Argomento
L'autenticazione dell'entità di servizio nel nostro portale e-mail dell'organizzazione di backup SaaS mira a ridurre al minimo i potenziali danni causati da violazioni della sicurezza accidentali o intenzionali. Limita i diritti di accesso ai dati ai livelli minimi necessari per eseguire le attività. Si tratta di un processo semplice che elimina la necessità di creare amministratori globali e automatizza la creazione di ruoli personalizzati.
Ambiente
Descrizione
NinjaOne SaaS Backup è una piattaforma di backup su cloud che aiuta le aziende a eseguire il backup, gestire, recuperare e proteggere in modo sicuro le proprie informazioni aziendali. I backup automatici e incrementali semplificano l'esperienza di backup, ripristino e conformità. Funziona con Microsoft 365 (Hosted Exchange, Gruppi e Teams, SharePoint, OneDrive), Gmail (inclusi Calendari, Contatti e Attività) e altri server di posta elettronica IMAP. NinjaOne utilizza la crittografia a 256 bit (AES) sia in transito che a riposo e supporta l'autenticazione a più fattori (MFA).
Indice
- Autenticazione del servizio principale per clienti nuovi ed esistenti
- Disattivazione, account inattivi e stato del backup
- Aggiunta dell'autenticazione dell'entità di servizio (SPA)
- Domande frequenti
Autenticazione entità di servizio per client nuovi ed esistenti
Prerequisiti per l'autenticazione dell'entità di servizio
- Per gli utenti che autorizzeranno l'app Gestione di Exchange Online, PowerShell deve essere abilitato.
- Sono necessari una licenza Exchange Online e backup e-mail .
- Le organizzazioni che eseguono il backup solo di SharePoint e Gruppi non possono utilizzare l'autenticazione dell'entità di servizio.
- SPA richiede agli utenti di autorizzare l'app Gestione di Exchange Online utilizzando un ruolo che dispone dell'accesso ai cmdlet obbligatori in PowerShell
- È possibile utilizzare l'amministratore globale
- Se non si utilizza Amministratore globale, è possibile creare un ruolo personalizzato che abbia accesso ai cmdlet richiesti.
- L'amministratore globale viene utilizzato una volta e l'accesso permanente non rimarrà con NinjaOne una volta completato il processo di autorizzazione.
- È possibile utilizzare l'amministratore globale
- I cmdlet PowerShell obbligatori sono
- Abilita personalizzazione organizzazione
- Get-RoleGroup
- Nuovo-GruppoRuoli
- Get-ManagementRole
- Nuovo ruolo di gestione
- Nuovo-AssegnazioneRuoloGestione
- Ottieni-PrincipaleServizio
- Nuovo-PrincipaleServizio
- Ottieni membro gruppo ruolo
- Aggiungi membro gruppo di ruoli
Si prega di notare che con SPA, NinjaOne continuerà a utilizzare l'amministratore globale all'interno del tenant (non l'amministratore di backup creato per il nostro metodo di connessione legacy) per i seguenti scenari. Questo amministratore globale dovrà disporre di una licenza Exchange per poter accedere correttamente a questi. Nel caso di cartelle pubbliche, dovrebbe anche essere il proprietario delle cartelle.
- Modulo Backup
- Backup cartelle pubbliche
- Ripristino cartelle pubbliche
- Modulo Powershell
- Creazione di una sotto-app durante la configurazione iniziale e ricreazione della stessa se la sotto-app diventa non valida.
Aggiunta di M365 Backup con autenticazione Service Principal per nuovi clienti
In qualità di partner, puoi istruire i tuoi clienti su come aggiungere il backup M365 con l'autorizzazione dell'autenticazione dell'entità di servizio fornendo loro questi passaggi, oppure puoi eseguire l'attività da solo impersonando il cliente.
- Accedere al portale e-mail dell'organizzazione.
- Fai clic sul pulsante + Aggiungi backup nella pagina Dashboard.
- Fai clic su Accedi con Microsoft 365.
Verranno visualizzate 2 opzioni. Seleziona la seconda opzione, "Autorizza con autorizzazioni minime", per l'autorizzazione e inserisci l'account amministratore M365 di conseguenza. - Scorri verso il basso nella pagina e clicca su Accetta.
