Na versão 3.0 do Veeam Backup para Microsoft Office 365 , lançada recentemente, entre outras inovações, ela oferece suporte a um método de autenticação moderno para trabalhar com dados em nuvem. Ele usa autenticação usando o aplicativo Azure e uma conta de serviço configurada com autenticação multifator (MFA).



Neste artigo, discutiremos brevemente como criar as entidades necessárias para essa autenticação e configurar seus parâmetros no Microsoft Office 365.

Como isso funciona

Para autenticação com a nuvem do Office 365, a Veeam usa o aplicativo Azure Active Directory e uma conta de serviço configurada com autenticação multifator (MFA).

• O aplicativo permite que o Veeam Backup para Microsoft Office 365 use a API do Microsoft Graph para recuperar dados da organização do Microsoft Office 365. Esse aplicativo deve ser pré-registrado no portal do Azure Active Directory, conforme descrito abaixo.
• A conta de serviço será usada para conectar-se aos serviços EWS e PowerShell.

Assim, quando você adiciona uma organização à infraestrutura do Veeam Backup para Microsoft Office 365 , precisará fazer o seguinte:

1. Na etapa de configurações de conexão do Office 365 do Assistente para Adicionar Organização, selecione Autenticação Moderna .
2. Na etapa de credenciais do Exchange Online , você precisa especificar a ID do aplicativo do Azure Active Directory (bem como seu certificado ou segredo ) e o nome de usuário e a senha da conta do aplicativo ( senha do aplicativo ):

Onde obter esses mesmos certificado, segredo e senha do aplicativo? - alguns usuários nos perguntam. Isto é o que explicaremos abaixo.

A propósito, se a autenticação Moderna for selecionada, isso significa que os protocolos básicos de autenticação serão completamente desativados do processo?

O Veeam Backup para Microsoft Office 365 v3 oferece suporte total a métodos modernos de autenticação, mas, além disso, ele também usa vários protocolos básicos para poder trabalhar com a API do Office 365.

Para eles, você precisa verificar as seguintes configurações:

• Para trabalhar com o Exchange Online PowerShell, você precisa habilitar o parâmetro AllowBasicAuthPowershell para a conta de serviço Veeam - isso é necessário para obter informações sobre o número de usuários licenciados, caixas de correio etc. Para maior segurança, você pode habilitá-lo para uma única conta, e não para toda a organização, conforme explicado aqui - em particular, isso pode ser feito apenas para a contabilidade da Veeam.
• O Exchange Online PowerShell também funciona com o serviço Web do Exchange Web Services (EWS) - para isso, ative o parâmetro AllowBasicAuthWebServices . Em princípio, essa opção é opcional, ou seja, não é necessário habilitá-la para uma organização do Office 365 - o Veeam Backup para Microsoft Office 365 pode ficar sem ela, mas nesse caso, quando você adiciona uma organização, precisará usar um certificado de aplicativo, não um segredo.
• Para proteger arquivos de texto, imagens, vídeos, conteúdo dinâmico e outro conteúdo carregado nas páginas dos sites do SharePoint Online, você deve habilitar o parâmetro LegacyAuthProtocolsEnabled , configurando-o como $ True . Essa configuração será aplicada à organização como um todo; é necessário para a operação de serviços individuais, por exemplo, para o ASMX.

Então, nós obtemos o ID, segredo e certificado do aplicativo

Tudo isso deve ser obtido no portal do Office 365 Azure Active Directory ao registrar um novo aplicativo no Azure Active Directory.

Para registrar um aplicativo, você precisa seguir estas etapas:

1. Faça logon no Centro de Administração do Microsoft Office 365 com uma conta Administrador Global , Administrador de Aplicativos ou Administrador de Aplicativos em Nuvem e acesse o centro de administração do Azure Active Directory .
   
2. Na seção Registros de aplicativos , clique em Novo registro :
   
   
   
3. Digite o nome do aplicativo, especifique os tipos de conta com suporte (tipos de contas que funcionarão com o aplicativo - temos “Contas apenas neste diretório organizacional”, ou seja, contas apenas do diretório desta organização) e clique em Registrar :
   
   
   

Agora, o ID do aplicativo aparecerá nas configurações visíveis na janela Visão geral .
Mas isso não é tudo - para concluir o processo de configuração, você precisa executar mais algumas etapas. O aplicativo precisa fornecer as permissões necessárias para trabalhar com a API.

