Azure Backup에서 Resource Guard를 사용하여 다중 사용자 권한 부여 구성

이 문서에서는 복구 서비스 자격 증명 금고에서 중요한 작업의 보안을 강화하기 위해 Azure Backup에 대한 다중 사용자 인증(MUA)을 구성하는 방법을 설명합니다. 최대 보호를 위해 별도의 테넌트에서 Resource Guard를 만드는 방법을 다루며 Resource Guard를 호스팅하는 테넌트 내에서 Microsoft Entra Privileged Identity Management 를 사용하여 중요한 작업 액세스를 요청하고 승인하는 방법을 보여 줍니다. 또는 다른 방법을 사용하여 조직 설정에 따라 JIT(Just-In-Time) 권한을 관리할 수 있습니다.

필수 조건

복구 서비스 볼트에 대한 다중 사용자 인증을 구성하기 전에 다음 필수 구성 요소가 충족되는지 확인합니다.

• Resource Guard 및 Recovery Services 볼트는 동일한 Azure 지역에 있어야 합니다.
• Backup 관리자에게 Resource Guard에 대한 기여자, 백업 MUA 관리자 또는 백업 MUA 운영자 권한이 없어야 합니다. 최대 격리를 보장하기 위해 동일한 디렉터리의 다른 구독 또는 다른 디렉터리에 Resource Guard를 둘 수 있습니다.
• Recovery Services 볼트 및 Resource Guard(서로 다른 구독이나 테넌트에 있는)를 포함하는 구독은 Microsoft.RecoveryServices 및 Microsoft.DataProtection 공급자를 사용하기 위해 등록해야 합니다. 자세한 내용은 Azure 리소스 공급자 및 형식을 참조하세요.

다양한 MUA 사용 시나리오에 대해 알아봅니다.

Resource Guard 만들기

보안 관리자는 Resource Guard를 만듭니다. 자격 증명 모음으로 다른 구독 또는 다른 테넌트에서 만드는 것이 좋습니다. 그러나 자격 증명 모음과 동일한 지역에 있어야 합니다. 백업 관리자는 Resource Guard 또는 이를 포함하는 구독에 대한 기여자, 백업 MUA 관리자 또는 백업 MUA 운영자 액세스 권한이 없어야 합니다.

클라이언트 선택

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

az dataprotection resource-guard create --___location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Resource Guard를 사용하여 보호할 작업 선택

지원되는 모든 중요 작업 중에서 Resource Guard를 사용하여 보호할 작업을 선택합니다. 기본적으로 지원되는 모든 중요 작업이 사용하도록 설정됩니다. 그러나 보안 관리자는 Resource Guard를 사용하여 MUA의 범위에 속하는 특정 작업을 면제할 수 있습니다.

클라이언트 선택

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Resource Guard에서 백업 관리자에게 권한을 할당하여 MUA를 사용하도록 설정합니다.

Vault에서 MUA를 사용하도록 설정하려면 Vault 관리자에게 Resource Guard 또는 Resource Guard가 포함된 구독에 대한 읽기 권한자 역할이 있어야 합니다. Resource Guard에 대한 읽기 권한자 역할을 할당하려면:

1. 위에서 만든 Resource Guard에서 IAM(액세스 제어) 창으로 이동한 다음 역할 할당 추가로 이동합니다.

   

2. 기본 제공 역할 목록에서 읽기 권한자를 선택하고 다음을 선택합니다.

   

3. 멤버 선택을 클릭하고 백업 관리자 이메일 ID를 추가하여 읽기 권한자로 추가합니다. 이 경우 백업 관리자는 다른 테넌트에 있으므로 Resource Guard가 포함된 테넌트에 게스트로 추가됩니다.

4. 선택을 클릭한 다음 검토 + 할당을 진행하여 역할 할당을 완료합니다.

   

Recovery Services 자격 증명 모음에서 MUA 사용

Resource Guard에 대한 읽기 권한자 역할 할당이 완료되면 본인이 관리하는 자격 증명 모음에서 다중 사용자 권한 부여를 사용하도록 설정합니다(백업 관리자로).

