Importare ed esportare le impostazioni di configurazione di Azure AD Connect (public preview)

Le distribuzioni di Azure Active Directory (Azure AD) Connect variano da un’installazione in modalità Express a single forest a distribuzioni complesse che si sincronizzano su multiple forest usando regole di sincronizzazione personalizzate. A causa dell’elevato numero di opzioni e meccanismi di configurazione, è essenziale comprendere quali impostazioni sono attive ed essere in grado di implementare/distribuire rapidamente un server con una configurazione identica. Questa funzione introduce la possibilità di catalogare la configurazione di un determinato server di sincronizzazione e avviare le impostazioni in una nuova distribuzione. È possibile confrontare istantanee di impostazioni di sincronizzazione diverse per visualizzare facilmente le differenze tra due server o lo stesso server nel tempo.

Ogni volta che la configurazione viene modificata dalla procedura guidata di Azure AD Connect, un nuovo file di impostazioni JSON con data e ora viene esportato automaticamente in %ProgramData%\AADConnect. Il nome del file delle impostazioni è nel formato Applied-SynchronizationPolicy-*.JSON, dove l’ultima parte del nome è un timestamp.

IMPORTANTE: Solo le modifiche apportate da Azure AD Connect vengono esportate automaticamente. Eventuali modifiche apportate tramite PowerShell, Synchronization Service Manager o rules editor devono essere esportate su richiesta in base alle esigenze per mantenere una copia aggiornata. L’esportazione su richiesta può essere utilizzata anche per posizionare una copia delle impostazioni in un luogo sicuro in caso di ripristini d’emergenza.

Esportare le impostazioni di Azure AD Connect

Per visualizzare un riepilogo delle impostazioni di configurazione, apri Azure AD Connect e seleziona l’attività aggiuntiva denominata View or Export Current Configuration. Viene visualizzato un breve riepilogo delle impostazioni insieme alla possibilità di esportare la configurazione completa del server.

Di default, le impostazioni vengono esportate in %ProgramData%\AADConnec. È inoltre possibile scegliere di salvare le impostazioni in una posizione protetta per garantire la disponibilità in caso di emergenza. Le impostazioni vengono esportate utilizzando il formato di file JSON e non devono essere create o modificate manualmente per garantire la coerenza logica. L’importazione di un file creato o modificato manualmente non è supportata e potrebbe portare a risultati imprevisti.

Importare le impostazioni di Azure AD Connect

Per importare impostazioni precedentemente esportate:

  1. Installa Azure AD Connect su un nuovo server.
  2. Seleziona l’opzione Customize dopo la pagina di benvenuto.
  3. Seleziona Import synchronization settings.Cerca il file delle impostazioni JSON esportato in precedenza.
  4. Seleziona Install.
Screenshot that shows the Install required components screen

Nota: Sostituisci le impostazioni in questa pagina come l’uso di SQL Server invece di LocalDB o l’uso di un account di servizio esistente invece di un VSA predefinito. Queste impostazioni non vengono importate dal file delle impostazioni di configurazione. Sono disponibili a scopo informativo e di confronto.

Import installation experience

L’esperienza di importazione delle installazioni è intenzionalmente mantenuta semplice con input minimi da parte dell’utente per fornire facilmente la riproducibilità di un server esistente.

Le uniche modifiche che possono essere apportate durante l’installazione sono le seguenti (tutte le altre modifiche possono essere apportate dopo, dalla procedura guidata di Azure AD Connect):

