Dans la récente version 3.0 de Veeam Backup pour Microsoft Office 365 , entre autres innovations, il prend en charge une méthode d'authentification moderne pour travailler avec des données cloud. Il utilise l'authentification à l'aide de l'application Azure et d'un compte de service configuré avec l'authentification multifacteur (MFA).



Dans cet article, nous expliquerons brièvement comment créer les entités nécessaires à une telle authentification et configurer leurs paramètres dans Microsoft Office 365.

Comment ça marche

Pour l'authentification avec le cloud Office 365, Veeam utilise l'application Azure Active Directory et un compte de service configuré avec l'authentification multifacteur (MFA).

• L'application permet à Veeam Backup pour Microsoft Office 365 d' utiliser l' API Microsoft Graph pour récupérer les données d'organisation Microsoft Office 365. Cette application doit être préenregistrée sur le portail Azure Active Directory, qui sera décrit ci-dessous.
• Le compte de service sera utilisé pour se connecter aux services EWS et PowerShell.

Par conséquent, lorsque vous ajoutez une organisation à l'infrastructure Veeam Backup pour Microsoft Office 365 , vous devrez effectuer les opérations suivantes:

1. À l'étape des paramètres de connexion Office 365 de l' Assistant Ajout d'organisation, sélectionnez Authentification moderne .
2. À l'étape des informations d'identification Exchange Online , vous devez spécifier à la fois l'ID d'application Azure Active Directory (ainsi que son certificat ou secret ) ainsi que le nom d'utilisateur et le mot de passe du compte d'application ( mot de passe d'application ):

Où obtenir ces mêmes certificat, secret et mot de passe de l'application? - certains utilisateurs nous le demandent. C'est ce que nous allons expliquer ci-dessous.

Soit dit en passant, si l'authentification moderne est sélectionnée, cela signifie-t-il que les protocoles d'authentification de base seront complètement désactivés du processus?

Veeam Backup pour Microsoft Office 365 v3 prend entièrement en charge les méthodes d'authentification modernes, mais avec cela, il utilise également un certain nombre de protocoles de base pour pouvoir fonctionner avec l'API Office 365.

Pour eux, vous devez vérifier les paramètres suivants:

• Pour travailler avec Exchange Online PowerShell, vous devez activer le paramètre AllowBasicAuthPowershell pour le compte de service Veeam - cela est nécessaire pour obtenir des informations sur le nombre d'utilisateurs sous licence, de boîtes aux lettres, etc. Pour plus de sécurité, vous pouvez l'activer pour un seul compte, et non pour l'ensemble de l'organisation, comme expliqué ici - en particulier, cela ne peut être fait que pour la comptabilité Veeam.
• Exchange Online PowerShell fonctionne également avec le service Web Exchange Web Services (EWS). Pour ce faire, activez le paramètre AllowBasicAuthWebServices . En principe, cette option est facultative, c'est-à-dire qu'il n'est pas nécessaire de l'activer pour une organisation Office 365 - Veeam Backup pour Microsoft Office 365 peut s'en passer, mais dans ce cas, lorsque vous ajoutez une organisation, vous devrez utiliser un certificat d'application, pas un secret.
• Pour protéger les fichiers texte, les images, les vidéos, le contenu dynamique et tout autre contenu téléchargé sur les pages des sites SharePoint Online, vous devez activer le paramètre LegacyAuthProtocolsEnabled , en le définissant sur $ True . Ce paramètre s'appliquera à l'organisation dans son ensemble; il est nécessaire pour le fonctionnement de services individuels, par exemple pour ASMX.

Ainsi, nous obtenons l'ID, le secret et le certificat de l'application

Tout cela doit être obtenu sur le portail Office 365 Azure Active Directory lors de l'inscription d'une nouvelle application dans Azure Active Directory.

Pour enregistrer une application, vous devez suivre ces étapes:

1. Connectez-vous au Centre d'administration Microsoft Office 365 avec un compte d' administrateur global, d'administrateur d' application ou d' administrateur d'application cloud et accédez au centre d'administration Azure Active Directory .
   
2. Dans la section Inscriptions d'applications , cliquez sur Nouvelle inscription :
   
   
   
3. Saisissez le nom de l'application, spécifiez les types de comptes pris en charge (types de comptes qui fonctionneront avec l'application - nous avons «Comptes dans ce répertoire organisationnel uniquement», c'est-à-dire les comptes uniquement dans le répertoire de cette organisation), puis cliquez sur Enregistrer :
   
   
   

Maintenant, l'ID d'application apparaîtra dans les paramètres qui sont visibles dans la fenêtre Présentation .
Mais ce n'est pas tout - pour terminer le processus de configuration, vous devez effectuer quelques étapes supplémentaires. L'application doit fournir les autorisations nécessaires pour travailler avec l'API.