클라이언트 선택

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

MUA를 사용하여 보호된 작업

MUA를 사용하도록 설정하면 백업 관리자가 Resource Guard에서 필요한 역할(즉, 백업 MUA 운영자 역할) 없이 작업을 수행하려고 하면 범위 내 작업이 자격 증명 모음에서 제한됩니다.

아래에는 백업 관리자가 보호된 작업을 수행하려고 할 때 발생하는 상황이 나와 있습니다(예: 일시 삭제 사용하지 않도록 설정이 여기에 설명되어 있습니다. 다른 보호 작업에도 비슷한 환경이 있습니다.) 다음 단계는 필요한 권한 없이 백업 관리자가 수행합니다.

1. 일시 삭제를 사용하지 않도록 설정하려면 Recovery Services 자격 증명 모음 >속성>보안 설정으로 이동하여 업데이트를 선택합니다. 그러면 보안 설정이 나타납니다.

2. 슬라이더를 사용하여 일시 삭제를 사용하지 않도록 설정합니다. 해당 작업은 보호된 작업이며 Resource Guard에 대한 액세스를 확인해야 한다는 정보가 표시됩니다.

3. Resource Guard가 포함된 디렉터리를 선택하고 자신을 인증합니다. Resource Guard가 자격 증명 모음과 동일한 디렉터리에 있는 경우 이 단계가 필요하지 않을 수 있습니다.

4. 계속해서 저장을 선택합니다. 이 작업을 수행할 수 있는 Resource Guard에 대한 충분한 권한이 없음을 알리는 오류와 함께 요청이 실패합니다.

   

Microsoft Entra Privileged Identity Management를 사용하여 중요한(보호 중인) 작업 승인

다음 섹션에서는 PIM을 사용하여 이러한 요청을 승인하는 방법에 대해 설명합니다. 백업에 대해 중요한 작업을 수행해야 하는 경우가 있으며 MUA를 사용하면 이러한 작업이 올바른 승인이나 권한이 있는 경우에만 수행되도록 할 수 있습니다. 앞서 토론한 대로, 백업 관리자는 Resource Guard 범위에 속하는 중요한 작업을 수행하기 위해 Resource Guard에서 백업 MUA 운영자 역할이 있어야 합니다. 이러한 작업을 Just-In-Time에 허용하는 방법 중 하나는 Microsoft Entra Privileged Identity Management를 사용하는 것입니다.

백업 관리자에 대한 적합 할당 만들기(Microsoft Entra Privileged Identity Management를 사용하는 경우)

보안 관리자는 PIM을 사용하여 백업 관리자에 대한 적격 할당을 만들고 Resource Guard에 백업 MUA 운영자 역할을 제공할 수 있습니다. 이를 통해 백업 관리자는 보호된 작업을 수행해야 할 때 요청(백업 MUA 운영자 역할에 대한 요청)을 제기할 수 있습니다. 이를 위해 보안 관리자는 다음을 수행합니다.

1. Resource Guard가 포함된 보안 테넌트에서 Privileged Identity Management(Azure Portal의 검색 창에서 검색)로 이동한 다음, Azure 리소스(왼쪽 메뉴의 관리 아래)로 이동합니다.

2. 백업 MUA 운영자 역할을 할당하려는 리소스(Resource Guard 또는 포함 구독/RG)를 선택합니다.

   리소스 목록에 해당 리소스가 표시되지 않으면 PIM에서 관리할 포함하는 구독을 추가해야 합니다.

3. 선택한 리소스에서 할당(왼쪽 메뉴의 관리 아래)으로 이동하고 할당 추가로 이동합니다.

   

4. 할당 추가에서:

   1. 역할을 백업 MUA 운영자로 선택합니다.
   2. 멤버 선택으로 이동하여 백업 관리자의 사용자 이름(또는 이메일 ID)을 추가합니다.
   3. 다음을 선택합니다.

   

5. 다음 화면에서:

   1. 할당 유형에서 적합을 선택합니다.
   2. 적합한 권한이 유효한 기간을 지정합니다.
   3. 할당을 선택하여 적합한 할당 만들기를 완료합니다.