  • Credenziali di Azure Active Directory: il nome dell’account per l’amministratore globale di Azure usato per configurare il server originale viene messo di default. Questo, deve essere cambiato se si desidera sincronizzare le informazioni in una nuova directory.
  • User sign-in: le opzioni di accesso configurate per il server originale sono selezionate come impostazione predefinita e richiedono automaticamente le credenziali o altre informazioni necessarie durante la configurazione. In rari casi, potrebbe essere necessario impostare un server con diverse opzioni per evitare di modificare il comportamento del server attivo. Altrimenti, basterà selezionare Next per utilizzare le stesse impostazioni.
  • Credenziali della directory on-premises: per ogni directory locale inclusa nelle impostazioni di sincronizzazione, è necessario fornire le credenziali per creare un account di sincronizzazione o fornirne uno personalizzato pre-creato. Questa procedura è identica all’esperienza di installazione base con l’eccezione che non è possibile aggiungere o rimuovere directory.
  • Opzioni di configurazione: come con un’installazione base, è possibile scegliere di configurare le impostazioni iniziali per avviare la sincronizzazione automatica o abilitare la modalità di gestione temporanea. La differenza principale è che la modalità di gestione temporanea è abilitata intenzionalmente di default per consentire il confronto dei risultati di configurazione e sincronizzazione prima di esportare attivamente i risultati in Azure.
Screenshot that shows the Connect your directories screen

Nota: Solo un server di sincronizzazione può avere il ruolo primario ed esportare attivamente le modifiche alla configurazione in Azure. Tutti gli altri server devono essere posti in modalità di gestione temporanea.

Migrare le impostazioni da un server esistente

Se un server esistente non supporta la gestione delle impostazioni, puoi scegliere di aggiornarlo o migrare le impostazioni per l’utilizzo su uno nuovo.

La migrazione richiede l’esecuzione di uno script di PowerShell che estrae le impostazioni esistenti per l’utilizzo in una nuova installazione. Utilizza questo metodo per catalogare le impostazioni del server esistente e quindi applicarle a uno di gestione temporanea appena installato. Il confronto delle impostazioni per il server originale con uno appena creato visualizzerà rapidamente le modifiche. Come sempre, segui il processo di certificazione della tua organizzazione per assicurarti che non sia necessaria alcuna configurazione aggiuntiva.

Processo di migrazione

Per migrare le impostazioni:

  • Avvia AzureADConnect.msi nel nuovo server di gestione temporanea e fermati alla pagina di benvenuto di Azure AD Connect.
  • Copia MigrateSettings.ps1 dalla directory Microsoft Azure AD Connect\Tools in una posizione sul server esistente. Un esempio è C:\setup.
Screenshot that shows Azure AD Connect directories.
  • Esegui lo script come mostrato qui e salva l’intera directory di configurazione del server di livello inferiore. Copia questa directory nel nuovo server di gestione temporanea. È necessario copiare l’intera cartella Exported-ServerConfiguration-* sul nuovo server.
  • Avvia Azure AD Connect facendo doppio clic sull’icona sul desktop. Accetta i termini della licenza software Microsoft e nella pagina successiva seleziona Customize.
  • Seleziona la casella Import synchronization settings. Clicca su Browse per esplorare la cartella copiata Exported-ServerConfiguration- *. Seleziona MigratedPolicy.json per importare le impostazioni migrate.
Screenshot that shows the Import synchronization settings option.

Verifica post-installazione

Il confronto dei file è un passaggio essenziale per comprendere eventuali differenze tra l’installazione prevista e quella risultante. Utilizzando l’applicazione di confronto dei testi affiancati si ottiene una visualizzazione istantanea che evidenzia rapidamente qualsiasi modifica desiderata o accidentale.

Sebbene molti passaggi di configurazione precedentemente manuali siano ora eliminati, si dovrebbe comunque seguire il processo di certificazione della propria azienda per garantire che non sia necessaria alcuna configurazione aggiuntiva. Questa configurazione potrebbe verificarsi se si utilizzano impostazioni avanzate, che non sono attualmente acquisite nella versione di public preview della gestione delle impostazioni.

