NinjaOne SaaS Backup: Comptes e-mail pour organisations – Basique

Rubrique

L'authentification du principal de service dans notre portail de messagerie de l'organisation de sauvegarde SaaS vise à minimiser les dommages potentiels causés par des violations de sécurité accidentelles ou intentionnelles. Elle limite les droits d'accès aux données au niveau minimum requis pour effectuer les tâches. Il s'agit d'un processus simple qui supprime la nécessité de créer un administrateur global et automatise la création de rôles personnalisés.

Environnement

NinjaOne SaaS Backup

Description

NinjaOne SaaS Backup est une plateforme de sauvegarde dans le cloud qui aide les entreprises à sauvegarder, gérer, récupérer et protéger leurs informations commerciales en toute sécurité. Les sauvegardes automatisées et incrémentielles simplifient l'expérience de sauvegarde, de restauration et de conformité. Elle fonctionne avec Microsoft 365 (Hosted Exchange, Groupes et Équipes, SharePoint, OneDrive), Gmail (y compris les calendriers, les contacts et les tâches) et d'autres serveurs de messagerie IMAP. NinjaOne utilise un chiffrement 256 bits (AES) au repos et en transit, et prend en charge l'authentification multifactorielle (MFA).

Indexer

• Authentification du principal de service pour les clients nouveaux et existants
  • Conditions préalables à l'authentification du principal de service
  • Ajout de la sauvegarde M365 avec authentification du principal de service pour les nouveaux clients
  • Migrer l'authentification du principal de service pour les clients existants
• Désactivation, comptes inactifs et statut des sauvegardes
  • Couleurs des statuts de boîte aux lettres
• Ajout de la bascule d'authentification du principal de service (SPA)
• Foire aux questions

Authentification du principal de service pour les clients nouveaux et existants

Conditions préalables à l'authentification du principal de service

• Pour les utilisateurs qui autoriseront l'application de gestion Exchange Online, PowerShell doit être activé.
• Une licence Exchange Online et des sauvegardes d'e-mails sont obligatoires.
  • Les organisations qui sauvegardent uniquement SharePoint et les groupes ne peuvent pas utiliser l'authentification du principal de service.
• L'authentification SPA exige que les utilisateurs autorisent l'application Exchange Online Management App à l'aide d'un rôle disposant d'un accès aux applets de commande obligatoires dans PowerShell
  • L'administrateur global peut être utilisé
    • Si l'administrateur global n'est pas utilisé, un rôle personnalisé peut être créé pour accéder aux cmdlets requis.
    • L'administrateur global est utilisé une seule fois et l'accès permanent ne sera pas conservé par NinjaOne une fois le processus d'autorisation terminé.
• Les cmdlets PowerShell obligatoires sont les suivants
  • Activer-PersonnalisationOrganisation
  • Get-RoleGroup
  • Nouveau-RoleGroup
  • Get-ManagementRole
  • Nouveau-Rôle de gestion
  • Nouveau-Rôle de gestion d'attribution
  • Obtenir le principal de service
  • Nouveau-ServicePrincipal
  • Obtenir-MembreGroupeRôle
  • Ajouter-MembreGroupeRôle

Veuillez noter qu'avec SPA, NinjaOne continuera d'utiliser l'administrateur global au sein du locataire (et non l'administrateur de sauvegarde créé pour notre méthode de connexion héritée) dans les scénarios suivants. Cet administrateur global devra disposer d'une licence Exchange afin d'y accéder correctement. Dans le cas des dossiers publics, il devra également être propriétaire des dossiers.

• Module Sauvegarde
  • Sauvegarde des dossiers publics
  • Restaurer les dossiers publics
• Module PowerShell
  • Création d'une sous-application lors de la configuration initiale et recréation de celle-ci si elle devient non valide.

Ajout de la sauvegarde M365 avec authentification du principal de service pour les nouveaux clients

En tant que partenaire, vous pouvez demander à vos clients d'ajouter la sauvegarde M365 avec l'autorisation d'authentification du principal de service en leur fournissant ces étapes, ou vous pouvez effectuer la tâche vous-même en vous faisant passer pour le client.