Una volta concesso il consenso, l'utente verrà reindirizzato alla pagina AUTORIZZAZIONE M365. Ci sono due (2) passaggi in totale- Crea applicazione di backup; stiamo creando delle sotto-applicazioni nel tenant dell'utente. Il completamento dell'operazione potrebbe richiedere alcuni secondi.
- In Autorizzazione dispositivo, clicca sul link disponibile. Il sistema ti reindirizzerà alla nuova finestra Microsoft, copia e incolla il codice dal portale, quindi clicca sul pulsante Avanti . Seleziona l'amministratore email corretto. Clicca sul pulsante Continua.
- Torna al portale e-mail dell'organizzazione e fai clic su Verifica e continua per terminare.
Una volta completata l'operazione, il sistema elencherà tutti gli account M365 presenti in questo tenant. Attendi fino a quando la creazione del ruolo personalizzato non sarà connessa correttamente. L'operazione potrebbe richiedere fino a 24 ore. Durante questo periodo, la cartella pubblica viene ripristinata e la registrazione su journal (per il piano Archiver) viene interrotta. Puoi monitorare lo stato nella pagina Impostazioni account nella scheda Credenziali.
Migrazione dell'autenticazione dell'entità di servizio per i clienti esistenti
In qualità di partner, puoi istruire i tuoi clienti su come aggiungere il backup M365 con l'autorizzazione Autenticazione entità di servizio fornendo loro questi passaggi, oppure puoi eseguire l'attività da solo impersonando il cliente.
- Una volta effettuato l'accesso al portale, viene visualizzato un banner; fare clic sul pulsante Scopri di più.
Verrai reindirizzato alla scheda Credenziali nella pagina Impostazioni account. - Fai clic sul pulsante Migra adesso.
- Fai clic sul pulsante Sì, Continua nella finestra di conferma.
- Seleziona l'e-mail dell'organizzazione corretta.
- Fai clic sul pulsante Continua .
- Completa il processo di autorizzazione del dispositivo. Al termine del processo, puoi chiudere la finestra.
- Nel portale e-mail dell'organizzazione, fai clic sul pulsante Verifica e continua.
Al termine dell'operazione, il sistema elencherà tutti gli account M365 presenti in questo tenant, con un banner aggiuntivo che indica che la migrazione per utilizzare l'autenticazione dell'entità di servizio è stata completata con successo.
Disattivazione, account inattivi e stato del backup
Quando una licenza e-mail valida è assegnata a un account nel tenant di origine, il backup viene eseguito regolarmente. Quando tale licenza non è assegnata a un account nell'origine, viene contrassegnata come "Inattiva" nel sistema NinjaOne poiché ha rilevato che l'utente non dispone di una licenza valida nel provider di posta.
Se una casella di posta non contiene dati, verrà contrassegnata come disattivata nell'interfaccia utente. Tuttavia, NinjaOne continuerà a verificare regolarmente se sono stati aggiunti dati e la riattiverà automaticamente una volta che i dati esistono.
Se un utente disattiva manualmente una casella di posta dal backup, il suggerimento visualizza che è stata disattivata manualmente. Il sistema disattiva automaticamente il backup di una casella di posta quando viene eliminata dal server di posta e la casella di posta viene rimossa dal gruppo AD registrato in NinjaOne.
Quando si verifica un errore di backup per una casella di posta, viene visualizzato nel Dashboard Email dell'organizzazione. Lo stato del backup può essere verificato anche dalla scheda Stato del sistema (Portale Email dell'organizzazione) e dalla scheda Assistenza (Portale Partner). Il nostro sistema riprova automaticamente durante gli errori di backup e il processo di backup non si interrompe. Il processo di backup si interrompe solo quando una casella di posta è in stato disattivato/inattivo.
Contatta l'assistenza NinjaOne se hai bisogno di aiuto per indagare su eventuali errori di backup.
Colori dello stato della casella di posta
- Il colore arancione indica una casella di posta inattiva che è stata disattivata.
- Il grigio rappresenta una casella di posta inattiva senza dati (vuota) su M365. Tali caselle di posta inattive non utilizzano una licenza
Funzionalità di attivazione/disattivazione dell'autenticazione del servizio principale (SPA)
Come posso trovare l'opzione SPA?
- Accedi al Portale partner.
- Vai alla pagina Organizzazione.