1. Dans la section API d'appel , cliquez sur Afficher les autorisations d'API :
   
   
   
2. Dans la fenêtre qui s'ouvre, nous verrons les autorisations accordées à notre application. Par défaut, une seule autorisation d'accès à Microsoft Graph est configurée pour cela - c'est User.Read . Il peut être retiré en toute sécurité, car Il n'est pas requis pour notre application. Cliquez ensuite sur Ajouter une autorisation :
   
   
   
3. Ensuite, dans la section Sélectionnez une API , sélectionnez Microsoft Graph :
   
   
   
4. Il peut y avoir deux types d'autorisations pour les applications Azure AD: il s'agit des autorisations déléguées ou d' application (attribuées à l'application). La première option ( autorisations déléguées ) nécessite un utilisateur connecté qui fournira les autorisations nécessaires chaque fois qu'un appel API est effectué. Dans la version avec les autorisations d'application, elles sont accordées par l'administrateur une fois (le consentement est donné - le consentement de l'administrateur). Veeam Backup pour Microsoft Office 365 nécessite l'attribution d' autorisations d'application : sélectionnez Directory.Read.All (pour lire les données dans un répertoire) et Group.Read.All (pour lire les données de groupe) dans la liste des autorisations, puis cliquez sur Ajouter des autorisations :
   
   
   Remarque: Si vous souhaitez utiliser le certificat d'application au lieu d'un secret, vous devez en outre sélectionner quelques API supplémentaires et les autorisations correspondantes:
   
   
   • Accès et autorisation de l' API Microsoft Exchange Online Utilisez les services Web Exchange avec un accès complet à toutes les boîtes aux lettres
   • Accès et autorisation de l' API Microsoft SharePoint Online Ayez un contrôle total sur toutes les collections de sites
     
     
   
   À la fin de la configuration, vous devez émettre un consentement d'administrateur (consentement d' administrateur ) pour l'ensemble du client, c'est-à-dire pour toute l'organisation cliente avec laquelle les données fonctionneront. En savoir plus sur ce mécanisme dans un article Microsoft .
   
   Dans la section Autorisations API , cliquez sur Accorder le consentement administrateur pour <nom du locataire> . Pour confirmer, cliquez sur Oui :
   
   
   
   Vous pouvez maintenant commencer à configurer le secret ou le certificat de l'application.
   
   
   1. Tout de même, dans la section Inscriptions d'applications , sélectionnez l'application nouvellement créée, puis cliquez sur Certificats et secrets et sélectionnez Nouveau secret client ou Télécharger un certificat .
      
      
      
   2. Pour un secret, vous devez entrer une description et une date d'expiration. Veuillez noter que le code secret doit être copié immédiatement, car il ne sera plus affiché - et vous devrez le spécifier dans l'assistant Ajouter une organisation (c'est là que nous avons commencé toute cette explication):
      
      
      
   
   Hourra, cette partie de l'extraction des paramètres nécessaires est terminée! Continuons.
   
   

   Obtenez le mot de passe de l'application

   
   Si vous disposez déjà d'un compte pour utiliser MFA lorsque vous travaillez avec Office 365 et qu'il possède tous les rôles et autorisations requis pour Veeam Backup pour Microsoft Office 365 , vous pouvez créer un nouveau mot de passe d'application:
   
   
   1. Vous devez vous connecter à Office 365 avec ce compte et passer un contrôle de sécurité supplémentaire. Accédez aux paramètres utilisateur et cliquez sur les paramètres de votre application :
      
      
      
   2. Vous serez redirigé vers la page https://portal.office.com/account , où vous devrez vous rendre dans la section Sécurité et confidentialité et y sélectionner Créer et gérer les mots de passe des applications :
      
      
      
   3. Créez un nouveau mot de passe d'application, copiez-le dans le presse-papiers et entrez dans l'assistant Ajouter une organisation.
      
      Remarque: Il est recommandé d'utiliser le mot de passe de l'application une seule fois, et si nécessaire, vous pouvez simplement générer un nouveau mot de passe comme décrit ci-dessus.
      
      
      
   
   Vous disposez désormais d'un ensemble complet d'options que vous pouvez spécifier lors de l'ajout d'une organisation Office 365 à Veeam Backup pour Microsoft Office 365 . N'oubliez pas de vous assurer que vous avez spécifié l'option de déploiement correcte ( Microsoft Office 365 ) et la méthode d'authentification correcte (dans notre cas, l'authentification moderne ).
   
   Remarque: N'oubliez pas que vous pouvez utiliser des comptes différents ou identiques pour accéder à Exchange Online et SharePoint Online (avec OneDrive Entreprise).
   Si vous prévoyez d'utiliser plusieurs applications pour exécuter Exchange Online et SharePoint Online, veillez à pré-enregistrer ces applications en suivant la procédure de cet article.
   
   

   Liens annexes

   
   
   • Article sur Habré sur la décision de Veeam Backup pour Microsoft Office 365
   • Vous pouvez télécharger une version d'essai de l'édition commerciale de la solution à partir d'ici.
   • Vous pouvez télécharger ici l'édition gratuite de Community Edition .
   • Manuel d'utilisation (en anglais)
   • Nouvelles fonctionnalités de la version 3.0 (vidéo en russe)
   • Article de Microsoft sur la désactivation de l'authentification de base dans Office 365