Ecco le limitazioni note:

  • Regole di sincronizzazione: la precedenza per una regola personalizzata deve essere compresa tra 0 e 99 per evitare conflitti con le regole standard di Microsoft. Posizionare una regola personalizzata al di fuori dell’intervallo riservato potrebbe comportare lo spostamento di quest’ultima man mano che le regole standard vengono aggiunte alla configurazione. Un problema simile si verificherà se la configurazione contiene regole standard modificate.
  • Writeback del dispositivo: queste impostazioni sono catalogate. Non sono attualmente applicate durante la configurazione. Se il writeback del dispositivo è stato abilitato per il server originale, è necessario configurare manualmente la funzionalità sul server appena distribuito.
  • Tipi di oggetti sincronizzati: sebbene sia possibile limitare l’elenco dei tipi di oggetti sincronizzati (come utenti, contatti e gruppi) utilizzando la gestione servizio di sincronizzazione, questa funzionalità non è attualmente supportata tramite le impostazioni di sincronizzazione. Dopo aver completato l’installazione, è necessario riapplicare manualmente la configurazione avanzata.
  • Profili di esecuzione personalizzati: sebbene sia possibile modificare il set predefinito di profili di esecuzione utilizzando Synchronization Service Manager, anche questa funzionalità non è attualmente supportata tramite le impostazioni di sincronizzazione. Di nuovo, dopo aver completato l’installazione, è necessario riapplicare manualmente la configurazione avanzata.
  • Configurazione della gerarchia di provisioning: questa funzionalità avanzata di Synchronization Service Manager non è supportata tramite le impostazioni di sincronizzazione. Deve essere riconfigurato manualmente al termine della distribuzione iniziale.
  • Autenticazione Active Directory Federation Services (ADFS) e PingFederate: i metodi di accesso associati a queste funzionalità di autenticazione vengono preselezionati automaticamente. È necessario fornire in modo interattivo tutti gli altri parametri di configurazione richiesti.
  • Regola di sincronizzazione personalizzata disabilitata: una regola di sincronizzazione personalizzata disabilitata viene importata come abilitata. Assicurati di disabilitarlo anche sul nuovo server.

Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/y6rwaplf

Abilita l’accesso ad Azure AD con la posta elettronica come ID alternativo

Microsoft ha annunciato l’anteprima pubblica di una nuova feature: la possibilità di accedere ad Azure AD con la posta elettronica oltre che con l’UPN (UserPrincipalName). Nelle aziende in cui la posta elettronica e l’UPN non sono la stessa cosa, si può creare confusione per gli utenti che non possono utilizzare il proprio indirizzo mail per accedere. Con questa nuova funzionalità, puoi consentire ai tuoi utenti di accedere con il loro UPN o il loro indirizzo e-mail, evitando loro questo disguido.

Questa feature può essere abilitata impostando l’attributo AlternateIdLogin in HomeRealmDiscoveryPolicy. Utilizza le seguenti istruzioni per configurarlo nella tua organizzazione: https://tinyurl.com/y3og58lr

Al momento, molti stanno usando funzionalità in Azure Active Directory (Azure AD) Connect per raggiungere questo obiettivo, ma ciò richiede loro di impostare l’indirizzo di posta elettronica come UPN in Azure AD. Con questa nuova funzionalità, sarà possibile usare lo stesso UPN su Active Directory e Azure AD on-premises per ottenere la migliore compatibilità tra Office 365 e altri carichi di lavoro, consentendo comunque agli utenti di accedere con il loro UPN o e-mail.

Ci auguriamo che questa novità semplifichi l’esperienza di accesso a tutti gli end users.


Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/yypv5yer

NOVITÀ DI INTUNE NELLA RELEASE 2006

In questo articolo, scopriremo insieme quali sono le novità più importanti della versione 2006 di Microsoft Intune:

1. CONSEGNA UNIFICATA DELLE APPLICAZIONI AZURE AD ENTERPRISE E OFFICE ONLINE NEL PORTALE AZIENDALE

Sul riquadro di personalizzazione di Intune, puoi scegliere di nascondere o mostrare sia le applicazioni Azure AD Enterprise sia le applicazioni di Office Online nel Portale aziendale. Ogni utente finale vedrà l’intero catalogo app dal servizio Microsoft scelto. Di default, ogni fonte aggiuntiva di app sarà impostata su “Hide” (Nascondi). Questa funzione sarà attiva dapprima sul sito web del Portale Aziendale, a cui dovrebbe seguire il supporto sul Portale Aziendale di Windows.
Nel Microsoft Endpoint Manager admin center, selezionare Tenant administration Customization per trovare questa impostazione di configurazione.

