В недавно выпущенной версии 3.0 решения Veeam Backup for Microsoft Office 365, помимо прочих новинок, поддерживается современный способ аутентификации при работе с облачными данными. В нем задействованы аутентификация с использованием приложения Azure и сервисной учетной записи, для которой настроена многофакторная аутентификация (MFA).
В этой статье мы вкратце рассмотрим, как создать необходимые для такой аутентификации сущности и настроить их параметры в Microsoft Office 365.
Для аутентификации при работе с облачным Office 365 решение Veeam использует приложение Azure Active Directory и сервисную учетную запись, для которой настроена многофакторная аутентификация (MFA).
Соответственно, когда вы добавляете организацию к инфраструктуре Veeam Backup for Microsoft Office 365, то вам надо будет сделать следующее:
Откуда взять эти самые сертификат, секрет и пароль приложения? — спрашивают нас некоторые пользователи. Вот это-то мы и разъясним чуть ниже.
Veeam Backup for Microsoft Office 365 v3 полностью поддерживает современные методы аутентификации, но наряду с этим задействует и ряд базовых протоколов, чтобы иметь возможность работать с Office 365 API.
Для них необходимо проверить следующие настройки:
Всё это надлежит получить на портале Office 365 Azure Active Directory при регистрации нового приложения в Azure Active Directory.
Чтобы зарегистрировать приложение, нужно пройти вот такие шаги:
Теперь ID приложения появится в настройках, которые видны в окне Overview.
Но это еще не всё — чтобы завершить процесс конфигурации, нужно выполнить еще несколько действий. Приложению надо предоставить пермиссии, необходимые для работы с API.
В этой статье мы вкратце рассмотрим, как создать необходимые для такой аутентификации сущности и настроить их параметры в Microsoft Office 365.
Как это работает
Для аутентификации при работе с облачным Office 365 решение Veeam использует приложение Azure Active Directory и сервисную учетную запись, для которой настроена многофакторная аутентификация (MFA).
- Приложение позволяет Veeam Backup for Microsoft Office 365 задействовать Microsoft Graph API для получения данных организации Microsoft Office 365. Это приложение необходимо предварительно зарегистрировать на портале Azure Active Directory, о чем будет рассказано ниже.
- Сервисная учетная запись будет использоваться для подключения к сервисам EWS и PowerShell.
Соответственно, когда вы добавляете организацию к инфраструктуре Veeam Backup for Microsoft Office 365, то вам надо будет сделать следующее:
- На шаге Office 365 connection settings мастера Add Organization Wizard надо выбрать Modern authentication.
- На шаге Exchange Online credentials нужно указать и ID приложения Azure Active Directory (а также его сертификат или секрет — application secret), и имя пользователя и пароль для учетной записи приложения (app password):
Откуда взять эти самые сертификат, секрет и пароль приложения? — спрашивают нас некоторые пользователи. Вот это-то мы и разъясним чуть ниже.
Кстати, ��сли выбрано Modern authentication, означает ли это, что базовые протоколы аутентификации будут совершенно выключены из процесса?
Veeam Backup for Microsoft Office 365 v3 полностью поддерживает современные методы аутентификации, но наряду с этим задействует и ряд базовых протоколов, чтобы иметь возможность работать с Office 365 API.
Для них необходимо проверить следующие настройки:
- Для работы с Exchange Online PowerShell нужно включить параметр AllowBasicAuthPowershell для сервисной учетки Veeam — это требуется для получения информации о количестве пользователей, на которых распространяется лицензия, о почтовых ящиках и т.д. Для большей безопасности включить его можно для отдельно взятой учетной записи, а не для всей организации, как разъясняется тут — в частности, это можно сделать только для учетки Veeam.
- Exchange Online PowerShell также работает и с веб-сервисом Exchange Web Services (EWS) — для этого нужно включить параметр AllowBasicAuthWebServices. В принципе, этот параметр опционален, то есть его включение для организации Office 365 необязательно — Veeam Backup for Microsoft Office 365 сможет обойтись и без него, но в таком случае при добавлении организации нужно будет использовать сертификат приложения, а не секрет.
- Для защиты текстовых файлов, изображений, видео, динамического контента и другого контента, загружаемого на страницы сайтов SharePoint Online, требуется включить параметр LegacyAuthProtocolsEnabled, указав для него значение $True. Эта настройка будет применяться к организации в целом; она обязательна для работы отдельных сервисов, например, для ASMX.
Итак, получаем ID, секрет и сертификат приложения
Всё это надлежит получить на портале Office 365 Azure Active Directory при регистрации нового приложения в Azure Active Directory.
Чтобы зарегистрировать приложение, нужно пройти вот такие шаги:
- Зайти в Microsoft Office 365 Admin Center с учетной записью Global Administrator, Application Administrator либо Cloud Application Administrator и перейти в Azure Active Directory admin center.
