Tema
La autenticación de entidad principal de servicio en nuestro portal de correo electrónico de la organización de respaldo SaaS tiene como objetivo minimizar el daño potencial causado por violaciones de seguridad accidentales o intencionales. Restringe los derechos de acceso a los datos a los niveles mínimos necesarios para realizar sus tareas. Este es un proceso sencillo que elimina la necesidad de crear un administrador global y automatiza la creación de roles personalizados.
Entorno
NinjaOne SaaS Backup
Descripción
NinjaOne SaaS Backup es una plataforma de respaldo en la nube que ayuda a las empresas a respaldar, administrar, recuperar y proteger de forma segura su información comercial. Los respaldos automatizados e incrementales simplifican la experiencia de respaldo, recuperación y cumplimiento. Funciona con Microsoft 365 (Hosted Exchange, Grupos y Equipos, SharePoint, OneDrive), Gmail (incluidos Calendarios, Contactos y Tareas) y otros servidores de correo electrónico IMAP. NinjaOne utiliza encriptación de 256 bits (AES) en reposo y en tránsito, y es compatible con la autenticación multifactor (MFA).
Índice
- Autenticación de entidad principal del servicio para clientes nuevos y existentes
- Desactivación, cuentas inactivas y estado de los respaldos
- Autenticación de entidad principal de servicio (SPA) Añadir alternancia
- Preguntas frecuentes
Autenticación de entidad principal de servicio para clientes nuevos y existentes
Requisitos previos para la autenticación de entidad principal de servicio
- Para los usuarios que autorizarán la aplicación de administración de Exchange Online, PowerShell debe estar habilitado.
- Se requiere una licencia de Exchange Online y respaldos de correo electrónico .
- Las organizaciones que solo realizan copias de seguridad de SharePoint y Grupos no pueden utilizar la autenticación de entidad principal del servicio.
- SPA requiere que los usuarios autoricen la aplicación Exchange Online Management App mediante una función que tenga acceso a los cmdlets requeridos en PowerShell
- Se puede usar Administrador global
- Si no se utiliza el administrador global, se puede crear una función personalizada que tenga acceso a los cmdlets necesarios.
- El Administrador global se utiliza una vez y el acceso permanente no permanecerá en NinjaOne una vez completado el proceso de autorización.
- Se puede usar Administrador global
- Los cmdlets de PowerShell requeridos son
- Habilitar personalización de la organización
- Get-RoleGroup
- New-RoleGroup
- Obtener rol de administración
- New-ManagementRole
- Asignación de nuevo rol de administración
- ObtenerPrincipalDeServicio
- Nuevo-Principal-de-servicio
- Obtener miembro de grupo de roles
- Agregar miembro de grupo de roles
Tenga en cuenta que con SPA, NinjaOne seguirá utilizando el administrador global dentro del inquilino (no el administrador de copia de seguridad creado para nuestro método de conexión heredado) para los siguientes casos. Este administrador global deberá tener una licencia de Exchange para poder acceder correctamente a ellos. En el caso de las carpetas públicas, también deberá ser propietario de las carpetas.
- Módulo de respaldo
- Respaldo de carpetas públicas
- Restaurar carpeta pública
- Módulo PowerShell
- Crear una subaplicación durante la configuración inicial y volver a crearla si la subaplicación deja de ser válida.
Añadir M365 Backup con Autenticación de Entidad de Servicio para Nuevos Clientes
Como socio, puede indicar a sus clientes cómo añadir la copia de seguridad de M365 con autorización de autenticación de entidad principal de servicio proporcionándoles estos pasos, o puede realizar la tarea usted mismo suplantando al cliente.
- Acceda al portal de correo electrónico de la organización.
- Haga clic en el botón + Agregar respaldo en la página Panel de control.
- Haga clic en Iniciar sesión con Microsoft 365.
Verá dos opciones. Seleccione la segunda opción, «Autorizar con permisos de privilegios mínimos», para la autorización e introduzca la cuenta de administrador de M365 según corresponda. - Desplácese hacia abajo en la página y haga clic en Aceptar.