   

백업 MUA 운영자 역할 활성화를 위한 승인자 설정

기본적으로 위의 설정에는 PIM에 구성된 승인자(및 승인 흐름 요구 사항)가 없을 수 있습니다. 승인자가 요청 승인을 위해 백업 MUA 운영자 역할을 수행할 수 있도록 하려면 보안 관리자가 다음 단계를 따라야 합니다.

1. Microsoft Entra PIM의 왼쪽 탐색 모음에서 Azure 리소스를 선택하고 Resource Guard를 선택합니다.

2. 설정으로 이동한 다음 백업 MUA 운영자 역할로 이동합니다.

   

3. 승인자가 '없음'으로 표시되거나 잘못된 승인자가 표시되는 경우, 백업 MUA 운영자 역할에 대한 활성화 요청을 검토하고 승인해야 하는 검토자를 추가하려면 편집을 선택합니다.

4. 활성화 탭에서 활성화하려면 승인 필요를 선택하고, 각 요청을 승인해야 하는 승인자를 추가합니다.

5. MFA(다단계 인증)와 같은 보안 옵션을 선택하고, 백업 MUA 운영자 역할을 활성화하기 위한 티켓을 의무화합니다.

6. 필요에 따라 할당 및 알림 탭에서 적절한 옵션을 선택합니다.

   

7. 백업 MUA 운영자 역할을 활성화하기 위한 승인자 설정을 완료하려면 업데이트를 선택합니다.

중요한 작업을 수행하기 위해 적합 할당의 활성화를 요청합니다.

보안 관리자가 적격 할당을 만든 후 백업 관리자는 보호된 작업을 수행할 수 있도록 백업 MUA 운영자 역할에 대한 할당을 활성화해야 합니다.

역할 할당을 활성화하려면 다음 단계를 따릅니다.

1. Microsoft Entra Privileged Identity Management로 이동합니다. Resource Guard가 다른 디렉터리에 있는 경우 해당 디렉터리로 전환한 다음, Microsoft Entra Privileged Identity Management로 이동합니다.

2. 왼쪽 메뉴에서 내 역할>Azure 리소스로 이동합니다.

3. 백업 MUA 운영자 역할에 대한 적격 할당을 활성화하려면 활성화를 선택합니다.

   승인 요청이 전송되었음을 알리는 알림이 나타납니다.

   

중요한 작업을 수행하기 위한 요청 활성화 승인

백업 관리자가 백업 MUA 운영자 역할 활성화를 요청하면 해당 요청은 보안 관리자가 검토하여 승인해야 합니다.

1. 보안 테넌트에서 Microsoft Entra Privileged Identity Management로 이동합니다.
2. 요청 승인으로 이동합니다.
3. Azure 리소스에서 백업 관리자가 백업 MUA 운영자로서 활성화를 요청한 요청을 볼 수 있습니다.
4. 요청을 검토합니다. 요청이 진짜이면 요청을 선택하고 승인을 선택하여 승인합니다.
5. 백업 관리자는 이제 요청이 승인되었음을 이메일(또는 기타 조직 경고 메커니즘)을 통해 알립니다.
6. 승인되면 백업 관리자는 요청된 기간 동안 보호된 작업을 수행할 수 있습니다.

승인 후 보호된 작업 수행

Resource Guard의 Backup MUA 운영자 역할 요청이 승인되면, 그들은 연결된 보관소에서 보호된 작업을 수행할 수 있습니다. Resource Guard가 다른 디렉터리에 있는 경우 백업 관리자는 자신을 인증해야 합니다.

다음 스크린샷에서는 MUA 사용 자격 증명 모음에 대해 일시 삭제를 사용하지 않도록 설정하는 예를 보여 줍니다.

Recovery Services 자격 증명 모음에서 MUA 사용 안 함

MUA를 사용하지 않도록 설정하는 것은 보호된 작업이므로 MUA를 사용하여 자격 증명 모음이 보호됩니다. 백업 관리자가 MUA를 사용하지 않도록 설정하려면 Resource Guard에서 필요한 백업 MUA 운영자 역할이 있어야 합니다.

