Einrichten des Synology Active Backup für M365
Die wohl einfachste Art seine Microsoft 365 Dienste wie Exchange Online oder SharePoint zu Backuppen ist wohl die Synology App „Active Backup for M365“.
Da Microsoft auf seine Rechenzentren eine Ausfallsicherheit von 99,99% ist ein Backup wahrscheinlich nicht notwendig. Allerdings sind auch 99,99% nicht 100% und im Zweifel hat mal lieber ein Backup, als dass Daten verschwinden!
Daher zeige ich im Folgenden, wie die Synology App konfiguriert wird, sodass ein Backup der M365 Dienste erstellt werden kann.
Vorausgesetzt dafür ist natürlich, dass eine Synology NAS vorhanden ist und diese auch kompatibel ist (s. Kompatibilität), dass diese genügend Speicherplatz zur Verfügung hat und dass darauf eine Freigabe für die Backup-Dateien eingerichtet ist.
Kompatibilität
Eine Liste der kompatiblen Synology Modelle findet man Hier:
https://www.synology.com/de-de/dsm/packages/ActiveBackup-Office365
Alternativ habe ich die Liste hier mal zusammengefasst:
Serie: | Modelle: |
---|---|
Serie FS | FS6400, FS3600, FS3400, FS3017, FS2017, FS1018 |
Serie SA | SA3600, SA3400, SA3200D |
Serie 21 | RS4021xs+, RS3621xs+, RS3621RPxs, RS2821RP+, RS2421RP+, RS2421+, RS1221RP+, RS1221+, DS1821+, DS1621xs+, DS1621+, DVA3221 |
Serie 20 | RS820RP+, RS820+, DS1520+, DS920+, DS720+, DS620slim, DS420+, DS220+ |
Serie 19 | RS1619xs+, RS1219+, DS2419+II, DS2419+, DS1819+, DS1019+, DVA3219 |
Serie 18 | RS3618xs, RS2818RP+, RS2418RP+, RS2418+, RS818RP+, RS818+, DS3018xs, DS1618+, DS918+, DS718+, DS418play, DS218+ |
Serie 17 | RS18017xs+, RS4017xs+, RS3617xs+, RS3617RPxs, RS3617xs, DS3617xsII, DS3617xs, DS1817+, DS1517+ |
Serie 16 | RS18016xs+, RS2416RP+, RS2416+, DS916+, DS716+II, DS716+, DS416play, DS216+II, DS216+ |
Serie 15 | RS815RP+, RS815+, RC18015xs+, DS3615xs, DS2415+, DS1815+, DS1515+, DS415+ |
Serie 14 | RS3614xs+, RS3614RPxs, RS3614xs, RS2414RP+, RS2414+, RS814RP+, RS814+ |
Serie 13 | RS10613xs+, RS3413xs+, DS2413+, DS1813+, DS1513+, DS713+ |
Serie 12 | RS3412RPxs, RS3412xs, RS2212RP+, RS2212+, RS812RP+, RS812+, DS3612xs, DS1812+, DS1512+, DS712+, DS412+ |
Serie 11 | RS3411RPxs, RS3411xs, RS2211RP+, RS2211+, DS3611xs, DS2411+, DS1511+, DS411+II, DS411+ |
Einrichtung des Backups
Erstellen eines Zertifikats
Um zunächste das Zertifikat für die Autorisierung der Sicherungsaufgaben zu erstellen muss das PowerShell Skript dazu heruntergeladen werden.
Das geht HIER!
Danach kann die PowerShell schon auf einem aktuellen Windows Client als Administrator geöffnet werden.
Um das heruntergeladene PowerShell Skript nun einmalig zu autorisieren führen wir folgenden Befehl aus und bestätigen diesem mit „J“.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
Danach muss in das gleiche Verzeichnis gewechselt werden, in dem auch das heruntergeladenen PowerShell Skript zum erstellen des Zertifikats liegt.
Mit dem folgenden Befehl kann dann auch das Skript gestartet werden:
.\CertificateGenerator.ps1
Nach dem Ausführen des Skripts wird man aufgefordert ein Kennwort einzutragen. Mit diesem Kennwort wird das gleich erstellte Zertifikat verschlüsselt. Daher bei dieser Aufforderung ein Kennwort Ihrer Wahl eintragen und mit Enter bestätigen (ACHTUNG: Das Kennwort muss nur einmalig eingetragen werden).