Una vez concedido el consentimiento, el usuario será redirigido a la página AUTORIZACIÓN de M365. Hay dos (2) pasos en total- Crear aplicación de respaldo; estamos creando subaplicaciones en el inquilino del usuario. Puede tardar unos segundos en completarse.
- En Autorización del dispositivo, haga clic en el enlace disponible. El sistema le redirigirá a la nueva ventana de Microsoft, copie y pegue el código del portal y, a continuación, haga clic en el botón Siguiente . Seleccione el correo electrónico administrativo correcto. Haga clic en el botón Continuar.
- Vuelva al Portal de correo electrónico de la organización y haga clic en Verificar y continuar para finalizar.
Una vez que se haya completado correctamente, el sistema mostrará todas las cuentas de M365 en este inquilino. Espere hasta que la creación de roles personalizados se haya conectado correctamente. Puede tardar hasta 24 horas. Durante este tiempo, se restaura la carpeta pública y se detiene el registro en diario (para el plan Archiver). Puede supervisar el estado en la página Configuración de la cuenta, en la pestaña Credenciales.
Migrar la autenticación de entidad principal del servicio para clientes existentes
Como socio, puede indicar a sus clientes cómo añadir el respaldo de M365 con autorización de Autenticación de entidad principal de servicio proporcionándoles estos pasos, o puede realizar la tarea usted mismo suplantando al cliente.
- Cuando inicie sesión en el portal, verá un banner; haga clic en el botón Más información.
Se le redirigirá a la pestaña Credenciales en la página Ajustes de la cuenta. - Haga clic en el botón Migrar ahora.
- Haga clic en el botón Sí, continuar en la ventana emergente de confirmación.
- Seleccione el correo electrónico de la organización correcta.
- Haga clic en el botón Continuar .
- Complete el proceso de autorización del dispositivo. Cuando el proceso haya finalizado, puede cerrar la ventana.
- En el Portal de correo electrónico de la organización, haga clic en el botón Verificar y continuar.
Cuando se haya completado correctamente, el sistema mostrará una lista de todas las cuentas de M365 de este inquilino, con un banner adicional que indica que la migración para utilizar la autenticación de entidad de servicio se ha realizado correctamente.
Desactivación, cuentas inactivas y estado de los respaldos
Cuando se asigna una licencia de correo electrónico válida a una cuenta en el inquilino de origen, la copia de seguridad se ejecuta regularmente. Cuando esa licencia no está asignada a una cuenta en el origen, se marca como «Inactiva» en el sistema NinjaOne, ya que ha detectado que el usuario no tiene una licencia válida en el proveedor de correo.
Si un buzón no tiene ningún dato, se marcará como desactivado dentro de la interfaz de usuario. Sin embargo, NinjaOne seguirá comprobando periódicamente si se ha añadido algún dato y lo reactivará automáticamente una vez que existan datos.
Si un usuario desactiva manualmente un buzón de correo de la copia de seguridad, la información sobre herramientas muestra que se ha desactivado manualmente. El sistema desactiva automáticamente la copia de seguridad de un buzón de correo cuando se elimina del servidor de correo y el buzón se elimina del grupo AD registrado en NinjaOne.
Cuando se produce un error de respaldo para un buzón, el Panel de control de correo electrónico de la organización lo muestra. El estado del respaldo también se puede comprobar en la pestaña Estado del sistema (Portal de correo electrónico de la organización) y en la pestaña Soporte (Portal de socios). Nuestro sistema vuelve a intentarlo automáticamente durante los errores de respaldo y el proceso de respaldo no se detiene. El proceso de respaldo solo se detiene cuando un buzón está en estado desactivado/inactivo.
Póngase en contacto con el soporte técnico de NinjaOne si necesita ayuda para investigar cualquier error de respaldo.
Colores de estado del buzón
- El color naranja representa un buzón inactivo que se ha desactivado.
- Gris representa un buzón inactivo sin datos (vacío) en el extremo M365. Estos buzones inactivos no utilizan una licencia
Función de alternancia de autenticación de entidad principal de servicio (SPA)
¿Cómo puedo encontrar el conmutador SPA?
- Inicie sesión en el Portal para socios.