클라이언트 선택

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

테넌트 ID는 Resource Guard가 다른 테넌트에 있을 때 필요합니다.

예:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

이 문서에서는 백업 볼트에 대한 다중 사용자 권한 부여 (MUA)를 구성하여 중요 작업의 보안을 강화하는 방법을 설명합니다. 최대 보호를 위해 별도의 테넌트에서 Resource Guard를 만드는 방법을 다루며 Resource Guard를 호스팅하는 테넌트 내에서 Microsoft Entra Privileged Identity Management 를 사용하여 중요한 작업 액세스를 요청하고 승인하는 방법을 보여 줍니다. 또는 다른 방법을 사용하여 조직 설정에 따라 JIT(Just-In-Time) 권한을 관리할 수 있습니다.

필수 조건

백업 볼트에 대한 다중 사용자 권한 부여를 구성하기 전에 다음 필수 구성 요소가 충족되었는지 확인합니다.

• Resource Guard 및 백업 보관소는 동일한 Azure 지역에 있어야 합니다.
• Backup 관리자에게 Resource Guard에 대한 기여자, 백업 MUA 관리자 또는 백업 MUA 운영자 권한이 없어야 합니다. 최대 격리를 보장하기 위해 동일한 디렉터리의 다른 구독 또는 다른 디렉터리에 Resource Guard를 둘 수 있습니다.
• 구독에는 Backup 자격 증명 모음과 Resource Guard가 포함됩니다. 이들은 서로 다른 구독 또는 테넌트에 포함될 수 있으며, 이를 사용하기 위해서는 Microsoft.DataProtection4 제공자를 등록해야 합니다. 자세한 내용은 Azure 리소스 공급자 및 형식을 참조하세요.

다양한 MUA 사용 시나리오에 대해 알아봅니다.

Resource Guard 만들기

보안 관리자는 Resource Guard를 만듭니다. 자격 증명 모음으로 다른 구독 또는 다른 테넌트에서 만드는 것이 좋습니다. 그러나 자격 증명 모음과 동일한 지역에 있어야 합니다.

백업 관리자는 Resource Guard 또는 이를 포함하는 구독에 대한 기여자, 백업 MUA 관리자 또는 백업 MUA 운영자 액세스 권한이 없어야 합니다.

자격 증명 모음 테넌트와 다른 테넌트에서 보안 관리자로서 Resource Guard를 만들려면 다음 단계를 수행합니다.

1. Azure Portal에서 Resource Guard를 만들려는 디렉터리로 이동합니다.

   

2. 검색 창에서 Resource Guard를 검색한 다음 드롭다운 목록에서 해당 항목을 선택합니다.

   

   1. 만들기를 선택하여 Resource Guard를 만듭니다.
   2. 만들기 창에서 이 Resource Guard에 필요한 세부 정보를 입력합니다.
      • Resource Guard와 Backup 자격 증명 모음이 동일한 Azure 지역에 있는지 확인합니다.
      • 필요할 때 연결된 자격 증명 모음에서 작업을 수행하기 위한 액세스 권한 요청 방법에 대한 설명을 추가합니다. 이 설명은 백업 관리자가 필요한 권한을 얻는 데 도움이 되도록 연결된 자격 증명 모음에 표시됩니다.

3. 보호된 작업 탭의 Backup 자격 증명 모음 탭에서 이 Resource Guard를 사용하여 보호해야 하는 작업을 선택합니다.

   현재 보호된 작업 탭에는 백업 인스턴스 삭제 옵션만 있습니다.

   Resource Guard를 만든 후 보호할 작업을 선택할 수도 있습니다.

   

4. 선택적으로 요구 사항에 따라 Resource Guard에 태그를 추가합니다.

5. 검토 + 만들기를 선택한 다음, 알림에 따라 상태와 Resource Guard 만들기가 성공하는지 모니터링합니다.

