Microsoft va rendre payant la sauvegarde de teams !

Malheureusement ce n’est pas un « click bait », à partir d’octobre 2022, les nouvelles « Teams Export API » seront payantes et deviendront le seul moyen de sauvegarder le chat des canaux Teams ! Mais ce n’est pas forcément qu’une mauvaise chose, explication :

TL;DR :

• Le chat des canaux Teams va disparaître d’Exchange Online (TeamsMessagesData)
• VB365 avant la 6a va voir apparaître des erreurs car le dossier n’existe plus
• En 6a, la sauvegarde du chat des canaux Teams sera désactivée par défaut
• Le reste des objets teams (Channels, tabs, files, membership) seront toujours sauvegardés par défaut
• Pour utiliser les nouvelles API de sauvegarde, il faudra que le tenant remplisse un formulaire et donne des droits à l’Azure AD Application
• Les appels API seront facturés 0.00075$ par appel directement sur le tenant du client : 1 appel = 1 message sur un channel teams

Comment cela fonctionne aujourd’hui

Actuellement, Veeam protège les données de « chat » du canal Teams via Exchange Online. Remarquez, je dis bien chat du canal Teams car actuellement Veeam ne protège aucun « message direct », que ce soit 1: 1 ou discussions de groupe, donc le chat dans ce contexte fait référence aux publications et commentaires au sein d’un canal Teams.

Pour assurer la protection de ces données Teams, Veeam lit un dossier caché dans Exchange Online, appelé « TeamsMessagesData ».

Ce qui va changer au 1er juillet

Microsoft n’est pas satisfait de l’approche actuelle et a écrit un article indiquant que cela n’est pas pris en charge. Dans ce document, il est clairement indiqué que la seule méthode prise en charge pour accéder aux données Teams est via les API Teams Graph. Cela va forcer Veeam, et tous les autres fournisseurs de sauvegarde d’ailleurs, à utiliser les API Teams Graph.

Pour forcer la main, Microsoft va retirer le dossier caché d’Exchange « TeamsMessagesData ». Et quand je dis « va », malheureusement cela a déjà commencé sur certaines boites aux lettres…

En retirant ce dossier, toutes les installations de Veeam Backup for Microsoft 365 avant la version 6a verront apparaître des erreurs car le dossier est manquant.

Mais c’est bien les API non ?

La réponse est bien évidemment oui ! C’est pour cela qu’en préambule je vous dis que ce n’est pas forcément qu’une mauvaise chose. Les futurs Teams Export API permettrons un meilleur support de la sauvegarde de teams, entièrement documenté et supporté par Microsoft. D’ailleurs, MS prévoit le support de la sauvegarde du chat 1:1 dans le future via ces APIs (et Veeam également dans une future version).

Rendre l’accès aux APIs payantes n’est pas non plus une aberration car cela permet de maintenir une bonne qualité de service et éviter le throttling (Si vous voyez ce que je veux dire).

Une idée du prix ?

C’est là le gros problème, c’est là que ça va faire mal, MS va facturer chaque appel 0.00075$. Cela veut dire que chaque message envoyé dans un canal teams, qui sera sauvegardé par la suite via son M365 Group, sera facturé 0.00075$ multiplié.

Donc 1000 messages par mois dans un canal teams = 0.75$

Cela variera malheureusement considérablement selon l’utilisateur et l’organisation, j’ai entendu dire que certains utilisateurs quotidiens de Teams ont généré suffisamment de demandes pour que cela représente le coût d’une licence M365 E3 ou E5, il est certainement possible que cela devienne incroyablement coûteux.

Dans le futur, où les discussions 1:1 et le chat de réunion seront sauvegardés, ce sera Y messages x Z personnes x 0.00075$. En effet, il n’y a pas de « deduplication » pour l’instant dans ces APIs et ce serait prévu pour le premier trimestre 2023.

Comment faire pour utiliser ces Teams Export API ?