- Vaya a la página Organización.
- Seleccione una organización, haga clic en los tres puntos y, a continuación, haga clic enVer detalles.
- El conmutador SPA está disponible bajo la pestaña Funciones.
¿Cuál es el valor predeterminado del conmutador SPA?
Estará en estado deshabilitado.
¿Qué efecto tiene en el portal de correo electrónico de la organización una vez que se activa el conmutador?
Los usuarios serán redirigidos para utilizar la creación manual de roles personalizados al añadir el respaldo M365. Por otro lado, cuando el conmutador está desactivado, los usuarios serán redirigidos para utilizar la creación automatizada de roles personalizados al añadir el respaldo M365.
Preguntas frecuentes
- ¿Cuánto tiempo se tarda en crear una función personalizada?
- ¿SPA requiere un administrador global?
- Supongamos que elijo utilizar la creación automatizada de funciones personalizadas y veo que la creación de la función tarda algún tiempo en completarse, por lo que quiero cambiar a la ejecución manual del script para crear la función. ¿Esto acelerará la creación de la función personalizada?
- ¿Qué sucederá con los inquilinos cuando la creación de funciones personalizadas aún esté pendiente?
- ¿Qué protocolos de inquilinos deben estar disponibles?
- Después de que los socios hayan sido autorizados correctamente con los permisos de entidad principal del servicio, ¿qué deben hacer a continuación?
- He migrado correctamente a la autenticación de entidad principal de servicio y he recibido el mensaje de que puedo limpiar backupadmin y el registro de la aplicación Azure AD, ¿por qué siguen apareciendo otros registros de aplicaciones?
- Después de migrar a la autenticación de entidad principal del servicio, hemos descubierto que la autenticación de entidad principal del servicio no admite el respaldo del calendario de grupos y equipos ni el buzón de correo de grupos y equipos con adjuntos. ¿Podemos volver al método heredado?
- Después de cambiar del método heredado a la autenticación de entidad principal de servicio, ¿seguiré teniendo que volver a autenticarse periódicamente?
- ¿Qué se necesita para configurar o migrar a la autenticación de entidad principal?
- Mi estado de función personalizada muestra "Desconectado", ¿qué hago?
- Veo un error de credenciales después de migrar a SPA, ¿cómo lo resuelvo?
- ¿Cuáles son las funciones/alcances requeridos para SPA?
- ¿Qué significa la creación manual de funciones personalizadas al añadir el respaldo M365?
- ¿Qué significa la creación automatizada de funciones personalizadas al añadir el respaldo M365?
¿Cuánto tiempo se tarda en crear una función personalizada?
Dependerá de la situación por parte de Microsoft. Puede variar desde un par de minutos hasta 3 días.
¿SPA requiere un administrador global?
Sí, se requiere un administrador global durante la configuración de SPA. Además, los siguientes escenarios seguirán requiriendo un administrador global dentro del inquilino
Módulo de respaldo:
- Respaldo de carpetas públicas.
- Restaurar carpeta pública.
Módulo PowerShell:
- Crear una subaplicación durante la configuración inicial y volver a crearla cuando la subaplicación no es válida.
Supongamos que elijo utilizar la creación automatizada de funciones personalizadas y descubro que la creación de la función tarda algún tiempo en completarse, por lo que quiero cambiar a la ejecución manual del script para crear la función. ¿Se acelerará la creación de la función personalizada?
No es seguro que cambiar a una función manual acelere la creación de funciones personalizadas, ya que depende de lo que esté sucediendo en Microsoft.
¿Qué sucederá con los inquilinos cuando la creación de funciones personalizadas aún esté pendiente?
Esperamos que esperen hasta 24 horas. Cada día, volveremos a intentar el proceso y, si sigue fallando, les enviaremos un correo electrónico de notificación y les pediremos que se pongan en contacto con nuestro servicio de soporte técnico.
¿Qué protocolos de inquilinos deben estar disponibles?
Usamos el «Módulo Exchange Online PowerShell V3» para conectarnos al inquilino del cliente.
