Einrichten des Synology Active Backup für M365

Die wohl einfachste Art seine Microsoft 365 Dienste wie Exchange Online oder SharePoint zu Backuppen ist wohl die Synology App „Active Backup for M365“.

Da Microsoft auf seine Rechenzentren eine Ausfallsicherheit von 99,99% ist ein Backup wahrscheinlich nicht notwendig. Allerdings sind auch 99,99% nicht 100% und im Zweifel hat mal lieber ein Backup, als dass Daten verschwinden!

 

Daher zeige ich im Folgenden, wie die Synology App konfiguriert wird, sodass ein Backup der M365 Dienste erstellt werden kann.

 

Vorausgesetzt dafür ist natürlich, dass eine Synology NAS vorhanden ist und diese auch kompatibel ist (s. Kompatibilität), dass diese genügend Speicherplatz zur Verfügung hat und dass darauf eine Freigabe für die Backup-Dateien eingerichtet ist.

Kompatibilität

Eine Liste der kompatiblen Synology Modelle findet man Hier:

 

https://www.synology.com/de-de/dsm/packages/ActiveBackup-Office365

Alternativ habe ich die Liste hier mal zusammengefasst:

Serie:

Modelle:

Serie FS

FS6400, FS3600, FS3400, FS3017, FS2017, FS1018

Serie SA

SA3600, SA3400, SA3200D

Serie 21

RS4021xs+, RS3621xs+, RS3621RPxs, RS2821RP+, RS2421RP+, RS2421+, RS1221RP+, RS1221+, DS1821+, DS1621xs+, DS1621+, DVA3221

Serie 20

RS820RP+, RS820+, DS1520+, DS920+, DS720+, DS620slim, DS420+, DS220+

Serie 19

RS1619xs+, RS1219+, DS2419+II, DS2419+, DS1819+, DS1019+, DVA3219

Serie 18

RS3618xs, RS2818RP+, RS2418RP+, RS2418+, RS818RP+, RS818+, DS3018xs, DS1618+, DS918+, DS718+, DS418play, DS218+

Serie 17

RS18017xs+, RS4017xs+, RS3617xs+, RS3617RPxs, RS3617xs, DS3617xsII, DS3617xs, DS1817+, DS1517+

Serie 16

RS18016xs+, RS2416RP+, RS2416+, DS916+, DS716+II, DS716+, DS416play, DS216+II, DS216+

Serie 15

RS815RP+, RS815+, RC18015xs+, DS3615xs, DS2415+, DS1815+, DS1515+, DS415+

Serie 14

RS3614xs+, RS3614RPxs, RS3614xs, RS2414RP+, RS2414+, RS814RP+, RS814+

Serie 13

RS10613xs+, RS3413xs+, DS2413+, DS1813+, DS1513+, DS713+

Serie 12

RS3412RPxs, RS3412xs, RS2212RP+, RS2212+, RS812RP+, RS812+, DS3612xs, DS1812+, DS1512+, DS712+, DS412+

Serie 11

RS3411RPxs, RS3411xs, RS2211RP+, RS2211+, DS3611xs, DS2411+, DS1511+, DS411+II, DS411+

Einrichtung des Backups

Erstellen eines Zertifikats

Um zunächste das Zertifikat für die Autorisierung der Sicherungsaufgaben zu erstellen muss das PowerShell Skript dazu heruntergeladen werden.

Das geht HIER!

Danach kann die PowerShell schon auf einem aktuellen Windows Client als Administrator geöffnet werden.

Um das heruntergeladene PowerShell Skript nun einmalig zu autorisieren führen wir folgenden Befehl aus und bestätigen diesem mit „J“.

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process

Danach muss in das gleiche Verzeichnis gewechselt werden, in dem auch das heruntergeladenen PowerShell Skript zum erstellen des Zertifikats liegt. 

Mit dem folgenden Befehl kann dann auch das Skript gestartet werden:

.\CertificateGenerator.ps1

Nach dem Ausführen des Skripts wird man aufgefordert ein Kennwort einzutragen. Mit diesem Kennwort wird das gleich erstellte Zertifikat verschlüsselt. Daher bei dieser Aufforderung ein Kennwort Ihrer Wahl eintragen und mit Enter bestätigen (ACHTUNG: Das Kennwort muss nur einmalig eingetragen werden).

