In diesem Beitrag beschreiben wir, wie Veeam Backup für Microsoft Office 365 auf Modern Authentication umgestellt wird.
Microsoft hat am 20.09.2019 mit der Benachrichtigung MC191153 angekündigt, dass die Basic Authentication für Exchange Online zum 13.10.2020 eingestellt wird. Dies betrifft auch die Anmeldung von Veeam Backup für Office 365, die bei uns noch auf Basic Authentication eingesetzt wird. Also stellen wir diese in unserer Testumgebung auf Modern Authentication mit MFA um.
Als erstes muss im Microsoft Azure Active Directory eine App-Registrierung durchgeführt werden.
Der Anwendung einen passenden Namen geben und Nur Konten in diesem Organisationsverzeichnis auswählen.
Anschließend muss der App noch die entsprechenden Berechtigungen zugewiesen werden. Dazu klickt man auf API-Berechtigungen anzeigen.
Unter Microsoft Graph die Anwendungsberechtigungen auswählen.
Hier die Berechtigungen bei Directory.Read.All und Group.Read.All setzen und anschließend Berechtigungen hinzufügen auswählen
Die Berechtigungen müssen nun noch von einem Administrator zugestimmt werden. Hierzu Administratorzustimmung anklicken und mit Ja bestätigen.
Dies wird mit dem Hinweis Die Administratoreinwilligung wurde für die angeforderten Berechtigungen erfolgreich erteilt bestätigt und beim Status mit grünen Haken angezeigt.
Der Applikation muss noch ein Zertifikat oder ein Geheimer Clientschlüssel generiert werden. Wir haben uns für den Clientschlüssel entschieden. Dazu einmal auf Neuer geheimer Clientschlüssel klicken und dem geheimen Clientschlüssel einen passenden Namen vergeben. Bei der Gültigkeit haben wir 2 Jahre ausgewählt. Eine Erinnerung haben wir uns auch direkt gesetzt, damit wir daran erinnert werden, diesen zu verlängern bzw. zu erneuern.
Wichtiger Hinweis: Den Wert einmal kopieren und speichern, da er für die Applikation benötigt wird und wie weiter unten angezeigt, nicht mehr abgerufen werden kann!
Jetzt noch einen neuen Benutzer anlegen und Multi-Factor aktivieren, da der User Admin Berechtigungen für Exchange und SharePoint bekommen wird. Und administrative Accounts soll man immer mit einem zweiten Faktor schützen.
Nun muss die Anmeldung mit dem Benutzer einmal durchgeführt werden und der zweite Faktor eingerichtet werden.
Wir verwenden die Authenication by Phone und aktivieren sie SMS Methode.
Wichtiger Hinweis: Das Application Passwort bitte auch kopieren und speichern, da dieses auch gleich bei der Applikation benötigt wird. Auch hier wird es nur einmal angezeigt!
Abschließend noch die Rollen Exchange-Administrator und SharePoint-Administrator hinzufügen.
Als letztes muss nun noch im Exchange Admin Center eine neue Administratorrolle hinzugefügt werden.
Wir nennen Sie ApplicationImpersonation. Diese Rolle bekommt die gleichnamige Rolle und den neu erstellten User zugewiesen. Damit hat der User Impersionation Rechte auf alle Mailboxen um die Daten sichern zu können.
Jetzt kann im Veeam Backup die Organisation angepasst und die Authentizifierungsmethode auf Modern authentication umgestellt werden.
Hier werden nun folgende Informationen benötigt:
- Die Application ID die in der App-Registrierung unter Anwendungs-ID (Client) angezeigt wird
- Application secret ist der geheime Clientschlüssel (oder hier alternativ das Zertifikat)
- Den Usernamen und das Application Passwort, was wir vorher auch gespeichert hatten