A seguito dei nuovi parametri di sicurezza con cui vengono creati i tenant Office 365 con le relative impostazioni per Azure AD, risulta importante poter configurare i sistemi che devono autenticarsi ed interagire con gli oggetti del tenant Microsoft 365 tramite la Modern Authentication. Ad esempio Veeam Backup per Office 365, che già dalla versione 3 offre il supporto per un’autenticazione moderna.
Cos’è la Modern Authentication
La Modern Authentication rappresenta quindi un insieme di tecnologie che fanno riferimento alle modalità di autenticazione e autorizzazione tra client e server, con la possibilità di utilizzare in maniera opzionale dei meccanismi di accesso condizionale. All’interno della Modern Authentication, rientrano quindi:
- metodi di autenticazione, tipo la Multi Factor Authentication (MFA)
- metodi di autorizzazione come ad esempio Microsoft OAuth
- i meccanismi e i criteri di conditional access di Azure AD
Il nuovo sistema di autenticazione rispetto ad esempio al classico sistema di autenticazione tramite utente e password, offre un elevato standard di protezione dato dal fatto che viene generata una registrazione all’interno di Azure Active Directory, in modo da poterne limitare il perimetro operativo e grazie ad una Secret Key, una volta registrata l’applicazione all’interno di Azure AD non sarà più possibile recuperarla, se non andando a rigenerarla.
Configurare Veeam Backup per 365 con la Modern Authentication
Al momento di scrittura dell’articolo, siamo giunti alla versione Veeam Backup per Microsoft 365 4c.
La configurazione dell’autenticazione moderna richiede di effettuare questi tre passaggi dopo aver scaricato e installato Veeam Backup per Office 365:
– Registrare l’applicazione in Azure AD ed effettuare la delega delle permissions
– Creare un account di servizio in Azure AD
– Creare una nuova organizzazione in Veeam Backup per Office 365
Registrazione dell’applicazione in Azure AD
Come step iniziale è necessario tramite il portale di amministrazione di Azure Active Directory andare a creare una registrazione per la nuova application:
Da lì selezionando “Application Permission” si entrerà in una schermata non proprio intuitiva 🙂 dove andremo ad impostare le autorizzazioni all’Applicazione appena creata; aggiungeremo poi i ruoli per la tipologia Microsoft Graph: Directory.Read.All e Group.Read.All; per la tipologia Exchange API selezioneremo full_access_as_app; per la tipologia Sharepoint API: Sites.FullControl.All; successivamente cliccare su “Grant Admin Consent for..“
Successivamente sarà necessario per l’Application generare una Secret Key, in modo da garantire la sicurezza dell’applicazione.
Creazione di un account di servizio per Azure AD
Lo step successivo è quello di procedere con la creazione di un account di servizio utilizzato da Veeam Backup per Office 365 in Azure Active Directory. Questo utente dovrà avere i seguenti ruoli amministrativi:
– Amministratore di Exchange
– Amministratore di SharePoint
Creazione Nuova Organizzazione in Veeam Backup
Una volta predisposta la parte di Modern Authentication in Azure Active Directory, sarà possibile configurarla all’interno di Veeam Backup per Microsoft 365, andando ad aggiungere una nuova organizzazione selezionando la nuova modalità di autenticazione ed impostando successivamente i parametri relativi a:
Come parametri andranno quindi inseriti:
- Application ID: il codice ID dell’applicazione precedentemente creata
- Application Secret: la chiave Secret relativa all’applicazione
- Username: l’utenza di servizio (Service Account)
- Password: password dell’utenza Service Account
Sarà quindi possibile connettere Veeam Backup per Office 365 al nostro tenant tramite Modern Authentication ed opzionalmente per rafforzare la security anche MFA (autenticazione a più fattori).