1. Na seção APIs de chamada , clique em Exibir permissões da API :
   
   
   
2. Na janela que se abre, veremos as permissões fornecidas ao nosso aplicativo. Por padrão, apenas uma permissão para acessar o Microsoft Graph está configurada para ele - este é User.Read . Pode ser removido com segurança, porque Não é necessário para a nossa aplicação. Em seguida, clique em Adicionar uma permissão :
   
   
   
3. Em seguida, na seção Selecionar uma API , selecione Microsoft Graph :
   
   
   
4. Pode haver dois tipos de permissões para aplicativos do Azure AD - são permissões delegadas ou de aplicativo (atribuídas ao aplicativo). A primeira opção ( permissões delegadas ) requer um usuário conectado que fornecerá as permissões necessárias sempre que uma chamada de API for feita. Na versão com permissões de Aplicativo, elas são concedidas pelo administrador uma vez (é dado consentimento - consentimento do administrador). O Veeam Backup para Microsoft Office 365 requer a atribuição de permissões de aplicativo : selecione Directory.Read.All (para ler dados em um diretório) e Group.Read.All (para ler dados de grupo) na lista de permissões e clique em Adicionar permissões :
   
   
   Nota: Se você deseja usar o certificado do aplicativo em vez de um segredo, além disso, é necessário selecionar mais algumas APIs e permissões correspondentes:
   
   
   • Permissão e acesso à API do Microsoft Exchange Online Use os Serviços Web do Exchange com acesso total a todas as caixas de correio
   • Acesso e permissão da API do Microsoft SharePoint Online Tenha controle total de todos os conjuntos de sites
     
     
   
   No final da configuração, você precisa emitir o consentimento do administrador (consentimento do administrador ) para todo o cliente, ou seja, para toda a organização do cliente com cujos dados o aplicativo funcionará. Leia mais sobre esse mecanismo em um artigo da Microsoft .
   
   Na seção Permissões da API , clique em Conceder consentimento do administrador para <nome do inquilino> . Para confirmar, clique em Sim :
   
   
   
   Agora você pode começar a configurar o segredo ou certificado do aplicativo.
   
   
   1. Mesmo assim, na seção Registros de aplicativos , selecione o aplicativo recém-criado, clique em Certificados e segredos e selecione Novo segredo do cliente ou Carregar certificado .
      
      
      
   2. Para um segredo, você precisa inserir uma descrição e data de validade. Observe que o código secreto deve ser copiado imediatamente, porque não será exibido novamente - e você precisará especificá-lo no assistente Adicionar organização (que é onde começamos esta explicação):
      
      
      
   
   Viva, esta parte da extração dos parâmetros necessários está concluída! Vamos seguir em frente.
   
   

   Obter a senha do aplicativo

   
   Se você já possui uma conta para usar o MFA ao trabalhar com o Office 365 e ele possui todas as funções e permissões necessárias para o Veeam Backup para Microsoft Office 365 , você pode criar uma nova senha de aplicativo:
   
   
   1. Você precisa fazer logon no Office 365 com esta conta e passar por uma verificação de segurança adicional. Vá para as configurações do usuário e clique em Suas configurações do aplicativo :
      
      
      
   2. Você será redirecionado para a página https://portal.office.com/account , onde precisará ir para a seção Segurança e privacidade e selecionar Criar e gerenciar senhas de aplicativos :
      
      
      
   3. Crie uma nova senha do aplicativo, copie-a para a área de transferência e, quando passar pelo assistente para adicionar organização, insira-a.
      
      Nota: Recomenda-se usar a senha do aplicativo apenas uma vez e, se necessário, você pode simplesmente gerar uma nova senha, conforme descrito acima.
      
      
      
   
   Agora você tem um conjunto completo de opções que você pode especificar ao adicionar uma organização do Office 365 ao Veeam Backup for Microsoft Office 365 . Não se esqueça de especificar a opção de implantação correta ( Microsoft Office 365 ) e o método de autenticação correto (no nosso caso, autenticação moderna ).
   
   Nota: Lembre-se de que você pode usar contas diferentes ou idênticas para acessar o Exchange Online e o SharePoint Online (junto com o OneDrive for Business).
   Se você planeja usar vários aplicativos para executar o Exchange Online e o SharePoint Online, certifique-se de pré-registrar esses aplicativos seguindo o procedimento neste artigo.
   
   

   Sitelinks

   
   
   • Artigo sobre Habré sobre a decisão do Veeam Backup para Microsoft Office 365
   • Você pode baixar uma versão de teste da edição comercial da solução aqui.
   • Você pode baixar a edição gratuita do Community Edition aqui.
   • Manual do usuário (em inglês)
   • Novos recursos da versão 3.0 (vídeo em russo)
   • Artigo da Microsoft sobre como desativar a autenticação básica no Office 365