecione o item correspondente na lista suspensa.

    Captura de tela que mostra as proteções de recursos do cofre do Backup.

    1. Selecione Criar para criar um Resource Guard.
    2. Na folha Criar, preencha os detalhes necessários para este Resource Guard.
      • Verifique se o Resource Guard está na mesma região do Azure do cofre do Backup.
      • Adicione uma descrição de como solicitar acesso para realizar ações nos cofres associados, quando necessário. Essa descrição será exibida nos cofres associados para orientar o Administrador de backup sobre como obter as permissões necessárias.
  3. Na guia Operações protegidas, selecione as operações que precisam ser protegidas usando esta proteção de recursos na guia Cofre do Backup.

    Atualmente, a guia Operações protegidas só inclui a opção Excluir instância de backup para desabilitá-la.

    Você também pode selecionar as operações a serem protegidas após a criação da proteção de recursos.

    Captura de tela que mostra como selecionar operações de proteção usando o Resource Guard.

  4. Opcionalmente, adicione marcas ao Resource Guard de acordo com os requisitos.

  5. Selecione Revisar + Criar e siga as notificações para monitorar o status e a criação bem-sucedida do Resource Guard.

Selecionar operações a serem protegidas com a Proteção de Recursos

Após a criação do cofre, o Administrador de segurança também pode escolher as operações de proteção usando o Resource Guard entre todas as operações críticas com suporte. Por padrão, todas as operações críticas com suporte estão habilitadas. No entanto, o Administrador de segurança pode excluir determinadas operações do alcance da MUA por meio do Resource Guard.

Para selecionar as operações de proteção, siga estas etapas:

  1. No Resource Guard que você criou, acesse a guia Propriedades>Cofre do Backup.

  2. Selecione Desabilitar nas operações que você deseja excluir de serem autorizadas.

    Não é possível desabilitar as operações Remover proteção de MUA e Desabilitar exclusão temporária.

  3. Opcionalmente, na guia Cofres do Backup, atualize a descrição do Resource Guard.

  4. Selecione Salvar.

    Captura de tela que mostra as propriedades da proteção de recursos de demonstração do cofre do Backup.

Atribuir permissões ao administrador do Backup na Proteção de Recursos para habilitar a MUA

O Administrador do Backup precisa ter a função Leitor no Resource Guard ou na assinatura que contém o Resource Guard para habilitar a MUA em um cofre. O Administrador de segurança precisa atribuir essa função ao Administrador de backup.

Para atribuir a função Leitor no Resource Guard, siga estas etapas:

  1. No Resource Guard criado acima, acesse a folha Controle de Acesso (IAM) e acesse Adicionar atribuição de função.

    Captura de tela que mostra o controle de acesso da proteção de recursos de demonstração do cofre do Backup.

  2. Selecione Leitor na lista de funções internas e escolha Avançar.

    Captura de tela que mostra a atribuição de função de adição da proteção de recursos de demonstração do cofre do Backup.

  3. Clique em Selecionar membros e adicione a ID de email do Administrador de backup para atribuir a função Leitor.

    Como os Administradores de backup estão em outro locatário, eles serão adicionados como convidados ao locatário que contém o Resource Guard.

  4. Clique em Selecionar>Revisar + atribuir para concluir a atribuição de função.

    Captura de tela que mostra os membros selecionados da proteção de recursos de demonstração para proteger os itens de backup do cofre do Backup.

Habilitar a MUA em um cofre do Backup

Depois que o Administrador de backup tiver a função Leitor no Resource Guard, ele poderá habilitar a Autorização de vários usuários nos cofres gerenciados seguindo estas etapas:

  1. Acesse o cofre do Backup para o qual deseja configurar a MUA.

  2. No painel esquerdo, selecione Propriedades.

  3. Acesse Autorização de Vários Usuários e selecione Atualizar.

    Captura de tela que mostra as propriedades do cofre do Backup.

  4. Para habilitar a MUA e escolher um Resource Guard, execute uma das seguintes ações:

    • Você pode especificar o URI do Resource Guard. Lembre-se de especificar o URI de um Resource Guard no qual você tenha acesso de Leitor e que esteja na mesma região do cofre. Encontre o URI (ID) do Resource Guard na página Visão geral.

      Captura de tela que mostra o Resource Guard para a proteção do cofre do Backup.

    • Você também pode selecionar a Proteção de Recursos na lista de Proteção de Recursos às quais você tem acesso de Leitor e aqueles disponíveis na região.

      1. Clique em Selecionar Resource Guard.
      2. Selecione a lista suspensa e escolha o diretório no qual o Resource Guard se encontra.
      3. Selecione Autenticar para validar a identidade e o acesso.
      4. Após a autenticação, escolha a Proteção de Recursos na lista exibida.

