CZ 
 
www.SAMURAJ-cz.com 
30.11.2025 Ondřej VÍTEJTE V MÉM SVĚTĚ
 
 
Petr Bouška
SAMURAJ-cz.com
IT Manager OKsystem
Veeam Vanguard
View profile
An English translation is available for this article. Pro tento článek je dostupný anglický překlad.
Veeam Backup & Replication - Entra ID backup part 1

Veeam Backup & Replication - zálohování Entra ID část 1

| Petr Bouška - Samuraj |
Ve Veeam Backup & Replication verzi 12.3 se objevila zcela nová funkce Veeam Backup for Microsoft Entra ID. Jde o možnost zálohovat Microsoft Entra ID. Je podporováno zálohování mnoha typů objektů, jako jsou uživatelé, skupiny, aplikace či Conditional Access Policies, a logů. Můžeme provádět granulární obnovu určitých objektů nebo jejich atributů. Vše funguje jednoduše, jak jsme u Veeam zvyklí. Jediná nevýhoda je licencování. V první části se podíváme na vlastnosti, požadavky, komponenty a licencování. Popíšeme průběh přidání Entra ID Tenantu. Včetně zmínky o možném problému, když není nastavena/funkční PostgreSQL databáze.
zobrazeno: 4 217x (1 474 CZ, 2 743 EN) | Komentáře [0]

Pozn.: Popis v článku vychází z Veeam Backup & Replication 12.3.1, licencováno pomocí Veeam Universal License (VUL), tedy obdoba Enterprise Plus.

Možnosti zálohování a obnovy Microsoft Entra ID

Veeam Backup for Microsoft Entra ID je řešení vyvinuté pro ochranu a obnovu po havárii pro Microsoft Entra ID. Oficiální popis se nachází v samostatné dokumentaci User Guide for Microsoft Entra ID.

Co můžeme zálohovat

Máme dvě kategorie a dva samostatné typy zálohovací úlohy. V rámci zálohování Entra ID Tenant se zálohují všechny podporované typy objektů. Bohužel nemůžeme zvolit typ objektů, natož vybrat určité objekty pro zálohování. Jediná výjimka jsou Conditional Access Policies, které se standardně nezálohují, ale můžeme je povolit. Druhá kategorie jsou určité Entra ID logy.

Entra ID Tenant

  • uživatele a skupiny - včetně přiřazení rolí a členství ve skupinách
  • administrativní jednotky a role
  • zařízení
  • aplikace - App registrations, Enterprise applications, Service principals
  • Conditional Access Policies - po speciálním povolení

Logy

  • auditní a přihlašovací logy (audit and sign-in logs)

Možnosti obnovy

  • granulární obnova - můžeme obnovovat jednotlivé objekty (uživatele, skupiny atd.) nebo jen jejich atributy
  • úplná obnova - v případě katastrofy můžeme obnovit vše
  • export dat - zálohovaná data můžeme exportovat do souboru
  • obnovení v čase - data Entra ID můžeme obnovit do určitého časového okamžiku (existujícího bodu obnovy)

Architektura řešení - použité komponenty

  • Veeam Backup Server - obsahuje komponenty
    • Microsoft Entra ID Plug-in for Veeam Backup & Replication
    • General-purpose backup proxy
  • Microsoft Entra ID Backup Repository - PostgreSQL instance kam se ukládají zálohy Entra ID tenantu, defaultně se využívá lokální instance na Backup Serveru
  • Log Backup Repositories - úložiště kam se ukládají zálohy auditních a přihlašovacích logů
  • Cache Repository - ukládá dočasná metadata pro zálohy logů, sleduje všechny záznamy logů, které se změní mezi zálohami, jako Cache Repository můžeme použít pouze určité typy úložišť

Pozn.: Je důležité mít General-purpose backup proxy. Ta se automaticky nasazuje na Backup Server při instalaci Veeam Backup & Replication. V seznamu proxy ji vidíme jako typ Agent (moje se jmenuje jednoduše Backup Proxy).

Potřebná oprávnění v Entra ID

  • dokumentace Permissions
  • při přidání Entra ID tenantu do Veeamu můžeme nechat vytvořit nový účet nebo použít existující, jde o Microsoft Entra aplikaci, pokud necháme Veeam vytvořit aplikaci, tak dočasně potřebuje vysoká oprávnění, proto můžeme chtít připravit aplikaci sami (ale v případě obnovy musíme opět použít účet s vysokým oprávněním)
  • pro zálohování je potřeba řada Microsoft Graph oprávnění pro čtení, pokud chceme zálohovat Conditional Access policies, tak musíme ručně přidat další oprávnění (Considerations and Limitations - Tenant Backup and Restore)
  • pro obnovu jsou samozřejmě potřeba vyšší oprávnění, využije se uživatel (delegovaná oprávnění), který se zadá v průvodci obnovou

Pokud necháme vytvořit novou aplikaci, tak ji nalezneme v Microsoft Entra admin center - Identity - Applications - App registrations. Její název je VeeamAzureApp<ID>. Můžeme se podívat na nastavená API permissions.

Microsoft Entra Veeam Application permissions

Licencování

Vše vypadá velmi pěkně, dokud se nedostaneme k licencování. Když zálohujeme Active Directory Domain Services (AD DS), tak zálohujeme doménové řadiče. Teoreticky stačí zálohovat jeden a potřebujeme jednu licenci (VUL). Je jedno kolik máme uživatelů nebo adresářových objektů.