Das Kennwort wird später noch verwendet. Daher sollte es sicher dokumentiert werden!

Sobald das Skript erfolgreich ausgeführt wurde werden zwei Dateien erstellt. Die Pfade, unter denen die beiden Dateien erstellt wurden werden nach dem Ausführen des Skripts in der PowerShell grün ausgegebene (s. Bild oben).

  • Certificate.pfx
  • KeyCredentials.txt

Azure-AD Anwendung erstellen

Sobald die Dateien erstellt sind geht es im M365 Azure-AD weiter!

Dort muss eine Anwendung registriert werden. Dazu zunächst unter „Azure Active Directory“ -> „App-Registrierung“ eine neue App registrieren.

Nach dem Klick auf „Neue Registrierung“ kann der neuen App ein Name gegeben werden (Bsp.: „Synology-M365-Backup“ o.ä.).

Außerdem wollen wir nur einen Microsoft Tenant und seine Dienste Sichern und wählen daher unter dem Abschnitt „Unterstützte Kontotypen“ den Punkt 1 („Nur Konten in diesem Organisationsverzeichnis…“).

Die gesetzten Einstellungen anschließend mit „Registrieren“ bestätigen“.

Danach wird man automatisch auf die Eigenschaften der neu registrierten Anwendung weitergeleitet. Dort sollte man sich bereits die „Anwendungs-ID (Client)“ und die „Directory-ID (Mandant)“ kopieren da diese später noch benötigt werden!

API-Berechtigungen erteilen

Als nächstes müssen der erstellten Anwendung noch Berechtigungen zum Abgreifen und wiederherstellen von Informationen/Daten erteilt werden.

Ich habe folgend die benötigten Berechtigungen für die Dienste „Microsoft Graph“, „Exchange Online“ und „SharePoint Online“ zusammengefasst.

Service:

Anwendungsberechtigungen:

Exchange Online

full_access_as_app

SharePoint Online

Sites.FullControl.All

Microsoft Graph

Calendars.ReadWrite

Contacts.ReadWrite

Directory.ReadWrite.All

Files.ReadWrite.All

Group.ReadWrite.All

Mail.ReadWrite

Sites.ReadWrite.All

User.ReadWrite.All

Um die Berechtigungen nun zur Anwendung hinzuzufügen muss man innerhalb der Anwendung, links im Seiten-Menü den Reiter „API-Berechtigungen“ wählen und darin dann den Button „Berechtigungen hinzufügen“ klicken.

Danach unter „Microsoft Graph“ -> „Anwendungsberechtigungen“ in der Suche die Namen für die Berechtigungen für Microsoft Graph eingeben und hinzufügen.

Anschließend die Berechtigungen für SharePoint Online. Diese sind nach einem Klick auf „Berechtigungen hinzufügen“ unter „SharePoint“ „Anwendungsberechtigungen“ zu finden.

Auch hier die Berechtigungen für SharePoint oben aus der Liste im Suchfeld eingeben und hinzufügen.

Auf ähnliche Art und Weise müssen nun noch die Exchange Online Anwendungsberechtigungen hinzugefügt werden.

Für diese ebenfalls auf „Berechtigungen hinzufügen“ klicken und dann den Reiter „Von meiner Organisation verwendete APIs“ auswählen.

Im darunter erscheinenden Suchfelt „Office 365 Exchange Online“ eintragen und die API darunter auswählen.

Danach auch hier nochmal die „Anwendungsberechtigungen“ wählen und nach der Berechtigungs-Bezeichnung oben aus der Liste (Exchange Online) suchen.

Nachdem alle Berechtigungen zur Anwendung hinzugefügt wurden sollte die Liste wie in folgendem Bild aussehen.

Nun müssen die gesetzten Berechtigungen noch „gewährt“ werden. Das geht mit einem Klick auf den Button „Administratorzustimmung für ORGANISATION erteilen“

Dieser Schritt muss einmal mit „Ja“ bestätigt werden.

Danach sollten alle Berechtigungen mit einem grünen Haken und der Aufschrift „Gewährt“ aufgelistet sein.

