Proteggere Entra ID con Veeam – ANTEPRIMA! – Parte II

Entra ID e la necessità di effettuarne un backup

Entra ID è una soluzione di gestione delle identità (IAM) sviluppata da Microsoft per semplificare e proteggere l’accesso alle risorse aziendali sia locali che nel cloud (https://learn.microsoft.com/it-it/entra/fundamentals/whatis) e in questa breve serie di articoli ci occupiamo dell’importanza di effettuarne un backup sistematico
con una soluzione dedicata, in questo momento ancora in “beta“, e che verrà rilasciata da Veeam a dicembre 2024.

Nel precedente articolo (https://www.ictpower.it/sicurezza/proteggere-entra-id-con-veeam-anteprima-parte-i.htm) abbiamo evidenziato i rischi connessi alla sicurezza di Entra ID (cancellazioni accidentali, configurazioni errate, attacchi malevoli) e ricordato il “Modello a Responsabilità Condivisa” di Microsoft che delega all’utente finale l’onere della protezione di Entra ID. Infine, si è anticipato come la versione 12.3 di Veeam Backup & Replication permetterà di effettuare il backup e il ripristino di Entra ID, fornendo una guida passo-passo alla configurazione iniziale e alla creazione di un job di backup.

Vediamo ora come effettuare il ripristino degli oggetti Entra ID e di come proteggere anche i log.

Ripristini granulari di Entra ID

Per il test di ripristino, effettueremo qualche modifica ad alcuni utenti del nostro tenant, fortunatamente sottoposto a backup con la procedura descritta nella prima parte di questa guida.

Abbiamo selezionato l’utente Adele Vance. Eccone alcune proprietà della scheda Identity:

Alteriamo i valori delle proprietà Display Name, First Name e Last Name:

Per buona misura, rimuoviamo Adele da alcuni gruppi a cui appartiene:

Procediamo ora con le operazioni di ripristino.

Confronto dei metadati

Accedere alla console di Veeam Backup & Replication v12.3 e, nella sezione, Backups > Disk, localizzare il job backup di Entra ID effettuato precedentemente e fare un clic per espanderne i contenuti.

Fare clic con il tasto destro sul nome del tenant e selezionare Restore.

Si aprirà la nuova finestra Entra ID Tenant Restore.

Nella sezione Users, localizzare l’account che si intende ripristinare (nel nostro esempio, Adele Vance) e fare un clic nella check-box alla sinistra del nome per selezionare la relativa riga.

Fare clic su Restore e selezionare Metadata comparison: potremo verificare quali cambiamenti sono stati effettuati in Entra ID di produzione confrontandone i contenuti con un punto di ripristino specifico e/o con il più recente.

Nella pagina Restore users’s properties è possibile selezionare il Restore point da cui effettuare il ripristino ed eventualmente filtrare i risultati in base all’eventuale presenza di modifiche (Show changes only).

Come si può notare nella schermata seguente, la colonna Production
record mostra i valori di quegli attributi dell’account “Adele Vance” che in produzione risultano diversi ed elenca le appartenenze a gruppi (Memberships) cancellate:

Ripristino dei valori

Selezionare le Properties e le Memberships da ripristinare e fare clic su Next.

Nella pagina Log on to Microsoft Azure verrà chiesto di effettuare l’autenticazione al tenant con un codice monouso e poi di confermare il set di permessi necessari a Veeam per effettuare le operazioni di ripristino.

Completata la procedura, fare clic su Next.

Nella pagina Reason, opzionalmente, descrivere i motivi del ripristino e fare clic su Next.

Nella pagina Summary verificare che i dettagli dell’operazione siano corretti e fare clic su Finish.

Conclusa l’operazione di ripristino, fare clic su Close.

Ripristino di un account eliminato

Proviamo con un’alterazione di Entra ID più drastica: la cancellazione di un utente.

Nel nostro laboratorio, tocca ora ad Allan Deyoung:

Dopo aver seguito gli stessi passi preliminari effettuati precedentemente per ripristinare le informazioni di Adele Vance, nella finestra Entra ID Restore selezionare l’utente da recuperare, fare clic su Restore e poi su Full Restore.

Nella pagina Specify users to restore (dove è possibile aggiungerne altri e specificare il Restore Point desiderato) fare clic su Next.

Anche in questo caso, nella pagina Log on to Microsoft Azure viene chiesto di autenticarsi al tenant.

