在最近发布的Veeam Backup for Microsoft Office 365版本3.0中，除其他创新外，它支持用于处理云数据的现代身份验证方法。 它使用通过Azure应用程序和配置了多因素身份验证（MFA）的服务帐户的身份验证。



在本文中，我们将简要讨论如何创建这种身份验证所需的实体，以及如何在Microsoft Office 365中配置其参数。

如何运作

为了通过Office 365云进行身份验证，Veeam使用Azure Active Directory应用程序和配置了多因素身份验证（MFA）的服务帐户。

• 该应用程序允许Veeam Backup for Microsoft Office 365使用Microsoft Graph API来检索Microsoft Office 365组织数据，该应用程序必须在Azure Active Directory门户上预先注册，如下所述。
• 该服务帐户将用于连接到EWS和PowerShell服务。

因此，当您将组织添加到Veeam Backup for Microsoft Office 365基础结构时，您将需要执行以下操作：

1. 在“ 添加组织向导”的Office 365连接设置步骤中，选择“ 现代身份验证” 。
2. 在Exchange Online凭据步骤中，您需要同时指定Azure Active Directory应用程序ID（以及其证书或secret ）以及该应用程序帐户的用户名和密码（ app password ）：

从哪里获得这些相同的证书，应用程序的密码和密码？ -一些用户问我们。 这就是我们将在下面解释的内容。

顺便说一句，如果选择了现代身份验证 ，这是否意味着基本身份验证协议将完全从该过程中关闭？

Veeam Backup for Microsoft Office 365 v3完全支持现代身份验证方法，但与此同时，它也使用了许多基本协议以能够与Office 365 API配合使用。

对于他们，您需要检查以下设置：

• 要使用Exchange Online PowerShell，您需要为Veeam服务帐户启用AllowBasicAuthPowershell参数-这是获取有关许可用户，邮箱等数量的信息所必需的。 为了提高安全性，您可以为单个帐户启用它，而不是为整个组织启用它（如此处所述）-特别是，只能对Veeam记帐启用此功能。
• Exchange Online PowerShell还可以与Exchange Web服务 （EWS）Web服务一起使用-为此，请启用AllowBasicAuthWebServices参数。 原则上，此选项是可选的，也就是说，不必为Office 365组织启用它-Microsoft Office 365的Veeam Backup可以在没有该选项的情况下启用，但是在这种情况下，当您添加组织时，将需要使用应用程序证书而不是机密信息。
• 若要保护文本文件，图像，视频，动态内容以及其他上载到SharePoint Online网站上页面的内容，必须启用LegacyAuthProtocolsEnabled参数，并将其设置为$ True 。 此设置将应用于整个组织。 对于单个服务（例如ASMX）的操作，它是必需的。

因此，我们获得了该应用程序的ID，机密和证书

在Azure Active Directory中注册新应用程序时，应在Office 365 Azure Active Directory门户上获得所有这些信息。

要注册一个应用程序，您需要完成以下步骤：

1. 使用全局管理员 ， 应用程序管理员或Cloud Application Administrator帐户登录到Microsoft Office 365管理中心 ，然后转到Azure Active Directory管理中心 。
   
2. 在“ 应用程序注册”部分，点击“ 新注册” ：
   
   
   
3. 输入应用程序的名称，指定支持的帐户类型 （将与该应用程序一起使用的帐户类型 -我们有“仅此组织目录中的帐户”，即仅来自该组织目录中的帐户），然后点击注册 ：
   
   
   

现在，应用程序ID将显示在“ 概述”窗口中可见的设置中。
但这还不是全部-要完成配置过程，您需要执行一些其他步骤。 应用程序需要提供使用API​​所需的权限。

1. 在“ 调用API”部分中，单击“ 查看API权限” ：
   
   
   
