教程：在 Azure 备份中创建 Resource Guard 并启用多用户授权

• 资源防护和恢复服务保管库必须位于同一 Azure 区域。
• 确保备份管理员对资源防护没有参与者权限。 你可以选择将资源防护放在同一目录的另一个订阅中或另一个目录中，以确保最大程度的隔离。
• 确保订阅包含恢复服务保管库以及资源防护（在不同的订阅或租户中）已注册为使用 Microsoft.RecoveryServices 提供程序。 有关更多详细信息，请参阅 Azure 资源提供程序和类型。

• 确保资源防护和备份保管库位于同一 Azure 区域中。
• 确保备份管理员对资源防护没有参与者权限。 你可以选择将资源防护放在同一目录的另一个订阅中或另一个目录中，以确保最大程度的隔离。
• 确保订阅包含备份保管库以及资源防护（在不同的订阅或租户中）已注册为使用提供程序 - Microsoft.DataProtection。 有关详细信息，请参阅 Azure 资源提供程序和类型。

若要以安全管理员身份在与保管库租户不同的租户中创建资源防护，请执行以下步骤：

1. 在 Azure 门户中，转到要在其中创建 Resource Guard 的目录。

2. 在搜索栏中搜索 资源防护 ，并从下拉列表中选择相应的项。

   1. 选择“创建”开始创建资源防护。
   2. 在“创建”边栏选项卡中，填写此资源防护所需的详细信息。
      • 确保资源防护与恢复服务保管库位于同一 Azure 区域。
      • 此外，还可以添加说明，解释在需要时如何获取或请求对关联保管库的访问权限以执行操作。 此说明也会显示在关联的保管库中，以指导备份管理员获取所需的权限。 如果需要，可以在以后编辑说明，但建议始终采用明确定义的说明。

3. 在“受保护的操作”选项卡上，选择需要使用此资源防护进行保护的操作。

   还可以在创建资源防护后选择要保护的操作。

4. （可选）根据需要向资源防护添加任何标记

5. 选择 “审核 + 创建” ，然后跟随通知检查状态并成功创建资源保护。

若要以安全管理员身份在与保管库租户不同的租户中创建资源防护，请执行以下步骤：

1. 在 Azure 门户中，转到要在其下创建资源防护的目录。

2. 在搜索栏中搜索 资源防护 ，然后从下拉列表中选择相应的项。

   1. 选择“创建”以创建资源防护。
   2. 在“创建”边栏选项卡中，填写此资源防护所需的详细信息。
      • 确保 Resource Guard 与备份保管库位于同一 Azure 区域。
      • 添加说明，告知如何请求访问权限以根据需要对关联的保管库执行操作。 此说明会显示在关联的保管库中，以指导备份管理员获取所需的权限。

3. 在“受保护的操作”选项卡上，选择需要在“备份保管库”选项卡下使用此资源防护进行保护的操作。

   目前，“受保护的操作”选项卡仅包含要禁用的“删除备份实例”选项。

   你还可以在创建资源防护后选择要保护的操作。

4. （可选）根据需要向资源防护添加任何标记。

5. 选择 “查看 + 创建 ”，然后按照通知监视状态并成功创建 Resource Guard。

若要选择要保护的操作，请执行以下步骤：

1. 在上面创建的资源防护中，转到“属性”>“恢复服务保管库”选项卡。

2. 请为要排除在使用 Resource Guard 授权之外的操作选择“禁用”。

   注释

   无法禁用“禁用软删除”和“移除 MUA 保护”操作。

3. （可选）你还可以使用此边栏选项卡更新资源防护的相关说明。

4. 选择“保存”。

若要选择要保护的操作，请执行以下步骤：

1. 在创建的资源防护中，转到“属性”“备份保管库”选项卡。

2. 为要排除在授权之外的操作选择“禁用”。

   无法禁用“删除 MUA 保护”和“禁用软删除”操作。

3. （可选）在“备份保管库”选项卡中，更新资源防护的说明。

4. 选择“保存”。

若要在资源防护上分配“读取者”角色，请执行以下步骤：

1. 在上面创建的 Resource Guard 中，转到“访问控制”（IAM）边栏选项卡，然后转到 “添加角色分配”。
2. 从内置角色列表中选择 “读取者 ”，然后选择“ 下一步”。
3. 单击“选择成员”并添加备份管理员的电子邮件 ID，将其添加为读取者。 由于在这种情况下，备份管理员在另一个租户中，它们将作为来宾添加到包含资源防护的租户。
4. 单击“选择”，然后继续单击“查看 + 分配”以完成角色分配。

若要在资源防护上分配“读取者”角色，请执行以下步骤：

1. 在上面创建的资源防护中，转到“访问控制(IAM)”边栏选项卡，然后转到“添加角色分配”。

2. 从内置角色列表中选择 “读取者 ”，然后选择“ 下一步”。

3. 单击“选择成员”，并添加备份管理员的电子邮件 ID 以分配“读取者”角色。

   由于备份管理员在另一个租户中，因此他们将作为来宾添加到包含资源防护的租户中。

4. 单击“选择”“查看 + 分配”以完成角色分配。

1. 转到“恢复服务保管库”。

2. 转到 “属性>多用户授权”，然后选择“ 更新”。

3. 现在，你会看到启用 MUA 的选项，并使用以下方法之一选择 Resource Guard：

   1. 你可以指定资源防护的 URI，确保指定你拥有读取者访问权限的资源防护的 URI，并且该资源防护与保管库在同一区域。 你可以在资源防护的“概述”屏幕中查找其 URI（资源防护 ID）：

   2. 或者，可以从你拥有读者访问权限并且区域中可用的资源防护列表中选择资源防护。

      1. 单击“选择资源防护”
      2. 选择下拉列表，然后选择资源防护所在的目录。
      3. 选择“身份验证”以验证你的身份和访问权限。
      4. 进行身份验证后，从所示列表中选择“资源防护”。

4. 选择“保存”以启用 MUA。

1. 转到要为其配置 MUA 的备份保管库。

2. 在左侧窗格中选择“属性”。

3. 转到“多用户授权”并选择“更新”。

4. 若要启用 MUA 并选择资源防护，请执行以下操作之一：

   • 可以指定资源防护的 URI。 确保指定你对其拥有“读取者”访问权限的资源防护的 URI，并且该资源防护与保管库位于同一区域中。 可以在资源防护的“概述”页上找到其 URI（资源防护 ID）。

   • 或者，可以从你拥有读取者访问权限并且区域中可用的资源防护列表中选择资源防护。

     1. 单击“选择资源防护”。
     2. 选择下拉列表，然后选择资源防护所在的目录。
     3. 选择“身份验证”以验证你的身份和访问权限。
     4. 进行身份验证后，从所示列表中选择“资源防护”。

5. 选择“保存”以启用 MUA。