はじめに
Cloud Backup for IaaS + PaaS を利用した Entra ID、管理ポータル設定のバックアップにおける初期セットアップに必要な対応事項を、弊社のベストプラクティスの内容で記載しています。
本ガイドは、分かりやすさを優先するため、必要最低限の設定内容に限定して記載している場合がございます。
本ガイド外の内容や詳細は、下記のユーザーガイドを参照ください。
👉
👉
よくある質問については、本ガイド末尾の「よくある質問 (FAQ)」を参照ください。
👉
※ UIには一部変更が発生する可能性があり、画面構成が異なる場合がございます。
※ 本ガイドに記載されている内容は、今後の製品アップデートなどにより、予告なく変更される可能性があります。
※ 本ガイドはエンタープライズライセンスを利用した場合のものとなります。トライアルライセンスでの制限詳細については下記のユーザーガイドページをご確認ください。エンタープライズ版の購入後には、本制限は自動で解除されます。
👉
実装するバックアップ対象
本ガイドでは、バックアップ対象とするサービスについて、以下をバックアップ対象とする前提として説明します。
以降に記載する手順は、これらのバックアップを実施するために必要な設定・権限・ライセンスに関するものです。
なお、以下に含まれないサービスをバックアップ対象とする場合は、別途準備や設定が必要となる場合がありますので、ご注意ください。
- Microsoft Entra ID
- 管理ポータル設定
設定をする前の準備
Cloud Backup for IaaS + PaaS の設定を実施するにあたり、先に ユーザーアカウントの準備 や、AvePoint Online Services(以下、AOS)プラットフォームの事前設定 が必要です。以下の項目に記載されている各種準備をすべて完了したうえで、後段の設定手順にお進みください。
ユーザーアカウントの準備
Cloud Backup for IaaS + PaaS を利用したバックアップを実施するために、以下の Microsoft 365 アカウント(以下、M365 アカウント)が必要となります。
各アカウントは用途が異なりますので、事前にご確認ください。
AOS サインアップ用の M365 アカウント
AOS へのサインアップ時に使用するアカウントです。
本アカウントには、以下の制約があります。
- すでに別の AOS テナントで使用されているドメインのメールアドレスは使用できません
- onmicrosoft.com ドメインのメールアドレスは使用できません
アプリ登録用の M365 アカウント
M365 テナントに対して、本サービスの エンタープライズアプリケーション権限 を承諾するためのアカウントです。
本アカウントには、以下の権限が必要です。
- Microsoft 365 グローバル管理者権限
サービスアカウントプロファイル作成用の M365 アカウント
AOS にてサービスアカウントプロファイルを作成し、Cloud Backup for IaaS + PaaS のバックアップ / リストア処理に使用するアプリケーションを Azure / M365 上で作成・関連付けるためのアカウントです。
本アカウントは、特定のオブジェクトの保護のために必要であり、不要な場合、準備は必須ではありません。
本アカウントに必要な権限は、下記の サービスアカウントプロファイルの作成 (任意) を参照ください。
また、本アカウントには、以下の制約があります。
- サービスアカウントして利用する M365 アカウントは多要素認証 (MFA) を無効化する必要があります (※)
- 個人のアクティブユーザーアカウントをサービスアカウントとして利用することは推奨していません
※ 「AOS サインアップ用の M365 アカウント」および「アプリ登録用の M365 アカウント」は、条件を満たしていれば同一のアカウントでも問題ありません。
※ サービスアカウントに対して多要素認証 (MFA) を無効化するリスクを理解した上で、本設定を実施してください。
AOS プラットフォーム の事前設定
01
AOS テナントの登録
AOS テナントを新規作成し、M365 テナントと接続します。
本手順で選択するサービス名は以下になります。
- Cloud Backup for IaaS + PaaS
👉
02
AOS ユーザーの作成
AOS サービスを操作するユーザーの作成や、操作権限の編集をします。
本手順で必要な AOS ユーザーは以下になります。
- AOS サービス管理者ユーザー
- Cloud Backup for IaaS + PaaS の アプリケーション管理者ユーザー
👉
03
アプリプロファイルの作成
AOS サービスのジョブを実行するアプリを作成 (同意) します。
本手順で必要なアプリプロファイルは以下になります。
- Cloud Backup for Azure
※ 同意後に、Entra ID にて [AvePoint Cloud Backup for Azure] に [Exchangeの管理者] ロールを割り当てます。
👉
04
サービスアカウントプロファイルの作成 (任意)
AOS サービスが Azure / Microsoft 365 上のリソースへアクセスするために使用するサービスアカウントプロファイルを作成します。
本手順は、以下の項目を保護する場合にのみ必要です。
なお、本手順は後から追加することも可能であり、以下の対象項目の保護が必要になった時点にて設定できます。
- Microsoft Entra ID
- エンタープライズ アプリケーションのシングル サインオン構成の ID (エンティティ ID)
- 属性とクレーム
- currentSingleSignOnMode
- ParentAppId
- IsCustomApp
※ 上記をバックアップする場合、Entra ID にて使用するサービスアカウントに [アプリケーション管理者] ロールを割り当てます。
- 管理ポータル設定
- グループ全般設定のセルフサービス グループ管理
※ 上記をバックアップする場合、Entra ID にて使用するサービスアカウントに [クラウド アプリケーション管理者] ロールを割り当てます。
👉
AOS での事前準備は以上です。
以下のリンクより、各ページへ遷移できます。
👉
👉