- Seleziona un'organizzazione, fai clic sui puntini di sospensione, quindi fai clic suVisualizza dettagli.
- L'opzione SPA è disponibile sotto la scheda Funzionalità.
Qual è il valore predefinito dell'opzione SPA?
Sarà in stato disabilitato.
Qual è l'effetto sul portale e-mail dell'organizzazione una volta attivato il pulsante?
Gli utenti verranno reindirizzati alla creazione manuale di ruoli personalizzati durante l'aggiunta del backup M365. D'altra parte, quando il pulsante è disattivato, gli utenti verranno reindirizzati alla creazione automatica di ruoli personalizzati durante l'aggiunta del backup M365.
Domande frequenti
- Quanto tempo occorre per creare un ruolo personalizzato?
- SPA richiede un amministratore globale?
- Supponiamo che io scelga di utilizzare la creazione automatica di ruoli personalizzati e che la creazione del ruolo richieda molto tempo, quindi desidero passare all'esecuzione manuale dello script per creare il ruolo. La creazione del ruolo personalizzato sarà più veloce?
- Cosa succede ai tenant quando la creazione di ruoli personalizzati è ancora in sospeso?
- Quali protocolli tenant devono essere disponibili?
- Dopo che i partner sono stati autorizzati correttamente con le autorizzazioni dell'entità di servizio, cosa devono fare?
- Ho completato con successo la migrazione all'autenticazione dell'entità di servizio e ho ricevuto la richiesta di ripulire backupadmin e la registrazione dell'app Azure AD, perché le altre registrazioni dell'app sono ancora elencate?
- Dopo aver eseguito la migrazione all'autenticazione dell'entità di servizio, abbiamo appreso che l'autenticazione dell'entità di servizio non supporta il backup del calendario di Gruppi e Teams o la casella di posta di Gruppi e Teams con allegati. Possiamo tornare al metodo legacy?
- Dopo aver effettuato la commutazione dal metodo legacy all'autenticazione dell'entità del servizio, dovrò comunque eseguire periodicamente una nuova autenticazione?
- Cosa è necessario per configurare o migrare all'autenticazione dell'entità di servizio?
- Il mio Stato ruolo personalizzato mostra "Disconnesso", cosa devo fare?
- Vedo un errore relativo alle credenziali dopo la migrazione a SPA, come posso risolverlo?
- Quali sono i ruoli/ambiti obbligatori per SPA?
- Cosa significa creazione manuale di ruoli personalizzati quando si aggiunge il backup M365?
- Cosa significa creazione automatica di ruoli personalizzati quando si aggiunge il backup M365?
Quanto tempo occorre per creare un ruolo personalizzato?
Dipenderà dalla situazione sul lato Microsoft. Può variare da un paio di minuti fino a 3 giorni.
SPA richiede un amministratore globale?
Sì, durante la configurazione di SPA è necessario un amministratore globale. Inoltre, i seguenti scenari continueranno a richiedere un amministratore globale all'interno del tenant
Modulo Backup:
- Backup cartelle pubbliche.
- Ripristino cartelle pubbliche.
Modulo Powershell:
- Creazione di una subapp durante la configurazione iniziale e ricreazione della stessa quando la subapp non è valida.
Supponiamo che io scelga di utilizzare la creazione automatica di ruoli personalizzati e che la creazione del ruolo richieda molto tempo, quindi desidero passare all'esecuzione manuale dello script per creare il ruolo. La creazione del ruolo personalizzato sarà più veloce?
Non è garantito che il passaggio a un ruolo manuale velocizzi la creazione del ruolo personalizzato, poiché dipende da ciò che sta accadendo sul lato Microsoft.
Cosa succede ai tenant quando la creazione di ruoli personalizzati è ancora in sospeso?
Prevediamo che dovranno attendere fino a 24 ore. Ogni giorno riproveremo il processo e, se continua a non funzionare, invieremo un'e-mail di notifica chiedendo loro di contattare il nostro supporto.
Quali protocolli tenant devono essere disponibili?
Utilizziamo il "Modulo Exchange Online PowerShell V3" per connetterci al tenant del cliente.
Dopo che i partner sono stati autorizzati con successo con le autorizzazioni dell'entità di servizio, cosa devono fare?
