Étiquette : VDC

Veeam Data Cloud pour Entra ID

Pourquoi devrais-je sauvegarder mes données Microsoft Entra ID ? Entra ID est la brique centrale qui pilote l’identité, l’accès et la sécurité de tout l’environnement cloud. Si Entra ID tombe, tout tombe : authentification, applications SaaS, accès aux ressources Azure, Polices d’accès conditionnel, MFA, etc…

Entra ID a son backup natif, n’est-ce pas ?

Non, Microsoft n’offre pas de fonctionnalité de sauvegarde ou de restauration complète d’Entra ID. Voici ce qui existe nativement, et surtout ce qui manque :

Élément Entra IDComportement natifLimite importante
Utilisateurs / Groupes supprimésCorbeille 30 joursObject ID parfois régénéré → casse des dépendances
Rôles / ApplicationsSuppression définitiveAucune corbeille, restauration impossible
Politiques d’accès conditionnelCorbeille 30 jours (préversion)Une erreur bloque l’accès global
Service Principals / App RegistrationsCorbeille 30 joursImpact direct sur les intégrations applicatives
Audit & sign-in logsConservation limitée (7 à 30 jours selon licence)Impossible de rejouer/restaurer

Avec une sauvegarde Entra ID dédiée, il vous serait possible de ?

  • Revenir à un état connu fonctionnel après une mauvaise config
  • Restaurer un objet précis (utilisateur, groupe, application…) sans impacter le reste
  • Comparer deux versions d’un objet et restaurer uniquement un champ
  • Auditer proprement ce qui a changé dans la configuration du tenant
  • Garder une preuve longue durée des logs de sécurité

Qu’est-ce que Veeam Data Cloud ?

Pour vous aider, j’en ai déjà parlé au travers de plusieurs articles :

Veeam Data Cloud est la plateforme SaaS de Veeam, hébergée dans Azure, qui permet de sauvegarder et restaurer les données Microsoft 365 et Microsoft Entra ID sans avoir à déployer d’infrastructure.

Tout est géré par Veeam ?

  • Pas de serveur VBR à installer, pas de SQL, pas de stockage à provisionner
  • Sauvegarde hébergée dans Azure, dans la région que tu choisis à l’activation
  • Rétention longue durée incluse, stockage illimité (modèle “as-a-service”)
  • Interface Web = tout se fait en ligne, y compris la restauration granulaire

En résumé : c’est le Veeam que tu connais, mais entièrement hébergé, pensé pour les environnements cloud first ou sans infrastructure on-prem, et surtout pour apporter une vraie sauvegarde de l’identité Entra ID, ce que Microsoft ne propose pas nativement.

Qu’est-ce que Veeam Data Cloud pour Microsoft Entra ID ?

Veeam Data Cloud pour Microsoft Entra ID est un service 100% SaaS, hébergé dans Microsoft Azure, qui permet de sauvegarder, restaurer et versionner les objets critiques d’un tenant Entra ID sans déployer de serveur Veeam ni gérer de stockage.

Il protège notamment :

  • Utilisateurs et groupes
  • Applications et principaux de service
  • Rôles, unités d’administration
  • Politiques d’accès conditionnel
  • Journaux d’audit et connexions

Tout se pilote depuis une interface web Veeam, avec :

  • Possibilité de rollback ciblé après une mauvaise configuration
  • Sauvegarde automatique et récurrente
  • Stockage inclus et géré par Veeam dans Azure
  • Restauration granulaire (objet complet ou propriété unique)

Combien coûte Veeam Data Cloud pour Microsoft Entra ID ?