1. Accédez au portail de messagerie de l'organisation.
   
2. Cliquez sur le bouton + Ajouter une sauvegarde sur la page Tableau de bord.
   
3. Cliquez sur Se connecter avec Microsoft 365.
   
   Vous verrez 2 options. Sélectionnez la deuxième option, « Autoriser avec les autorisations les moins privilégiées », pour l'autorisation et saisissez le compte administrateur M365 en conséquence.
4. Faites défiler la page vers le bas et cliquez sur Accepter.
   Une fois le consentement accordé, l'utilisateur sera redirigé vers la page AUTORISATION M365. Il y a deux (2) étapes au total
   1. Créer une application de sauvegarde ; nous créons des sous-applications dans le tenant de l'utilisateur. Cela peut prendre quelques secondes.
   2. Dans Autorisation de l'appareil, cliquez sur le lien disponible. Le système vous redirigera vers la nouvelle fenêtre Microsoft, copiez et collez le code du portail, puis cliquez sur le bouton Suivant . Sélectionnez l'administrateur de messagerie approprié. Cliquez sur le bouton Continuer.
5. Retournez au portail de messagerie de l'organisation et cliquez sur Vérifier et continuer pour terminer.
   Une fois l'opération réussie, le système répertorie tous les comptes M365 de ce locataire. Veuillez patienter jusqu'à ce que la création du rôle personnalisé soit connectée. Cela peut prendre jusqu'à 24 heures. Pendant ce temps, le dossier public est restauré et la journalisation (pour le plan Archiver) est arrêtée. Vous pouvez surveiller l'état sur la page Paramètres du compte sous l'onglet Informations d'identification.

Migrer l'authentification du principal de service pour les clients existants

En tant que partenaire, vous pouvez demander à vos clients d'ajouter la sauvegarde M365 avec l'autorisation d'authentification du principal de service en leur fournissant ces étapes, ou vous pouvez effectuer la tâche vous-même en vous faisant passer pour le client.

1. Lorsque vous êtes connecté au portail, une bannière s'affiche ; cliquez sur le bouton En savoir plus.
   Vous serez redirigé vers l'onglet Identifiants de la page Paramètres du compte.
2. Cliquez sur le bouton Migrer maintenant.
3. Cliquez sur le bouton Oui, Continuer dans la fenêtre contextuelle de confirmation.
4. Sélectionnez l'adresse e-mail de l'organisation appropriée.
5. Cliquez sur le bouton Continuer .
6. Compléter la procédure d'autorisation de l'appareil. Une fois la procédure terminée, vous pouvez fermer la fenêtre.
7. Dans le portail e-mail de l'organisation, cliquez sur le bouton Vérifier et continuer.
   Une fois l'opération terminée, le système répertorie tous les comptes M365 de ce locataire, avec une bannière supplémentaire indiquant que la migration vers l'authentification du principal de service a réussi.

Désactivation, comptes inactifs et statut des sauvegardes

Lorsqu'une licence e-mail valide est attribuée à un compte dans le tenant source, la sauvegarde s'exécute régulièrement. Lorsque cette licence n'est pas attribuée à un compte dans la source, elle est marquée comme « Inactive » dans le système NinjaOne, car celui-ci a détecté que l'utilisateur ne dispose d'aucune licence valide dans le fournisseur de messagerie.

Si une boîte aux lettres ne contient aucune donnée, elle sera marquée comme désactivée dans l'interface utilisateur. Cependant, NinjaOne continuera de vérifier régulièrement si des données ont été ajoutées et la réactivera automatiquement une fois que des données existent.

Si un utilisateur désactive manuellement une boîte aux lettres de la sauvegarde, l'info-bulle indique qu'elle a été désactivée manuellement. Le système désactive automatiquement la sauvegarde d'une boîte aux lettres lorsqu'elle est supprimée du serveur de messagerie et que la boîte aux lettres est supprimée du groupe AD enregistré dans NinjaOne.