Después de que los socios hayan sido autorizados correctamente con los permisos de entidad principal del servicio, ¿qué deben hacer a continuación?
Le recomendamos que elimine backupadmin de su cuenta después de verificar su nueva autorización con el servicio principal.
He migrado correctamente a la autenticación de entidad de servicio y he recibido el mensaje de que puedo limpiar el backupadmin y el registro de la aplicación Azure AD, ¿por qué siguen apareciendo otros registros de aplicaciones?
Una vez que haya migrado del método heredado a la autenticación de entidad principal, se pueden eliminar el administrador de copias de seguridad y el registro de la aplicación asociada; sin embargo, SPA requiere que no se eliminen las subaplicaciones restantes.
Después de migrar a la autenticación de entidad principal del servicio, nos enteramos de que la autenticación de entidad principal del servicio no admite el respaldo del calendario de Grupos y equipos ni el buzón de correo de Grupos y equipos con adjuntos. ¿Podemos volver al método heredado?
Sí, póngase en contacto con el soporte técnico de NinjaOne enpara solicitar esta reversión. Nota: Una vez completado este proceso, será necesario volver a autenticarse con el administrador de copias de seguridad.
Después de cambiar del método heredado a la autenticación de entidad principal del servicio, ¿tendré que volver a autenticarme periódicamente?
No, ya que ya no conservamos tokens para el backupadmin, no debería ser necesaria ninguna reautenticación. La única vez que podría ser necesaria una reautenticación es si se revocan los tokens de la aplicación principal de la organización.
¿Qué se necesita para configurar o migrar a la autenticación de entidad principal?
El administrador que se utiliza para la autorización debe tener acceso al cmdlet (enable-organizationcustomization) para crear funciones personalizadas antes de autorizar la aplicación ExO. Remote Powershell debe estar habilitado para el usuario que autoriza la aplicación ExO. El inquilino debe tener una licencia de Exchange para migrar al flujo de autenticación de entidad principal (SPA); de lo contrario, no se podrá crear la función personalizada.
El estado de mi función personalizada muestra «Desconectado», ¿qué hago?
Póngase en contacto con el soporte técnico de NinjaOne si ve esto en su organización.
Veo un error de credenciales después de migrar a SPA, ¿cómo lo resuelvo?
Para resolver el error de credenciales que aparece después de migrar a SPA, utilice cualquier administrador global dentro del inquilino M365 para volver a autenticarse. Dado que SPA no guarda tokens para el administrador de respaldo, esta debería ser la única reautenticación que se debe completar.
¿Cuáles son las funciones/alcances requeridos para SPA?
| Permiso | Tipo | Finalidad |
|---|---|---|
| Application.Read.WriteAll | Delegado | Crear y eliminar subaplicaciones utilizadas para respaldos y restauraciones |
| AppRoleAssignment.ReadWrite.All | Delegado | Subvención del consentimiento administrativo para subaplicaciones |
| Calendars.ReadWrite | Aplicación | Respaldo y restauración del calendario |
| ChannelMessage.Read.All | Aplicación | Respaldo y restauración de chat de equipos |
| Chat.Read.All | Aplicación | Respaldo y restauración de chat de equipos |
| Contactos.LeerEscribir | Aplicación | Respaldo y restauración de contactos |
| Dominio.Leer.Todo | Delegados | Lista los dominios disponibles en el inquilino |
| Archivos.LeerEscribir.Todo | Aplicación | Respaldo y restauración de archivos |
| Grupo.Leer y escribir.Todo | Aplicación | Respaldo y restauración de grupos y equipos |
| Mail.ReadBasic.Todo | Aplicación | Respaldo y restauración de correo electrónico |
| Notas.LeerEscribir.Todo | Aplicación | Respaldo y restauración de notas |
| acceso sin conexión | Delegado | Renovar token de actualización para el administrador de ORG |
| Informes.Leer.Todo | Aplicación | |
| RoleManagement.Read.Directorio | Aplicación | Recuperar la lista de usuarios y administradores de la organización |
| Sitios.Administrar.Todo | Aplicación | Respaldo y restauración de sitios |
| Sites.ReadWrite.Todo | Aplicación | Respaldo y restauración de sitios |
| Trabajo en equipo. Migrar. Todo | Aplicación | Equipos Restaurar chat |
| Usuario.Leer.Todo | Aplicación | Listas de usuarios |
| Usuario.LeerEscribir.Todo | Delegados |
¿Qué significa la creación manual de funciones personalizadas al añadir la copia de seguridad de M365?