D’après le site officiel de Veeam, on retrouve les prix suivants :

  • Offre Standalone Entra ID : 1 USD par utilisateur Entra ID / mois (facturé annuellement)
  • Bundle Flex (M365 + Entra ID) : l’ajout d’Entra ID revient à
    0,70 USD par utilisateur M365 et par mois     (soit ~30 % de réduction)
  • Bundle Premium (M365 + Entra ID + fonctionnalités avancées) : ~ 5 USD / utilisateur / mois (tarif promotionnel, coût standard jusqu’à 7 USD pour certains plans)

Cependant, il faut faire attention à :

  • Ces prix sont des MSRP (prix de référence) et peuvent varier selon le pays.
  • Pour les organisations de grande taille, des remises par volume peuvent s’appliquer.
  • Le stockage est inclus dans le service : tu ne paies pas séparément le stockage dans Azure.

Maintenant, il ne nous reste plus qu’à tester tout cela 😎

Etape 0 – Rappel des prérequis :

Pour réaliser cette démonstration de sauvegarde d’Entra ID via la solution Veeam Data Cloud pour Entra ID, j’ai eu besoin de :

  • Un tenant Microsoft
  • Une souscription Veeam Data Cloud for Entra ID

Commençons par configurer Veeam Data Cloud depuis l’ajout de la licence du produit.

Etape I – Configuration de Veeam Data Cloud for Entra ID :

Je me connecte à la console Veeam Data Cloud afin de vérifier la souscription disponible et le nombre d’utilisateurs éligibles à la sauvegarde :

Je clique sur les trois points, puis sur Manage pour accéder au menu de gestion :

Depuis la console VDC, je clique sur Entra ID parmi les produits proposés :

Je clique sur le bouton permettant d’ajouter mon tenant Entra ID :

Je clique sur Autoriser pour lancer la délégation d’accès au tenant :

Je m’authentifie avec un compte disposant du rôle Administrateur Général :

J’accepte les permissions demandées par l’application Veeam Data Cloud pour Entra ID :

Dans le portail Entra ID, je constate les permissions accordées ainsi que le consentement administrateur sur l’application Veeam Data Cloud pour Entra ID :

Je retourne dans la console Veeam et je confirme que l’autorisation a bien été prise en compte avant de cliquer sur Suivant :

Je choisis la région Azure parmi celles disponibles dans laquelle les données Entra ID seront stockées :

Je prends connaissance des différents types d’objets qui seront sauvegardés par le service :

Je définis la rétention des sauvegardes, puis j’active la protection des politiques d’accès conditionnel avant de cliquer sur Suivant :

Je vérifie la politique de sauvegarde, puis je clique sur Finaliser :

A partir de ce moment, l’infrastructure de sauvegarde de Veeam Data Cloud commence à se provisionner :

Quelques minutes plus tard, je constate que l’état de provisionnement est passé à Provisionné :

Je reçois également un e-mail confirmant que la sauvegarde Entra ID a bien été mise en place :

Attendons maintenant le premier cycle de sauvegarde prévu dès cette nuit pour contrôler ce qui aura été sauvegardé par Veeam Data Cloud.

Etape II – Contrôle des sauvegardes :

De retour sur le tableau de bord de VDC, je constate dès le lendemain la création des premiers objets sauvegardés (utilisateurs, groupes, applications, etc…) :

Je vérifie la consommation de licences et je note que 34 utilisateurs sont protégés :

Dans Entra ID, je constate que mon tenant contient bien 34 utilisateurs, la correspondance est donc correcte :

Je visualise la liste des objets sauvegardés dans la console Veeam :

Je confirme que le nombre d’objets utilisateurs sauvegardés correspond bien à Entra ID :

Je constate le même alignement sur le nombre de groupes sauvegardés :

Je vérifie également le nombre d’unités administratives sauvegardées :

Je contrôle les rôles pré-provisionnés et personnalisés pris en compte dans la sauvegarde :

Je constate la sauvegarde des applications et des principaux de service :

Je confirme la présence des politiques d’accès conditionnel sauvegardées :

Enfin, de retour dans l’onglet Configuration, je note que les paramètres ne sont plus modifiables après activation du service (un ticket au support sera nécessaire) :

Je constate progressivement, au fil des jours suivants, l’enchaînement des sauvegardes automatiques programmées :

Je peux à tout moment cliquer sur une exécution pour visualiser le détail des sauvegardes :

Je consulte l’entrée Backup Audit Logs qui liste les actions archivées :

Je constate également la présence des Sign-in Logs dans les éléments sauvegardés :

Testons maintenant les fonctionnalités de restauration d’objets sauvegardés.