2. UTILIZZO DI CERTIFICATI PKCS CON PROFILI WI-FI SU WINDOWS 10 E DISPOSITIVI PIÙ RECENTI

Puoi autenticare i profili Wi-Fi di Windows con i certificati SCEP (Device configuration>Profiles>Create profile>Windows 10 and later for platform >Wi-Fi for profile type >Enterprise>EAP type). Da ora puoi utilizzare i certificati PKCS (nuovi o esistenti nel tenant).

3. I DISPOSITIVI PERSONALI POSSONO UTILIZZARE LA VPN PER LA DISTRIBUZIONE

Il nuovo profilo autopilot “Skip Domain Connectivity Check” consente di implementare dispositivi Hybrid Azure AD Join senza accedere alla rete aziendale usando il proprio client VPN Win32 di terze parti. Per vedere il nuovo “bottone”, passa a Microsoft Endpoint Manager admin center Devices > Windows > Windows enrollment > Deployment profiles > Create profile > Out-of-box experience (OOBE).

4. I PROFILI DELLA PAGINA RELATIVA ALLO STATO DI REGISTRAZIONE POSSONO ESSERE IMPOSTATI SU DEVICE GROUPS

In precedenza, i profili della pagina di registrazione (ESP) potevano essere indirizzati solo a gruppi di utenti. Ora, puoi anche impostarli su gruppi di dispositivi target. Per ulteriori informazioni, vedi {Set up an Enrollment Status Page] (../enrollment/windows-enrollment-status.md).

5. CAMBIARE UTENTE PRIMARIO SU DISPOSITIVI CO-GESTITI

Puoi modificare l’utente principale per dispositivi Windows co-gestiti.

6. L’IMPOSTAZIONE DELL’UTENTE PRINCIPALE DI INTUNE IMPOSTA ANCHE LA FUNZIONE DI PROPRIETARIO DI AZURE AD

Questa nuova funzionalità imposta automaticamente la proprietà del titolare sui dispositivi Hybrid Azure AD Joined appena registrati, nello stesso momento in cui viene impostato l’utente primario Intune.

Questa è una modifica al processo di registrazione e si applica solo ai dispositivi appena registrati. Per i dispositivi Hybrid Azure AD Joined esistenti, è necessario aggiornarla manualmente.
Per fare ciò, puoi utilizzare la funzione Change primary user feature o uno script.

Quando i dispositivi Windows 10 si agganciano in Join a Hybrid Azure Azure Directory , il primo utente del dispositivo diventa l’utente principale in Endpoint Manager. Attualmente, l’utente non è impostato sul corrispondente dispositivo Azure AD. Ciò causa un’incoerenza quando si confronta la proprietà di owner dal portale di Azure AD con la proprietà di primary user nell’interfaccia di amministrazione di Microsoft Endpoint Manager. La proprietà non viene popolata sui dispositivi agganciati ad Hybrid Azure AD. Questa limitazione impedisce la configurazione del self-service recovery di BitLocker da Azure AD. La nuova feature risolve la seguente limitazione.

7. GLI AMMINISTRATORI NON HANNO PIÙ BISOGNO DI UNA LICENZA INTUNE PER ACCEDERE ALLA CONSOLE DI AMMINISTRAZIONE DI MICROSOFT ENDPOINT MANAGER

Ora puoi impostare un interruttore a livello di tenant per rimuovere il requisito di licenza Intune per gli amministratori che vogliono accedere alla console di amministrazione MEM ed interrogare graph APIs.
ATTENZIONE: Una volta rimosso il requisito di licenza, non è più possibile ripristinarlo.