Comme si le fait de rendre payant des APIs n’était pas suffisant, ces API seront protégées ! C’est à dire que ces API nécessite une validation supplémentaire par Microsoft, avant l’approbation. Cela est généralement dû aux données sensibles auxquelles il est possible d’accéder via une mauvaise utilisation de l’API. En raison de l’approbation manuelle, il n’est pas possible d’utiliser une quelconque forme d’automatisation pour obtenir un accès immédiat aux API.

Cette approbation manuelle doit être prise en compte dans tous les déploiements de Veeam Backup pour Microsoft 365 que vous allez entreprendre, car il ne s’agit pas d’un processus immédiat. Veuillez consulter les informations de la documentation de Microsoft

To request access to these protected APIs, complete the following request form. We usually review access requests every Wednesday and deploy approvals every Friday or Monday, except during major holiday weeks in the U.S. Submissions during those weeks will be processed the following non-holiday week. To verify whether your request has been approved, test your application access on the next applicable Monday. If we have additional questions about the request, we will contact the email specified in the form.

Microsoft Docs – 20/06/2022

Mais ce n’est pas tout

Cet accès à l’API protégé ce fait par application enregistrée (La fameuse Azure AD Application) au sein de votre tenant Microsoft 365, donc si vous prévoyez de protéger vos données Teams via cette API, assurez-vous d’enregistrer votre application et de demander l’accès à l’API dès que possible pour éviter les retards dans vos projets.

Comme dernier commentaire à ce sujet, vous aurez probablement remarqué qu’il n’y a aucun engagement quant au cycle de traitement de votre demande d’API, je ne peux que m’attendre à ce que les fournisseurs de sauvegarde migrent vers cette API, il y aura des pics de demandes en ligne avec les correctifs des fournisseurs qui intègrent cette fonctionnalité, ce qui entraîne un risque très réel de retards supplémentaires si Microsoft n’a pas les ressources pour faire face à de tels pics d’utilisation.

Une fois que vous avez reçu votre approbation, vous devrez ajouter les autorisations API suivantes à votre application :

• Chat.Read.All
  ChannelMessage.Read.All
  Utilisateur.Lire.Tout

Si vous n’avez pas accès aux API protégées, lorsque vous tentez de traiter vos données Teams, vous serez accueilli par l’erreur suivante :

Failed to process team: <teamname> Invoked API requires Protected API access in application—only context when not using Resource Specific Consent. Visit https://docs.microsoft.com/en—us/graph/teams—protected—apis for more details.. The remote server returned an error: (403) Forbidden.

Ce qu’il faut savoir avec le patch 6a de Veeam Backup for Microsoft 365

Par défaut, la sauvegarde du chat des canaux teams sera désactivée par défaut. Cela évitera le message d’erreur « 403 Forbidden » ci-dessus.

Par défaut, la sauvegarde du reste de teams sera toujours opérationnelle et activée par défaut. (Channels, tabs, files, membership)

Et maintenant ?

Si vous envisagez de protéger vos données Teams, maintenant ou à l’avenir, vous devez vous concentrer sur la soumission de votre application à Microsoft dès que possible, pour que l’accès soit approuvé avant la mise à niveau. Le lien est disponible ici.

Vous devez effectuer un audit pour déterminer quelles équipes nécessitent une protection des données, cela contribuera à réduire les augmentations de coûts résultant de cette API.

Si vous n’êtes pas satisfait de ce changement, adressez vos commentaires à Microsoft via tous les canaux dont vous disposez, cela pourrait créer un dangereux précédent pour l’approche de Microsoft en matière d’accès à l’API Graph à l’avenir. Donc, si vous êtes opposé à la voie empruntée par Microsoft, assurez-vous de faire entendre votre voix.

Lisez et mettez en favoris l’article de la base de connaissances Veeam, car Veeam gardera cette base de connaissances à jour au fur et à mesure que la v6a approchera de la disponibilité générale.

Veeam espère avoir la v6a disponible d’ici août, même si « it’s ready when it’s ready »

Microsoft concentrera ses efforts pour fermer l’accès à ces données Teams via Exchange à partir d’octobre 2022.