Etape III – Test de restauration :

Je commence par supprimer un utilisateur dans Entra ID :

Dans la corbeille des utilisateurs supprimés, je confirme la suppression définitive de cet utilisateur :

Dans la console Veeam Data Cloud, je retourne dans la liste des objets utilisateurs sauvegardés, je clique sur l’utilisateur concerné, puis sur Restaurer :

Je peux sélectionner un point de restauration précis via le calendrier, puis je clique sur Suivant :

Je confirme les options de restauration proposées et je clique à nouveau sur Suivant :

Je clique sur Restaurer pour démarrer l’opération de récupération :

Je constate l’apparition d’une activité dans la liste des restaurations :

Une fois la restauration terminée, je constate des avertissements éventuels indiquant les sous-éléments qui n’ont pas pu être répliqués à l’identique :

De retour dans Microsoft Entra ID, je constate la recréation d’un nouvel objet utilisateur basé sur les informations sauvegardées. Le nouvel utilisateur restauré reprend bien tous les attributs d’origine :

Je modifie cette fois une caractéristique de l’utilisateur directement dans la console Entra ID :

Je retourne dans Veeam Data Cloud et je lance une comparaison/restauration sur cet utilisateur modifié :

Je constate que la différence sur la propriété modifiée est bien détectée, puis je clique sur Suivant :

Je peux renseigner un commentaire pour tracer l’action de restauration, puis je clique sur Restaurer :

Une fois la restauration terminée, je retourne dans Entra ID pour vérifier que la propriété a bien été restaurée à sa précédente valeur :

Je supprime cette fois un groupe Entra ID, je retourne dans Veeam Data Cloud, puis je lance une restauration :

Une fois la restauration terminée, je retourne dans Entra ID vérifier que le groupe a bien été restauré à son état d’origine avec un nouvel ID :

Je supprime cette fois un rôle personnalisé Entra ID, je retourne dans Veeam Data Cloud, puis je lance une restauration :

Une fois la restauration terminée, je retourne dans Entra ID vérifier que le rôle personnalisé a bien été restauré à son état d’origine ses permissions :

Je supprime cette fois une police d’accès conditionnel Entra ID, je retourne dans Veeam Data Cloud, puis je lance une restauration :

Une fois la restauration terminée, je retourne dans Entra ID vérifier que la police d’accès conditionnel a bien été restaurée à son état d’origine avec un nouvel ID :

Je supprime cette fois une Application Entra ID, retourne dans Veeam Data Cloud, puis je lance une restauration :

Une fois la restauration terminée, je retourne dans Entra ID vérifier que l’application a bien été restaurée à son état d’origine avec un nouvel ID :

Conclusion

Dans un contexte où l’identité est devenue le cœur de la sécurité cloud, disposer d’un historique exploitable et restaurable n’est plus un luxe, mais une nécessité opérationnelle.

Avec Veeam Data Cloud pour Microsoft Entra ID, on sort enfin du modèle « espérons que rien ne casse » pour entrer dans une vraie logique de sauvegarde et de restauration de l’identité cloud.

L’approche 100 % SaaS simplifie radicalement le déploiement : aucune infrastructure à maintenir, stockage inclus, rétention longue durée et surtout, une capacité à restaurer un objet critique Entra ID même après suppression définitive.

La prochaine étape ?

Explorer les scénarios avancés : restauration partielle de propriétés, rollback après mauvaise configuration, audit de versioning… et voir comment cette brique peut s’intégrer dans une stratégie globale de résilience Entra ID.