Nella pagina Restore options è possibile specificare:

  • Se sovrascrivere gli utenti, oppure saltare, senza aggiornarli, quelli esistenti
  • La nuova password per gli utenti ripristinati
  • Se richiedere all’utente di cambiare la propria password al primo logon
  • Se applicare la Multi-Factor Authentication (MFA) al primo logon
  • Se mantenere le relazioni, come l’appartenza a gruppi
  • Se ripristinare l’utente dal cestino (Recycle Bin) di Entra ID, qualora vi sia ancora presente

Una volta fatte le proprie scelte, fare clic su Next.

Nella pagina Reason, opzionalmente, descrivere i motivi del ripristino e fare clic su Next.

Nella pagina Summary verificare che i dettagli dell’operazione siano corretti e fare clic su Finish.

Conclusa l’operazione di ripristino, fare clic su Close.

Nota: nel nostro caso, l’utente Allan Deyoung era ancora presente nel Recycle Bin di Entra ID e quindi non è stato necessario ripristinarne l’appartenenza ai gruppi (gli errori presenti nel report).

Verifica nel tenant del corretto ripristino dell’utente e della sua appartenenza ai gruppi:

Backup dei log di Entra ID

Entra ID offre diversi tipi di log che consentono di monitorare, analizzare e gestire le attività e la sicurezza. Due delle principali tipologie di log sono:

  • Log di accesso (Sign-in Logs): Forniscono informazioni dettagliate sugli accessi degli utenti e delle applicazioni. Contengono dati come il risultato dell’accesso (riuscito o fallito), l’IP di origine, il dispositivo utilizzato e le informazioni di autenticazione a più fattori.
  • Log di audit (Audit Logs): Tracciano tutte le modifiche alle configurazioni e quelle amministrative effettuate su Entra ID, come la creazione, la modifica o l’eliminazione di utenti, gruppi, ruoli e applicazioni.

Poiché Microsoft conserva questi log solo per 30 giorni (https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-reports-data-retention), potrebbe essere importante, anche ai fini di eventuali requisiti di conformità, mantenerli per periodi ben più lunghi.

A tale scopo, Veeam Backup & Replication v13.3 consente di effettuare backup periodici di queste due tipologie di log per poi, eventualmente, effettuare esportazioni mirate.

Nota: per poter effettuare il backup dei Sign-in Logs è necessaria una licenza Entra ID di tipo P1 o P2 (https://learn.microsoft.com/it-it/entra/fundamentals/get-started-premium).

Vediamo come effettuare il backup degli Audit Log.

Accedere alla console di Veeam Backup & Replication v12.3, nella Home, fare clic su Backup Job, selezionare l’opzione Azure Entra ID e poi Audit Log.

Nella pagina Name del wizard, inserire un nome per il job di backup e, opzionalmente, una descrizione. Poi fare clic su Next.


Nella pagina Tenant, selezionare il Tenant precedentemente aggiunto come illustrato nel precedente articolo (https://www.ictpower.it/sicurezza/proteggere-entra-id-con-veeam-anteprima-parte-i.htm). Poi fare clic su Next.


Nella pagina Storage, selezionare un repository dove conservare i backup, specificare il periodo di tempo di conservazione dei dati e fare clic su Next.


Nella pagina Schedule, specificare se il job dovrà avvenire automaticamente e con quale frequenza, il numero di tentativi effettuati in caso di errore e la distanza temporale tra un tentativo e l’altro, e la finestra di backup (quali fasce orarie sono disponibili per l’esecuzione del job).

Poi fare clic su Apply.


Nella pagina Summary, verificare che le opzioni elencate siano corrette ed eventualmente selezionare l’opzione Run the backup job when I click Finish per eseguire il backup al termine della configurazione del wizard.

Poi, fare clic su Finish.

Questa la schermate del monitoraggio in tempo reale dell’andamento del nostro job di backup:

Export da backup dei log di Entra ID

Se necessario, è possibile esportare uno o più file di log utilizzando una comoda funzionalità.

Nella console, sezione Backups > Disk, localizzare il job backup dei log di Entra ID effettuato precedentemente e fare un clic per espanderne i contenuti.

Fare clic con il tasto destro sul nome del Tenant e selezionare Restore.

Nella finestra Backup Browser selezionare il periodo di interesse nel pannello di sinistra poi, nel pannello centrale, fare clic con il tasto destro sui file che si desidera esportare e selezionare Copy to.

Conclusioni

In questa serie di articoli abbiamo parlato dell’importanza di effettuare backup regolari di Entra ID e di come la versione 12.3 di Veeam Backup & Replication (qui mostrata in anteprima) possa aiutarci in tal senso.