Resource Guard를 사용하여 보호할 작업 선택

자격 증명 모음을 만든 후, 보안 관리자는 지원되는 모든 중요한 작업 중에서 Resource Guard를 사용하여 보호할 작업을 선택할 수도 있습니다. 기본적으로 지원되는 모든 중요 작업이 사용하도록 설정됩니다. 그러나 보안 관리자는 Resource Guard를 사용하여 MUA의 범위에 속하는 특정 작업을 면제할 수 있습니다.

보호할 작업을 선택하려면 다음 단계를 수행합니다.

1. 이전에 만든 Resource Guard에서 속성>Backup 자격증명 모음 탭으로 이동합니다.

2. 권한이 부여되지 않도록 제외하려는 작업에 대해 사용 안 함을 선택합니다.

   MUA 보호 제거 및 일시 삭제 사용 안 함 작업은 사용하지 않도록 설정할 수 없습니다.

3. 선택 사항으로, Backup 자격 증명 모음 탭에서 Resource Guard에 대한 설명을 업데이트합니다.

4. 저장을 선택합니다.

   

Resource Guard에서 백업 관리자에게 권한을 할당하여 MUA를 사용하도록 설정합니다.

백업 관리자는 자격 증명 모음에서 MUA를 사용하도록 설정하려면 Resource Guard 또는 Resource Guard를 포함하고 있는 구독에 대한 읽기 권한자 역할이 필요합니다. 보안 관리자가 백업 관리자에게 이 역할을 할당해야 합니다.

Resource Guard에 대한 읽기 권한자 역할을 할당하려면 다음 단계를 수행합니다.

1. 위에서 만든 Resource Guard에서 IAM(액세스 제어) 창으로 이동한 다음 역할 할당 추가로 이동합니다.

   

2. 기본 제공 역할 목록에서 읽기 권한자를 선택하고 다음을 선택합니다.

   

3. 구성원 선택을 클릭하고 백업 관리자의 이메일 ID를 추가하여 읽기 권한자 역할을 할당합니다.

   백업 관리자는 다른 테넌트에 있으므로 Resource Guard를 포함하고 있는 테넌트에 게스트로 추가됩니다.

4. 선택>검토 + 할당을 클릭하여 역할 할당을 완료합니다.

   

Backup 자격 증명 모음에서 MUA를 사용하도록 설정

이제 백업 관리자에게 Resource Guard에 대한 읽기 권한자 역할이 있으므로 백업 관리자는 다음 단계에 따라 자신이 관리하는 자격 증명 모음에서 다중 사용자 권한 부여를 사용하도록 설정할 수 있습니다.

1. MUA를 구성하려는 Backup 자격 증명 모음으로 이동합니다.

2. 왼쪽 패널에서 속성을 선택합니다.

3. 다중 사용자 권한 부여로 이동하여 업데이트를 선택합니다.

   

4. MUA를 사용하도록 설정하고 Resource Guard를 선택하려면 다음 작업 중 하나를 수행합니다.

   • Resource Guard의 URI를 지정할 수도 있습니다. 읽기 권한자 액세스 권한이 있는 Resource Guard의 URI를 지정하고 자격 증명 모음과 동일한 지역에 있는지 확인합니다. 개요 페이지에서 Resource Guard의 URI(Resource Guard ID)를 찾을 수 있습니다.

     

   • 또는 읽기 권한자 액세스 권한이 있는 Resource Guard 목록과 해당 지역에서 사용할 수 있는 Resource Guard를 선택할 수 있습니다.

     1. Resource Guard 선택을 클릭합니다.
     2. 드롭다운을 선택하고, Resource Guard가 있는 디렉터리를 선택합니다.
     3. 인증을 선택하여 ID와 액세스 권한의 유효성을 검사합니다.
     4. 인증 후 표시된 목록에서 Resource Guard를 선택합니다.

     

5. 저장을 선택하여 MUA를 사용하도록 설정합니다.

   

MUA를 사용하여 보호된 작업

백업 관리자가 MUA를 사용하도록 설정하면 범위 내 작업이 자격 증명 모음에서 제한되고, 백업 관리자가 Resource Guard에서 백업 MUA 운영자 역할 없이 작업을 수행하려고 하면 작업이 실패합니다.

