Let me Introduce …:
Nicht nur bei Veeam hat sich einiges getan, sondern auch bei den BackupBros.
Wir haben ein Neues nicht ganz unbekanntes Mitglied: Stephan Herzig (a.k.a Steve) aus der Schweiz.
Steve wurde bereits einige male in unserem Blogpost über O365-Sizing erwähnt und ist auch das Gesicht hinter dem Excel-Calculator.
Ich freue mich heute den ersten gemeinsamen Artikel vorzustellen.
Mit der neuen Version 6 von Veeam Backup for Microsoft 365 kommt ein neues lang ersehntes Feature dazu: Das Self-Service-Portal.
Die Anforderungen hierbei waren eine zuverlässige, sichere und intuitive Lösung zu schaffen, die es dem Anwender ermöglicht eigene Restores von Mail, Onedrive und Sharepoint-Daten durchzuführen.
Die Lösung basiert auf einem integrierten Webservice der bei der Installation von Veeam Backup for Microsoft 365 V6 mitgeliefert wird. Es muss hier also kein zusätzlicher Webserver installiert, oder konfiguriert werden. Die Installation und Konfiguration beschreiben wir im Nachgang.
Das Portal bedient sich außerdem an der vorhandenen Veeam Rest-API und stellt hierrüber die Verbindung zwischen Portal und VB365-Server her.
Security:
Wenn wir von Self-Service sprechen geht es um den Zugriff auf Backupdaten direkt von einem User. Das heißt auch ein weiterer Login, der mit einem hohen Sicherheitsstandard abgesichert werden sollte. Hier konnte man sich aber an einer vorhandenen Schnittstelle bedienen die bereits alle Anforderungen erfüllt: Der Microsoft Authentication Service.
Der Benutzer meldet sich also mit seinen vorhandenen M365-Credentials an dem Veeam Self-Service-Portal an und bekommt hier automatisch den gewohnten Sicherheitsstandard von Microsoft auf Basis von Multifaktor-Authentifizierung.
Der Administrator muss also keine zusätzliche Userdatenbank pflegen und der Anwender muss ebenfalls keine neuen Usernamen und Passwörter in seinem Passwordsafe ablegen (oder ein weiteres Post-it an den Monitor kleben)!
Nach der Eingabe unseres Benutzernamens werden wir auf die Microsoft-Authentifizierungs-Seite weitergeleitet, überprüft und bei einem erfolgreichen Login zurück an das Veeam Self-Service-Portal geleitet:
Nach erfolgreicher Überprüfung der Anmeldedaten öffnet sich die Veeam-Portal-Seite:
Das Setup
Die Konfiguration und Inbetriebnahme des Portals erfolgt in 3 Schritten:
Als erstes begeben Sie sich in die “General Options” über das Hauptmenü:
Hier gehen Sie auf den Reiter “REST API” und aktivieren das Kontrollkästchen. Ausserdem muss ein Zertifikat hinterlegt werden:
Danach finden wir auf dem Reiter “Authentication” zwei weitere Optionen für die Authentication und aktivieren ebenfalls beide Optionen. Hierbei wird die Authentifizierung Richtung Microsoft konfiguriert.
Ein Login-Fenster öffnet sich und stellt die Applikationsverbindung zwischen Veeam Server und Microsoft Authentication Service her.
Als letzten Schritt aktivieren wir dann noch über den Reiter “Restore Portal” das Portal selbst :
Die Schritte sind im Detail auch nochmal hier beschrieben: https://helpcenter.veeam.com/docs/vbo365/guide/ssp_configuration.html?ver=60
Restore Operators
Als nächstes können wir Restore-Operators anlegen.
Es können 3 unterschiedliche Berechtigungsprofile erstellt und konfiguriert werden. Dies geschieht in der Veeam Backup Konsole.
- Veeam Backup for Microsoft 365 Administrator — Der eigentliche Administrator der auch Zugriff auf die Konsole und die Konfiguration sowie die Backupinfrastruktur hat. Ein Administrator ist außerdem in der Lage weitere “Restore Operators” anzulegen und zu konfigurieren
- Restore operators — Ein Benutzer der Daten für andere Benutzer wiederherstellen kann. Der Operator hat Zugriff auf selektierte Gruppen oder Benutzer. Diese Rolle wird z.B. auch von Service Providern verwendet um eine Wiederherstellung für Kunden durchzuführen.
- End users — ein einzelner User der Zugriff nur auf seine eigenen Daten hat um flexible Wiederherstellungen auszuführen
Um Die Restore Operators zu konfigurieren finden wir unter dem “Burgermenu” die Verwaltungsoberfläche:
Starten Sie diese und klicken auf “Add…”. Hier wird ein Wizard ausgeführt der Sie durch die Erstellung eines Restore Operators führt. (Die Konfiguration ist soweit selbsterklärend).
Wir haben den Blogpost bewusst etwas kürzer gehalten und sind nicht so sehr ins Detail gegangne. Der Hintergrund zu diesem Post war, eine Basis zu schaffen für “Teil 2”. Eine Anleitung für Serviceprovider. Hierzu gibt es aktuell noch relativ wenig Informationen.
Da sich aber das Setup für Serviceprovider zu klassischen Endkunden unterscheiden kann, wollen wir den Vorgang genauer beschreiben.
Wir freuen uns wie immer über Feedback !