In der kürzlich veröffentlichten Version 3.0 von Veeam Backup für Microsoft Office 365 wird unter anderem eine moderne Authentifizierungsmethode für die Arbeit mit Cloud-Daten unterstützt. Es verwendet die Authentifizierung mithilfe der Azure-Anwendung und eines Dienstkontos, das mit Multi-Factor-Authentifizierung (MFA) konfiguriert ist.



In diesem Artikel wird kurz erläutert, wie Sie die für eine solche Authentifizierung erforderlichen Entitäten erstellen und ihre Parameter in Microsoft Office 365 konfigurieren.

Wie funktioniert es?

Für die Authentifizierung mit der Office 365-Cloud verwendet Veeam die Azure Active Directory-App und ein Dienstkonto, das mit Multi-Factor-Authentifizierung (MFA) konfiguriert ist.

• Mit dieser Anwendung kann Veeam Backup für Microsoft Office 365 die Microsoft Graph-API zum Abrufen von Microsoft Office 365-Organisationsdaten verwenden. Diese Anwendung muss im Azure Active Directory-Portal vorregistriert sein, das im Folgenden beschrieben wird.
• Das Dienstkonto wird verwendet, um eine Verbindung zu den EWS- und PowerShell-Diensten herzustellen.

Wenn Sie der Veeam Backup für Microsoft Office 365- Infrastruktur eine Organisation hinzufügen, müssen Sie daher Folgendes tun:

1. Wählen Sie im Schritt Office 365-Verbindungseinstellungen des Assistenten zum Hinzufügen von Organisationen die Option Moderne Authentifizierung aus .
2. Im Schritt Exchange Online-Anmeldeinformationen müssen Sie sowohl die Azure Active Directory-Anwendungs-ID (sowie deren Zertifikat oder Geheimnis ) als auch den Benutzernamen und das Kennwort für das Anwendungskonto (Anwendungskennwort) angeben:

Woher erhalten Sie das gleiche Zertifikat, Geheimnis und Passwort der Anwendung? - Einige Benutzer fragen uns. Dies werden wir unten erklären.

Bedeutet dies übrigens, wenn die moderne Authentifizierung ausgewählt ist, dass die grundlegenden Authentifizierungsprotokolle vollständig vom Prozess deaktiviert werden?

Veeam Backup für Microsoft Office 365 v3 unterstützt moderne Authentifizierungsmethoden vollständig, verwendet jedoch auch eine Reihe grundlegender Protokolle, um mit der Office 365-API arbeiten zu können.

Für sie müssen Sie die folgenden Einstellungen überprüfen:

• Um mit Exchange Online PowerShell arbeiten zu können, müssen Sie den Parameter AllowBasicAuthPowershell für das Veeam-Dienstkonto aktivieren. Dies ist erforderlich, um Informationen zur Anzahl der lizenzierten Benutzer, Postfächer usw. abzurufen . Um die Sicherheit zu erhöhen, können Sie es für ein einzelnes Konto und nicht für das gesamte Unternehmen aktivieren, wie hier erläutert. Dies kann insbesondere nur für die Veeam-Buchhaltung erfolgen.
• Exchange Online PowerShell funktioniert auch mit dem EWS-Webdienst ( Exchange Web Services ). Aktivieren Sie dazu den Parameter AllowBasicAuthWebServices . Im Prinzip ist diese Option optional, dh sie muss nicht für eine Office 365-Organisation aktiviert werden. Veeam Backup für Microsoft Office 365 kann darauf verzichten. In diesem Fall müssen Sie jedoch beim Hinzufügen einer Organisation ein Anwendungszertifikat verwenden, kein Geheimnis.
• Um Textdateien, Bilder, Videos, dynamische Inhalte und andere Inhalte zu schützen, die auf Seiten von SharePoint Online-Websites hochgeladen werden, müssen Sie den Parameter LegacyAuthProtocolsEnabled aktivieren und auf $ True setzen . Diese Einstellung gilt für die gesamte Organisation. Es ist für den Betrieb einzelner Dienste erforderlich, beispielsweise für ASMX.

