VBO v6 : Configuration du portail en libre-service

VBO v6 : Configuration du portail en libre-service

Salut tout le monde !

Avec la sortie de la V6, c’est l’occasion de mettre en place le portail en libre service 😉. Plutôt simple pour du mono-tenant, c’est un peu plus complexe en multi-tenant. Nous allons voir cela ensemble.

Ne manquez pas les autres articles sur Veeam Backup for Microsoft 365 :

C’est quoi un portail en libre-service

C’est une interface web, accessible directement par les utilisateurs pour restaurer leurs données Exchange, Onedrive, Sharepoint.

Cela permet de donner accès à la restauration sans octroyer un accès direct au serveur de sauvegarde :

Principe de fonctionnement

Configuration et prérequis

  • Le portail en libre service s’installe sur un OS Windows.
  • Il peut être mutualisé sur le serveur VBO mais pour des raisons de sécurités, il est recommandé de le séparer
    • Dans le cas ou vous mutualiser les rôles, booster les configurations du serveur VBO à 8 Core et 32 GB de RAM
    • Dans le cas ou vous séparer les installations, référez-vous à cet article pour le déploiement et prévoyez 8 Core et 16 GB de ram
  • Les données Microsoft Teams ne sont pas prises en charge pour l’exploration et la restauration à l’aide du portail de restauration
  • Autres considérations et limitations
  • Le portail de restauration fonctionne uniquement pour les organisations ajoutées à Veeam Backup pour Microsoft 365 à l’aide de la méthode d’authentification moderne par application

Modern Authentication, c’est quoi ?

C’est l’inverse du « legacy auth » avec login et password administrateur 🙂

C’est une authentification avec un compte de service, elle se configure lors de l’ajout de l’organisation Microsoft 365 dans VBO :

Je vous prévois un article dédié au fonctionnement des Azure AD Applications 😉

Configuration du Portail de Restauration en libre service

voici les étapes :

  1. Activation des Rest API services
  2. Activation de l’authentification pour les utilisateurs
  3. Activation de l’authentification pour les opérateurs de restauration
  4. Activation du Portail de Restauration
  5. Proposer le multi-tenant

Activation des Rest API services

Il est recommandé d’utiliser un certificat SSL publiquement signé pour publier le portail sur internet

Activation de l’authentification pour les utilisateurs

Activation de l’authentification pour les opérateurs de restauration

Activation du Portail de Restauration

L’activation du Portail nécessite la création d’une application Azure AD. Vous pouvez laisser l’interface vous accompagner pour la créer automatiquement ou alors la créer manuellement avec la documentation : https://helpcenter.veeam.com/docs/vbo365/guide/ssp_ad_application_permissions.html?ver=60

Si vous êtes un fournisseur de services, vous souhaiterez déployer cette application Azure AD dans votre propre abonnement M365 afin de n’avoir aucune dépendance avec vos locataires.
Pour ce faire, lors de l’activation du portail de restauration et de la création de l’Application ID, connectez-vous avec un compte de votre organisation M365.

Remarque : l’adresse Web est l’adresse FQDN que vous prévoyez d’utiliser pour le portail. Par défaut, le port est le port HTTPS configuré lors du service REST

À ce stade, vous avez généré un certificat auto-signé et créé automatiquement un lien d’application Azure AD vers celui-ci. Vous pouvez trouver cette application dans votre interface d’application Azure AD :

Si vous êtes mono tenant, le portail est maintenant fonctionnel 😉

Si vous avez des soucis avec le portail pour vous connecter comme des erreurs « the organization does not support authentication using azure ad credential » , vérifiez bien que les organisations sont rajoutées en modern auth. Vous pouvez vérifier qu’elles sont bien configurées en essayant de créer un restore operators et regarder les organisations lister. Si votre organisation ou celle de vos tenants ne sont pas listées, c’est que l’organisation n’est pas correctement rajoutée.

Proposer le multi-tenant

Afin de permettre au tenant d’utiliser le portail de restauration en libre service, l’application que vous avez créée doit pouvoir s’authentifier avec leurs organisations. Pour ce faire, il faut que vos tenants configurent et acceptent cette application !

Pour ce faire, récupérer l’ID de l’application soit sur l’interface Azure AD, soit sur VBO : (ne faites pas attention mes screenshots ne sont pas cohérents 😅)

Puis, via PowerShell avec le model Azure (Install-Module -Name AzureAD)

$Credential = Get-Credential

Connect-AzureAD -Credential $Credential

New-AzureADServicePrincipal -AppId « 00000000-0000-0000-0000-000000000000 »

  • Credential = Tenant’s Org
  • AppId = ID of the Restore Portal application

Après quelques minutes, l’application d’entreprise du VCSP apparaîtra dans l’interface client :

Il ne reste plus qu’a accepter les permissions nécessaires, cliquez sur l’application (toujours dans l’interface Azure AD du tenant) :

GG c’est maintenant multi tenant 😎

 

N’oubliez pas les Restore operators

Dans l’interface de Veeam Backup for Microsoft 365, vous pouvez donner des droits spécifiques a des utilisateurs ou des groupes pour la restauration des données.

Pour ce faire, dans le menu de VBM365, suiviez le wizard :

L’utilisateur ou le groupe peut maintenant « changer de scope » 🙂

 

 

6 réactions au sujet de « VBO v6 : Configuration du portail en libre-service »

  1. Bonjour Mr Tellier,

    Un grand merci pour vos tutos qui me sont toujours d’une très grande aide.
    Je suis en train de mettre en place le portail self-service en multi-tenant avec un serveur dédié en frontal pour les REST API … ce n’est pas une mince affaire.
    Lorsque je test la connexion avec l’admin du tenant ( que j’ai ajouté au restore operators) au portail, j’ai une message » The Server has rejected the client credentials » alors qu’ils sont OK.
    Savez-vous d’où cela peut-il venir ?
    Merci pour votre aide.

    1. Malheureusement c’est une erreur un peu générique et le support sera plus à même de regarder dans les logs. L’org à bien été rajouté en Modern Auth only ? Est-ce qu’en simplifiant l’archi avec le RestAPI rôle directement sur le VBO server cela change quelque chose ?

    1. Bonjour Thomas,

      Pas de façon officiel pour le moment… En fouillant un peu on peut modifier le .js pour changer quelques textes mais ce n’est pas supportée donc pas maintenu à chaque update.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.