Sauvegardez vos données 365 avec VDC de Veeam

Depuis 2024, Microsoft propose une solution de sauvegarde directement intégrée à Microsoft 365. Cette solution apporte une couche de sécurité pour les informations stockées sur SharePoint, OneDrive et Exchange. Un article est d’ailleurs disponible ici. Mais que propose Veeam comme solution de sauvegarde SaaS pour protéger à son tour les données 365 ?

Comme bien d’autres éditeurs spécialisés dans la sauvegarde, Veeam propose justement un produit SaaS pour répondre à ce besoin : Veeam Data Cloud for Microsoft 365.

Qu’est-ce que Veeam Data Cloud SaaS Backup ?

Veeam Data Cloud for Microsoft 365 (VDC) est une solution BaaS (Backup as a Service) conçue pour protéger et restaurer de manière sécurisée les données hébergées dans le cloud Microsoft et dans certaines autres applications SaaS.

Veeam résume sa solution en quelques points :

  • Accès aux services Veeam Data Cloud depuis un navigateur web ;
  • Le coût du stockage des sauvegardes est inclus dans l’abonnement, avec stockage illimité ;
  • Choix de la région Azure préférée pour héberger les sauvegardes ;
  • Veeam ajuste automatiquement les ressources cloud sans frais supplémentaires ;
  • Aucun frais additionnel pour les opérations de restauration ;
  • Après annulation ou résiliation de l’abonnement, les sauvegardes restent disponibles pendant 30 jours supplémentaires ;
  • Le support technique de l’ensemble du service est 100 % assuré par Veeam.

Dois-je déployer des ressources dans Azure ?

Non, car Veeam Data Cloud for Microsoft 365 est une solution 100 % SaaS. Elle inclut le logiciel, l’infrastructure de sauvegarde et le stockage. Tout est directement géré par Veeam.

Contrairement à la solution Veeam Backup for Microsoft 365 disponible sur Azure Marketplace, avec VDC vous n’avez rien à provisionner :

vous vous connectez simplement via une interface web pour créer vos tâches de sauvegarde, définir vos politiques de rétention et lancer vos restaurations, sans vous soucier du provisionnement ni de la maintenance de l’infrastructure sous-jacente.

Quels sont les différents plans possibles ?

Veeam Data Cloud for Microsoft 365 propose trois formules : Express, Flex et Premium. Toutes les fonctionnalités sont détaillées ici :

  • Express s’appuie exclusivement sur le Microsoft 365 Backup Storage pour offrir des sauvegardes ultrarapides et des restaurations en masse, sans limitation de débit ;
  • Flex utilise un compte Azure Storage dédié, géré par Veeam, avec choix de la région et granularité de restauration (fichiers, versions, recherches avancées…) ;
  • Premium combine la vitesse et l’échelle d’Express avec le contrôle, la flexibilité et la granularité de Flex, le tout dans une même interface.

En résumé :

Express = vitesse (M365 Backup Storage) ;
Flex = autonomie et granularité (Azure Storage géré par Veeam) ;
Premium = les deux mondes réunis.

Voici un tableau comparatif de prix de ces trois plans en engagement mensuel :

Et voici un tableau comparatif de prix de ces trois plans en engagement annuel :

Comment est-on facturé par Veeam ?

La facturation de Veeam Data Cloud for Microsoft 365 se fait à l’usage et dépend du type de charge de travail protégé.

Vous pouvez souscrire via Azure Marketplace, des revendeurs ou des Veeam Cloud & Service Providers. Selon le canal et le contrat, vous pouvez opter pour un paiement anticipé (abonnement annuel ou multi-annuel) ou un paiement en arriéré, basé sur la consommation mensuelle.

Comment et où la donnée est sauvegardée ?

