Veeam Backup for Microsoft Office 365 підтримує сучасний спосіб автентифікації під час роботи з хмарними даними

У нещодавно випущеній версії 3.0 рішення Veeam Backup for Microsoft Office 365, окрім інших новинок, підтримується сучасний спосіб аутентифікації під час роботи з хмарними даними. У ньому задіяно автентифікацію з використанням програми Azure та сервісного облікового запису, для якої налаштовано багатофакторну автентифікацію (MFA).

Для автентифікації при роботі з хмарним Office 365 рішення Veeam використовує програму Azure Active Directory та сервісний обліковий запис, для якого налаштовано багатофакторну автентифікацію (MFA).

• Програма дозволяє Veeam Backup for Microsoft Office 365 задіяти Microsoft Graph API для отримання даних організації Microsoft Office 365. Цю програму необхідно попередньо зареєструвати на порталі Azure Active Directory, про що буде розказано нижче.
• Сервісний обліковий запис буде використовуватись для підключення до сервісів EWS та PowerShell.

Відповідно, коли ви додаєте організацію до інфраструктури Veeam Backup for Microsoft Office 365, то вам потрібно буде зробити таке:

1. На кроці Office 365 connection settings майстра Add Organization Wizard треба вибрати Modern authentication.
2. На кроці Exchange Online credentials потрібно вказати і ID програми Azure Active Directory (а також його сертифікат або секрет — application secret), і ім'я користувача та пароль для облікового запису програми (app password)

Veeam Backup for Microsoft Office 365 v3 повністю підтримує сучасні методи аутентифікації, але поряд із цим задіяно і ряд базових протоколів, щоб мати можливість працювати з Office 365 API.

Для них необхідно перевірити наступні налаштування: 

• Для роботи з Exchange Online PowerShell потрібно включити параметр AllowBasicAuthPowershellдля сервісного обліку Veeam — це потрібно для отримання інформації про кількість користувачів, на яких поширюється ліцензія, про поштові скриньки тощо. Для більшої безпеки включити його можна для окремо взятого облікового запису, а не для всієї організації, як пояснюється тут, зокрема, це можна зробити тільки для обліку Veeam.
• Exchange Online PowerShell також працює і з веб-сервісом Exchange Web Services (EWS) — для цього потрібно включити параметр AllowBasicAuthWebServices. В принципі, цей параметр є опціональним, тобто його включення для організації Office 365 необов'язково — Veeam Backup for Microsoft Office 365 зможе обійтися і без нього, але в такому разі при додаванні організації потрібно буде використовувати сертифікат програми, а не секрет.
• Для захисту текстових файлів, зображень, відео, динамічного контенту та іншого контенту, що завантажується на сторінки сайтів SharePoint Online, потрібно включити параметр LegacyAuthProtocolsEnabled, вказавши для нього значення $True. Ця настройка буде застосовуватися до організації загалом; вона є обов'язковою для роботи окремих сервісів, наприклад, для ASMX.

Щоб зареєструвати програму, потрібно пройти такі кроки:

1. Зайти в Microsoft Office 365 Admin Center з обліковим записом Global Administrator, Application Administrator або Cloud Application Administrator і перейти до Azure Active Directory admin center.
2. У розділі App registrations натиснути на New registration:
3. Ввести ім'я програми, вказати Supported account types (типи обліків, які будуть працювати з додатком — у нас вказано “Accounts in this organizational directory only”, тобто обліки тільки з директорії цієї організації), та натиснути Register:< /li>

Тепер ID програми з'явиться в налаштуваннях, які видно у вікні Overview.
Але це ще не все - щоб завершити процес конфігурації, потрібно виконати ще кілька дій. Додатку треба надати пермісії, необхідних роботи з API.

1. У секції Call APIs натискаємо View API permissions
2. У вікні ми побачимо пермісії, надані нашому додатку. За замовчуванням, для нього налаштована лише одна пермісія для доступу до Microsoft Graph – це User.Read. Її можна сміливо видалити, т.к. вона не є обов'язковою для нашої програми. Потім натискаємо Add a permission:
3. Далі в секції Select an API вибираємо Microsoft Graph
4. У програм Azure AD пермісії можуть бути двох типів — це Delegated (делеговані) або Application permissions (призначені додатком). У першому варіанті (Delegated permissions) потрібна наявність залогіненого користувача, який надаватиме необхідні пермісії щоразу, коли відбувається звернення до API. У варіанті зApplication permissions вони надаються адміністратором один раз (дається згоду - admin consent). Veeam Backup for Microsoft Office 365 вимагає призначення Application permissions: вибираємо зі списку пермісій Directory.Read.All (для читання даних у директорії) та Group.Read.All  (для читання даних груп), потім натискаємо Add permissions:
5. Якщо ви хочете використовувати сертифікат програми замість секрету, то додатково потрібно вибрати ще кілька API та відповідних пермісій:
   
   
   • Microsoft Exchange Online API access і пермісію Use Exchange Web Services with full access to all mailboxes
   • Microsoft SharePoint Online API access і пермісію Have full control of all site collections
     
   На завершення налаштування потрібно видати згоду адміністратора (admin consent) для всього клієнта, тобто для всієї клієнтської організації, з чиїми даними буде працювати програма.

У секції API Permissions натисніть Grant admin consent for <ім'я тенанта>. Для підтвердження натисніть Yes

Тепер можна розпочати налаштування секрету або сертифіката програми.

1. Все там же, в секції App registrations виберіть новостворену програму, потім натисніть Certificates & secrets і виберіть New client secret або Upload certificate
2. Для секрету потрібно ввести опис та термін дії. Зверніть увагу, що секретний код треба відразу скопіювати, оскільки більше він показуватися не буде — адже вам потрібно буде вказати його в майстрі додавання організації (з чого ми і почали все це роз'яснення)

Якщо у вас вже є обліковий запис для застосування MFA при роботі з Office 365, і для неї налаштовані всі ролі та пермісії, які потрібні для Veeam Backup for Microsoft Office 365, то ви можете створити новий пароль програми:

1. Потрібно залогінитися в Office 365 з цим обліковим записом та пройти додаткову перевірку безпеки. Перейдіть до налаштувань користувача і натисніть Your app settings:
2. Ви будете перенаправлені на сторінку https://portal.office.com/account, де потрібно буде перейти в розділ Security & privacy і там вибрати Create and manage app passwords
3. Створіть новий пароль програми, скопіюйте його в буфер обміну, а коли проходите майстер додавання організації, то введете його.
   
   Примітка: Пароль програми рекомендується використовувати лише один раз, а у випадку необхідності можна просто згенерувати новий пароль, описаним вище чином

Тепер у вас є повний комплект параметрів, які ви зможете вказати при додаванні організації Office 365 до Veeam Backup for Microsoft Office 365. Не забудьте переконатися, що ви вказали правильний варіант розгортання (Microsoft Office 365) та правильний метод аутентифікації (у нашому випадку це Modern authentication).

Примітка: Майте на увазі, що для доступу до Exchange Online та SharePoint Online (разом з OneDrive for Business) можна використовувати різні або однакові облікові записи.
Якщо ви плануєте використовувати кілька програм для роботи Exchange Online та SharePoint Online, не забудьте заздалегідь зареєструвати ці програми

Інші новини