Veeam hat das Backup von Entra ID angekündigt und ich durfte mich bereits vor GA damitmit beschäftigen und habe eine Beta-Version in meinem Lab installiert und getestet. Als Plattform nutze ich nach wie vor eine Microsoft Azure VM zur Installation und Bereitstellung von Veeam (manuell installiert) und einen Microsoft CDX Tentant als Quell-Datenbasis für die Tests.
Vorwort:
Anders als beispielsweise beim Backup von Microsoft Azure Workloads oder Microsoft 365 Workloads hat Veeam das Backup der Entra ID in VBR (Veeam Backup & Replication) integriert. Das Menü und das Handling machen einen gewohnten Eindruck, da alle Einstellungen hier an den bereits bekannten VBR-Stil angepasst wurden bzw. in die vorhandene GUI integriert wurden.
Die Lizensierung ist von Veeam noch nicht veröffentlicht worden und somit noch nicht final bekannt. Es ist grundsätzlich davon auszugehen, dass Veeam das Backup von Entra ID in die VUL-Lizensierung integriert und somit eine zusätzliche Nutzung der bereits bekannten VUL-Lizensierung stattfinden wird.
Anlage eines Entra ID Tentants:
Die Menüführung ist bereits aus VBR bekannt und der Entra ID Tentant muss im Reiter Inventory angelegt werden:
Wichtig: Es muss hier die Tentant-ID angegeben werden, da diese den Tentant eindeutig identifiziert. Eine Mailadresse oder ein Name reicht hier nicht aus:
Die Authentifizierung mit einem administrativen Konto ist bereits aus Veeam Backup für M365 bekannt:
Der Tentant ist nun erfolgreich angelegt und es können Jobs dafür angelegt werden:
Arten von Backup-Jobs:
Unterschieden wird in 2 verschiedene Typen von Jobs:
- Tentant Backup Job
- Audit Log Backup Job
Beim Tentant Backup Job werden die Objekte des Tentants gesichert und können individuell wiederhergestellt werden. Beim Audit Log Backup Job werden Audit Logs dediziert gesichert und können eingesehen werden (siehe unten).
Anlage eines Tentant Backup Jobs:
Ein Backup Job wird über den in VBR bekannten Weg beispielsweise im Reiter Home angelegt. Folgende Objekte werden gesichert:
- Users
- Groups
- Entra ID Roles
- Administrative Units
- Application Registrations
- Enterprise Applications
Die Erstellung eines Backup-Jobs erfolgt über die VBR-GUI:
Wir können hier wie aus VBR bekannt eine Retention wählen, mehr Einstellmöglichkeiten gibt es hier jedoch aktuell nicht:
Das Scheduling ist ebenfalls der bekannte VBR-Standard:
Wichtig: Aktuell kann noch kein Backup Repository als Ziel für die Backups ausgewählt werden. Da ich in meiner Lab-Umgebung für diesen Test nur ein Backup Repository zur Verfügung stehen habe (Default Backup Repository), werden die Backups auch dort gespeichert.
Erster Testlauf:
Der Backup Job ist erfolgreich durchgelaufen und alle Objekte wurden erfolgreich gesichert.
Anlage eines Audit Log Backup Jobs:
Ein Backup Job wird über den in VBR bekannten Weg beispielsweise im Reiter Home angelegt. Folgende Logs werden gesichert:
- Audit Logs
- Sign-In Logs
Die Erstellung eines Audit Log Backup Jobs erfolgt ebenfalls über die VBR-GUI:
Wir können hier wie aus VBR bekannt eine Retention definieren und finden hier wie gewohnt den Button Advanced zum Konfigurieren weiterer Einstellungen:
Angelehnt an VBR können wir hier wieder ein Compression Level und auch die Backup File Encryption auswählen, die in in meinen Umgebungen standardmäßig aktiviere:
Das Scheduling ist ebenfalls bekannt und wird abschließend konfiguriert:
Wichtig: Im Vergleich zum Tentant Backup Job kann ich hier wie gewohnt ein Repository auswählen. Standardmäßig habe ich hier das Default Backup Repository verwendet, was ich innerhalb dieser Test-Installation nutze.
Erster Testlauf:
Der Backup Job ist erfolgreich durchgelaufen und alle Objekte wurden erfolgreich gesichert. Im Vergleich zum Tentant Job werden vergleichsweise weniger Daten geschrieben, da es sich eben nur um Log-Dateien handelt.
Health Check Jobs:
Mit der neuen Veeam-Version kommt auch ein Health Check, der allerdings nur für die Audit Logs ausführbar ist:
Genauere Informationen über den Inhalt und die Art des Checks liegen mir aktuell nicht vor.
