Veeam Backup for Office 365: configurare Modern Authentication

Veeam Backup for Office 365 è la soluzione di protezione per il vostro tenant cloud dove ogni giorno transitano decine di mail e file legati al business aziendale. Il prodotto è ormai giunto alla terza versione e grazie alle recenti implementazioni, ha ormai raggiunto un elevato grado di maturità.

Una delle novità più importanti, soprattutto in ambito della sicurezza, è stata il supporto alla Modern Authentication. A differenza della modalità username/password, questa offre un elevato standard di protezione dato dal fatto che viene generata una registrazione all’interno di Azure Active Directory che ne limita di perimetro operativo e grazie alla Secret Key, una volta registrata l’applicazione non sarà più possibile recuperarla se non effettuando una nuova generazione.

Se tutto questo non vi ha convinto, è bene considerare che Microsoft ha intenzione di eliminare la Basic Authentication non appena Office 2010 andrà fuori supporto e questo comporta che tutti i client di accesso alla piattaforma Office 365 dovranno supportare solo la Modern Authentication.

In questo articolo vedremo come farlo all’interno di Veeam Backup for Office 365.

Registrazione App

La prima operazione è registrare una nuova applicazione all’interno della sezione Azure Active Directory – figura 1.

Figura 1 – Nuova Registrazione

Inserire il nome che preferite – figura 2 – lasciando invariata l’opzione sulla tipologia di account supportati.

Figura 2 – Nome Applicazione

Una volta creata, entrare nella sezione API Permission ed aggiungere nuovi permessi – figura 3.

Figura 3 – API Permission

Selezionate la voce Application Permission – figura 4.

Figura 4 – Application Permission

Cercare e selezionare i seguenti permessi, senza dimenticarvi di cliccare sul pulsante Grant Admin Consent – figura 5.

  • Directory.Read.All
  • Group.Read.All
Figura 5 – Permessi

Il passo successivo è quello di una nuova Secret Key; come detto in precedenza, non appena salvata verrà mostrata una sola volta e questo fa sì che il livello di sicurezza sia elevato.

Figura 6 – VBO App
Figura 7 – Nuova Secret Key

NB: ricordate di salvare questa chiave fino a quando non farete la configurazione di Veeam Backup.

Smarcata la parte applicativa, è tempo di creare l’utenza di accesso alle risorse – figura 8.

Figura 8 – Nuovo Utente

La Multi Factor Authentication (MFA) dovrà essere attivata per questo utente, per fare in modo che il sistema funzioni. È obbligatorio? No, ma avendo questo utente permessi di natura amministrativa, l’attivazione è il minimo.

Figura 9 – Attivazione MFA

Per proteggere Exchange Online è necessario assegnare all’utente i permessi di “Global Administrator” oppure “Exchange Administrator”, oltre che assegnare i permessi di ApplicationImpersonation – figura 11 – all’interno dell’Exchange Control Panel – figura 10.

Figura 10 – Exchange Control Panel
Figura 11 – ApplicationImpersonation Role

Per proteggere SharePoint Online è necessario assegnare all’utente i permessi di “Global Administrator” oppure “SharePoint Administrator”.

Accedere con l’utente di servizio, attivando la parte di MFA – figura 12 e 13.

Figura 12 – Accesso Account Servizio
Figura 13 – Attivazione MFA

Come ogni utente a cui viene attivata la MFA, viene rilasciato una password app – figura 14 – che permette di accedere alle risorse di posta, come Microsoft Outlook. Questa password prende il posto di quella di accesso web.

Figura 14 – Password App

Configurazione Veeam

Con Azure AD configurato, non rimane che aggiungere un nuovo tenant all’interno di Veeam Backup – figura 15. La differenza, rispetto al classico wizard, è la selezione della modalità Modern Authetication – figura 16.

Figura 15 – Nuovo Tenant
Figura 16 – Modern Authentication

Inserite i seguenti parametri:

  • Application ID: il codice app che avete creato
  • Application Secret: la chiave che avete salvato in precedenza
  • Username: l’utenza creata per questo servizio
  • Password: la password app generata durante la MFA
Figura 17 – Configurazione Credenziali

Se avrete rispettato le indicazioni dell’articolo, il risultato finale sarà quello della figura 18.

Figura 18 – Wizard Completato

Enjoy! Ora potete configurare il vostro piano di protezione come desiderate!