8. UTILIZZO DELL’ANALISI DEGLI ENDPOINT PER MIGLIORARE LA PRODUTTIVITÀ DEGLI UTENTI E RIDURRE I COSTI DI SUPPORTO IT

L’analisi degli endpoint ha l’obiettivo di migliorare la produttività e ridurre i costi di supporto IT fornendo informazioni sull’esperienza utente.
Gli insights consentono all’IT di ottimizzare l’esperienza con supporto proattivo e di rilevare eventuali regressioni, valutando l’impatto da parte dell’utente sulle modifiche alla configurazione.
Per ulteriori informazioni, consulta il seguente link: https://docs.microsoft.com/it-it/mem/analytics/overview.

9. RISOLUZIONE PROATTIVA DEI PROBLEMI SUI DISPOSITIVI DEGLI UTENTI FINALI UTILIZZANDO I PACCHETTI DI SCRIPT

Puoi creare ed eseguire pacchetti di script sui dispositivi degli utenti finali per trovare e risolvere in modo proattivo i principali problemi di supporto. La distribuzione di questi ti aiuterà a ridurre le chiamate di supporto. Intune ti consente di visualizzare lo stato dei pacchetti distribuiti e di monitorare i risultati di rilevamento e correzione.

Per maggiori informazioni consulta i seguenti link:


Le informazioni presenti in questo post, sono prese dall’articolo: https://www.cloud-boy.be/blog/whats-new-in-intune-release-2006/

Backup di Veeam per Azure

Veeam ha da poco rilasciato una soluzione nativa per il backup di macchine virtuali in Azure, rivolta sia ad aziende PMI che enterprise.
Sono disponibili, infatti, due versioni:

  • la versione gratuita, che protegge fino a 10 Virtual Machines Azure;
  • la versione “Bring Your Own License”, il cui numero di macchine da poter sottoporre a backup è legato al numero di licenze acquistate.

Perché parliamo di soluzione “nativa”? E perché si tratta di un importante valore aggiunto?

Sappiamo che “Veeam Backup & Replication” si integra in modalità “agentless” con gli ambienti di virtualizzazione Microsoft Hyper-V e VMware, senza necessità di installare software aggiuntivi sulle VM.
Sulle macchine virtuali in Azure invece, fino ad ora, doveva essere installato un agent specifico (per Windows o per Linux): inoltre, dovevano essere gestite come macchine fisiche.

Con l’arrivo di “Veeam Backup for Microsoft Azure” ora potrai effettuare il backup, e l’eventuale ripristino, delle macchine su Azure, senza dover utilizzare nessun agent, grazie ad una soluzione integrata con la piattaforma cloud di Microsoft.

In questo articolo, descriveremo le funzionalità della soluzione e vedremo i passi da intraprendere per eseguire il backup di un set di virtual machines in Azure.

Caratteristiche di Veeam Backup for Microsoft Azure
Puoi installare facilmente scaricandono dal Marketplace Azure.
Ti permette di effettuare due diversi tipi di backup:

  1. Utilizzando le snapshot native delle macchine virtuali;
  2. Archiviando i backup delle macchine virtuali in Azure BLOB Storage.

Una metodologia non esclude l’altra: infatti, hai la possibilità di creare delle policy di backup per applicarle entrambe, magari con frequenze e criteri di conservazione differenti.

Per maggiori informazioni sulle shapshot dei dischi delle VM Azure consulta questo link: https://docs.microsoft.com/it-it/azure/virtual-machines/windows/snapshot-copy-managed-disk.

Maggiori informazioni sui BLOB Storage di Azure a questo link: https://docs.microsoft.com/it-it/azure/storage/blobs/

Per quanto riguarda il ripristino, potrai effettuarlo sovrascrivendo la macchina originale o selezionando una posizione diversa con impostazioni alternative. Potrai anche ripristinare singoli volumi e file.

Se vuoi ottenere una copia dei backup su storage locale, puoi integrare Veeam Backup for Microsoft Azure con un’eventuale installazione on-premises di Veeam Backup & Replication: ciò ti permette anche di coordinare i ripristini delle macchine virtuali Azure su infrastrutture VMware o Hyper-V presenti nei datacenter.