So erhalten wir die ID, das Geheimnis und das Zertifikat der Anwendung

All dies sollte im Office 365 Azure Active Directory- Portal abgerufen werden, wenn eine neue Anwendung in Azure Active Directory registriert wird.

Um eine Anwendung zu registrieren, müssen Sie die folgenden Schritte ausführen:

1. Melden Sie sich mit einem globalen Administrator- , Anwendungsadministrator- oder Cloud-Anwendungsadministratorkonto beim Microsoft Office 365- Verwaltungscenter an und wechseln Sie zum Azure Active Directory-Verwaltungscenter .
   
2. Klicken Sie im Bereich App-Registrierungen auf Neue Registrierung :
   
   
   
3. Geben Sie den Namen der Anwendung ein, geben Sie Unterstützte Kontotypen an (Kontotypen, die mit der Anwendung funktionieren - wir haben "Konten nur in diesem Organisationsverzeichnis", dh Konten nur aus dem Verzeichnis dieser Organisation), und klicken Sie auf Registrieren :
   
   
   

Jetzt wird die Anwendungs-ID in den Einstellungen angezeigt, die im Übersichtsfenster angezeigt werden.
Aber das ist noch nicht alles - um den Konfigurationsprozess abzuschließen, müssen Sie einige weitere Schritte ausführen. Die Anwendung muss die für die Arbeit mit der API erforderlichen Berechtigungen bereitstellen.

1. Klicken Sie im Abschnitt Aufruf-APIs auf API-Berechtigungen anzeigen :
   
   
   
2. In dem sich öffnenden Fenster sehen wir die Berechtigungen, die für unsere Anwendung bereitgestellt wurden. Standardmäßig ist nur eine Berechtigung für den Zugriff auf Microsoft Graph konfiguriert - dies ist User.Read . Es kann sicher entfernt werden, weil Es ist für unsere Bewerbung nicht erforderlich. Klicken Sie dann auf Berechtigung hinzufügen :
   
   
   
3. Wählen Sie als Nächstes im Abschnitt API auswählen die Option Microsoft Graph aus :
   
   
   
4. Es gibt zwei Arten von Berechtigungen für Azure AD-Anwendungen: Delegierte Berechtigungen oder Anwendungsberechtigungen (der Anwendung zugewiesen). Die erste Option ( delegierte Berechtigungen ) erfordert einen angemeldeten Benutzer, der bei jedem API-Aufruf die erforderlichen Berechtigungen bereitstellt. In der Version mit Anwendungsberechtigungen werden sie vom Administrator einmal erteilt (Einwilligung wird erteilt - Einwilligung des Administrators). Für Veeam Backup für Microsoft Office 365 müssen Anwendungsberechtigungen zugewiesen werden : Wählen Sie Directory.Read.All (zum Lesen von Daten in einem Verzeichnis) und Group.Read.All (zum Lesen von Gruppendaten) aus der Liste der Berechtigungen aus und klicken Sie dann auf Berechtigungen hinzufügen :
   
   
   Hinweis: Wenn Sie das Anwendungszertifikat anstelle eines Geheimnisses verwenden möchten, müssen Sie zusätzlich einige weitere APIs und entsprechende Berechtigungen auswählen:
   
   
   • Microsoft Exchange Online-API-Zugriff und -Berechtigung Verwenden Sie Exchange-Webdienste mit vollem Zugriff auf alle Postfächer
   • Microsoft SharePoint Online-API-Zugriff und -Berechtigung Sie haben die vollständige Kontrolle über alle Websitesammlungen
     
     
   
   Am Ende des Setups müssen Sie eine Administrator-Einwilligung ( Administrator-Einwilligung ) für den gesamten Client ausstellen, dh für die gesamte Client-Organisation, mit deren Daten die Anwendung arbeiten wird. Weitere Informationen zu diesem Mechanismus finden Sie in einem Microsoft-Artikel .
   