      Captura de tela que mostra a autorização de vários usuários habilitada no cofre do Backup.

  5. Escolha Salvar para habilitar a MUA.

    Captura de tela que mostra como habilitar a autenticação de vários usuários.

Operações protegidas por meio da MUA

Depois que o Administrador de backup habilitar a MUA, as operações no escopo ficarão restritas ao cofre e as operações falharão se o Administrador de backup tentar realizá-las sem ter a função Operador da MUA de backup na Proteção de Recursos.

Observação

Recomendamos fortemente que você teste a configuração depois de habilitar a MUA para garantir que:

  • As operações protegidas estejam bloqueadas conforme esperado.
  • A MUA esteja configurada corretamente.

Para executar uma operação protegida (desabilitando a MUA), siga estas etapas:

  1. Acesse as >Propriedades do cofre no painel esquerdo.

  2. Desmarque a caixa de seleção para desabilitar a MUA.

    Você receberá uma notificação informando que essa é uma operação protegida e você precisa ter acesso ao Resource Guard.

  3. Selecione o diretório que contém o Resource Guard e autentique-se.

    Essa etapa poderá não ser necessária se a Proteção de Recursos estiver no mesmo diretório que o cofre.

  4. Selecione Salvar.

    A solicitação falha com um erro indicando a falta de permissões suficientes no Resource Guard para executar essa operação.

    Captura de tela que mostra as configurações de segurança das propriedades do cofre do Backup de teste.

Autorizar operações críticas (protegidas) usando o Microsoft Entra Privileged Identity Management

Há cenários em que talvez seja necessário executar operações críticas nos backups, e você pode executá-las com as aprovações ou as permissões certas com a MUA. As seções a seguir explicam como autorizar as solicitações de operação crítica usando o PIM (Privileged Identity Management).

O Administrador de backup precisa ter uma função de Operador da MUA de backup na Proteção de Recursos para realizar operações críticas no escopo da Proteção de Recursos. Uma das maneiras de permitir operações JIT (just-in-time) é por meio do uso do Microsoft Entra Privileged Identity Management.

Observação

Recomendamos que você use o Microsoft Entra PIM. No entanto, você pode usar métodos manuais ou personalizados para gerenciar o acesso do Administrador de backup no Resource Guard. Para gerenciar o acesso à Proteção de Recursos manualmente, use a configuração Controle de acesso (IAM) no painel esquerdo da Proteção de Recursos e conceda a função de Operador da MUA de backup ao Administrador de backup.

Criar uma atribuição qualificada para o administrador do Backup usando o Microsoft Entra Privileged Identity Management

O Administrador de segurança pode usar o PIM para criar uma atribuição qualificada para o Administrador de backup como Operador da MUA de backup da Proteção de Recursos. Isso permitirá que o Administrador do backup ative uma solicitação (para a função de Operador da MUA de backup) quando precisar executar uma operação protegida.

Para criar uma atribuição qualificada, siga as etapas:

  1. Entre no portal do Azure.

  2. Acesse o locatário de segurança do Resource Guard e, na pesquisa, insira Privileged Identity Management.

  3. No painel esquerdo, selecione Gerenciar e acesse Recursos do Azure.

  4. Selecione o recurso (a Proteção de Recursos ou a assinatura/RG que a contém) ao qual você deseja atribuir a função de Operador da MUA de backup.

    Se você não encontrar nenhum recurso correspondente, adicione a assinatura de recipiente que é gerenciada pelo PIM.

  5. Selecione o recurso e acesse Gerenciar>Atribuições>Adicionar atribuições.

    Captura de tela que mostra como adicionar atribuições para proteger um cofre do Backup.

  6. Em Adicionar atribuições:

    1. Selecione a função como Operador da MUA de backup.
    2. Acesse Selecionar membros e adicione o nome de usuário (ou as IDs de email) do Administrador de backup.
    3. Selecione Avançar.

    Captura de tela que mostra como adicionar a associação de atribuições para proteger um cofre do Backup.

  7. Em Atribuição, selecione Qualificado e especifique a validade da duração da permissão qualificada.

  8. Escolha Atribuir para concluir a criação da atribuição qualificada.

    Captura de tela que mostra como adicionar a configuração de atribuições para proteger um cofre do Backup.

Configurar aprovadores para ativar a função Colaborador

Por padrão, talvez a configuração acima não tenha um aprovador (e um requisito de fluxo de aprovação) configurado no PIM. Para garantir que os aprovadores tenham a função Colaborador para aprovação da solicitação, o Administrador de segurança precisa seguir estas etapas:

Observação

Se a configuração do aprovador não estiver definida, as solicitações serão aprovadas automaticamente sem passar pela revisão dos Administradores de segurança ou do aprovador designado. Saiba mais.