Ti consigliamo di rimuovere backupadmin dal tuo account dopo aver verificato la nuova autorizzazione con l'entità del servizio.
Ho completato con successo la migrazione all'autenticazione dell'entità di servizio e ho ricevuto la richiesta di pulire backupadmin e la registrazione dell'app Azure AD, perché le altre registrazioni dell'app sono ancora elencate?
Una volta eseguita la migrazione dal metodo legacy all'autenticazione con entità di servizio, è possibile eliminare l'amministratore di backup e la registrazione dell'app associata, tuttavia SPA richiede che le app secondarie rimanenti non vengano eliminate.
Dopo aver effettuato la migrazione all'autenticazione dell'entità di servizio, abbiamo appreso che l'autenticazione dell'entità di servizio non supporta il backup del calendario di Gruppi e Teams o la casella di posta di Gruppi e Teams con allegati. Possiamo tornare al metodo legacy?
Sì, contatta il supporto NinjaOne all'indirizzoper richiedere questa inversione. Nota: una volta completata l'operazione, sarà necessaria una nuova autenticazione con backupadmin.
Dopo aver effettuato il passaggio dal metodo legacy all'autenticazione Service Principal, dovrò comunque eseguire periodicamente una nuova autenticazione?
No, poiché non conserviamo più i token per backupadmin, non dovrebbe essere richiesta alcuna nuova autenticazione. L'unica volta in cui potrebbe essere richiesta una nuova autenticazione è se i token per l'app principale dell'organizzazione vengono revocati.
Cosa è necessario per configurare o migrare all'autenticazione dell'entità di servizio?
L'amministratore utilizzato per l'autorizzazione deve avere accesso al cmdlet (enable-organizationcustomization) per la creazione di ruoli personalizzati prima di autorizzare l'app ExO. Remote Powershell deve essere abilitato per l'utente che autorizza l'app ExO. Il tenant deve disporre di una licenza Exchange per migrare al flusso di autenticazione dell'entità di servizio (SPA), altrimenti non è possibile creare il ruolo personalizzato.
Il mio Stato del ruolo personalizzato mostra "Disconnesso", cosa devo fare?
Contatta il supporto NinjaOne se visualizzi questo messaggio nella tua organizzazione.
Vedo un errore relativo alle credenziali dopo la migrazione a SPA, come posso risolvere il problema?
Per risolvere l'errore delle credenziali che si presenta dopo la migrazione a SPA, utilizza qualsiasi amministratore globale all'interno del tenant M365 per eseguire nuovamente l'autenticazione. Poiché SPA non conserva i token per l'amministratore di backup, questa dovrebbe essere l'unica autenticazione che deve essere completata.
Quali sono i ruoli/ambiti obbligatori per SPA?
| Autorizzazione | Tipo | Scopo |
|---|---|---|
| Applicazione.Leggi.ScriviTutto | Delegato | Crea ed elimina le sottoapplicazioni utilizzate per il backup e il ripristino |
| AppRoleAssignment.ReadWrite.Tutti | Delegato | Concedi consenso amministrativo per le applicazioni secondarie |
| Calendars.ReadWrite | Applicazione | Backup e ripristino del calendario |
| ChannelMessage.Read.Tutti | Applicazione | Backup e ripristino chat Team |
| Chat.Leggi.Tutti | Applicazione | Backup e ripristino chat Teams |
| Contatti.LeggiScrivi | Applicazione | Backup e ripristino dei contatti |
| Dominio.Leggi.Tutti | Delegati | Elenca i domini disponibili nel tenant |
| Files.ReadWrite.All | Applicazione | Backup e ripristino dei file |
| Gruppo.LeggiScrivi.Tutti | Applicazione | Backup e ripristino di gruppi e team |
| Mail.ReadBasic.Tutti | Applicazione | Backup e ripristino delle e-mail |
| Note.LeggiScrivi.Tutti | Applicazione | Backup e ripristino delle note |
| accesso offline | Delegato | Rinnova il token di aggiornamento per l'amministratore ORG |
| Report.Leggi.Tutti | Applicazione | |
| RoleManagement.Read.Directory | Applicazione | Recupera l'elenco degli utenti e degli amministratori nell'organizzazione |
| Siti.Gestisci.Tutti | Applicazione | Backup e ripristino dei siti |
| Siti.LeggiScrivi.Tutti | Applicazione | Backup e ripristino dei siti |
| Lavoro di squadra.Migrare.Tutti | Applicazione | Ripristino chat team |
| Utente.Leggi.Tutti | Applicazione | Elenchi utenti |
| User.ReadWrite.Tutti | Delegati |
Cosa significa creazione manuale di ruoli personalizzati quando si aggiunge il backup M365?
