Sauvegarde Office 365 avec un NAS Synology
Sommaire
I. Présentation
Si vous avez un NAS Synology, de l'espace disque inutilisé, et un tenant Office 365 / Microsoft 365, alors ce tutoriel devrait vous intéresser. En effet, nous allons voir comment utiliser un NAS Synology pour sauvegarder les données Office 365 à l'aide du paquet gratuit Active Backup for Microsoft 365.
Lorsque l'on utilise Office 365 pour son entreprise ou son établissement scolaire, c'est un peu risqué de compter uniquement sur Microsoft pour la sauvegarde des données. Vous allez me dire, pourquoi ? Et bien, Microsoft sauvegarde bien vos données (et le stockage est redondé), ce n'est pas le problème, mais la période de conservation par défaut est de seulement 30 jours. Par exemple, lorsqu'un fichier est supprimé de OneDrive, il est récupérable pendant 30 jours suite à sa suppression.
Pour mettre en place une véritable politique de sauvegardes de ses données stockées dans le Cloud Microsoft, soit vers un autre Cloud ou vers son infrastructure on-premise, on peut s'appuyer sur différents outils disponibles sur le marché.
Pour en citer quelques-uns : Veeam Backup for Microsoft 365, AvePoint Microsoft 365 Backup, ou encore Acronis Cyber Backup. Ce qui peut différencier ces solutions, c'est leur capacité à sauvegarder les différents éléments, notamment au sein des équipes Teams qui contiennent énormément d'informations.
Aujourd'hui, je vais vous parler d'Active Backup for Microsoft 365, disponible gratuitement sur les NAS Synology et qui va permettre de sauvegarder un bon nombre d'éléments. En effet, vous pouvez sauvegarder les boîtes aux lettres, les contacts, les calendriers, ainsi que les espaces de stockage OneDrive et SharePoint. Puisque Teams stockent ses fichiers dans des sites SharePoint, ces données peuvent être sauvegardées avec cet outil.
Note : la solution proposée par Synology prend en charge les différents plans de licences, aussi bien Business, Enterprise que Education.
La présentation étant faite, nous allons pouvoir passer à la partie pratique. Je pars du principe que vous disposez déjà d'un tenant Office 365 et que votre NAS Synology est déjà en place avec un partage (qui sera utilisé pour stocker les sauvegardes). Mon NAS Synology tourne sous DSM 7 (mais ce paquet existe sur les versions précédentes).
Si vous avez besoin d'aide pour créer votre tenant Office 365, vous pouvez suivre ce tutoriel :
II. Installation d'Active Backup for Microsoft 365
La première étape consiste à installer le paquet "Active Backup for Microsoft 365" à partir du Centre de paquets de DSM. Il suffit de rechercher le paquet et de cliquer sur le bouton "Installer".
Un assistant va s'exécuter. Il est nécessaire d'activer le paquet à l'aide d'un compte Synology (gratuit) alors cliquez sur le bouton "Activer".
Acceptez la "Déclaration de confidentialité" et connectez-vous avec votre compte Synology, ou créez un compte le cas échéant. Lors de la création du compte, un code de sécurité est envoyé sur l'adresse e-mail renseignée.
Après s'être connecté avec un compte Synology, le paquet est activé. C'est tout bon.
Passons à la seconde étape, qui est de loin la plus technique : l'inscription de l'application Azure pour Active Backup.
III. Inscrire l'application Azure pour Synology
L'inscription d'une nouvelle application au sein d'Azure peut être effectuée à partir du portail d'administration d'Azure, à coup de clics. Pour simplifier l'inscription de l'application conformément aux prérequis de Synology, notamment pour attribuer les bonnes autorisations, le fabricant fournit un script PowerShell nommé "AppGenerator.ps1".
Commencez par télécharger le script via ce lien officiel : AppGenerator.ps1
Ce script est clean et il va réaliser différentes actions, notamment l'inscription d'une application, l'ajout des autorisations et la génération d'un certificat pour l'authentification.
Note : si le module AzureAD n'est pas présent sur votre machine, le script va l'installer.
Ouvrez une console Windows PowerShell en tant qu'administrateur. Commencez par définir la politique d'exécution PowerShell sur "RemoteSigned" uniquement pour le processus en cours (cette console). Ce script est signé par Synology.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
Ensuite, déplacez-vous dans le dossier où se situe le script AppGenerator.ps1 que vous venez de télécharger. Pour ma part, c'est dans le dossier "C:\TEMP".
cd C:\TEMP\
Enfin, il ne reste plus qu'à exécuter le script :
.\AppGenerator.ps1
Confirmez que vous souhaitez exécuter le script signé par Synology Inc en précisant "O" puis Entrée.
