Veeam Backup for Microsoft Office 365 поддерживает современный способ аутентификации при работе с облачными данными

В недавно выпущенной версии 3.0 решения Veeam Backup for Microsoft Office 365, помимо прочих новинок, поддерживается современный способ аутентификации при работе с облачными данными. В нем задействованы аутентификация с использованием приложения Azure и сервисной учетной записи, для которой настроена многофакторная аутентификация (MFA). 

Для аутентификации при работе с облачным Office 365 решение Veeam использует приложение Azure Active Directory и сервисную учетную запись, для которой настроена многофакторная аутентификация (MFA). 

• Приложение позволяет Veeam Backup for Microsoft Office 365 задействовать Microsoft Graph API для получения данных организации Microsoft Office 365. Это приложение необходимо предварительно зарегистрировать на портале Azure Active Directory, о чем будет рассказано ниже.
• Сервисная учетная запись будет использоваться для подключения к сервисам EWS и PowerShell.

Соответственно, когда вы добавляете организацию к инфраструктуре Veeam Backup for Microsoft Office 365, то вам надо будет сделать следующее:

1. На шаге Office 365 connection settings мастера Add Organization Wizard надо выбрать Modern authentication.
2. На шаге Exchange Online credentials нужно указать и ID приложения Azure Active Directory (а также его сертификат или секрет — application secret), и имя пользователя и пароль для учетной записи приложения (app password)

Veeam Backup for Microsoft Office 365 v3 полностью поддерживает современные методы аутентификации, но наряду с этим задействует и ряд базовых протоколов, чтобы иметь возможность работать с Office 365 API. 

Для них необходимо проверить следующие настройки: 

• Для работы с Exchange Online PowerShell нужно включить параметр AllowBasicAuthPowershellдля сервисной учетки Veeam — это требуется для получения информации о количестве пользователей, на которых распространяется лицензия, о почтовых ящиках и т.д. Для большей безопасности включить его можно для отдельно взятой учетной записи, а не для всей организации, как разъясняется тут — в частности, это можно сделать только для учетки Veeam.
• Exchange Online PowerShell также работает и с веб-сервисом Exchange Web Services (EWS) — для этого нужно включить параметр AllowBasicAuthWebServices. В принципе, этот параметр опционален, то есть его включение для организации Office 365 необязательно — Veeam Backup for Microsoft Office 365 сможет обойтись и без него, но в таком случае при добавлении организации нужно будет использовать сертификат приложения, а не секрет.
• Для защиты текстовых файлов, изображений, видео, динамического контента и другого контента, загружаемого на страницы сайтов SharePoint Online, требуется включить параметр LegacyAuthProtocolsEnabled, указав для него значение $True. Эта настройка будет применяться к организации в целом; она обязательна для работы отдельных сервисов, например, для ASMX.

Чтобы зарегистрировать приложение, нужно пройти вот такие шаги:

1. Зайти в Microsoft Office 365 Admin Center с учетной записью Global Administrator, Application Administrator либо Cloud Application Administrator и перейти в Azure Active Directory admin center. 
2. В разделе App registrations кликнуть на New registration:
3. Ввести имя приложения, указать Supported account types (типы учеток, которые будут работать с приложением — у нас указано “Accounts in this organizational directory only”, т.е. учетки только из директории данной организации), и нажать Register:

Теперь ID приложения появится в настройках, которые видны в окне Overview. 
Но это еще не всё — чтобы завершить процесс конфигурации, нужно выполнить еще несколько действий. Приложению надо предоставить пермиссии, необходимые для работы с API. 

1. В секции Call APIs нажимаем View API permissions
2. В открывшемся окне мы увидим пермиссии, предоставленные нашему приложению. По умолчанию, для него настроена только одна пермиссия для доступа к Microsoft Graph – это User.Read. Ее можно смело удалить, т.к. она не является обязательной для нашего приложения. Затем нажимаем Add a permission:
3. Далее в секции Select an API выбираем Microsoft Graph
4. У приложений Azure AD пермиссии могут быть двух типов — это Delegated (делегированные) или Application permissions (назначенные приложению). В первом варианте (Delegated permissions) требуется наличие залогиненного пользователя, который будет предоставлять необходимые пермиссии каждый раз, когда происходит обращение к API. В варианте с Application permissions они предоставляются администратором единожды (дается согласие — admin consent). Veeam Backup for Microsoft Office 365 требует назначения Application permissions: выбираем из списка пермиссий Directory.Read.All (для чтения данных в директории) и Group.Read.All (для чтения данных групп), затем нажимаем Add permissions:
5. Если вы хотите использовать сертификат приложения вместо секрета, то дополнительно нужно выбрать еще несколько API и соответствующих пермиссий: 
   
   
   • Microsoft Exchange Online API access и пермиссию Use Exchange Web Services with full access to all mailboxes
   • Microsoft SharePoint Online API access и пермиссию Have full control of all site collections
     
   В завершение настройки нужно выдать согласие администратора (admin consent) для всего клиента, то есть для всей клиентской организации, с чьими данными будет работать приложение. 

В секции API Permissions нажмите Grant admin consent for <имя тенанта>. Для подтверждения нажмите Yes

Теперь можно приступить к настройке секрета или сертификата приложения. 

1. Всё там же, в секции App registrations выберите вновь созданное приложение, затем нажмите Certificates & secrets и выберите New client secret или Upload certificate
2. Для секрета нужно ввести описание и срок действия. Обратите внимание, что секретный код надо сразу скопировать, поскольку больше он показываться не будет — а вам ведь потребуется указать его в мастере добавления организации (с чего мы и начали все это разъяснение)

Если у вас уже имеется учетная запись для применения MFA при работе с Office 365, и для нее настроены все роли и пермиссии, которые требуются для Veeam Backup for Microsoft Office 365, то вы можете создать новый пароль приложения:

1. Нужно залогиниться в Office 365 с этой учетной записью и пройти дополнительную проверку безопасности. Перейдите к пользовательским настройкам и нажмите Your app settings:
2. Вы будете перенаправлены на страницу https://portal.office.com/account, где нужно будет перейти в раздел Security & privacy и там выбрать Create and manage app passwords
3. Создайте новый пароль приложения, скопируйте его в буфер обмена, а когда будете проходить мастер добавления организации, то введете его. 
   
   Примечание: Пароль приложения рекомендуется использовать только один раз, а в случае необходимости можно просто сгенерировать новый пароль описанным выше образом

Теперь у вас есть полный комплект параметров, которые вы сможете указать при добавлении организации Office 365 к Veeam Backup for Microsoft Office 365. Не забудьте удостовериться, что вы указали правильный вариант развертывания (Microsoft Office 365) и правильный метод аутентификации (в нашем случае это Modern authentication). 

Примечание: Имейте в виду, что для доступа к Exchange Online и SharePoint Online (вместе с OneDrive for Business) можно использовать разные или одинаковые учетные записи. 
Если вы планируете использовать несколько приложений для работы Exchange Online и SharePoint Online, не забудьте заранее зарегистрировать эти приложения