Dalam versi 3.0 yang baru-baru ini dirilis dari Veeam Backup untuk Microsoft Office 365 , di antara inovasi lainnya, ini mendukung metode otentikasi modern untuk bekerja dengan data cloud. Ini menggunakan otentikasi menggunakan aplikasi Azure dan akun layanan yang dikonfigurasi dengan otentikasi multi-faktor (MFA).



Dalam artikel ini, kita akan membahas secara singkat cara membuat entitas yang diperlukan untuk otentikasi tersebut dan mengkonfigurasi parameternya di Microsoft Office 365.

Bagaimana cara kerjanya

Untuk otentikasi dengan cloud Office 365, Veeam menggunakan aplikasi Azure Active Directory dan akun layanan yang dikonfigurasi dengan otentikasi multi-faktor (MFA).

• Aplikasi ini memungkinkan Veeam Backup untuk Microsoft Office 365 menggunakan Microsoft Graph API untuk mengambil data organisasi Microsoft Office 365. Aplikasi ini harus didaftarkan sebelumnya di portal Azure Active Directory, yang akan dijelaskan di bawah ini.
• Akun layanan akan digunakan untuk terhubung ke layanan EWS dan PowerShell.

Oleh karena itu, ketika Anda menambahkan organisasi ke infrastruktur Veeam Backup untuk Microsoft Office 365 , Anda perlu melakukan hal berikut:

1. Di langkah pengaturan koneksi Office 365 pada Tambah Organisasi Wizard, pilih Otentikasi modern .
2. Pada langkah kredensial Exchange Online , Anda perlu menentukan ID aplikasi Direktori Aktif Azure (serta sertifikat atau rahasia aplikasi rahasia ) dan nama pengguna dan kata sandi untuk akun aplikasi ( kata sandi aplikasi ):

Di mana mendapatkan sertifikat, rahasia, dan kata sandi aplikasi yang sama? - beberapa pengguna bertanya kepada kami. Inilah yang akan kami jelaskan di bawah ini.

Omong-omong, jika otentikasi Modern dipilih, apakah ini berarti bahwa protokol otentikasi dasar akan sepenuhnya dimatikan dari proses?

Veeam Backup untuk Microsoft Office 365 v3 sepenuhnya mendukung metode otentikasi modern, tetapi seiring dengan ini, ia juga menggunakan sejumlah protokol dasar untuk dapat bekerja dengan Office 365 API.

Untuk itu, Anda perlu memeriksa pengaturan berikut:

• Untuk bekerja dengan Exchange Online PowerShell, Anda harus mengaktifkan parameter AllowBasicAuthPowershell untuk akun layanan Veeam - ini diperlukan untuk mendapatkan informasi tentang jumlah pengguna berlisensi, kotak surat, dll. Untuk keamanan yang lebih besar, Anda dapat mengaktifkannya untuk satu akun, dan bukan untuk seluruh organisasi, seperti yang dijelaskan di sini - khususnya, ini hanya dapat dilakukan untuk akuntansi Veeam.
• Exchange Online PowerShell juga berfungsi dengan layanan web Exchange Web Services (EWS) - untuk melakukan ini, aktifkan parameter AllowBasicAuthWebServices . Pada prinsipnya, opsi ini opsional, yaitu, tidak perlu untuk mengaktifkannya untuk organisasi Office 365 - Cadangan Veeam untuk Microsoft Office 365 dapat melakukannya tanpa itu, tetapi dalam kasus ini, saat Anda menambahkan organisasi, Anda harus menggunakan sertifikat aplikasi, bukan rahasia.
• Untuk melindungi file teks, gambar, video, konten dinamis, dan konten lain yang diunggah ke halaman di situs SharePoint Online, Anda harus mengaktifkan parameter LegacyAuthProtocolsEnabled , mengaturnya ke $ True . Pengaturan ini akan berlaku untuk organisasi secara keseluruhan; diperlukan untuk pengoperasian layanan individual, misalnya, untuk ASMX.

Jadi, kami mendapatkan ID, rahasia, dan sertifikat aplikasi

Semua ini harus diperoleh di portal Direktori Aktif Azure Office 365 saat mendaftarkan aplikasi baru di Direktori Aktif Azure.

Untuk mendaftarkan aplikasi, Anda harus melalui langkah-langkah ini:

1. Masuk ke Pusat Admin Microsoft Office 365 dengan Global Administrator , Administrator Aplikasi atau akun Administrator Aplikasi Cloud dan pergi ke pusat admin Direktori Aktif Azure .
   
2. Di bagian Pendaftaran aplikasi , klik Pendaftaran baru :
   
   
   
3. Masukkan nama aplikasi, tentukan jenis akun yang didukung (jenis akun yang akan bekerja dengan aplikasi - kita memiliki "Akun di direktori organisasi ini saja", yaitu, akun hanya dari direktori organisasi ini), dan klik Daftar :
   
   
   

Sekarang ID aplikasi akan muncul di pengaturan yang terlihat di jendela Ikhtisar .
Tapi itu belum semua - untuk menyelesaikan proses konfigurasi, Anda perlu melakukan beberapa langkah lagi. Aplikasi perlu memberikan izin yang diperlukan untuk bekerja dengan API.