- В разделе App registrations кликнуть на New registration:
- Ввести имя приложения, указать Supported account types (типы учеток, которые будут работать с приложением — у нас указано “Accounts in this organizational directory only”, т.е. учетки только из директории данной организации), и нажать Register:
Теперь ID приложения появится в настройках, которые видны в окне Overview.
Но это еще не всё — чтобы завершить процесс конфигурации, нужно выполнить еще несколько действий. Приложению надо предоставить пермиссии, необходимые для работы с API.
- В секции Call APIs нажимаем View API permissions:
- В открывшемся окне мы увидим пермиссии, предоставленные нашему приложению. По умолчанию, для него настроена только одна пермиссия для доступа к Microsoft Graph – это User.Read. Ее можно смело удалить, т.к. она не является обязательной для нашего приложения. Затем нажимаем Add a permission:
- Далее в секции Select an API выбираем Microsoft Graph:
- У приложений Azure AD пермиссии могут быть двух типов — это Delegated (делегированные) или Application permissions (назначенные приложению). В первом варианте (Delegated permissions) требуется наличие залогиненного пользователя, который будет предоставлять необходимые пермиссии каждый раз, когда происходит обращение к API. В варианте с Application permissions они предоставляются администратором единожды (дается согласие — admin consent). Veeam Backup for Microsoft Office 365 требует назначения Application permissions: выбираем из списка пермиссий Directory.Read.All (для чтения данных в директории) и Group.Read.All (для чтения данных групп), затем нажимаем Add permissions:
Примечание: Если вы хотите использовать сертификат приложения вместо секрета, то дополнительно нужно выбрать еще несколько API и соответствующих пермиссий:
- Microsoft Exchange Online API access и пермиссию Use Exchange Web Services with full access to all mailboxes
- Microsoft SharePoint Online API access и пермиссию Have full control of all site collections
В завершение настройки нужно выдать согласие администратора (admin consent) для всего клиента, то есть для всей клиентской организации, с чьими данными будет работать приложение. Подробнее об этом механизме рассказывается в статье Microsoft.
В секции API Permissions нажмите Grant admin consent for <имя тенанта>. Для подтверждения нажмите Yes:
Теперь можно приступить к настройке секрета или сертификата приложения.
- Всё там же, в секции App registrations выберите вновь созданное приложение, затем нажмите Certificates & secrets и выберите New client secret или Upload certificate.
- Для секрета нужно ввести описание и срок действия. Обратите внимание, что секретный код надо сразу скопировать, поскольку больше он показываться не будет — а вам ведь потребуется указать его в мастере добавления организации (с чего мы и начали все это разъяснение):
Ура, эта часть добычи необходимых параметров завершена! Идём дальше.
Получаем пароль приложения
Если у вас уже имеется учетная запись для применения MFA при работе с Office 365, и для нее настроены все роли и пермиссии, которые требуются для Veeam Backup for Microsoft Office 365, то вы можете создать новый пароль приложения:
- Нужно залогиниться в Office 365 с этой учетной записью и пройти дополнительную проверку безопасности. Перейдите к пользовательским настройкам и нажмите Your app settings:
- Вы будете перенаправлены на страницу https://portal.office.com/account, где нужно будет перейти в раздел Security & privacy и там выбрать Create and manage app passwords:
- Создайте новый пароль приложения, скопируйте его в буфер обмена, а когда будете проходить мастер добавления организации, то введете его.
Примечание: Пароль приложения рекомендуется использовать только один раз, а в случае необходимости можно просто сгенерировать новый пароль описанным выше образом.
Теперь у вас есть полный комплект параметров, которые вы сможете указать при добавлении организации Office 365 к Veeam Backup for Microsoft Office 365. Не забудьте удостовериться, что вы указали правильный вариант развертывания (Microsoft Office 365) и правильный метод аутентификации (в нашем случае это Modern authentication).
Примечание: Имейте в виду, что для доступа к Exchange Online и SharePoint Online (вместе с OneDrive for Business) можно использовать разные или одинаковые учетные записи.
Если вы планируете использовать несколько приложений для работы Exchange Online и SharePoint Online, не забудьте заранее зарегистрировать эти приложения, следуя процедуре, описанной в данной статье.
Дополнительные ссылки
- Статья на Хабре о решении Veeam Backup for Microsoft Office 365
- Скачать пробную версию коммерческой редакции решения можно отсюда
- Скачать бесплатную редакцию Community Edition можно отсюда
- Руководство пользователя (на англ.языке)
- Новые возможности версии 3.0 (видео на русском языке)
- Статья Microsoft об отключении базовой аутентификации в Office 365