Dans Veeam Data Cloud SaaS Backup, vos sauvegardes et les options disponibles dépendent du plan choisi :

  • Express : pas de choix d’emplacement ; plusieurs copies redondantes dans la limite de sécurité Microsoft.
  • Flex : sélection de la région de stockage Azure souhaitée ; copies redondantes et sauvegarde distincte dans une autre région Azure.
  • Premium : sélection de la région de stockage Azure souhaitée ; respect strict de la règle 3-2-1 avec plusieurs options de sauvegarde et de restauration.

Comment tester Veeam Data Cloud SaaS Backup ?

Voici les différentes étapes que nous allons suivre afin de tester la solution Veeam Data Cloud SaaS Backup sur un environnement Microsoft 365 de test :

Maintenant, il nous reste plus qu’à tester tout cela 😎💪

Etape 0 – Rappel des prérequis :

Afin de réaliser nos tests sur Veeam Data Cloud SaaS Backup, nous allons avoir besoin de :

  • Un tenant Microsoft actif
  • Une souscription Azure valide

Commençons par déployer la solution depuis Azure Marketplace.

Etape I – Déploiement de VDC :

Depuis le portail Azure, recherchez Veeam Data Cloud for Microsoft 365 :

Déployez la solution SaaS dans la souscription, le groupe de ressources et la région Azure de votre choix :

Choisissez votre plan, puis lancez la validation Azure :

Une fois la validation réussie, créez la solution :

Attendez quelques minutes le temps de la configuration de Veeam Data Cloud SaaS Backup :

La notification Azure apparaît alors :

Une fois la configuration de Veeam Data Cloud SaaS Backup terminée, la notification Azure se met à jour :

Retournez dans le groupe de ressources Azure utilisé par votre solution SaaS, puis cliquez dessus :

Un détail de la souscription achetée s’affiche alors :

Cliquez sur le bouton de finalisation de la configuration :

Définissez votre région :

Vérifiez le plan souscrit :

Renseignez les informations de votre entreprise, puis cliquez sur Soumettre :

Une fois la souscription VDC activée, cliquez sur ici pour basculer sur la console de gestion :

Liez l’authentification avec votre Azure AD (Entra ID) en acceptant les autorisations :

Cliquez sur Acceptez :

Acceptez les conditions d’utilisations de VDC :

Définissez les notifications souhaitées par VDC, puis cliquez sur Suivant :

Pour vos données, choisissez :

  • la région Azure de votre choix,
  • la durée de rétention des données,

Puis copiez le code donnée afin d’effectuer une délégation d’authentification :

Dans ce nouvel onglet, collez le code précédemment copié, puis cliquez sur Suivant :

Authentifiez-vous avec un compte administrateur global de votre tenant :

Cliquez sur Acceptez :

Une fois l’authentification réussie, vous pouvez fermer cet onglet :

Les deux applications Veeam précédemment acceptées sont alors visibles :

Continuez la configuration de VDC en cliquant sur Connecter :

Définissez le modèle d’adaptation de nombre de licences VDC, puis cliquez sur Suivant :

Cliquez sur Suivant :

Cliquez-ici pour créer votre propre police de sauvegarde VDC :

Confirmez votre choix en cliquant sur Non :

Notre environnement VDC est maintenant en place et opérationnel. Comme nous avons décidé de créer notre propre police de sauvegarde, nous avons besoin d’en créer une pour définir quelles données 365 doivent être sauvegardées.

Etape II – Configuration de la police de sauvegarde :

Depuis ce menu, cliquez-ici pour créer une nouvelle police de sauvegarde VDC :

Nommez votre police de sauvegarde, puis cliquez sur Suivant :

Définissez les objets à sauvegarder (Exchange, OneDrive, SharePoint, Teams…), puis cliquez sur Créer :

La politique apparaît dans la liste :

Consultez le menu Facturation pour voir les licences consommées :

Retournez sur votre police VDC, puis démarrez celle-ci :

Attendez la fin de traitement de celle-ci :

Attendez le changement de statut, ainsi que l’apparition des menus dédiés à la sauvegarde dans la section de gauche :

