В недавно выпущенной версии 3.0 решения Veeam Backup for Microsoft Office 365, помимо прочих новинок, поддерживается современный способ аутентификации при работе с облачными данными. В нем задействованы аутентификация с использованием приложения Azure и сервисной учетной записи, для которой настроена многофакторная аутентификация (MFA).
В этой статье мы вкратце рассмотрим, как создать необходимые для такой аутентификации сущности и настроить их параметры в Microsoft Office 365.
Для аутентификации при работе с облачным Office 365 решение Veeam использует приложение Azure Active Directory и сервисную учетную запись, для которой настроена многофакторная аутентификация (MFA).
Соответственно, когда вы добавляете организацию к инфраструктуре Veeam Backup for Microsoft Office 365, то вам надо будет сделать следующее:
Откуда взять эти самые сертификат, секрет и пароль приложения? — спрашивают нас некоторые пользователи. Вот это-то мы и разъясним чуть ниже.
Veeam Backup for Microsoft Office 365 v3 полностью поддерживает современные методы аутентификации, но наряду с этим задействует и ряд базовых протоколов, чтобы иметь возможность работать с Office 365 API.
Для них необходимо проверить следующие настройки:
Всё это надлежит получить на портале Office 365 Azure Active Directory при регистрации нового приложения в Azure Active Directory.
Чтобы зарегистрировать приложение, нужно пройти вот такие шаги:
Теперь ID приложения появится в настройках, которые видны в окне Overview.
Но это еще не всё — чтобы завершить процесс конфигурации, нужно выполнить еще несколько действий. Приложению надо предоставить пермиссии, необходимые для работы с API.
В этой статье мы вкратце рассмотрим, как создать необходимые для такой аутентификации сущности и настроить их параметры в Microsoft Office 365.
Как это работает
Для аутентификации при работе с облачным Office 365 решение Veeam использует приложение Azure Active Directory и сервисную учетную запись, для которой настроена многофакторная аутентификация (MFA).
- Приложение позволяет Veeam Backup for Microsoft Office 365 задействовать Microsoft Graph API для получения данных организации Microsoft Office 365. Это приложение необходимо предварительно зарегистрировать на портале Azure Active Directory, о чем будет рассказано ниже.
- Сервисная учетная запись будет использоваться для подключения к сервисам EWS и PowerShell.
Соответственно, когда вы добавляете организацию к инфраструктуре Veeam Backup for Microsoft Office 365, то вам надо будет сделать следующее:
- На шаге Office 365 connection settings мастера Add Organization Wizard надо выбрать Modern authentication.
- На шаге Exchange Online credentials нужно указать и ID приложения Azure Active Directory (а также его сертификат или секрет — application secret), и имя пользователя и пароль для учетной записи приложения (app password):
Откуда взять эти самые сертификат, секрет и пароль приложения? — спрашивают нас некоторые пользователи. Вот это-то мы и разъясним чуть ниже.
Кстати, если выбрано Modern authentication, означает ли это, что базовые протоколы аутентификации будут совершенно выключены из процесса?
Veeam Backup for Microsoft Office 365 v3 полностью поддерживает современные методы аутентификации, но наряду с этим задействует и ряд базовых протоколов, чтобы иметь возможность работать с Office 365 API.
Для них необходимо проверить следующие настройки:
- Для работы с Exchange Online PowerShell нужно включить параметр AllowBasicAuthPowershell для сервисной учетки Veeam — это требуется для получения информации о количестве пользователей, на которых распространяется лицензия, о почтовых ящиках и т.д. Для большей безопасности включить его можно для отдельно взятой учетной записи, а не для всей организации, как разъясняется тут — в частности, это можно сделать только для учетки Veeam.
- Exchange Online PowerShell также работает и с веб-сервисом Exchange Web Services (EWS) — для этого нужно включить параметр AllowBasicAuthWebServices. В принципе, этот параметр опционален, то есть его включение для организации Office 365 необязательно — Veeam Backup for Microsoft Office 365 сможет обойтись и без него, но в таком случае при добавлении организации нужно будет использовать сертификат приложения, а не секрет.
- Для защиты текстовых файлов, изображений, видео, динамического контента и другого контента, загружаемого на страницы сайтов SharePoint Online, требуется включить параметр LegacyAuthProtocolsEnabled, указав для него значение $True. Эта настройка будет применяться к организации в целом; она обязательна для работы отдельных сервисов, например, для ASMX.
Итак, получаем ID, секрет и сертификат приложения
Всё это надлежит получить на портале Office 365 Azure Active Directory при регистрации нового приложения в Azure Active Directory.
Чтобы зарегистрировать приложение, нужно пройти вот такие шаги:
- Зайти в Microsoft Office 365 Admin Center с учетной записью Global Administrator, Application Administrator либо Cloud Application Administrator и перейти в Azure Active Directory admin center.