Lorsqu'une erreur de sauvegarde survient pour une boîte aux lettres, le tableau de bord des e-mails de l'organisation l'affiche. Le statut de la sauvegarde peut également être vérifié à partir de l'onglet Statut du système (Portail des e-mails de l'organisation) et de l'onglet Assistance (Portail des partenaires). Notre système réessaie automatiquement en cas d'erreurs de sauvegarde et le processus de sauvegarde ne s'arrête pas. Le processus de sauvegarde s'arrête uniquement lorsqu'une boîte aux lettres est désactivée/inactive.

Veuillez contacter le support NinjaOne si vous avez besoin d'aide pour rechercher des erreurs de sauvegarde.

Couleurs des statuts des boîtes aux lettres

• La couleur orange représente une boîte aux lettres inactive qui a été désactivée.
• Gris représente une boîte aux lettres inactive sans données (vide) sur M365. Ces boîtes aux lettres inactives n'utilisent pas de licence

Fonctionnalité de basculement de l'authentification du principal de service (SPA)

Comment trouver le bouton SPA ?

1. Connectez-vous au portail des partenaires.
2. Accédez à la page Organisation.
3. Sélectionnez une organisation, cliquez sur les points de suspension, puis surAfficher les détails.
4. La fonctionnalité SPA est disponible sous l'onglet Caractéristiques.

Quelle est la valeur par défaut du bouton SPA ?

Elle sera désactivée.

Quel est l'effet sur le portail de messagerie de l'organisation une fois que le bouton est activé ?

Les utilisateurs seront redirigés vers la création manuelle de rôles personnalisés lors de l'ajout d'une sauvegarde M365. En revanche, lorsque le bouton est désactivé, les utilisateurs seront redirigés vers la création automatisée de rôles personnalisés lors de l'ajout d'une sauvegarde M365.

Foire aux questions

• Combien de temps faut-il pour créer un rôle personnalisé ?
• Le SPA nécessite-t-il un administrateur global ?
• Supposons que je choisisse d'utiliser la création automatisée de rôles personnalisés et que je constate que la création du rôle prend un certain temps. Je souhaite alors passer à l'exécution manuelle du script pour créer le rôle. Cela accélérera-t-il la création du rôle personnalisé ?
• Que se passera-t-il pour les locataires lorsque la création de rôles personnalisés est encore en attente ?
• Quels protocoles de locataire doivent être disponibles ?
• Après avoir autorisé les partenaires avec les autorisations de principal de service, que doivent-ils faire ensuite ?
• J'ai migré avec succès vers l'authentification par entité de service et j'ai reçu l'invite m'indiquant que je peux nettoyer backupadmin et l'inscription de l'application Azure AD. Pourquoi leurs autres inscriptions d'application apparaissent-elles toujours dans la liste ?
• Après avoir migré vers l'authentification par entité de service, nous avons appris que celle-ci ne prend pas en charge la sauvegarde du calendrier des groupes et des équipes ni les boîtes aux lettres des groupes et des équipes avec pièces jointes. Pouvons-nous revenir à l'ancienne méthode ?
• Après avoir commuté de l'ancienne méthode à l'authentification par entité de service, devrai-je toujours me réauthentifier périodiquement ?
• Que faut-il faire pour configurer ou migrer vers l'authentification par principal de service ?
• Mon statut de rôle personnalisé affiche « Déconnecté », que dois-je faire ?
• Je rencontre une erreur d'identifiant après la migration vers SPA, comment puis-je la résoudre ?
• Quels sont les rôles/périmètres requis pour SPA ?
• Que signifie la création manuelle d'un rôle personnalisé lors de l'ajout de la sauvegarde M365 ?
• Que signifie la création manuelle de rôles personnalisés lors de l'ajout de la sauvegarde M365 ?

Combien de temps faut-il pour créer un rôle personnalisé ?

Cela dépendra de la situation du côté de Microsoft. Cela peut varier de quelques minutes à 3 jours.

Le SPA nécessite-t-il un administrateur global ?

Oui, un administrateur global est nécessaire lors de la configuration de SPA. De plus, les scénarios ci-dessous continueront à nécessiter un administrateur global dans le tenant

Module de sauvegarde :

• Sauvegarde des dossiers publics.
• Restauration des dossiers publics.