Architettura

L’architettura è composta da tre elementi (figura seguente):

  1. Il Controller Server, una VM Azure basata su Linux su cui è installato il prodotto, creata automaticamente durante il deployment dal Marketplace;
  2. I Backup Repository, spazi BLOB Storage su cui archiviare i backup delle VM Azure, definiti dall’utente;
  3. I Worker, VM Azure Linux istanziate per eseguire il backup e il ripristino delle macchine virtuali su e da BLOB Storage, nonché le operazioni di recupero a livello di singolo file. Essi, vengono avviati e dismessi automaticamente da Veeam Backup for Microsoft Azure.

1. Il compito del Controller Server è quello di gestire tutte le componenti dell’infrastruttura di backup, la schedulazione delle policy di protezione, coordinare la creazione delle snapshot, il backup e il ripristino delle virtual machines in Azure. Una volta terminato il deployment potrai connetterti tramite browser ed avere accesso all’interfaccia amministrativa di Veeam Backup for Microsoft Azure.

2. Se desideri archiviare i backup su Azure BLOB Storage dovrai aggiungere almeno un Backup Repository all’infrastruttura. Dovrai abbinare un repository ad una cartella esistente in un BLOB Container definito all’interno di uno Storage Account Azure.

3. Per quanto riguarda i Worker, ognuno di essi gestisce i dati di una VM alla volta. Se opti per una policy di backup contenente 10 macchine virtuali, Veeam Backup for Microsoft Azure potrà istanziare fino a 10 Worker.
Il Controller Server può decidere automaticamente come crearli in occasione di backup o ripristini verso o da Backup Repository (BLOB Storage). Oppure può seguire impostazioni personalizzate definite dall’utente. Di default la configurazione è automatica: prevede al massimo 5 Worker creati nella Region dove è collocato lo Storage Account del Backup Repository. In alternativa, puoi anche definire una serie di parametri personalizzati specifici per una Region Azure, come il numero minimo o massimo di Worker simultanei, le loro dimensioni (in base ai template Azure) e le impostazioni di rete. Sia per la configurazione automatica che per quella personalizzata, ogni Worker ha un periodo massimo di inattività di 10 minuti: trascorso questo periodo di tempo viene automaticamente rimosso.

Se desideri aumentare il livello di sicurezza, puoi collocare i backup in una Region alternativa rispetto a quella in cui sono presenti le VM.

Di seguito, scopriremo come installare, configurare Veeam Backup for Microsoft Azure e proteggere le tue VM in Azure.

IMPORTANTE: si presuppone una buona conoscenza dei concetti base di amministrazione di Microsoft Azure.

Come installare Veeam Backup for Microsoft Azure
Per iniziare accedi al Marketplace di Azure utilizzando il seguente link: https://azuremarketplace.microsoft.com/en-us/marketplace/apps/veeam.azure_backup_free?tab=Overview

e clicca su “GET IT NOW”.

Dopo il login con account amministrativo, alla pagina Veeam Backup for Microsoft Azure clicca su “Create”.

Alla sezione Basic, seleziona la sottoscrizione su cui desideri effettuare il deployment della VM di Veeam Backup per Microsoft Azure; alla casella Resource group seleziona un gruppo esistente o clicca su Create new per crearne uno nuovo.
Per ulteriori informazioni clicca il seguente link: https://docs.microsoft.com/it-it/azure/azure-resource-manager/management/manage-resource-groups-portal.

Rinomina la VM, seleziona la Region di appartenenza (https://azure.microsoft.com/it-it/global-infrastructure/regions/) ed eventualmente una delle Availability options (https://docs.microsoft.com/it-it/azure/virtual-machines/windows/availability).

Assicurati che sia selezionata l’immagine “Veeam Backup for Microsoft Azure”.

L’opzione Azure Spot Instance non deve essere abilitata
(https://azure.microsoft.com/it-it/pricing/spot/).

Tenendo conto che i requisiti minimi sono di 2 vCPU e 4GB di RAM, seleziona la dimensione più adatta (l’installer sceglie quella ottimale).