  1. No Microsoft Entra PIM, selecione Recursos do Azure no painel à esquerda e selecione a Proteção de Recursos.

  2. Acesse Configurações>função Colaborador.

    Captura de tela que mostra como adicionar um colaborador.

  3. Selecione Editar para adicionar os revisores que precisam revisar e aprovar a solicitação de ativação para a função Colaborador, caso você descubra que a opção Aprovadores mostra Nenhum ou exibe aprovadores incorretos.

  4. Na guia Ativação, selecione Exigir aprovação para ativar para adicionar os aprovadores que precisam aprovar cada solicitação.

  5. Selecione as opções de segurança, como a MFA (autenticação multifator) e a obrigatoriedade de tíquete para ativar a função de Colaborador.

  6. Selecione as opções apropriadas nas guias Atribuição e Notificação de acordo com suas necessidades.

    Captura de tela que mostra como editar a configuração de função.

  7. Escolha Atualizar para concluir a configuração de aprovadores para ativar a função Colaborador.

Solicitar ativação de uma atribuição qualificada para realizar operações críticas

Depois que o Administrador de segurança cria uma atribuição qualificada, o Administrador de backup precisa ativar a atribuição para que a função Colaborador realize as ações protegidas.

Para ativar a atribuição de função, siga as etapas:

  1. Acesse Microsoft Entra Privileged Identity Management. Se a Proteção de Recursos estiver em outro diretório, alterne para ele e acesse o Microsoft Entra Privileged Identity Management.

  2. Acesse Minhas funções>Recursos do Azure no painel esquerdo.

  3. Selecione Ativar para ativar a atribuição qualificada para a função Colaborador.

    Uma notificação é exibida informando que a solicitação foi enviada para aprovação.

    Captura de tela que mostra como ativar as atribuições qualificadas.

Aprovar as solicitações de ativação para executar operações críticas

Depois que o Administrador de backup gera uma solicitação de ativação da função Colaborador, o Administrador de segurança precisa revisar e aprovar a solicitação.

Para revisar e aprovar a solicitação, siga estas etapas:

  1. No locatário de segurança, acesse o Microsoft Entra Privileged Identity Management.

  2. Acesse Aprovar solicitações.

  3. Em Recursos do Azure, você pode ver a solicitação aguardando aprovação.

    Selecione Aprovar para revisar e aprovar a solicitação autêntica.

Após a aprovação, o Administrador de backup recebe uma notificação, por email ou por outras opções de alertas internos, indicando que a solicitação foi aprovada. Agora, o Administrador de backup pode realizar as operações protegidas durante o período solicitado.

Executar uma operação protegida após a aprovação

Depois que o Administrador de segurança aprova a solicitação do Administrador de backup para a função Operador da MUA de backup na Proteção de Recursos, ele pode executar operações protegidas no cofre associado. Se o Resource Guard estiver em outro diretório, o Administrador de backup precisará se autenticar.

Observação

Se o acesso foi atribuído usando um mecanismo JIT, a função de Operador da MUA de backup será cancelada no final do período aprovado. Caso contrário, o Administrador de segurança removerá manualmente a função Operador da MUA de backup atribuída ao Administrador de backup para executar a operação crítica.

A captura de tela a seguir mostra um exemplo de desabilitação da exclusão temporária de um cofre habilitado para MUA.

Captura de tela que mostra a desabilitação da exclusão temporária de um cofre habilitado para MUA.

Desabilitar a MUA em um cofre do Backup

A desabilitação da MUA é uma operação protegida que só deve ser feita pelo Administrador de backup. Para fazer isso, o Administrador de backup precisa ter a função Operador da MUA de backup necessária na Proteção de Recursos. A fim de obter essa permissão, primeiro, o Administrador de backup precisa solicitar ao Administrador de segurança a função Operador da MUA de backup na Proteção de Recursos usando o procedimento JIT (just-in-time), como o Microsoft Entra Privileged Identity Management ou ferramentas internas.

Em seguida, o Administrador de segurança aprovará a solicitação se ela for autêntica e atualizará o Administrador de backup, que agora tem a função de Operador da MUA de backup na Proteção de Recursos. Saiba mais sobre como obter essa função.

Para desabilitar a MUA, os Administradores de backup precisam seguir estas etapas:

  1. Acesse o cofre >Propriedades>Autorização de Vários Usuários.

  2. Selecione Atualizar e desmarque a caixa de seleção Proteger com o Resource Guard.

  3. Selecione Autenticar (se aplicável) para escolher o diretório que contém o Resource Guard e verifique o acesso.

  4. Escolha Salvar para concluir o processo de desabilitação da MUA.

    Captura de tela que mostra como desabilitar a autenticação de vários usuários.

Próximas etapas

Saiba mais sobre a Autorização de vários usuários por meio do Resource Guard.