OBSERVAÇÃO: Esta postagem de blog foi atualizada pela última vez em 3/6/19
A partir da versão 3, lançada recentemente, o Veeam Backup for Microsoft Office 365 permite recuperar dados da nuvem de forma mais segura aproveitando a autenticação moderna. Para backup e restaurações, agora você pode usar contas de serviço habilitadas para autenticação multifator (MFA). Neste artigo, você vai aprender como ela funciona e como configurá-la rapidamente.
Como funciona a autenticação multifator no Office 365?
Para a autenticação moderna no Office 365, o Veeam Backup for Microsoft Office 365 utiliza duas contas diferentes: um aplicativo personalizado do Active Directory do Azure e uma conta de serviço habilitada para MFA. Um aplicativo, que você deve registrar de antemão no seu portal do Active Directory do Azure, vai permitir que o Veeam Backup for Microsoft Office 365 acesse o Microsoft Graph API e recupere os dados das suas organizações do Microsoft Office 365. Uma conta de serviço será usada para conectar aos serviços EWS e PowerShell. Da mesma forma, ao adicionar uma organização ao escopo do Veeam Backup for Microsoft Office 365, você precisa fornecer dois conjuntos de credenciais: seu ID de aplicativo do Active Directory do Azure com um segredo ou certificado de aplicativo e o nome da sua conta de serviços com sua senha de aplicativo:
Posso desabilitar todos os protocolos de autenticação básica na minha organização do Office 365?
Embora o Veeam Backup for Microsoft Office 365 v3 ofereça suporte total à autenticação moderna, ele precisa usar alguns protocolos de autenticação básica para preencher lacunas existentes no suporte às APIs do Office 365. Primeiramente, para o PowerShell do Exchange Online, é preciso habilitar o protocolo AllowBasicAuthPowershell para sua conta de serviço da Veeam para obter as informações corretas sobre usuários licenciados, suas caixas de correio etc. Observe que só é preciso aplicá-lo para cada usuário e não é preciso habilitá-lo para a organização inteira, mas somente para as contas da Veeam, minimizando assim o espaço para uma possível violação de segurança. Outro protocolo de autenticação do PowerShell do Exchange Online que merece sua atenção é o AllowBasicAuthWebServices. Você pode desabilitá-lo em sua organização do Office 365 para todos os usuários – o Veeam Backup for Microsoft Office 365 pode ficar sem ele. Observe que, nesse caso, você terá de usar o certificado de aplicativo em vez do segredo ao adicionar sua organização ao Veeam Backup for Microsoft Office 365. Por último, para poder proteger textos, imagens, arquivos, vídeos, conteúdo dinâmico e outros itens adicionados às suas páginas de sites modernos do SharePoint Online, o Veeam Backup for Microsoft Office 365 requer que o LegacyAuthProtocolsEnabled seja ajustado para $True. Esse protocolo de autenticação básica vigora para sua organização inteira do SharePoint Online, mas ele é necessário para operar com certos serviços específicos, como o ASMX.
Como posso obter meu ID, segredo e certificado de aplicativo?
