En la versión 3.0 recientemente lanzada de Veeam Backup para Microsoft Office 365 , entre otras innovaciones, admite un método de autenticación moderno para trabajar con datos en la nube. Utiliza la autenticación mediante la aplicación de Azure y una cuenta de servicio configurada con autenticación multifactor (MFA).



En este artículo, discutiremos brevemente cómo crear las entidades necesarias para dicha autenticación y configurar sus parámetros en Microsoft Office 365.

Como funciona

Para la autenticación con la nube de Office 365, Veeam usa la aplicación Azure Active Directory y una cuenta de servicio que está configurada con autenticación multifactor (MFA).

• La aplicación permite que Veeam Backup para Microsoft Office 365 use la API Graph de Microsoft para recuperar los datos de la organización de Microsoft Office 365. Esta aplicación debe registrarse previamente en el portal de Azure Active Directory, como se describe a continuación.
• La cuenta de servicio se usará para conectarse a los servicios EWS y PowerShell.

En consecuencia, cuando agrega una organización a la infraestructura de Veeam Backup para Microsoft Office 365 , deberá hacer lo siguiente:

1. En el paso de configuración de conexión de Office 365 del Asistente para agregar organización, seleccione Autenticación moderna .
2. En el paso de credenciales de Exchange Online , debe especificar el ID de la aplicación Azure Active Directory (así como su certificado o secreto ) y el nombre de usuario y la contraseña de la cuenta de la aplicación ( contraseña de la aplicación ):

¿Dónde obtener estos mismos certificados, secretos y contraseñas de la aplicación? - nos preguntan algunos usuarios. Esto es lo que explicaremos a continuación.

Por cierto, si se selecciona la autenticación moderna , ¿significa esto que los protocolos de autenticación básicos se desactivarán por completo del proceso?

Veeam Backup para Microsoft Office 365 v3 es totalmente compatible con los métodos modernos de autenticación, pero junto con esto, también utiliza una serie de protocolos básicos para poder trabajar con la API de Office 365.

Para ellos, debe verificar la siguiente configuración:

• Para trabajar con Exchange Online PowerShell, debe habilitar el parámetro AllowBasicAuthPowershell para la cuenta del servicio Veeam; esto es necesario para obtener información sobre la cantidad de usuarios con licencia, buzones, etc. Para una mayor seguridad, puede habilitarlo para una sola cuenta, y no para toda la organización, como se explica aquí , en particular, esto solo se puede hacer para la contabilidad de Veeam.
• Exchange Online PowerShell también funciona con el servicio web de Servicios web de Exchange (EWS); para ello, habilite el parámetro AllowBasicAuthWebServices . En principio, esta opción es opcional, es decir, no es necesario habilitarla para una organización de Office 365: Veeam Backup para Microsoft Office 365 puede prescindir de ella, pero en este caso, cuando agrega una organización, deberá usar un certificado de aplicación, no un secreto.
• Para proteger archivos de texto, imágenes, videos, contenido dinámico y otro contenido que se carga en páginas en sitios de SharePoint Online, debe habilitar el parámetro LegacyAuthProtocolsEnabled , configurándolo en $ True . Esta configuración se aplicará a la organización en su conjunto; se requiere para la operación de servicios individuales, por ejemplo, para ASMX.

Entonces, obtenemos la identificación, el secreto y el certificado de la aplicación

Todo esto debe obtenerse en el portal de Office 365 Azure Active Directory al registrar una nueva aplicación en Azure Active Directory.

Para registrar una aplicación, debe seguir estos pasos:

1. Inicie sesión en el Centro de administración de Microsoft Office 365 con una cuenta de administrador global , administrador de aplicaciones o administrador de aplicaciones en la nube y vaya al centro de administración de Azure Active Directory .
   
2. En la sección Registros de la aplicación , haga clic en Nuevo registro :
   
   
   
3. Ingrese el nombre de la aplicación, especifique los tipos de cuenta admitidos (tipos de cuentas que funcionarán con la aplicación; tenemos “Cuentas solo en este directorio organizacional”, es decir, cuentas solo del directorio de esta organización) y haga clic en Registrarse :
   
   
   

Ahora la ID de la aplicación aparecerá en la configuración que está visible en la ventana Descripción general .
Pero eso no es todo: para completar el proceso de configuración, debe realizar algunos pasos más. La aplicación debe proporcionar los permisos necesarios para trabajar con la API.