Clicca su Password e inserisci un nome e una password per l’account che avrà accesso alla console.

Fai click su Next: Discs.

Alla sezione OS disk type seleziona l’opzione Premiun SSD per ottenere performance migliori.

Clicca su Next: Networking.

Seleziona o crea la Virtual Network, la Subnet, il Public IP e il Network security group che vuoi vengano abbinati alla VM di Veeam Backup for Microsoft Azure. Per maggiori info consulta i seguenti link:
https://docs.microsoft.com/it-it/azure/virtual-network/virtual-networks-overview;
https://docs.microsoft.com/it-it/azure/virtual-network/security-overview.

Per abilitare un throughput elevato e una minore latenza sull’interfaccia di rete, seleziona l’opzione Accelerated networking.

Assicurati che l’opzione Place this virtual machine behind an existing load balancing solution? sia impostata su No.

Clicca su Review + create.

Controlla i parametri impostati e fai click su Create.

Come configurare Veeam Backup for Microsoft Azure

Concluso il deployment, alla sezione Overview della VM, segnati il Public IP address.

Utilizzando l’indirizzo IP appena annotato, dal browser accedi alla console: inserisci nome utente e password decisi in fase di installazione e fai click su Log in.

Dopo aver letto ed accettato il License Agreement, avrai accesso alla console di gestione.

Clicca su Add Microsoft Azure Connection.

Per accedere alle risorse di Azure, quali sottoscrizioni, gruppi di risorse, account di archiviazione, ecc…, Veeam Backup for Microsoft Azure utilizza un account di servizio Microsoft Azure (Azure AD Application).

Nella pagina Add Azure Account inserisci un nome ed una descrizione per identificare l’account di servizio Azure (sono informazioni indicative), poi clicca su Next.

Alla pagina successiva, Select service account type to use, seleziona una delle due opzioni:

  1. Create service account automatically, l’account viene creato dal Veeam Backup for Microsoft Azure;
  2. Specify existing service account, per selezionarne uno già esistente.

Per maggiori info, ti rimandiamo al seguente link: https://docs.microsoft.com/it-it/azure/active-directory-domain-services/create-gmsa.

Nel tuo caso, seleziona Create service account automatically e fai click su Next.

Nella pagina Logon to Microsoft Azure, clicca su Copy code to clipboard e poi sul link https://microsoft.com/devicelogin.

Nella pagina del portale Microsoft, incolla il codice appena copiato e fai click su Next.

Inserisci le tue credenziali di accesso amministrativo ad Azure.

In seguito, torna alla console di Veeam Backup for Microsoft Azure e clicca su Next.

Nella pagina Set application Group, puoi anche inserire il service account precedentemente individuato in un gruppo Azure Active Directory esistente. Ciò ti consente di accedere alle risorse di tale gruppo quando andrai a definire le policy di backup.

Fai click su Next e nella pagina Summary clicca Finish.

Alla sezione Accounts, nell’area Configuration, vedrai l’account appena creato.

Per far si che Veeam Backup for Microsoft Azure possa archiviare i backup, devi configurare almeno un repository BLOB Storage.

Supponiamo che sia disponibile uno Storage Account di Azure (nell’esempio chiamato vbazuredemostorage) al cui interno sia stato creato un Container (nell’esempio vbazurerepo).
Per maggiori info consulta il seguente link: https://docs.microsoft.com/it-it/azure/storage/blobs/storage-blobs-introduction.

Fai click su Repositories e successivamente su Add.

Nella pagina Add Repository inserisci un nome ed una descrizione (come detto sopra, sono informazioni puramente indicative), poi clicca su Next.

Nella pagina Choose account to connect to Azure repository, assicurati che sia selezionato l’account di servizio precedentemente creato, poi clicca su Next.

Nella pagina Choose storage account, seleziona l’account di archiviazione Azure contenente il container BLOB e clicca Next.