   Klicken Sie im Abschnitt API-Berechtigungen auf Administratorberechtigung erteilen für <Mandantenname> . Klicken Sie zur Bestätigung auf Ja :
   
   
   
   Jetzt können Sie mit der Konfiguration des Geheimnisses oder Zertifikats der Anwendung beginnen.
   
   
   1. Wählen Sie dennoch im Abschnitt App-Registrierungen die neu erstellte Anwendung aus, klicken Sie auf Zertifikate und Geheimnisse und wählen Sie Neues Client-Geheimnis oder Zertifikat hochladen .
      
      
      
   2. Für ein Geheimnis müssen Sie eine Beschreibung und ein Ablaufdatum eingeben. Bitte beachten Sie, dass der Geheimcode sofort kopiert werden muss, da er nicht mehr angezeigt wird. Sie müssen ihn im Assistenten zum Hinzufügen von Organisationen angeben (hier haben wir diese ganze Erklärung gestartet):
      
      
      
   
   Hurra, dieser Teil der Extraktion der notwendigen Parameter ist abgeschlossen! Lass uns weitermachen.
   
   

   Holen Sie sich das Anwendungskennwort

   
   Wenn Sie bereits über ein Konto zur Verwendung von MFA bei der Arbeit mit Office 365 verfügen und über alle Rollen und Berechtigungen verfügen, die für Veeam Backup für Microsoft Office 365 erforderlich sind, können Sie ein neues Anwendungskennwort erstellen:
   
   
   1. Sie müssen sich mit diesem Konto bei Office 365 anmelden und eine zusätzliche Sicherheitsüberprüfung bestehen. Gehen Sie zu den Benutzereinstellungen und klicken Sie auf Ihre App-Einstellungen :
      
      
      
   2. Sie werden auf die Seite https://portal.office.com/account weitergeleitet , auf der Sie im Bereich Sicherheit und Datenschutz dort App-Passwörter erstellen und verwalten auswählen müssen:
      
      
      
   3. Erstellen Sie ein neues Anwendungskennwort, kopieren Sie es in die Zwischenablage und geben Sie es ein, wenn Sie den Assistenten zum Hinzufügen von Organisationen durchlaufen.
      
      Hinweis: Es wird empfohlen, das Anwendungskennwort nur einmal zu verwenden. Bei Bedarf können Sie einfach ein neues Kennwort wie oben beschrieben generieren.
      
      
      
   
   Sie haben jetzt einen vollständigen Satz von Optionen, die Sie beim Hinzufügen einer Office 365-Organisation zu Veeam Backup für Microsoft Office 365 angeben können. Vergessen Sie nicht, sicherzustellen, dass Sie die richtige Bereitstellungsoption ( Microsoft Office 365 ) und die richtige Authentifizierungsmethode (in unserem Fall die moderne Authentifizierung ) angegeben haben.
   
   Hinweis: Beachten Sie, dass Sie für den Zugriff auf Exchange Online und SharePoint Online (zusammen mit OneDrive for Business) unterschiedliche oder identische Konten verwenden können.
   Wenn Sie mehrere Anwendungen zum Ausführen von Exchange Online und SharePoint Online verwenden möchten, müssen Sie diese Anwendungen vorab registrieren, indem Sie die in diesem Artikel beschriebenen Schritte ausführen.
   
   

   Sitelinks

   
   
   • Artikel über Habré über die Entscheidung von Veeam Backup für Microsoft Office 365
   • Sie können hier eine Testversion der kommerziellen Version der Lösung herunterladen .
   • Sie können die kostenlose Edition der Community Edition hier herunterladen .
   • Benutzerhandbuch (in Englisch)
   • Neue Funktionen der Version 3.0 (Video in russischer Sprache)
   • Microsoft-Artikel zum Deaktivieren der Basisauthentifizierung in Office 365