Cliquez sur votre police afin de constater les différents points de sauvegarde :

Retournez dans le menu du tableau de bord afin de voir les informations mises en avant par VDC :

En bas de ce tableau de bord figurent les types de données sauvegardées ainsi qu’un journal d’activités des utilisateurs :

Retournez dans le menu de facturation afin de voir les licences nouvellement consommées :

Affichez le détail des licences consommées par utilisateur :

Il est même possible d’effectuer une liaison de type webhook dans Teams :

Les opérations de restauration entraînent alors l’apparition d’un message dans Teams :

Notre police de sauvegarde est maintenant en place et données ont déjà été sauvegardées. Testons maintenant la partie restauration des données sur différents services de Microsoft 365.

Etape III – Tests de restauration :

Commencez par effectuer un test de restauration en supprimant un ou plusieurs messages dans votre messagerie Outlook :

Sur la console VDC, retournez sur le type de données Outlook, puis laissez-vous guider dans la restauration :

Prévisualisez au besoin le ou les e-mails à restaurer :

Cliquez sur Restaurer pour démarrer le processus :

La notification suivante de VDC apparaît alors :

L’activité de restauration est conservée et visible ici :

Retournez dans votre messagerie Outlook afin de constater le retour des e-mails restaurés :

Effectuez un test de restauration en supprimant un ou plusieurs fichiers dans votre compte OneDrive :

Sur la console VDC, retournez sur le type de données OneDrive, puis laissez-vous guider dans la restauration comme pour Outlook :

Retournez sur votre compte OneDrive afin de constater le retour des fichiers restaurés :

Effectuez un test de restauration en supprimant un ou plusieurs fichiers dans l’une de vos équipes Teams :

Sur la console VDC, retournez sur le type de données Teams, puis laissez-vous guider dans la restauration comme pour Outlook :

Retournez sur votre équipe Teams afin de constater le retour des fichiers restaurés :

Il en sera de même pour la restauration de fichiers ou de données SharePoint :

Enfin, il existe également une fonction de recherche globale, très pratique pour retrouver la données à restaurer :

La sauvegarde de certaines données 365 nécessite une configuration supplémentaire. Par exemple, il est également possible d’activer en plus la sauvegarde des messages des chats Teams.

Etape IV – Sauvegarde des chats Teams :

Pour cela, rendez-vous dans l’application VDC automatiquement créée et visible dans votre portail Entra ID, puis copiez l’ID de votre application :

Retournez dans la console VDC afin d’activer la sauvegarde des chats Teams :

Depuis le portail Azure, ouvrez le Cloud Shell :

Saisissez la commande suivante afin de créer un accès Graph payant en replaçant les valeurs en gras :

az graph-services account create --resource-group VOTRE_RG --resource-name myGraphAppBilling --subscription VOTRE_SUB --location global --app-id VOTRE_APP_ID

Confirmez l’action avec Y :

Obtenez le résultat de commande suivant :

La ressource Graph est alors visible sur dans votre groupe de ressources :

Retournez sur la console VDC afin de modifier votre police de sauvegarde afin d’y inclure les chats :

Après une nouvelle sauvegarde des données, consultez les messages de chat Teams sauvegardés par VDC :

Conclusion :

Veeam Data Cloud for Microsoft 365 offre une solution de sauvegarde complète et clé en main pour protéger vos environnements Microsoft 365 sans devoir gérer ni provisionner d’infrastructure.

Son déploiement via le portail Azure est rapide et intuitif, et la console web Veeam centralise la création des politiques de sauvegarde, le suivi des activités et l’exécution des restaurations, qu’il s’agisse de mails Outlook, de fichiers OneDrive, …

Grâce à ses trois formules (Express, Flex et Premium), vous pouvez adapter la sauvegarde à vos besoins de rapidité, de contrôle et de granularité, tout en bénéficiant d’un stockage inclus et d’une facturation à l’usage.