Zálohování Microsoft Entra ID je licencováno podle počtu chráněných uživatelů. Každých 10 chráněných uživatelů spotřebuje 1 Veeam Universal License (VUL). Nutno podotknout, že se počítají pouze povolené uživatelské účty, které se nachází v bodu obnovy za posledních 31 dní. Do spotřeby se nepočítají deaktivované a host účty, ani další objekty nebo logy. V mém testu záloha 26 uživatelů spotřebovala 2 VUL. Pro zálohování logů potřebujeme Veeam Data Platform Advanced nebo Premium.

Jak to funguje

  • do zálohovací infrastruktury přidáme Microsoft Entra ID Tenant
  • využívá se Microsoft Graph API pro bezpečný přístup k datům
  • vytvoříme zálohovací úlohu pro Tenant nebo logy
  • Veeam se připojí do Entra ID prostřednictvím zabezpečené API integrace
  • provede plánovou zálohu adresářových objektů

Konfigurace Veeam Backup for Microsoft Entra ID

Přidání Microsoft Entra ID Tenant

  • Veeam Backup & Replication Console
  • Inventory - Microsoft Entra ID - Add Tenant
Veeam Backup & Replication - Inventory - Entra ID - Add Tenant
  • Tenant - zadáme (zkopírujeme) Tenant ID, pro přehlednost můžeme zadat Description, klikneme na Cache a vybereme úložiště záloh pro dočasná metadata
Veeam Backup & Replication - Add Entra ID Tenant - Tenant ID
  • Account Type - v našem případě zvolíme Create a new account pro vytvoření nové Entra ID aplikace
  • Authentication - zobrazí se dočasný jednorázový ověřovací kód, který zadáme na adrese https://microsoft.com/devicelogin, následně se musíme přihlásit účtem s dostatečnými oprávněními a pod tímto účtem Veeam registruje novou aplikaci, využije se Microsoft Azure CLI
Microsoft Device Login - Azure CLI
  • kliknutím na Apply se Microsoft Entra ID Tenant přidá do Backup Infrastructure
Veeam Backup & Replication - Add Entra ID Tenant - Apply

Problém s PostgreSQL

Když jsem prováděl upgrade Veeam Backup & Replication na verzi 12.3, tak mi upgrade skončil chybou v kroku 6 ze 7. Dost jsem bojoval, než se mi povedlo upgrade spustit znovu, aby proběhl.

Nyní, když jsem chtěl přidat Microsoft Entra ID Tenant, tak se nezobrazil průvodce, ale dostal jsem následující chybu:

Database connection settings for the Microsoft Entra ID backup repository cannot be found. Configure the repository according
 to this KB article to continue.
Veeam Backup & Replication - Add Entra ID Tenant - PostgreSQL error

Odkaz vede na článek KB4653: Database connection settings for the Microsoft Entra ID backup repository cannot be found. Je zde také zmínka o situaci, kdy se upgrade nepovedl napoprvé, For Customers Who Ran the Upgrade a Second Time and It Succeeded" on KB4698. Ale mluví se o tom, že upgrade selhal v kroku 1, kdy instaloval PostgreSQL 15.10-1.

To nebyla moje situace, přesto jsem zjistil, že na serveru chybí služba postgresql-x64-15. Mezi nainstalovanými aplikacemi není PostgreSQL 15, ale ve startu se nachází složka PostgreSQL 15.

Provedl jsem reinstalaci PostgreSQL (z instalačního ISO Veeam). Následně jsem provedl upgrade na 12.3.1, ale to problém nevyřešilo. Podle odkazovaného článku je potřeba doplnit chybějící konfiguraci úložiště. Popis je v Connecting to Remote Microsoft Entra ID Backup Repository. Chybí informace, jaké hodnoty použít. Zadal jsem localhost 5432, uživatel postgres a heslo jsem nevyplnil. Vše prošlo.

Veeam Backup & Replication Configuration Database Connection Settings

Druhý článek doporučuje po ruční instalaci PostgreSQL provést optimalizaci popsanou v Adjusting PostgreSQL Instance Configuration (ta u mne očividně dosud neproběhla). Příkaz v druhém kroku mi opět končil chybou:

C:\Program Files\PostgreSQL\15\bin> psql -U postgres -f "C:\config.sql"

psql: error: connection to server at "localhost" (127.0.0.1), port 5432 failed: FATAL:  SSPI authentication failed for
 user "postgres"

Napověděl článek SSPI authentication failed for user. V souboru C:\Program Files\PostgreSQL\15\data\pg_ident.conf chyběl řádek pro Veeam admin účet. Po doplnění již příkaz proběhl a původně prázdný soubor postgresql.auto.conf získal obsah.

Autor:

Související články:

Veeam Backup & Replication

Články, které se věnují zálohovacímu řešení společnosti Veeam Software. Jde o platformu pro zálohování (Backup), replikaci (Replication) a obnovu (Restore) dat. Jinak řečeno řešení pro ochranu dat (Data Protection) a obnovu po havárii (Disaster Recovery).

Azure, Microsoft 365, Office 365, Cloud

Různá populární témata ohledně veřejného cloudu. Více zaměřeno na služby Microsoft, tedy IaaS, PaaS, SaaS Azure, adresářové služby Entra ID (dříve Azure AD) a hostované služby Microsoft 365 / Office 365.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím zde nejsou žádné komentáře.

Přidat komentář

Vložit tag: strong em link

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách