NOTA: Este post del blog se actualizó por última vez el 6/3/19
A partir de la versión 3 publicada recientemente, Veeam Backup para Microsoft Office 365 permite recuperar los datos de la nube de una manera más segura al aprovechar la autenticación moderna. Para realizar backups y restauraciones, ahora puede utilizar cuentas de servicio habilitadas para autenticación de factores múltiples (MFA). En este artículo, aprenderá cómo funciona y cómo configurar las cosas rápidamente.
¿Cómo funciona la autenticación de factores múltiples en Office 365?
Para la autenticación moderna en Office 365, Veeam Backup para Microsoft Office 365 aprovecha dos cuentas diferentes: una aplicación personalizada de Azure Active Directory y una cuenta de servicio habilitada para MFA. Una aplicación, que debe registrar con antelación en el portal de Azure Active Directory, permitirá a Veeam Backup para Microsoft Office 365 acceder a la API de Microsoft Graph y recuperar los datos de Microsoft Office 365 de la organización. Se utilizará una cuenta de servicio para conectarse a los servicios de EWS y PowerShell. En consecuencia, al agregar una organización al ámbito de Veeam Backup para Microsoft Office 365, deberá proporcionar dos conjuntos de credenciales: el ID de aplicación de Azure Active Directory con un secreto de aplicación o certificado de aplicación y el nombre de la cuenta de servicios con su contraseña:
¿Puedo deshabilitar todos los protocolos de autenticación básica en mi organización de Office 365?
Aunque Veeam Backup para Microsoft Office 365 v3 es totalmente compatible con la autenticación moderna, tiene que llenar las brechas existentes en la compatibilidad con la API de Office 365 mediante la utilización de algunos protocolos de autenticación básica. En primer lugar, para Exchange Online PowerShell, el protocolo AllowBasicAuthPowershell debe estar habilitado para su cuenta de servicio Veeam para obtener la información correcta sobre los usuarios con licencia, los buzones de los usuarios, etc. Tenga en cuenta que se puede aplicar por usuario y no es necesario habilitarlo para toda la organización, sino solo para cuentas de Veeam, lo que minimiza la posibilidad de una posible violación de seguridad. Otro protocolo de autenticación de Exchange Online PowerShell al que debe prestar atención es AllowBasicAuthWebServices. Puede deshabilitarlo dentro de su organización de Office 365 para todos los usuarios: Veeam Backup para Microsoft Office 365 puede prescindir de él. Sin embargo, tenga en cuenta que, en este caso, deberá usar el certificado de aplicación en lugar del secreto de aplicación al agregar su organización a Veeam Backup para Microsoft Office 365. Por último, para poder proteger texto, imágenes, archivos, video, contenido dinámico y mucho más que haya añadido a las páginas modernas del sitio de SharePoint Online, Veeam Backup para Microsoft Office 365 requiere que LegacyAuthProtocolsEnabled esté establecido en $True. Este protocolo de autenticación básica tiene efecto en toda la organización de SharePoint Online, pero es necesario para trabajar con determinados servicios específicos, como ASMX.
¿Cómo puedo obtener mi ID de aplicación, secreto de aplicación y certificado de aplicación?