Nella pagina Choose Microsoft Azure blob storage container seleziona il container che desideri utilizzare come repository e fai click su Next.

Nella pagina Specify folder options seleziona una cartella esistente oppure creane una nuova (nell’esempio, Rome-Backups) e clicca su Next.

Se desideri utilizzare la crittografia per proteggere i dati di backup, seleziona l’opzione Enable encryption: inserisci una password e un suggerimento per aiutarti a ricordarla.
In seguito, clicca su Next.

Nella pagina successiva fai click su Finish.

OPZIONALE: se desideri configurare le impostazioni di notifica via e-mail, fai click su Settings nella consolle.

Nella scheda E-mail Settings, seleziona la casella di controllo Enable e-mail notifications.

Nel campo SMTP Server, specifica un nome DNS o un indirizzo IP del server SMTP che desideri utilizzare. Da questo server verranno inviate tutte le notifiche e-mail, inclusi i messaggi di prova, e i rapporti giornalieri.

Per specificare le credenziali dell’utente e le impostazioni di connessione fai click su Advanced.
Maggiori info al link: https://helpcenter.veeam.com/docs/vbazure/guide/adding_standard_account.html?ver=10.

Infine, fai click su Save.

Come creare una policy di backup

Per effettuare il backup di una o più VM presenti su Azure, recati alla console di Veeam Backup for Microsoft Azure e fai click su Policies e poi su Add.

Nella pagina Add Policy, inserisci un nome ed una descrizione e clicca su Next.

Seleziona la Azure Active Directory di riferimento e fai click su Next.

Nella pagina Select regions, con il pulsante Add o con il pulsante Remove, aggiungi o rimuovi le Region Azure in cui sono presenti le VM di cui vuoi fare il backup.

Nella pagina Specify resources to protect fai click su All resources per proteggere tutte le VM della Region selezionata. Facendo click su Protect the following resources e poi su Add specifichi, invece, il tipo di risorsa (sottoscrizioni, gruppi di risorse, tag, VM).

Nell’esempio, è stato selezionato il tipo Virtual Machines e poi due VM specifiche: srv-webapp-01 e srv-ubu-01.

Fai click su Next. Nella pagina seguente, puoi aggiungere (Add) o rimuovere (Remove) le risorse che non vuoi includere nella policy. Tutto ciò ha senso se hai scelto di individuare le risorse attraverso un contenitore (sottoscrizione, gruppo di risorse) o un tag.
In seguito, fai click su Next.

Nella pagina Specify Snapshot Settings puoi scegliere se effettuare una protezione delle VM attraverso snapshot native, decidere quanti punti di ripristino conservare per ogni VM e se programmare l’esecuzione automatica dell’operazione.

Clicca Next.

Nella pagina Specify Backup Settings puoi scegliere se effettuare il backup delle VM su BLOB Storage, la durata della retention del backup per ciascuna VM e se programmare l’esecuzione automatica dell’operazione.

Un importante vantaggio dato dai backup su BLOB Storage è che potrai interagirci utilizzando la console di Veeam Backup & Replication per organizzare copie e/o ripristini on-premises.

Clicca su Next.

Nella pagina Cost estimation per month potrai vedere una stima dei costi mensili imputati da Microsoft relativi a:

  • Creazione gestione delle snapshot;
  • Occupazione dello spazio BLOB Storage legato ai backup;
  • Traffico eventualmente legato al backup fra regioni differenti;
  • Transazioni generate dalle richieste API effettuate verso Azure.

Seleziona Next.

Nella pagina Policy Settings, puoi decidere se effettuare (e quanti) nuovi tentativi di esecuzione delle procedure di backup in caso di errore. Inoltre, puoi decidere se ricevere notifiche via e-mail relative all’esecuzione della policy.

Clicca su Next e in seguito su Finish.

Nella console vedrai la policy che hai appena creato.

Seleziona la policy e clicca su Start.


Le informazioni presenti in questo post, sono prese dall’articolo: https://www.ictpower.it/sistemi-operativi/veeam-backup-for-microsoft-azure.htm.