Se refiere al proceso manual de crear una función con los permisos mínimos necesarios para realizar tareas de copia de seguridad. La función se crea ejecutando el script de PowerShell. En el flujo manual, los usuarios deben descargar y ejecutar el script de PowerShell en lugar de dejar que NinjaOne lo ejecute. Siga estos pasos para agregar la copia de seguridad de M365 con la creación manual de funciones personalizadas:
- Inicie sesión en el portal de correo electrónico de la organización.
- Haga clic en el botón +Agregar respaldo en la página Panel de control.
- Haga clic en el botón Iniciar sesión con Microsoft 365.
- Introduzca la cuenta de administrador global de M365 según corresponda.
- Haga clic en el botón Aceptar.
- Una vez concedido el consentimiento, el usuario será redirigido a la página AUTORIZACIÓN DE M365. Hay dos pasos en total
- Crear aplicación de respaldo: las subaplicaciones se crean en el inquilino del usuario (puede tardar unos segundos en completarse).
- Haga clic en el botón Verificar y continuar para completar la autorización. Asegúrese de seguir las tres instrucciones proporcionadas para obtener un resultado satisfactorio.
- Descargue el script de PowerShell haciendo clic en el botón proporcionado.
- Abra el símbolo del sistema de PowerShell y, a continuación, ejecute el script (punto 2.1) hasta que se ejecute por completo.
- Se ha incluido una breve sección de preguntas frecuentes para ayudarle a comprender mejor el flujo.
- Una vez que la autorización se haya realizado correctamente, se le redirigirá a la página de lista de cuentas de M365, donde podrá empezar a seleccionar los buzones de correo para realizar el respaldo.
¿Qué significa la creación automatizada de funciones personalizadas al añadir la copia de seguridad de M365?
Se refiere al proceso automatizado de crear una función con los permisos mínimos necesarios para realizar operaciones de copia de seguridad. La función se crea ejecutando un script de PowerShell. En el flujo automatizado, NinjaOne ejecutará el script de PowerShell en lugar de dejar que lo hagan los usuarios. Siga los pasos para añadir la copia de seguridad de M365 con la creación automatizada de funciones personalizadas:
- Inicie sesión en el portal de correo electrónico de la organización.
- Haga clic en el botón +Agregar respaldo en la página Panel de control.
- Haga clic en el botón Iniciar sesión con Microsoft 365.
- El sistema muestra dos opciones
- Seleccione la segunda línea para experimentar la Autenticación de entidad de servicio (SPA).
- La primera línea corresponde a la autorización actual, que aún implica la creación de un administrador global.
- Introduzca la cuenta de administrador de M365 según corresponda.
- Desplácese hacia abajo en la página y haga clic en el botón Aceptar para permitir que se realice una copia de seguridad de nuestra aplicación.
- Una vez concedido el consentimiento, el usuario será redirigido a la página AUTORIZACIÓN DE M365. Hay dos pasos en total
- Crear aplicación de respaldo: las subaplicaciones se crean en el inquilino del usuario (puede tardar unos segundos en completarse).
- Autorización del dispositivo: comience haciendo clic en el enlace disponible.
- El sistema le redirigirá a la nueva ventana de Microsoft, copie y pegue el código desde el portal, luego haga clic en el botón Siguiente.
- Seleccione el correo electrónico administrativo correcto.
- Haga clic en el botón Continuar.
Una vez que vea esta pantalla, la autorización del dispositivo se habrá completado. Puede cerrar la ventana. - De vuelta en el portal de correo electrónico de la organización, haga clic en el botón Verificar y continuar para finalizar este paso.
Una vez que se haya completado con éxito, el sistema mostrará todas las cuentas M365 de este inquilino. Seleccione la cuenta que desea agregar al respaldo.