Module PowerShell :

• Création d'une sous-application lors de la configuration initiale et recréation de celle-ci lorsque la sous-application n'est pas valide.

Supposons que je choisis d'utiliser la création automatisée de rôles personnalisés et que je constate que la création du rôle prend un certain temps. Je souhaite donc passer à l'exécution manuelle du script pour créer le rôle. Cela accélérera-t-il la création du rôle personnalisé ?

Le passage à un rôle manuel ne garantit pas que la création du rôle personnalisé sera plus rapide, car cela dépend de ce qui se passe du côté de Microsoft.

Que se passera-t-il pour les locataires lorsque la création de rôles personnalisés est toujours en attente ?

Nous leur demandons de patienter jusqu'à 24 heures. Nous réessaierons le processus toutes les heures et, s'il échoue à nouveau, nous leur enverrons un e-mail de notification et leur demanderons de contacter notre support.

Quels protocoles de locataire doivent être disponibles ?

Nous utilisons le « module Exchange Online PowerShell V3 » pour nous connecter au locataire du client.

Après que les partenaires ont été autorisés avec succès avec les autorisations du principal de service, que doivent-ils faire ensuite ?

Nous vous conseillons de supprimer backupadmin de votre compte après avoir vérifié votre nouvelle autorisation avec le principal de service.

J'ai migré avec succès vers l'authentification par entité de service et j'ai reçu l'invite m'indiquant que je peux nettoyer le backupadmin et l'enregistrement de l'application Azure AD. Pourquoi leurs autres enregistrements d'application apparaissent-ils toujours dans la liste ?

Une fois que vous avez migré de l'ancienne méthode vers l'authentification par entité de service, l'administrateur de sauvegarde et l'inscription de l'application associée peuvent être supprimés. Cependant, SPA exige que les sous-applications restantes ne soient pas supprimées.

Après avoir migré vers l'authentification par principal de service, nous avons appris que l'authentification par principal de service ne prend pas en charge la sauvegarde du calendrier des groupes et des équipes ni la boîte aux lettres des groupes et des équipes avec pièces jointes. Pouvons-nous revenir à l'ancienne méthode ?

Oui, veuillez contacter l'assistance NinjaOne à l'adressepour demander cette annulation. Remarque : une fois cette opération terminée, une nouvelle authentification avec backupadmin sera requise.

Après être passé de l'ancienne méthode à l'authentification par service principal, devrai-je toujours me réauthentifier périodiquement ?

Non, puisque nous ne conservons plus les jetons pour le backupadmin, aucune réauthentification ne devrait être nécessaire. La seule fois où une réauthentification pourrait être nécessaire est si les jetons de l'application principale de l'organisation sont révoqués.

Que faut-il faire pour configurer ou migrer vers l'authentification par principal de service ?

L'administrateur utilisé pour l'autorisation doit avoir accès à la cmdlet (enable-organizationcustomization) pour la création de rôles personnalisés avant d'autoriser l'application ExO. Remote Powershell doit être activé pour l'utilisateur qui autorise l'application ExO. Le locataire doit disposer d'une licence Exchange pour migrer vers le flux d'authentification de principal de service (SPA), sinon le rôle personnalisé ne peut pas être créé.

Le statut de mon rôle personnalisé s'affiche comme « Déconnecté », que dois-je faire ?

Veuillez contacter l'assistance NinjaOne si vous constatez cela dans votre organisation.

Je rencontre une erreur d'identifiant après la migration vers SPA, comment puis-je la résoudre ?

Pour résoudre l'erreur d'identifiant qui apparaît après la migration vers SPA, utilisez n'importe quel administrateur global du tenant M365 pour vous réauthentifier. Étant donné que SPA ne conserve pas les jetons pour l'administrateur de sauvegarde, cette réauthentification devrait être la seule à devoir être effectuée.

Quels sont les rôles/périmètres obligatoires pour SPA ?