2. 在打开的窗口中，我们将看到提供给应用程序的权限。 默认情况下，仅为其配置了一个访问Microsoft Graph的权限-这是User.Read 。 可以安全删除它，因为 我们的应用程序不需要它。 然后点击添加权限 ：
   
   
   
3. 接下来，在“ 选择API”部分中，选择“ Microsoft Graph” ：
   
   
   
4. Azure AD应用程序可以有两种类型的权限-“ 委托”或“ 应用程序”权限 （分配给应用程序）。 第一个选项（ 委派权限 ）需要一个登录用户，该用户每次进行API调用时都将提供必要的权限。 在具有“ 应用程序”权限的版本中，它们一次由管理员授予（给出同意-管理员同意）。 Veeam Backup for Microsoft Office 365需要分配应用程序权限 ：从权限列表中选择Directory.Read.All （用于读取目录中的数据）和Group.Read.All （用于读取组数据），然后单击“ 添加权限” ：
   
   
   注意：如果要使用应用程序证书而不是机密，则还需要选择其他一些API和相应的权限：
   
   
   • Microsoft Exchange Online API访问和权限使用对所有邮箱具有完全访问权限的Exchange Web服务
   • Microsoft SharePoint Online API访问和权限完全控制所有网站集
     
     
   
   在安装结束时，您需要为整个客户端（即应用程序将使用其数据工作的整个客户端组织）发出管理员同意（ 管理员同意 ）。 在Microsoft文章中了解有关此机制的更多信息。
   
   在“ API权限”部分中，单击“ 授予<tenant name>的管理员同意” 。 要确认，请单击“ 是” ：
   
   
   
   现在，您可以开始配置应用程序的机密或证书。
   
   
   1. 都是如此，在“ 应用程序注册”部分中，选择新创建的应用程序，然后单击“ 证书和机密” ，然后选择“ 新建客户端机密”或“上载证书” 。
      
      
      
   2. 要保密，您需要输入描述和有效期。 请注意，密码必须立即复制，因为它不会再次显示-您需要在“添加组织”向导（我们从此处开始进行说明）中进行指定：
      
      
      
   
   欢呼，这部分必要参数的提取完成了！ 让我们继续前进。
   
   

   获取应用密码

   
   如果使用Office 365时已经拥有使用MFA的帐户，并且该帐户具有Veeam Backup for Microsoft Office 365所需的所有角色和权限，则可以创建新的应用程序密码：
   
   
   1. 您需要使用此帐户登录到Office 365，并通过其他安全检查。 转到用户设置，然后单击您的应用程序设置 ：
      
      
      
   2. 您将被重定向到页面https://portal.office.com/account ，您将需要转到“ 安全性和隐私”部分，然后选择在此处创建和管理应用程序密码 ：
      
      
      
   3. 创建一个新的应用程序密码，将其复制到剪贴板，然后在“添加组织”向导中输入该密码。
      
      注意：建议仅使用一次应用程序密码，并且如果需要，您可以如上所述简单地生成一个新密码。
      
      
      
   
   现在，您具有一整套选项，可以在将Office 365组织添加到Veeam Backup for Microsoft Office 365时指定 。 不要忘记确保您指定了正确的部署选项（ Microsoft Office 365 ）和正确的身份验证方法（在我们的情况下为Modern authentication ）。
   
   注意：请记住，可以使用不同或相同的帐户来访问Exchange Online和SharePoint Online（以及OneDrive for Business）。
   如果您打算使用多个应用程序来运行Exchange Online和SharePoint Online，请确保按照本文中的步骤预先注册这些应用程序。
   
   

   网站连结

   
   
   • 关于Habré的文章，有关Veeam Backup for Microsoft Office 365的决定
   • 您可以从此处下载该解决方案的商业版的试用版。
   • 您可以从此处下载免费版的Community Edition 。
   • 用户手册（英文）
   • 3.0版的新功能（俄语视频）
   • Microsoft关于禁用Office 365中的基本身份验证的文章