보호된 작업(MUA 사용 안 함)을 수행하려면 다음 단계를 수행합니다.

1. 왼쪽 창에서 자격 증명 모음 >속성으로 이동합니다.

2. 확인란을 선택 취소하여 MUA를 사용하지 않도록 설정합니다.

   보호된 작업이므로 Resource Guard 액세스 권한이 필요하다는 알림이 표시됩니다.

3. Resource Guard가 포함된 디렉터리를 선택하고 자신을 인증합니다.

   Resource Guard가 자격 증명 모음과 동일한 디렉터리에 있는 경우 이 단계가 필요하지 않을 수 있습니다.

4. 저장을 선택합니다.

   이 작업을 수행하는 데 필요한 Resource Guard에 대한 권한이 없다는 오류와 함께 요청이 실패합니다.

   

Microsoft Entra Privileged Identity Management를 사용하여 중요한(보호 중인) 작업 승인

백업에서 중요한 작업을 수행해야 하는 경우가 있으며, MUA를 사용하여 올바른 승인 또는 권한을 얻으면 중요한 작업을 수행할 수 있습니다. 다음 섹션에서는 PIM(Privileged Identity Management)을 사용하여 중요한 작업 요청에 권한을 부여하는 방법을 설명합니다.

백업 관리자는 Resource Guard 범위에서 중요한 작업을 수행하려면 Resource Guard에 대한 백업 MUA 운영자 역할이 있어야 합니다. JIT(Just-In-Time)작업을 허용하는 방법 중 하나는 Microsoft Entra Privileged Identity Management를 사용하는 것입니다.

Microsoft Entra Privileged Identity Management를 사용하여 백업 관리자를 위한 적격 할당 만들기

보안 관리자는 PIM을 사용하여 Resource Guard에 대한 백업 MUA 운영자로서 백업 관리자에 대한 적격 할당을 만들 수 있습니다. 이를 통해 백업 관리자는 보호된 작업을 수행해야 할 때 요청(백업 MUA 운영자 역할에 대한 요청)을 제기할 수 있습니다.

적격 할당을 만들려면 다음 단계를 수행합니다.

1. Azure Portal에 로그인합니다.

2. Resource Guard의 보안 테넌트로 이동한 다음, 검색 창에 Privileged Identity Management를 입력합니다.

3. 왼쪽 창에서 관리를 선택하고 Azure 리소스로 이동합니다.

4. 백업 MUA 운영자 역할을 할당하려는 리소스(Resource Guard 또는 포함 구독/RG)를 선택합니다.

   해당하는 리소스를 찾을 수 없으면 포함된 구독 중에서 PIM이 관리하는 구독을 추가합니다.

5. 리소스를 선택하고 관리>할당>할당 추가로 이동합니다.

   

6. 할당 추가에서:

   1. 역할을 백업 MUA 운영자로 선택합니다.
   2. 멤버 선택으로 이동하여 백업 관리자의 사용자 이름(또는 이메일 ID)을 추가합니다.
   3. 다음을 선택합니다.

   

7. 할당에서 적격을 선택하고 적격 권한의 유효 기간을 지정합니다.

8. 할당을 선택하여 적격 할당 만들기를 완료합니다.

   

기여자 역할 활성화를 위한 승인자 설정

기본적으로 위의 설정에는 PIM에 구성된 승인자(및 승인 흐름 요구 사항)가 없을 수 있습니다. 승인자가 요청 승인을 위한 기여자 역할을 갖도록 하려면 보안 관리자가 다음 단계를 수행해야 합니다.

1. Microsoft Entra PIM의 왼쪽 창에서 Azure 리소스를 선택하고 해당하는 Resource Guard를 선택합니다.

2. 설정>기여자 역할로 이동합니다.

   

3. 승인자가 없음으로 표시되거나 잘못된 승인자가 표시되면 편집을 선택하고, 활성화 요청을 검토하고 승인해야 하는 검토자를 기여자 역할에 추가합니다.

4. 활성화 탭에서 활성화하려면 승인 필요를 선택하고, 각 요청을 승인해야 하는 승인자를 추가합니다.