Que signifie la création manuelle d'un rôle personnalisé lors de l'ajout de la sauvegarde M365 ?

Il s'agit du processus manuel de création d'un rôle avec les autorisations minimales nécessaires pour effectuer des tâches de sauvegarde. Le rôle est créé en exécutant le script PowerShell. Dans le flux manuel, les utilisateurs doivent télécharger et exécuter le script PowerShell au lieu de laisser NinjaOne l'exécuter. Veuillez suivre ces étapes pour ajouter la sauvegarde M365 avec la création manuelle de rôles personnalisés :

1. Connectez-vous au portail E-mail de l'organisation.
2. Cliquez sur le bouton +Ajouter une sauvegarde sur la page Tableau de bord.
3. Cliquez sur le bouton Se connecter avec Microsoft 365.
4. Saisissez le compte administrateur global M365 en conséquence.
5. Cliquez sur le bouton Accepter.
6. Une fois le consentement accordé, l'utilisateur sera redirigé vers la page AUTORISATION M365. Il y a deux étapes au total
   1. Créer une application de sauvegarde - les sous-applications sont créées dans le tenant de l'utilisateur (cela peut prendre quelques secondes).
   2. Cliquez sur le bouton Vérifier et continuer pour terminer l'autorisation. Veuillez vous assurer de suivre les trois instructions fournies pour obtenir un résultat satisfaisant.
      1. Téléchargez le script PowerShell en cliquant sur le bouton fourni.
      2. Ouvrez votre invite de commande PowerShell, puis exécutez le script (point 2.1) jusqu'à ce qu'il soit complètement exécuté.
      3. Une brève section QUESTIONS-RÉPONSES a été incluse pour vous aider à mieux comprendre le débit.
7. Une fois l'autorisation accordée, vous serez redirigé vers la page de liste des comptes M365 où vous pourrez commencer à sélectionner les boîtes aux lettres à sauvegarder.

Que signifie la création automatisée de rôles personnalisés lors de l'ajout de la sauvegarde M365 ?

Il s'agit du processus automatisé de création d'un rôle avec les autorisations minimales nécessaires pour effectuer les opérations de sauvegarde. Le rôle est créé en exécutant un script PowerShell. Dans le flux automatisé, NinjaOne exécutera le script PowerShell à la place des utilisateurs. Veuillez suivre les étapes suivantes pour ajouter la sauvegarde M365 avec la création automatisée de rôles personnalisés :

1. Connectez-vous au portail E-mail de l'organisation.
2. Cliquez sur le bouton +Ajouter une sauvegarde sur la page Tableau de bord.
3. Cliquez sur le bouton S'identifier avec Microsoft 365.
4. Le système affiche deux options
   • Sélectionnez la deuxième ligne pour découvrir l'authentification du principal de service (SPA).
   • La première ligne correspond à l'autorisation actuelle, qui implique toujours la création d'un administrateur global.
5. Saisissez le compte administrateur M365 en conséquence.
6. Faites défiler la page vers le bas et cliquez sur le bouton Accepter pour autoriser la sauvegarde de notre application.
7. Une fois le consentement accordé, l'utilisateur sera redirigé vers la page AUTORISATION M365. Il y a deux étapes au total
   • Créer une application de sauvegarde — des sous-applications sont créées dans le tenant de l'utilisateur (cela peut prendre quelques secondes).
   • Autorisation de l'appareil — commencez par cliquer sur le lien disponible.
8. Le système vous redirigera vers la nouvelle fenêtre Microsoft, copiez et collez le code depuis le portail, puis cliquez sur le bouton Suivant.
9. Sélectionnez l'administrateur de messagerie approprié.
10. Cliquez sur le bouton Continuer.
    Une fois que vous voyez cet écran, l'autorisation de l'appareil est terminée. Vous pouvez fermer la fenêtre.
11. De retour dans le portail E-mail de l'organisation, cliquez sur le bouton Vérifier et continuer pour terminer cette étape.
    Une fois l'opération réussie, le système répertorie tous les comptes M365 de ce tenant. Sélectionnez le compte que vous souhaitez ajouter à la sauvegarde.