- В разделе App registrations кликнуть на New registration:
- Ввести имя приложения, указать Supported account types (типы учеток, которые будут работать с приложением — у нас указано “Accounts in this organizational directory only”, т.е. учетки только из директории данной организации), и нажать Register:
Теперь ID приложения появится в настройках, которые видны в окне Overview.
Но это еще не всё — чтобы завершить процесс конфигурации, нужно выполнить еще несколько действий. Приложению надо предоставить пермиссии, необходимые для работы с API.
- В секции Call APIs нажимаем View API permissions:
- В открывшемся окне мы увидим пермиссии, предоставленные нашему приложению. По умолчанию, для него настроена только одна пермиссия для доступа к Microsoft Graph – это User.Read. Ее можно смело удалить, т.к. она не является обязательной для нашего приложения. Затем нажимаем Add a permission:
- Далее в секции Select an API выбираем Microsoft Graph:
- У приложений Azure AD пермиссии могут быть двух типов — это Delegated (делегированные) или Application permissions (назначенные приложению). В первом варианте (Delegated permissions) требуется наличие залогиненного пользователя, который будет предоставлять необходимые пермиссии каждый раз, когда происходит обращение к API. В варианте с Application permissions они предоставляются администратором единожды (дается согласие — admin consent). Veeam Backup for Microsoft Office 365 требует назначения Application permissions: выбираем из списка пермиссий Directory.Read.All (для чтения данных в директории) и Group.Read.All (для чтения данных групп), затем нажимаем Add permissions:
Примечание: Если вы хотите использовать сертификат приложения вместо секрета, то дополнительно нужно выбрать еще несколько API и соответствующих пермиссий:
- Microsoft Exchange Online API access и пермиссию Use Exchange Web Services with full access to all mailboxes
- Microsoft SharePoint Online API access и пермиссию Have full control of all site collections
В завершение настройки нужно выдать согласие администратора (admin consent) для всего клиента, то есть для всей клиентской организации, с чьими данными будет работать приложение. Подробнее об этом механизме рассказывается в статье Microsoft.
В секции API Permissions нажмите Grant admin consent for <имя тенанта>. Для подтверждения нажмите Yes:
Теперь можно приступить к настройке секрета или сертификата приложения.
- Всё там же, в секции App registrations выберите вновь созданное приложение, затем нажмите Certificates & secrets и выберите New client secret или Upload certificate.
- Для секрета нужно ввести описание и срок действия. Обратите внимание, что секретный код надо сразу скопировать, поскольку больше он показываться не будет — а вам ведь потребуется указать его в мастере добавления организации (с чего мы и начали все это разъяснение):
Ура, эта часть добычи необходимых параметров завершена! Идём дальше.
Получаем пароль приложения
Если у вас уже имеется учетная запись для применения MFA при работе с Office 365, и для нее настроены все роли и пермиссии, которые требуются для Veeam Backup for Microsoft Office 365, то вы можете создать новый пароль приложения:
- Нужно залогиниться в Office 365 с этой учетной записью и пройти дополнительную проверку безопасности. Перейдите к пользовательским настройкам и нажмите Your app settings:
- Вы будете перенаправлены на страницу https://portal.office.com/account, где нужно будет перейти в раздел Security & privacy и там выбрать Create and manage app passwords:
- Создайте новый пароль приложения, скопируйте его в буфер обмена, а когда будете проходить мастер добавления организации, то введете его.
Примечание: Пароль приложения рекомендуется использовать только один раз, а в случае необходимости можно просто сгенерировать новый пароль описанным выше образом.
Теперь у вас есть полный комплект параметров, которые вы сможете указать при добавлении организации Office 365 к Veeam Backup for Microsoft Office 365. Не забудьте удостовериться, что вы указали правильный вариант развертывания (Microsoft Office 365) и правильный метод аутентификации (в нашем случае это Modern authentication).
Примечание: Имейте в виду, что для доступа к Exchange Online и SharePoint Online (вместе с OneDrive for Business) можно использовать разные или одинаковые учетные записи.
Если вы планируете использовать несколько приложений для работы Exchange Online и SharePoint Online, не забудьте заранее зарегистрировать эти приложения, следуя процедуре, описанной в данной статье.
Дополнительные ссылки
- Статья на Хабре о решении Veeam Backup for Microsoft Office 365
- Скачать пробную версию коммерческой редакции решения можно отсюда
- Скачать бесплатную редакцию Community Edition можно отсюда
- Руководство пользователя (на англ.языке)
- Новые возможности версии 3.0 (видео на русском языке)
- Статья Microsoft об отключении базовой аутентификации в Office 365