Veeam Backup & Replication

Ve Veeam Backup & Replication verzi 12.3 se objevila zcela nová funkce Veeam Backup for Microsoft Entra ID. Jde o možnost zálohovat Microsoft Entra ID. Je podporováno zálohování mnoha typů objektů, jako jsou uživatelé, skupiny, aplikace či Conditional Access Policies, a logů. Můžeme provádět granulární obnovu určitých objektů nebo jejich atributů. V druhé části si ukážeme vytvoření obou typů zálohovacích úloh (Entra ID Tenant a Entra ID log). Zmíníme povolení zálohování Conditional Access Policies. A velmi stručně se podíváme na obnovu.

zobrazeno: 3 382x (1 274 CZ, 2 108 EN) | Komentáře [0]

Pozn.: Popis v článku vychází z Veeam Backup & Replication 12.3.1, licencováno pomocí Veeam Universal License (VUL), tedy obdoba Enterprise Plus.

Pokračování informací z Veeam Backup & Replication - zálohování Entra ID část 1.

Veeam zálohování Microsoft Entra ID

Performing Backup

Vytvoření Tenant Backup Job

Úloha pro zálohování tenantu je speciální. Nastavujeme pouze pár parametrů. Nevybíráme úložiště a zálohy se ukládají do (lokální) databáze PostgreSQL.

Veeam Backup & Replication Console
Home - Backup Job - Microsoft Entra ID - Tenant

Veeam Backup & Replication - Backup Job - Microsoft Entra ID - Tenant

Name - zadáme unikátní jméno, případně také popis
Tenant - vybereme Tenant, který jsme přidali v první části , Retention Policy - kolik dní chceme uchovávat body obnovy, starší jsou odstraněny
- Advanced - Encryption - můžeme zapnout šifrování zálohy
- Advanced - Notifications - nastavení upozornění při dokončení úlohy (můžeme nastavit globálně nebo upravit pro jednotlivou úlohu, abychom mohli nastavit na úloze, tak musí být povoleno globálně, například pokud nepovolíme globálně Success, tak nebude fungovat při nastavení na úloze)

Veeam Backup & Replication - Entra ID Tenant Backup Job - Tenant

Schedule - můžeme naplánovat pravidelné spouštění úlohy (druhá možnost je spouštět ručně)

Běh Tenant Backup Job

Když úlohu spustíme, tak se připojí do Entra ID a vytváří seznam objektů ke zpracování. Pokud nemáme dostatek licencí, tak dostaneme chybu a úloha skončí.

Job has been stopped with failures. Error: Unable to process the workload: your license has been exceeded

Záloha testovacího Tenantu trvala 3,5 minuty.

Veeam Backup & Replication - Entra ID Tenant Backup Job - Run

Vytvoření Log Backup Job

Úloha pro zálohování logů je naproti tomu klasická. Nastavujeme běžné parametry a volíme standardní úložiště.

Veeam Backup & Replication Console
Home - Backup Job - Microsoft Entra ID - Logs
Name - zadáme unikátní jméno, případně také popis, můžeme zvolit High priority pokud chceme tuto úlohu upřednostnit
Tenant - vybereme Tenant, který jsme přidali v první části
Storage - vybereme Backup Repository (úložiště záloh) a Retention Policy (kolik bodů obnovy nebo dní chceme uchovat), Configure secondary destinations for this job (můžeme přidat sekundární úložiště, vytvoří se Backup Copy Job)
- Advanced - Storage - můžeme zapnout kompresi a šifrování záloh
- Advanced - Maintenance - můžeme naplánovat pravidelné provádění údržby, kontrolu posledního Restore Point - Perform backup files health check (důležité je, že nesmí dojít ke kolizi s časem, kdy probíhá záloha)
- Advanced - Scripts - můžeme spouštět vlastní skripty před a/nebo po zálohovací úloze
- Advanced - Notifications - nastavení upozornění při dokončení úlohy (můžeme nastavit globálně nebo upravit pro jednotlivou úlohu, abychom mohli nastavit na úloze, tak musí být povoleno globálně, například pokud nepovolíme globálně Success, tak nebude fungovat při nastavení na úloze)

Veeam Backup & Replication - Entra ID Log Backup Job - Storage

Schedule - můžeme naplánovat pravidelné spouštění úlohy (druhá možnost je spouštět ručně)

Běh Log Backup Job

Zajímavá věc je, že musíme vytvořit Tenant Backup Job a ten musí úspěšně proběhnout. Jinak při spuštění Log Backup Job dostaneme chyb:

Failed to process Firma a.s.: Unable to backup Microsoft Entra ID logs: a recent backup of the same tenant must be created within
 the last 30 days to perform the audit log backup.

V testovacím Tenantu mi záloha běžela extrémně pomalu (2 KB/s) a trvala 1:36 hod.

Veeam Backup & Replication - Entra ID Log Backup Job - Run

Tenant Backup Job zálohování Conditional Access Policies

Considerations and Limitations - Tenant Backup and Restore

Pokud chceme zálohovat Conditional Access Policies spolu s ostatními objekty Microsoft Entra ID, tak musíme provést dvě věci.

Na Veeam Backup Server přidat DWORD klíč EntraIdBackupSupportsConditionalAccessPolicyRestore s hodnotou 1 do registrů v cestě HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\Veeam Backup and Replication\.

Přidat oprávnění Veeam aplikaci v Entra ID.

Microsoft Entra admin center
Identity - Applications - App registrations
otevřeme aplikaci - API permissions - Add a permission
Microsoft Graph - Application permissions - Policy.Read.All

Při dalším běhu úloha zálohuje také CAP.

Veeam Backup & Replication - Entra ID Log Backup Job - Run with CDP

Obnova Microsoft Entra ID

Obnova má mnoho možností, které jsou popsány v oficiální dokumentaci Performing Restore. Zde si ukážeme pouze pár obrázků z obnovy.

Entra ID Tenant Restore

Pro obnovu Entra ID objektů máme průvodce Microsoft Entra ID Tenant Restore, který má jinou grafiku než běžné prohlížeče (Browser) a průzkumníci (Explorer) ve Veeam.

Veeam Backup & Replication - Entra ID Tenant Restore - User Properties

Veeam Backup & Replication - Entra ID Tenant Restore - Login Entra

Entra ID Log Restore

Pro obnovu logů se používá Backup Browser a vlastně exportujeme textový soubor s logy.

Veeam Backup & Replication - Entra ID Logs Restore - Backup Browser

Související články:

Články, které se věnují zálohovacímu řešení společnosti Veeam Software. Jde o platformu pro zálohování (Backup), replikaci (Replication) a obnovu (Restore) dat. Jinak řečeno řešení pro ochranu dat (Data Protection) a obnovu po havárii (Disaster Recovery).

Různá populární témata ohledně veřejného cloudu. Více zaměřeno na služby Microsoft, tedy IaaS, PaaS, SaaS Azure, adresářové služby Entra ID (dříve Azure AD) a hostované služby Microsoft 365 / Office 365.