Das Kennwort wird später noch verwendet. Daher sollte es sicher dokumentiert werden!
Sobald das Skript erfolgreich ausgeführt wurde werden zwei Dateien erstellt. Die Pfade, unter denen die beiden Dateien erstellt wurden werden nach dem Ausführen des Skripts in der PowerShell grün ausgegebene (s. Bild oben).
- Certificate.pfx
- KeyCredentials.txt
Azure-AD Anwendung erstellen
Sobald die Dateien erstellt sind geht es im M365 Azure-AD weiter!
Dort muss eine Anwendung registriert werden. Dazu zunächst unter „Azure Active Directory“ -> „App-Registrierung“ eine neue App registrieren.
Nach dem Klick auf „Neue Registrierung“ kann der neuen App ein Name gegeben werden (Bsp.: „Synology-M365-Backup“ o.ä.).
Außerdem wollen wir nur einen Microsoft Tenant und seine Dienste Sichern und wählen daher unter dem Abschnitt „Unterstützte Kontotypen“ den Punkt 1 („Nur Konten in diesem Organisationsverzeichnis…“).
Die gesetzten Einstellungen anschließend mit „Registrieren“ bestätigen“.
Danach wird man automatisch auf die Eigenschaften der neu registrierten Anwendung weitergeleitet. Dort sollte man sich bereits die „Anwendungs-ID (Client)“ und die „Directory-ID (Mandant)“ kopieren da diese später noch benötigt werden!
API-Berechtigungen erteilen
Als nächstes müssen der erstellten Anwendung noch Berechtigungen zum Abgreifen und wiederherstellen von Informationen/Daten erteilt werden.
Ich habe folgend die benötigten Berechtigungen für die Dienste „Microsoft Graph“, „Exchange Online“ und „SharePoint Online“ zusammengefasst.
Service: | Anwendungsberechtigungen: |
---|---|
Exchange Online | full_access_as_app |
SharePoint Online | Sites.FullControl.All |
Microsoft Graph | Calendars.ReadWrite Contacts.ReadWrite Directory.ReadWrite.All Files.ReadWrite.All Group.ReadWrite.All Mail.ReadWrite Sites.ReadWrite.All User.ReadWrite.All |
Um die Berechtigungen nun zur Anwendung hinzuzufügen muss man innerhalb der Anwendung, links im Seiten-Menü den Reiter „API-Berechtigungen“ wählen und darin dann den Button „Berechtigungen hinzufügen“ klicken.
Danach unter „Microsoft Graph“ -> „Anwendungsberechtigungen“ in der Suche die Namen für die Berechtigungen für Microsoft Graph eingeben und hinzufügen.
Anschließend die Berechtigungen für SharePoint Online. Diese sind nach einem Klick auf „Berechtigungen hinzufügen“ unter „SharePoint“ „Anwendungsberechtigungen“ zu finden.
Auch hier die Berechtigungen für SharePoint oben aus der Liste im Suchfeld eingeben und hinzufügen.
Auf ähnliche Art und Weise müssen nun noch die Exchange Online Anwendungsberechtigungen hinzugefügt werden.
Für diese ebenfalls auf „Berechtigungen hinzufügen“ klicken und dann den Reiter „Von meiner Organisation verwendete APIs“ auswählen.
Im darunter erscheinenden Suchfelt „Office 365 Exchange Online“ eintragen und die API darunter auswählen.
Danach auch hier nochmal die „Anwendungsberechtigungen“ wählen und nach der Berechtigungs-Bezeichnung oben aus der Liste (Exchange Online) suchen.
Nachdem alle Berechtigungen zur Anwendung hinzugefügt wurden sollte die Liste wie in folgendem Bild aussehen.
Nun müssen die gesetzten Berechtigungen noch „gewährt“ werden. Das geht mit einem Klick auf den Button „Administratorzustimmung für ORGANISATION erteilen“
Dieser Schritt muss einmal mit „Ja“ bestätigt werden.
Danach sollten alle Berechtigungen mit einem grünen Haken und der Aufschrift „Gewährt“ aufgelistet sein.