Las credenciales de aplicación, tal como un identificador de aplicación, secreto de aplicación y certificado de aplicación, están disponibles en el portal de Azure Active Directory de Office 365 cuando registra una nueva aplicación en Azure Active Directory. Para registrar una aplicación nueva, inicie sesión en el Centro de administración de Microsoft 365 con su cuenta Administrador global, Administrador de aplicaciones o Administrador de aplicaciones en la nube y vaya al Centro de administración de Azure Active Directory. Seleccione New registration (Nuevo registro) en la sección App registrations (Registro de aplicaciones):
Agregue el nombre de la aplicación y seleccione Accounts in this organizational directory only (Cuentas solo en este directorio de organización) como el tipo de cuenta compatible. El URI de redireccionamiento de aplicaciones es opcional, por lo que puede dejarlo en blanco en este paso. Haga clic en Register (Registrar):
El ID de la aplicación ya está disponible en la descripción general de la aplicación, pero hay algunos pasos a seguir para completar la configuración de la aplicación. A continuación, debe otorgar a su nueva aplicación los permisos de API requeridos. Seleccione View API Permissions (Ver permisos de API):
De forma predeterminada, la nueva aplicación tiene un permiso delegado para Microsoft Graph — User.Read. No es necesario para Veeam Backup para Microsoft Office 365, y se puede quitar si lo desea. Haga clic en Add a permission (Agregar un permiso):
Seleccione Microsoft Graph de la lista de las API de Microsoft de uso común:
Las aplicaciones de Azure AD pueden tener permisos delegados o de aplicación. Los permisos delegados requieren la presencia de un usuario que haya iniciado sesión, que acepte los permisos cada vez que se envía una llamada a la API, mientras que los permisos de aplicación son aceptados por un administrador una vez concedidos. Veeam Backup para Microsoft Office 365 actúa como un servicio y requiere Application permissions (Permisos de aplicación). Seleccione Directory.Read.All y Group.Read.All en la lista de permisos disponibles y haga clic en Add permissions (Agregar permisos):
Tenga en cuenta que si desea utilizar un certificado de aplicación en lugar de un secreto de aplicación, también debe seleccionar la siguiente API y los permisos correspondientes al registrar una nueva aplicación:
- Microsoft Exchange Online API access (Acceso a la API de Microsoft Exchange Online) con Use Exchange Web Services with full access to all mailboxes’ permissions (Usar servicios web de Exchange con acceso completo a todos los permisos de los buzones)
- Microsoft SharePoint Online API access (Acceso a la API de Microsoft SharePoint Online) con Have full control of all site collections permissions (Control total de todos los permisos de colecciones de sitios)
Para completar la concesión de permisos, debe conceder el consentimiento del administrador. Haga clic en Grant admin consent for <tenant name> (Conceder consentimiento de administrador para <tenant name>). Haga clic en Yes (Sí) para confirmar la concesión de permisos:
Ahora su aplicación está configurada y puede generar un secreto de aplicación o certificado de aplicación. Ambos se administran en la misma página. Seleccione su aplicación en la lista de la sección App registrations (Registros de aplicaciones), haga clic en Certificates & secrets (Certificados y secretos) y seleccione New client secret (Nuevo secreto de cliente) para crear un nuevo secreto de aplicación o seleccione Upload certificate (Cargar certificado) para agregar un nuevo certificado de aplicación:
Para el secreto de la aplicación, deberá agregar una descripción del secreto y su período de vencimiento. Una vez creado, copie su valor porque no se mostrará de nuevo:
¿Cómo puedo obtener la contraseña de mi aplicación?
Si ya tiene una cuenta de usuario habilitada para la autenticación de factores múltiples para Office 365 y tiene concedidos todos los roles y permisos requeridos por Veeam Backup para Microsoft Office 365, puede crear una nueva contraseña de aplicación de la siguiente manera:
- Inicie sesión en Office 365 con esta cuenta y pase la verificación de seguridad adicional. Vaya a la configuración del usuario y haga clic en Your app settings (Configuración de su aplicación):
- Se le redirigirá a https://portal.office.com/account, donde deberá navegar a Security & privacy (Seguridad y privacidad) y seleccionar Create and manage app passwords (Crear y administrar contraseñas de aplicaciones):
- Cree una nueva contraseña de aplicación y cópiela, ya que no se volverá a mostrar. Tenga en cuenta que puede crear una nueva contraseña de aplicación única para cada aplicación y cuando sea necesario.
¿Qué sigue?
Ahora tiene todas las credenciales para empezar a proteger sus datos de Office 365. Al agregar una organización de Office 365 al ámbito de Veeam Backup para Microsoft Office 365, asegúrese de seleccionar el tipo de implementación correcto (que es ”Microsoft Office 365”) y el método de autenticación correcto (que en nuestro caso es Autenticación moderna). Tenga en cuenta que con v3 puede elegir utilizar las mismas credenciales u otras para Exchange Online y SharePoint Online (junto con OneDrive para empresas). Si desea utilizar aplicaciones personalizadas independientes para Exchange Online y SharePoint Online, no olvide registrar ambas con antelación de una manera similar a la descrita en este artículo.