Tentant Restore:
Wie bereits durch VBR bekannt können wir die vorhandenen Backups per Rechtsklick wiederherstellen:
Wie oben beschrieben, können wir mehrere Workloads wiederherstellen:
Full Restore eines Benutzers:
Exemplarisch habe ich hier den Full Restore eines Benutzerobjektes durchgeführt. Die Funktionalität erinnert an einen Active Directory Restore (Veeam Explorer für Microsoft Active Directory), da wir auch hier entsprechende Möglichkeiten haben, entweder einen Full Restore oder eine Metadata comparision („Compare with production“) durchzuführen:
Es können mehrere Benutzer gleichzeitig ausgewählt werden. Auch die Selektion über eine CSV-Datei ist möglich:
Die bereits bekannte Authentifizierung gegen die Azure Cloud wird während jeder Wiederherstellung abgefragt:
Insgesamt bietet Veeam hier viele Funktionen, die im Rahmen der Wiederherstellung für ein einzelnes Benutzerobjekt gesetzt werden können. Beispielsweise können wir das vorhandene Objekt überschreiben oder überspringen, falls es bereits existiert und auch – angelehnt an die Funktionen eine on-premise Active Directory Wiederherstellung – ein neues Passwort für den Benutzer vergeben und beispielsweise MFA erzwingen:
Auch die Wiederherstellung aus dem Entra ID Papierkorb ist möglich:
Im letzten Schritt erhalten wir eine finale Übersicht über die ausgewählten Optionen während der Wiederherstellung:
Die Wiederherstellung hat in meinem Fall nur ca. 10 Sekunden gedauert und ist fehlerfrei durchgelaufen:
Die Tätigkeiten habe ich erfolgreich innerhalb der Entra ID nachvollziehen und validieren können.
Compare-Restore eines Benutzers:
Um nicht einen Full Restore eines Benutzers durchzuführen sondern ihn mit dem aktuellen Stand in der Produktivumgebung zu vergleichen, werden die selben Schritte wie oben eingeleitet, jedoch anstatt Full Restore wird die Option Metadata comparison verwendet:
Wir sehen nun eine Übersicht über die aktuell vorhandenen Benutzereigenschaften und können den Restore-Point und den / die betroffenen Benutzer auswählen:
Hier werden ebenfalls wieder relativ hohe Rechte innerhalb der Azure benötigt. Auch dies wird bei jeder Wiederherstellung abgefragt:
Im letzten Schritt sehen wir wieder eine Gesamtübersicht des zu wiederherstellenden Benutzers und der Attribute, die wiederhergestellt werden sollen:
Die Wiederherstellung hat in meinem Fall etwa 2 Minuten gedauert und ist fehlerfrei durchgelaufen:
Audit Log Restore:
Audit Logs können nicht nativ zurück an die Entra ID Infrastruktur zurückgesichert werden. Der einzige Weg, die Logs wiederherzustellen, ist das Kopieren der im Backup befindlichen Daten an einen anderen Speicherort (beispielsweise den Backupserver selbst) und das manuelle Verarbeiten der Logs innerhalb der Azure.
Meinen Informationen zufolge bietet Azure für das Wiederherstellen der Logs aktuell keine Schnittstelle.
Der Wizard wird über den ebenfalls bekannten Weg innerhalb der GUI gestartet:
Hier sehen wir, dass die Wiederherstellungsoptionen limitiert sind, lediglich Copy to ist möglich:
Wie oben erwähnt, können wir hier einen der Veeam Managed Server auswählen und dort einen Pfad für den Dateiexport angeben:
Abschließend erhalten wir eine Warnmeldung, dass das Ziel-Dateisystem (in meinem Fall Laufwerk C:\ des Backupservers) andere Berechtigungen hat als die Quelle (Azure Entra ID). Diese Meldung ist zu erwarten und hier zu vernachlässigen:
Auswertung der wiederhergestellten Logs:
Ich habe die Logs zur besseren Übersicht in den Ordner C:\Restore verschoben. Dort befindet sich der wiederhergestellte Ordner SignInLog, welcher Anmelde-Logs enthält:
Der Inhalt der Logdateien sieht folgendermaßen aus:
Fazit:
Veeam geht mit der Implementierung des Entra ID Backups einen großen Schritt in Richtung Cloud Readyness und ermöglicht den Kunden nun auch die Sicherung der Anmeldeobjekte inkl. Logs innerhalb der Azure-Infrastruktur.
Viele Kunden setzen den Fokus nicht auf die Backups dieser Elemente, da unter anderem Microsoft die Priorität und die Relevanz dieser Daten meiner Meinung nach nicht ausreichend in den Fokus rückt.
Nachwort: Lizensierung
Veeam hat noch keine finale Äußerung zur Lizensierung des Produktes getätigt. Wie oben erwähnt ist geplant, die Lizenz in die VUL (Veeam Universal License) zu integrieren.
Wünschenswert ist hier ganz klar, die Konkurrenz (z.B. CommVault) preislich zu betrachten und sich dementsprechend zu positionieren.
Aktuell werden VUL-Lizenzen für Cloud-Workloads innerhalb des Veeam Backup for Azure benötigt, gleichzeitig kann damit eine VBR-Umgebung lizensiert werden.