Zu guter Letzt muss in den Eigenschaften der Anwendung unter „Manifest“ noch der Text aus der am Anfang erstellten „KeyCredentials.txt“ Datei eingefügt werden um sicherzustellen, dass nur mit diesem Zertifikat auf die Azure-AD Anwendung zugegriffen werden kann.
Dazu zunächst aus der TXT-Datei den generierten Text mit allen Informationen Kopieren.
Anschließend wie bereits erwähnt unter den Eigenschaften der Anwendung in den Reiter „Manifest“ wechseln. und dort in der Zeile „keyCredentials“ den Kopierten Text aus der TXT-Datei in die Eckigen Klammern („[hier]“) einfügen.
Als nächstes kann man sich an das Erstellen eines Backup-Plans machen.
Das geschieht innerhalb der Synology App.
Dazu werden folgende Dinge benötigt:
Backupplan erstellen
- Der Domainadministrator des Microsoft Tenants
- Die Mandant-ID der Azure-AD Anwendung
- Zu finden in den Eigenschaften der Anwendung
- Die Anwendungs-ID der Azure-AD Anwendung
- Zu finden in den Eigenschaften der Anwendung
- Das am Anfang erstellte „Certificate.pfx“ Zertifkat
- Den passenden Schlüssel zum Zertifikat
- Das in der PowerShell eingegebene Kennwort (Beim erstellen des Zertifikats)
Um den Backupplan zu erstellen muss zunächst die App auf der Synology geöffnet werden.
Danach kann links unter „Aufgabenliste“ der Button „Erstellen“ gefunden werden, mit dem man einen neuen Plan erstellen kann.
Anschließend die Option zum erstellen eines neuen Plans wählen und auf „Weiter“ klciken.
Im nächsten Schritt werden die angekündigten Informationen benötigt.
Diese sollten wie im Bild zu sehen ausgefüllt werden.
Wo der Microsof Tenant gespeichert ist lässt sich übrigens im Admin Center unter „Einstellungen“ -> „Einstellungen der Organisation“ -> „Organisationsprofil“ -> „Datenspeicherort“ herausfinden.
Folgend kann dem Backup-Job ein Name gegeben werden und das Ziel kann angegeben werden. Beim Ziel kann eine bestimmte Freigabe auf der NAS angegeben werden. Ich habe hierfür eine Separate Freigabe mit dem Namen „M365-Backup erstellt.
Außerdem sieht man eine übersicht über die Objekte die gesichert werden sollen, welche auch (Mit dem Button „Bearbeiten“) angepasst werden kann.
Die Option zum Active Backup Portal lasse ich in der Regel deaktiviert, das ich nicht möchte dass außer dem dafür vorgesehenen Admin irgend ein User etwas am Backup ändern kann.
Im nächsten Step kann ausgewählt werden welche Dienste pro Benutzer, Gruppe oder SharePoint Site gesichert werden sollen.
In diesem Beispiel habe ich lediglich den Exchange Online gesichert und daher nur die Optionen dafür ausgewählt.
(HINWEIS: Die Option „Laufwerk“ beschreibt OneDrive“)
Im vorletzten Schritt kann ein Zeitplan definiert werden.
Ich habe mich für eine Sicherung von Montags-Freitags entschieden und dementsprechend die Option Wochentage ausgewählt sowie einen Zeitpunkt angegeben, an dem das Backup gestartet werden soll.
Nachdem alles eingestellt ist wird noch einmal eine kurze Zusammenfassung über die Konfiguration des Backupplans angezeigt. Mit „Übernehmen“ kann der Vorgang abgeschlossen werden und das Backup der M365 Dienste läuft nach Plan.
Backup manuell starten
Wenn ein Zeitplan konfiguriert wurde wird der Plan nach diesem ausgeführt.
Sollte es allerdings keinen Zeitplan geben oder man eine initialsicherung o.ä. manuell durchführen möchte kann der Backup-Plan in der Synology Anwendung unter „Aufgabenliste“ ausgwählt und mit einem Klick auf „sichern“ gestartet werden.
Kurz Übersicht
Im Überblick Panel der Synology App befindet sich auch eine kurze Gesamtübersicht über die geschützten Dienste. Dort wird in Zahlen dargelegt, wie viele Postfächer (E-Mail) Beispielsweise gesichert sind.