Veeam Backup for Microsoft Office 365 поддерживает современный способ аутентификации при работе с облачными данными
Veeam Backup for Microsoft Office 365 поддерживает современный способ аутентификации при работе с облачными данными
В недавно выпущенной версии 3.0 решения Veeam Backup for Microsoft Office 365, помимо прочих новинок, поддерживается современный способ аутентификации при работе с облачными данными. В нем задействованы аутентификация с использованием приложения Azure и сервисной учетной записи, для которой настроена многофакторная аутентификация (MFA).
Для аутентификации при работе с облачным Office 365 решение Veeam использует приложение Azure Active Directory и сервисную учетную запись, для которой настроена многофакторная аутентификация (MFA).
- Приложение позволяет Veeam Backup for Microsoft Office 365 задействовать Microsoft Graph API для получения данных организации Microsoft Office 365. Это приложение необходимо предварительно зарегистрировать на портале Azure Active Directory, о чем будет рассказано ниже.
- Сервисная учетная запись будет использоваться для подключения к сервисам EWS и PowerShell.
Соответственно, когда вы добавляете организацию к инфраструктуре Veeam Backup for Microsoft Office 365, то вам надо будет сделать следующее:
- На шаге Office 365 connection settings мастера Add Organization Wizard надо выбрать Modern authentication.
- На шаге Exchange Online credentials нужно указать и ID приложения Azure Active Directory (а также его сертификат или секрет — application secret), и имя пользователя и пароль для учетной записи приложения (app password)
Veeam Backup for Microsoft Office 365 v3 полностью поддерживает современные методы аутентификации, но наряду с этим задействует и ряд базовых протоколов, чтобы иметь возможность работать с Office 365 API.
Для них необходимо проверить следующие настройки:
- Для работы с Exchange Online PowerShell нужно включить параметр AllowBasicAuthPowershellдля сервисной учетки Veeam — это требуется для получения информации о количестве пользователей, на которых распространяется лицензия, о почтовых ящиках и т.д. Для большей безопасности включить его можно для отдельно взятой учетной записи, а не для всей организации, как разъясняется тут — в частности, это можно сделать только для учетки Veeam.
- Exchange Online PowerShell также работает и с веб-сервисом Exchange Web Services (EWS) — для этого нужно включить параметр AllowBasicAuthWebServices. В принципе, этот параметр опционален, то есть его включение для организации Office 365 необязательно — Veeam Backup for Microsoft Office 365 сможет обойтись и без него, но в таком случае при добавлении организации нужно будет использовать сертификат приложения, а не секрет.
- Для защиты текстовых файлов, изображений, видео, динамического контента и другого контента, загружаемого на страницы сайтов SharePoint Online, требуется включить параметр LegacyAuthProtocolsEnabled, указав для него значение $True. Эта настройка будет применяться к организации в целом; она обязательна для работы отдельных сервисов, например, для ASMX.
Чтобы зарегистрировать приложение, нужно пройти вот такие шаги:
- Зайти в Microsoft Office 365 Admin Center с учетной записью Global Administrator, Application Administrator либо Cloud Application Administrator и перейти в Azure Active Directory admin center.
- В разделе App registrations кликнуть на New registration:
- Ввести имя приложения, указать Supported account types (типы учеток, которые будут работать с приложением — у нас указано “Accounts in this organizational directory only”, т.е. учетки только из директории данной организации), и нажать Register:
Теперь ID приложения появится в настройках, которые видны в окне Overview.
Но это еще не всё — чтобы завершить процесс конфигурации, нужно выполнить еще несколько действий. Приложению надо предоставить пермиссии, необходимые для работы с API.
- В секции Call APIs нажимаем View API permissions
- В открывшемся окне мы увидим пермиссии, предоставленные нашему приложению. По умолчанию, для него настроена только одна пермиссия для доступа к Microsoft Graph – это User.Read. Ее можно смело удалить, т.к. она не является обязательной для нашего приложения. Затем нажимаем Add a permission:
- Далее в секции Select an API выбираем Microsoft Graph
- У приложений Azure AD пермиссии могут быть двух типов — это Delegated (делегированные) или Application permissions (назначенные приложению). В первом варианте (Delegated permissions) требуется наличие залогиненного пользователя, который будет предоставлять необходимые пермиссии каждый раз, когда происходит обращение к API. В варианте с Application permissions они предоставляются администратором единожды (дается согласие — admin consent). Veeam Backup for Microsoft Office 365 требует назначения Application permissions: выбираем из списка пермиссий Directory.Read.All (для чтения данных в директории) и Group.Read.All (для чтения данных групп), затем нажимаем Add permissions:
- Если вы хотите использовать сертификат приложения вместо секрета, то дополнительно нужно выбрать еще несколько API и соответствующих пермиссий:
- Microsoft Exchange Online API access и пермиссию Use Exchange Web Services with full access to all mailboxes
- Microsoft SharePoint Online API access и пермиссию Have full control of all site collections
В секции API Permissions нажмите Grant admin consent for <имя тенанта>. Для подтверждения нажмите Yes
Теперь можно приступить к настройке секрета или сертификата приложения.
- Всё там же, в секции App registrations выберите вновь созданное приложение, затем нажмите Certificates & secrets и выберите New client secret или Upload certificate
- Для секрета нужно ввести описание и срок действия. Обратите внимание, что секретный код надо сразу скопировать, поскольку больше он показываться не будет — а вам ведь потребуется указать его в мастере добавления организации (с чего мы и начали все это разъяснение)
Если у вас уже имеется учетная запись для применения MFA при работе с Office 365, и для нее настроены все роли и пермиссии, которые требуются для Veeam Backup for Microsoft Office 365, то вы можете создать новый пароль приложения:
- Нужно залогиниться в Office 365 с этой учетной записью и пройти дополнительную проверку безопасности. Перейдите к пользовательским настройкам и нажмите Your app settings:
- Вы будете перенаправлены на страницу https://portal.office.com/account, где нужно будет перейти в раздел Security & privacy и там выбрать Create and manage app passwords
- Создайте новый пароль приложения, скопируйте его в буфер обмена, а когда будете проходить мастер добавления организации, то введете его.
Примечание: Пароль приложения рекомендуется использовать только один раз, а в случае необходимости можно просто сгенерировать новый пароль описанным выше образом
Теперь у вас есть полный комплект параметров, которые вы сможете указать при добавлении организации Office 365 к Veeam Backup for Microsoft Office 365. Не забудьте удостовериться, что вы указали правильный вариант развертывания (Microsoft Office 365) и правильный метод аутентификации (в нашем случае это Modern authentication).
Примечание: Имейте в виду, что для доступа к Exchange Online и SharePoint Online (вместе с OneDrive for Business) можно использовать разные или одинаковые учетные записи.
Если вы планируете использовать несколько приложений для работы Exchange Online и SharePoint Online, не забудьте заранее зарегистрировать эти приложения