Veeam Backup for Office 365 è la soluzione di protezione per il vostro tenant cloud dove ogni giorno transitano decine di mail e file legati al business aziendale. Il prodotto è ormai giunto alla terza versione e grazie alle recenti implementazioni, ha ormai raggiunto un elevato grado di maturità.
Una delle novità più importanti, soprattutto in ambito della sicurezza, è stata il supporto alla Modern Authentication. A differenza della modalità username/password, questa offre un elevato standard di protezione dato dal fatto che viene generata una registrazione all’interno di Azure Active Directory che ne limita di perimetro operativo e grazie alla Secret Key, una volta registrata l’applicazione non sarà più possibile recuperarla se non effettuando una nuova generazione.
Se tutto questo non vi ha convinto, è bene considerare che Microsoft ha intenzione di eliminare la Basic Authentication non appena Office 2010 andrà fuori supporto e questo comporta che tutti i client di accesso alla piattaforma Office 365 dovranno supportare solo la Modern Authentication.
In questo articolo vedremo come farlo all’interno di Veeam Backup for Office 365.
Registrazione App
La prima operazione è registrare una nuova applicazione all’interno della sezione Azure Active Directory – figura 1.
Inserire il nome che preferite – figura 2 – lasciando invariata l’opzione sulla tipologia di account supportati.
Una volta creata, entrare nella sezione API Permission ed aggiungere nuovi permessi – figura 3.
Selezionate la voce Application Permission – figura 4.
Cercare e selezionare i seguenti permessi, senza dimenticarvi di cliccare sul pulsante Grant Admin Consent – figura 5.
- Directory.Read.All
- Group.Read.All
Il passo successivo è quello di una nuova Secret Key; come detto in precedenza, non appena salvata verrà mostrata una sola volta e questo fa sì che il livello di sicurezza sia elevato.
NB: ricordate di salvare questa chiave fino a quando non farete la configurazione di Veeam Backup.
Smarcata la parte applicativa, è tempo di creare l’utenza di accesso alle risorse – figura 8.
La Multi Factor Authentication (MFA) dovrà essere attivata per questo utente, per fare in modo che il sistema funzioni. È obbligatorio? No, ma avendo questo utente permessi di natura amministrativa, l’attivazione è il minimo.
Per proteggere Exchange Online è necessario assegnare all’utente i permessi di “Global Administrator” oppure “Exchange Administrator”, oltre che assegnare i permessi di ApplicationImpersonation – figura 11 – all’interno dell’Exchange Control Panel – figura 10.
Per proteggere SharePoint Online è necessario assegnare all’utente i permessi di “Global Administrator” oppure “SharePoint Administrator”.
Accedere con l’utente di servizio, attivando la parte di MFA – figura 12 e 13.
Come ogni utente a cui viene attivata la MFA, viene rilasciato una password app – figura 14 – che permette di accedere alle risorse di posta, come Microsoft Outlook. Questa password prende il posto di quella di accesso web.
Configurazione Veeam
Con Azure AD configurato, non rimane che aggiungere un nuovo tenant all’interno di Veeam Backup – figura 15. La differenza, rispetto al classico wizard, è la selezione della modalità Modern Authetication – figura 16.
Inserite i seguenti parametri:
- Application ID: il codice app che avete creato
- Application Secret: la chiave che avete salvato in precedenza
- Username: l’utenza creata per questo servizio
- Password: la password app generata durante la MFA
Se avrete rispettato le indicazioni dell’articolo, il risultato finale sarà quello della figura 18.
Enjoy! Ora potete configurare il vostro piano di protezione come desiderate!