As credenciais de aplicativo, como um ID, segredo ou certificado de aplicativo, ficam disponíveis no portal do Active Directory do Azure do Office 365 ao inscrever um aplicativo novo no Active Directory do Azure. Para registrar um aplicativo novo, entre no Microsoft 365 Admin Center (Centro de Administração do Microsoft 365) com sua conta de Global Administrator (administrador global), Application Administrator (administrador de aplicativos) ou Cloud Application Administrator (administrador de aplicativos da nuvem) e entre no Azure Active Directory Admin Center (Centro de administração do Active Directory do Azure). Escolha New registration (Novo registro) na seção App registrations (Registros de aplicativo):
Adicione o nome do aplicativo e selecione Accounts in this organizational directory only (Contas somente nesse diretório organizacional) na opção Supported account types (Tipos de conta com suporte). O Redirect URI (URI de redirecionamento) do aplicativo é opcional, você pode deixá-lo em branco nessa etapa. Clique em Register (Registrar):
Agora o ID do aplicativo está disponível na overview (visão geral) do aplicativo, mas ainda há algumas etapas para concluir a configuração. Em seguida, você precisa conceder ao aplicativo novo as permissões de API necessárias. Escolha View API Permissions (Exibir permissões de API):
Por padrão, seu aplicativo novo recebe uma permissão delegada do Microsoft Graph – User.Read. O Veeam Backup for Microsoft Office 365 não precisa dela, e você pode removê-la se quiser. Clique em Add a permission (Adicionar uma permissão):
Escolha Microsoft Graph na lista de APIs da Microsoft frequentemente utilizadas:
Aplicativos do AD do Azure podem ter permissões delegadas (Delegated) ou do aplicativo (Application). As permissões delegadas exigem que um usuário conectado esteja presente e concorde com as permissões toda vez que uma chamada à API é enviada, enquanto as permissões do aplicativo são consentidas por um administrador no momento da concessão. O Veeam Backup for Microsoft Office 365 atua como um serviço e requer permissões de aplicativo. Selecione Directory.Read.All (ler dados de diretório) e Group.Read.All (ler todos os grupos) na lista de permissões disponíveis e clique em Add permissions (Adicionar permissões):
Note que se quiser usar um certificado de aplicativo em vez de um segredo, você precisa também adicionar a seguinte API e as permissões correspondentes ao registrar um aplicativo novo:
- Acesso à API do Microsoft Exchange Online com permissões de Use Exchange Web Services with full access to all mailboxes (Usar os Serviços Web do Exchange com acesso completo a todas as caixas de correio)
- Acesso à API do Microsoft SharePoint Online com permissões de Have full control of all site collections (Ter controle total de todos os conjuntos de sites)
Para concluir a concessão de permissões, você precisa conceder o consentimento de administrador. Clique em Grant admin consent for <nome do locatário> (Conceder consentimento do administrador para <nome do locatário>). Clique em Yes (Sim) para confirmar a concessão das permissões:
Agora seu aplicativo está configurado e você pode gerar um segredo e/ou certificado para ele. Ambos são gerenciados na mesma página. Na seção App registrations (Registros de aplicativo), selecione seu aplicativo, clique em Certificates & secrets (Certificados e segredos) e selecione New client secret (Novo segredo do cliente) para criar um segredo novo ou Upload certificate (Carregar certificado) para adicionar um certificado novo:
Para o segredo de aplicativo, você terá de adicionar uma descrição e um período de validade (expiration period). Depois que ele for criado, copie o valor (Value), pois ele não será exibido de novo:
Como obter minha senha de aplicativo?
Se você já tem uma conta de usuário habilitada para autenticação multifator para o Office 365 e concedeu a ela todas as funções e permissões exigidas pelo Veeam Backup for Microsoft Office 365, pode criar uma senha de aplicativo nova da seguinte forma:
- Entre no Office 365 com essa conta e passe pela verificação de segurança adicional. Vá para as configurações do usuário e clique em Your app settings (Configurações do seu aplicativo):
- O aplicativo vai redirecionar você para https://portal.office.com/account, onde você deve navegar até Security & privacy (Segurança e privacidade) e selecionar Create and manage app passwords (Criar e gerenciar senhas de aplicativo):
- Crie uma senha de aplicativo nova e a copie, pois ela não será exibida novamente. Observe que você pode criar uma senha de aplicativo única e nova para cada aplicativo, quando for necessário.
E depois?
Agora você tem todas as credenciais para começar a proteger seus dados do Office 365. Ao adicionar uma organização do Office 365 ao escopo do Veeam Backup for Microsoft Office 365, certifique-se de escolher o tipo de implantação (deployment type) correto (no caso, ‘Microsoft Office 365’) e o método de autenticação (authentication method) correto (no nosso caso, Modern authentication [autenticação moderna]). Lembre-se que com a v3, você pode optar por usar as mesmas credenciais para o Exchange Online e o SharePoint Online (em conjunto com o OneDrive for Business), ou usar credenciais diferentes. Se quiser usar aplicativos personalizados separados para o Exchange Online e o SharePoint Online, não se esqueça de registrar ambos de antemão de forma similar à descrita neste artigo.