Zu guter Letzt muss in den Eigenschaften der Anwendung unter „Manifest“ noch der Text aus der am Anfang erstellten „KeyCredentials.txt“ Datei eingefügt werden um sicherzustellen, dass nur mit diesem Zertifikat auf die Azure-AD Anwendung zugegriffen werden kann.

Dazu zunächst aus der TXT-Datei den generierten Text mit allen Informationen Kopieren.

Anschließend wie bereits erwähnt unter den Eigenschaften der Anwendung in den Reiter „Manifest“ wechseln. und dort in der Zeile „keyCredentials“ den Kopierten Text aus der TXT-Datei in die Eckigen Klammern („[hier]“) einfügen.

Als nächstes kann man sich an das Erstellen eines Backup-Plans machen.

Das geschieht innerhalb der Synology App.

Dazu werden folgende Dinge benötigt:

Backupplan erstellen

  • Der Domainadministrator des Microsoft Tenants
  • Die Mandant-ID der Azure-AD Anwendung
    • Zu finden in den Eigenschaften der Anwendung
  • Die Anwendungs-ID der Azure-AD Anwendung
    • Zu finden in den Eigenschaften der Anwendung
  • Das am Anfang erstellte „Certificate.pfx“ Zertifkat
  • Den passenden Schlüssel zum Zertifikat
    • Das in der PowerShell eingegebene Kennwort (Beim erstellen des Zertifikats)

Um den Backupplan zu erstellen muss zunächst die App auf der Synology geöffnet werden.

Danach kann links unter „Aufgabenliste“ der Button „Erstellen“ gefunden werden, mit dem man einen neuen Plan erstellen kann.

Anschließend die Option zum erstellen eines neuen Plans wählen und auf „Weiter“ klciken.

Im nächsten Schritt werden die angekündigten Informationen benötigt.

Diese sollten wie im Bild zu sehen ausgefüllt werden.

Wo der Microsof Tenant gespeichert ist lässt sich übrigens im Admin Center unter „Einstellungen“ -> „Einstellungen der Organisation“ -> „Organisationsprofil“ -> „Datenspeicherort“ herausfinden.

Folgend kann dem Backup-Job ein Name gegeben werden und das Ziel kann angegeben werden. Beim Ziel kann eine bestimmte Freigabe auf der NAS angegeben werden. Ich habe hierfür eine Separate Freigabe mit dem Namen „M365-Backup erstellt.

Außerdem sieht man eine übersicht über die Objekte die gesichert werden sollen, welche auch (Mit dem Button „Bearbeiten“) angepasst werden kann.

Die Option zum Active Backup Portal lasse ich in der Regel deaktiviert, das ich nicht möchte dass außer dem dafür vorgesehenen Admin irgend ein User etwas am Backup ändern kann.

Im nächsten Step kann ausgewählt werden welche Dienste pro Benutzer, Gruppe oder SharePoint Site gesichert werden sollen.

In diesem Beispiel habe ich lediglich den Exchange Online gesichert und daher nur die Optionen dafür ausgewählt.

(HINWEIS: Die Option „Laufwerk“ beschreibt OneDrive“)

Im vorletzten Schritt kann ein Zeitplan definiert werden.

Ich habe mich für eine Sicherung von Montags-Freitags entschieden und dementsprechend die Option Wochentage ausgewählt sowie einen Zeitpunkt angegeben, an dem das Backup gestartet werden soll.

Nachdem alles eingestellt ist wird noch einmal eine kurze Zusammenfassung über die Konfiguration des Backupplans angezeigt. Mit „Übernehmen“ kann der Vorgang abgeschlossen werden und das Backup der M365 Dienste läuft nach Plan.

Backup manuell starten

Wenn ein Zeitplan konfiguriert wurde wird der Plan nach diesem ausgeführt.

Sollte es allerdings keinen Zeitplan geben oder man eine initialsicherung o.ä. manuell durchführen möchte kann der Backup-Plan in der Synology Anwendung unter „Aufgabenliste“ ausgwählt und mit einem Klick auf „sichern“ gestartet werden.

Kurz Übersicht

Im Überblick Panel der Synology App befindet sich auch eine kurze Gesamtübersicht über die geschützten Dienste. Dort wird in Zahlen dargelegt, wie viele Postfächer (E-Mail) Beispielsweise gesichert sind.

3 Kommentare
Inline Feedbacks
View all comments