¡Hola a todos, compañer@s!
Seguro que, como en mi empresa, vuestra empresa está muy concienciada respecto a la seguridad y las copias de seguridad de todo y, probablemente, si usáis Veeam y 365, hayáis configurado el Veeam para 365 usando una cuenta de administrador global sin doble factor. (sí, ¡a lo grande!)
Pues bien, en este post, os voy a explicar paso a paso cómo tener una cuenta dedicada para las copias de Veeam, con MFA activado y con los roles explícitamente necesarios.
Lo primero que debemos hacer es crear la cuenta en 365, sin asignar licencia ni roles (no es necesario). Como esto es algo que como administradores debemos tener por la mano, no lo explico en detalle 😉 Lo siguiente a hacer en la cuenta es activar el MFA y dejar la contraseña de aplicación en un lugar seguro pero tenerla a mano para los siguientes pasos.
Con la cuenta ya creada y securizada (guiño, guiño), abrimos Powershell como administradores e importamos (o instalamos) el módulo de administración de MSOnline con uno de los comandos siguientes:
- Import-Module MSOnline
- Install-Module MSOnline
E iniciamos sesión en MSonline con los siguientes comandos 😊
- $UserCredentials = Get-Credential
- Connect-msolService -Credential $UserCredentials
Ojo que, si tenemos MFA en la cuenta que usamos para powershell, la contraseña que hemos de poner en el “Get-Credential” es la de APP de MFA
- $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredentials -Authentication ‘Basic’ -AllowRedirection
- Import-PSSession $session -DisableNameChecking
Asignamos los roles de Suplantación de aplicaciones, Visualizador de configuración, Visualizador de destinatarios, búsqueda de buzones y Administrador de servicio SharePoint sobre el correo destinado a Veeam365
- New-ManagementRoleAssignment –Role ‘ApplicationImpersonation’ –User usuario@miempresa.es
- New-ManagementRoleAssignment –Role ‘View-Only Configuration’ –User usuario@miempresa.es
- New-ManagementRoleAssignment –Role ‘View-Only Recipients’ –User usuario@miempresa.es
- New-ManagementRoleAssignment –Role ‘Mailbox Search’ –User usuario@miempresa.es
- Add-MsolRoleMember -RoleName ‘SharePoint Service Administrator’ -RoleMemberEmailAddress usuario@miempresa.es
Una vez aplicados los roles y activado el MFA sobre la cuenta, nos vamos al panel de administración de azure y seleccionamos Registros de aplicaciones. Dentro de dicho panel, debemos clicar en Nuevo registro.
Creamos la aplicación con el nombre que queramos e indicamos que “solo cuentas de este directorio organizativo” pueden hacer uso de esta.
Copiamos el ID de aplicación (cliente), que usaremos posteriormente para la configuración de Veeam.
En el mismo panel de la aplicación registrada, nos vamos a Permisos de API, para poder asignarle los permisos necesarios sobre Graph.
Seleccionamos la API Microsoft Graph.
Y damos en Permisos de la aplicación:
Los permisos que debemos tener en la API son: Directory.Read.All y Group.Read.All.
Una vez asignados los permisos, veremos en la vista general de permisos de la API creada que nos salta un Warning conforme hay que conceder el consentimiento del administrador. Tan sólo debemos de darle clic sobre Conceder consentimiento de administrador para NOMBRE DE LA EMPRESA y los permisos serán asignados y podremos usar la Aplicación para nuestras copias de Veeam.
Nos tiene que quedar todo en verde:
Por último, en cuanto a los permisos de la aplicación, debemos generar la contraseña que usaremos en Veeam para validarnos en 365 con la API. Para ello, debemos ir a Certificados y secretos, darle a nuevo secreto de cliente y copiar la clave en Veeam.
Es muy importante guardar la clave en lugar seguro ya que no podremos consultarla a posteriori y, con ella, podrían hacer un uso indebido de nuestra API.
Finalmente, nos vamos a Veeam para 365 y configuramos la organización:
Y con esto, tenemos nuestras copias de Office 365 con super Veeam y bien securizadas! (recordad que el tener los discos encriptados debe ser algo que tengamos ya hecho, como buena práxis nuestra 😉)
¡Hasta la próxima!