1. Di bagian API Panggilan , klik Lihat izin API :
   
   
   
2. Di jendela yang terbuka, kita akan melihat izin yang disediakan untuk aplikasi kita. Secara default, hanya satu izin untuk mengakses Microsoft Graph yang dikonfigurasi untuknya - ini adalah User.Read . Itu dapat dihapus dengan aman, karena Itu tidak diperlukan untuk aplikasi kita. Kemudian klik Tambahkan izin :
   
   
   
3. Selanjutnya, di bagian Pilih API , pilih Microsoft Graph :
   
   
   
4. Mungkin ada dua jenis izin untuk aplikasi Azure AD - ini adalah izin Aplikasi atau Delegasi (ditugaskan untuk aplikasi). Opsi pertama ( Izin yang didelegasikan ) membutuhkan pengguna yang masuk yang akan memberikan izin yang diperlukan setiap kali panggilan API dilakukan. Dalam versi dengan izin Aplikasi, mereka diberikan oleh administrator sekali (persetujuan diberikan - persetujuan admin). Veeam Backup untuk Microsoft Office 365 membutuhkan penugasan izin Aplikasi : pilih Directory.Read.All (untuk membaca data dalam direktori) dan Group.Read.All (untuk membaca data grup) dari daftar izin, lalu klik Tambahkan izin :
   
   
   Catatan: Jika Anda ingin menggunakan sertifikat aplikasi alih-alih rahasia, maka Anda juga harus memilih beberapa API dan izin yang sesuai:
   
   
   • Microsoft Exchange Online API akses dan Izin Gunakan Layanan Web Exchange dengan akses penuh ke semua kotak surat
   • Microsoft SharePoint Online API dan Izin memiliki kontrol penuh atas semua kumpulan situs
     
     
   
   Di akhir pengaturan, Anda perlu mengeluarkan persetujuan administrator ( admin consent ) untuk seluruh klien, yaitu, untuk seluruh organisasi klien dengan data yang aplikasi akan bekerja. Baca lebih lanjut tentang mekanisme ini di artikel Microsoft .
   
   Di bagian Izin API , klik Berikan izin admin untuk <tenant name> . Untuk mengonfirmasi, klik Ya :
   
   
   
   Sekarang Anda dapat mulai mengkonfigurasi rahasia atau sertifikat aplikasi.
   
   
   1. Semua sama, di bagian pendaftaran Aplikasi , pilih aplikasi yang baru dibuat, lalu klik Sertifikat & rahasia dan pilih Rahasia klien baru atau Unggah sertifikat .
      
      
      
   2. Untuk sebuah rahasia, Anda harus memasukkan deskripsi dan tanggal kedaluwarsa. Harap perhatikan bahwa kode rahasia harus segera disalin, karena tidak akan ditampilkan lagi - dan Anda harus menentukannya di wisaya Tambah Organisasi (yang merupakan awal kami memulai penjelasan ini):
      
      
      
   
   Hore, ini bagian dari ekstraksi dari parameter yang diperlukan selesai! Mari kita lanjutkan.
   
   

   Dapatkan kata sandi aplikasi

   
   Jika Anda sudah memiliki akun untuk menggunakan MFA saat bekerja dengan Office 365, dan akun itu memiliki semua peran dan izin yang diperlukan untuk Veeam Backup untuk Microsoft Office 365 , Anda dapat membuat kata sandi aplikasi baru:
   
   
   1. Anda harus masuk ke Office 365 dengan akun ini dan lulus pemeriksaan keamanan tambahan. Buka pengaturan pengguna dan klik Pengaturan aplikasi Anda :
      
      
      
   2. Anda akan diarahkan ke halaman https://portal.office.com/account , di mana Anda harus pergi ke bagian Keamanan & privasi dan pilih Buat dan kelola kata sandi aplikasi di sana :
      
      
      
   3. Buat kata sandi aplikasi baru, salin ke clipboard, dan ketika Anda pergi melalui wizard Tambah Organisasi, masukkan.
      
      Catatan: Disarankan untuk menggunakan kata sandi aplikasi hanya sekali, dan jika perlu, Anda dapat membuat kata sandi baru seperti yang dijelaskan di atas.
      
      
      
   
   Anda sekarang memiliki serangkaian opsi lengkap yang bisa Anda tentukan saat menambahkan organisasi Office 365 ke Veeam Backup untuk Microsoft Office 365 . Jangan lupa untuk memastikan bahwa Anda menentukan opsi penyebaran yang benar ( Microsoft Office 365 ) dan metode otentikasi yang benar (dalam kasus kami, otentikasi modern ).
   
   Catatan: Ingatlah bahwa Anda dapat menggunakan akun yang berbeda atau identik untuk mengakses Exchange Online dan SharePoint Online (bersama dengan OneDrive for Business).
   Jika Anda berencana untuk menggunakan beberapa aplikasi untuk menjalankan Exchange Online dan SharePoint Online, pastikan untuk mendaftar terlebih dahulu aplikasi ini dengan mengikuti prosedur di artikel ini.
   
   

   Tautan situs

   
   
   • Artikel tentang Habré tentang keputusan Veeam Backup untuk Microsoft Office 365
   • Anda dapat mengunduh versi uji coba dari edisi komersial solusi dari sini.
   • Anda dapat mengunduh edisi gratis Edisi Komunitas dari sini.
   • User Manual (dalam bahasa Inggris)
   • Fitur baru versi 3.0 (video dalam bahasa Rusia)
   • Artikel Microsoft tentang menonaktifkan otentikasi dasar di Office 365