1. En la sección API de llamadas , haga clic en Ver permisos de API :
   
   
   
2. En la ventana que se abre, veremos los permisos proporcionados a nuestra aplicación. De forma predeterminada, solo se configuran uno de los permisos para acceder a Microsoft Graph: esto es User.Read . Se puede quitar de forma segura, porque No es necesario para nuestra aplicación. Luego haga clic en Agregar un permiso :
   
   
   
3. A continuación, en la sección Seleccionar una API , seleccione Microsoft Graph :
   
   
   
4. Puede haber dos tipos de permisos para las aplicaciones de Azure AD: estos son permisos Delegados o de Aplicación (asignados a la aplicación). La primera opción ( permisos delegados ) requiere un usuario conectado que proporcionará los permisos necesarios cada vez que se realice una llamada a la API. En la versión con permisos de Aplicación, el administrador los otorga una vez (se da el consentimiento - consentimiento del administrador). Veeam Backup para Microsoft Office 365 requiere la asignación de permisos de aplicación : seleccione Directory.Read.All (para leer datos en un directorio) y Group.Read.All (para leer datos de grupo) de la lista de permisos, luego haga clic en Agregar permisos :
   
   
   Nota: Si desea utilizar el certificado de la aplicación en lugar de un secreto, además, debe seleccionar varias API más y los permisos correspondientes:
   
   
   • Permiso y acceso a la API en línea de Microsoft Exchange Utilice los servicios web de Exchange con acceso completo a todos los buzones
   • Permiso y acceso a la API de Microsoft SharePoint Online Tenga control total de todas las colecciones de sitios
     
     
   
   Al final de la configuración, debe emitir el consentimiento del administrador (consentimiento del administrador ) para todo el cliente, es decir, para toda la organización del cliente con cuyos datos funcionará la aplicación. Lea más sobre este mecanismo en un artículo de Microsoft .
   
   En la sección Permisos de API , haga clic en Otorgar consentimiento de administrador para <nombre del inquilino> . Para confirmar, haga clic en Sí :
   
   
   
   Ahora puede comenzar a configurar el secreto o el certificado de la aplicación.
   
   
   1. De todos modos, en la sección Registros de aplicaciones , seleccione la aplicación recién creada, luego haga clic en Certificados y secretos y seleccione Nuevo secreto de cliente o Cargar certificado .
      
      
      
   2. Para un secreto, debe ingresar una descripción y una fecha de vencimiento. Tenga en cuenta que el código secreto debe copiarse de inmediato, ya que no se volverá a mostrar, y deberá especificarlo en el asistente Agregar organización (que es donde comenzamos esta explicación):
      
      
      
   
   ¡Hurra, esta parte de la extracción de los parámetros necesarios se ha completado! Sigamos adelante.
   
   

   Obtenga la contraseña de la aplicación

   
   Si ya tiene una cuenta para usar MFA cuando trabaja con Office 365 y tiene todas las funciones y permisos necesarios para Veeam Backup para Microsoft Office 365 , puede crear una nueva contraseña de aplicación:
   
   
   1. Debe iniciar sesión en Office 365 con esta cuenta y pasar un control de seguridad adicional. Vaya a la configuración del usuario y haga clic en Configuración de su aplicación :
      
      
      
   2. Será redirigido a la página https://portal.office.com/account , donde deberá ir a la sección Seguridad y privacidad y seleccionar Crear y administrar contraseñas de aplicaciones allí :
      
      
      
   3. Cree una nueva contraseña de aplicación, cópiela en el portapapeles y, cuando acceda al asistente Agregar organización, ingrésela.
      
      Nota: Se recomienda usar la contraseña de la aplicación solo una vez, y si es necesario, simplemente puede generar una nueva contraseña como se describe anteriormente.
      
      
      
   
   Ahora tiene un conjunto completo de opciones que puede especificar al agregar una organización de Office 365 a Veeam Backup para Microsoft Office 365 . No olvide asegurarse de haber especificado la opción de implementación correcta ( Microsoft Office 365 ) y el método de autenticación correcto (en nuestro caso, autenticación moderna ).
   
   Nota: Tenga en cuenta que puede usar cuentas diferentes o idénticas para acceder a Exchange Online y SharePoint Online (junto con OneDrive para la Empresa).
   Si planea usar varias aplicaciones para ejecutar Exchange Online y SharePoint Online, asegúrese de registrar previamente estas aplicaciones siguiendo el procedimiento de este artículo.
   
   

   Enlaces de sitio

   
   
   • Artículo sobre Habré sobre la decisión de Veeam Backup para Microsoft Office 365
   • Puede descargar una versión de prueba de la edición comercial de la solución desde aquí.
   • Puede descargar la edición gratuita de Community Edition desde aquí.
   • Manual de usuario (en inglés)
   • Nuevas características de la versión 3.0 (video en ruso)
   • Artículo de Microsoft sobre cómo deshabilitar la autenticación básica en Office 365