5. MFA(다단계 인증), 기여자 역할 활성화를 위한 티켓 의무화 등의 보안 옵션을 선택합니다.

6. 할당 및 알림 탭에서 요구 사항에 따라 적절한 옵션을 선택합니다.

   

7. 업데이트를 선택하여 승인자 설정을 완료하고 기여자 역할을 활성화합니다.

중요한 작업을 수행하기 위해 적합 할당의 활성화를 요청합니다.

보안 관리자가 적격 할당을 만든 후, 백업 관리자는 보호된 작업을 수행할 수 있도록 기여자 역할에 대한 할당을 활성화해야 합니다.

역할 할당을 활성화하려면 다음 단계를 수행합니다.

1. Microsoft Entra Privileged Identity Management로 이동합니다. Resource Guard가 다른 디렉터리에 있는 경우 해당 디렉터리로 전환한 다음, Microsoft Entra Privileged Identity Management로 이동합니다.

2. 왼쪽 창에서 내 역할>Azure 리소스로 이동합니다.

3. 활성화를 선택하여 기여자 역할의 적격 할당을 활성화합니다.

   승인 요청이 전송되었음을 알리는 알림이 나타납니다.

   

중요한 작업을 수행하기 위한 활성화 요청 승인

백업 관리자가 기여자 역할 활성화 요청을 제출하면 보안 관리자가 요청을 검토하고 승인해야 합니다.

요청을 검토하고 승인하려면 다음 단계를 수행합니다.

1. 보안 테넌트에서 Microsoft Entra Privileged Identity Management로 이동합니다.

2. 요청 승인으로 이동합니다.

3. Azure 리소스에서 승인을 기다리는 요청을 볼 수 있습니다.

   승인을 선택하여 진짜 요청을 검토하고 승인합니다.

승인이 완료되면 백업 관리자는 이메일 또는 기타 내부 알림 옵션을 통해 요청이 승인되었다는 알림을 받게 됩니다. 이제 백업 관리자는 요청된 기간 동안 보호된 작업을 수행할 수 있습니다.

승인 후 보호된 작업 수행

보안 관리자가 Resource Guard에서 백업 MUA 운영자 역할에 대한 백업 관리자의 요청을 승인하면 연결된 자격 증명 모음에서 보호된 작업을 수행할 수 있습니다. Resource Guard가 다른 디렉터리에 있으면 백업 관리자가 직접 인증해야 합니다.

다음 스크린샷에서는 MUA 사용 자격 증명 모음에 대해 일시 삭제를 사용하지 않도록 설정하는 예를 보여 줍니다.

Backup 자격 증명 모음에서 MUA를 사용하지 않도록 설정

MUA를 사용하지 않도록 설정하는 것은 백업 관리자만이 수행해야 하는 보호된 작업입니다. 이를 위해 백업 관리자는 Resource Guard에서 필요한 백업 MUA 운영자 역할을 갖고 있어야 합니다. 이 권한을 가져오려면 백업 관리자가 먼저 Microsoft Entra Privileged Identity Management 또는 내부 도구와 같은 JIT(Just-In-Time) 프로시저를 사용하여 Resource Guard의 백업 MUA 운영자 역할에 대한 보안 관리자를 요청해야 합니다.

그런 다음 보안 관리자는 요청이 진짜인 경우 요청을 승인하고 Resource Guard에서 백업 MUA 운영자 역할을 맡게 된 백업 관리자에게 해당 요청을 업데이트합니다. 이 역할을 얻는 방법에 대해 자세히 알아보세요.

MUA를 사용하지 않도록 설정하려면 백업 관리자가 다음 단계를 수행해야 합니다.

1. 자격 증명 모음 >속성>다중 사용자 권한 부여로 이동합니다.

2. 업데이트를 선택하고 Resource Guard로 보호 확인란을 선택 취소합니다.

3. 인증을 선택하여(해당하는 경우) Resource Guard가 있는 디렉터리를 선택하고 액세스 권한을 확인합니다.

4. 저장을 선택하여 MUA를 사용하지 않도록 설정하는 프로세스를 완료합니다.