Si riferisce al processo manuale di creazione di un ruolo con le autorizzazioni minime necessarie per eseguire le attività di backup. Il ruolo viene creato eseguendo lo script PowerShell. Nel flusso manuale, gli utenti devono scaricare ed eseguire lo script PowerShell invece di lasciare che NinjaOne lo esegua. Segui questi passaggi per aggiungere il backup M365 con la creazione manuale di ruoli personalizzati:
- Accedi al portale e-mail dell'organizzazione.
- Fai clic sul pulsante +Aggiungi backup nella pagina Dashboard.
- Fai clic sul pulsante Accedi con Microsoft 365.
- Inserisci l'account amministratore globale M365 di conseguenza.
- Fai clic sul pulsante Accetta.
- Una volta concesso il consenso, l'utente verrà reindirizzato alla pagina AUTORIZZAZIONE M365. Ci sono due passaggi in totale
- Crea applicazione di backup: le sottoapplicazioni vengono create nel tenant dell'utente (l'operazione potrebbe richiedere alcuni secondi).
- Fai clic sul pulsante Verifica e continua per completare l'autorizzazione. Assicurati di seguire tutte e tre le istruzioni fornite per ottenere un risultato corretto.
- Scarica lo script PowerShell facendo clic sul pulsante fornito.
- Apri il prompt dei comandi di PowerShell, quindi esegui lo script (punto 2.1) fino al completamento dell'esecuzione.
- È stata inclusa una breve sezione Domande frequenti per aiutarti a comprendere meglio il flusso.
- Una volta completata l'autorizzazione, verrai reindirizzato alla pagina dell'elenco degli account M365, dove potrai iniziare a selezionare le caselle di posta da sottoporre a backup.
Cosa significa creazione automatica di ruoli personalizzati quando si aggiunge il backup M365?
Si riferisce al processo automatizzato di creazione di un ruolo con le autorizzazioni minime necessarie per eseguire le operazioni di backup. Il ruolo viene creato eseguendo uno script PowerShell. Nel flusso automatizzato, NinjaOne eseguirà lo script PowerShell invece di lasciare che siano gli utenti a farlo. Segui i passaggi per aggiungere il backup M365 con la creazione automatizzata di ruoli personalizzati:
- Accedi al portale e-mail dell'organizzazione.
- Fai clic sul pulsante +Aggiungi backup nella pagina Dashboard.
- Fai clic sul pulsante Accedi con Microsoft 365.
- Il sistema mostra due opzioni
- Seleziona la seconda riga per provare l'autenticazione del servizio principale (SPA).
- La prima riga corrisponde all'autorizzazione corrente, che richiede ancora la creazione di un amministratore globale.
- Inserisci l'account amministratore M365 di conseguenza.
- Scorri la pagina verso il basso e clicca sul pulsante Accetta per consentire il backup della nostra applicazione.
- Una volta concesso il consenso, l'utente verrà reindirizzato alla pagina AUTORIZZAZIONE M365. Ci sono due passaggi in totale
- Crea applicazione di backup: le sottoapplicazioni vengono create nel tenant dell'utente (l'operazione potrebbe richiedere alcuni secondi).
- Autorizzazione del dispositivo: inizia facendo clic sul link disponibile.
- Il sistema ti reindirizzerà alla nuova finestra Microsoft, copia e incolla il codice dal portale, quindi fai clic sul pulsante Successivo.
- Seleziona l'amministratore e-mail corretto.
- Fai clic sul pulsante Continua.
Una volta visualizzata questa schermata, l'autorizzazione del dispositivo è completata. Puoi chiudere la finestra. - Torna al portale Email dell'organizzazione, fai clic sul pulsante Verifica e continua per completare questo passaggio.
Una volta completata l'operazione, il sistema elencherà tutti gli account M365 presenti in questo tenant. Seleziona l'account che desideri aggiungere al backup.