Au début de l'exécution du script, le message "Before generating your Azure AD application, please enter a password you wish to use to protect the certificate" s'affiche. Vous devez préciser un mot de passe qui va servir à protéger le certificat (pour la clé privée).
Ensuite, il faut s'authentifier auprès de votre environnement Office 365 avec un compte administrateur afin que le script puisse inscrire l'application.
À la fin, le message "Congratulations! Your Azure application has been successfully generated" s'affiche : tout s'est bien passé. Il faut noter les valeurs de "Tenant ID" et "Application ID" car nous en aurons besoin dans un second temps. Le certificat au format PFX est disponible dans le répertoire courant du script.
Remarque : ces valeurs sont récupérables à tout moment à partir du portail Azure.
Au sein du portail Azure AD, si vous allez dans "Azure Active Directory" puis "Inscriptions d'applications", vous pouvez retrouver l'application "Microsoft 365 Backup" correspondante à Active Backup. Pour gagner du temps, vous pouvez cliquer sur le lien qui s'affiche en jaune dans la console PowerShell (voir ci-dessus).
Dans la section "API autorisés", cliquez sur le bouton "Accorder un consentement d'administrateur pour IT-Connect" et validez pour approuver les autorisations.
Suite à cette action, tous les voyants passent au vert au niveau de la colonne "Statut", comme ceci :
L'application est prête ! Nous allons pouvoir sauvegarder les données de notre tenant Office 365 !
IV. Sauvegarder les données Office 365 sur le NAS Synology
La suite du tutoriel va se dérouler via DSM et l'application Active Backup for Microsoft 365. Démarrez l'assistant de création de tâche s'il ne se lance pas tout seul... Et sélectionnez "Créer une nouvelle tâche de sauvegarde".
La première étape consiste à indiquer les informations liées à l'application inscrite dans Azure AD afin d'établir la communication avec votre tenant. Voici comment remplir les champs :
- Point de terminaison Microsoft 365 : choisissez "Microsoft 365"
- Adresse e-mail de l'admin du domaine : indiquez l'adresse e-mail du compte administrateur
- ID du locataire : l'ID de votre tenant, correspondant à la valeur "Tenant ID" récupérée à la fin du script
- ID de l'application : l'ID de votre application, correspondant à la valeur "Application ID" récupérée à la fin du script
- Fichier du certificat : cliquez sur "Charger" afin de sélectionner le certificat au format PFX généré par le script
- Mot de passe du certificat : précisez le mot de passe de la clé privée du certificat, c'est-à-dire le mot de passe spécifié précédemment lors de l'exécution du script
Cliquez sur "Suivant".
Ensuite, d'autres champs sont à renseigner :
- Nom de la tâche : nommez cette tâche, tout simplement, pour ma part ce sera "Tenant-IT-Connect.tech"
- Destination de la sauvegarde : vous devez sélectionner le partage dans lequel seront stockées les sauvegardes Office 365
- Liste des sauvegardes : en cliquant sur le bouton "Modifier", vous pouvez choisir les éléments à sauvegarder pour chaque compte Office 365
Enfin, l'option "Activer Active Backup for Microsoft 365 Portal" permet d'ouvrir le portail de restauration des données à vos utilisateurs. Les droits d'accès à ce portail sont à gérer dans un second temps. Pour ma part, je n'active pas ce portail.
Note : à partir du "Panneau de configuration" puis "Privilèges d'application", vous pouvez attribuer des droits au portail Active Backup à tout moment.
En cliquant sur le bouton "Modifier", vous pouvez sélectionner ce que vous souhaitez sauvegarder ou non. Sur l'image ci-dessous, la colonne "Disque" correspond à l'espace OneDrive de l'utilisateur. Pour le reste, c'est explicite.
Vous pouvez naviguer entre les utilisateurs, les groupes et les sites (SharePoint et donc aussi les équipes Teams) en cliquant sur les trois liens en haut à gauche. Lorsque la sélection est effectuée, cliquez sur "OK".
Poursuivez... voici l'étape "Activer les services de découverte automatique". En fait, cela permet de choisir ce qu'il faudra sauvegarder pour tous les nouveaux utilisateurs, groupes et sites créés par la suite. De cette façon, les nouveaux objets seront ajoutés à la tâche de sauvegarde automatiquement selon cette configuration.
Désormais, il faut planifier la sauvegarde. Lorsque l'option "Sauvegarde continue" est choisie, l'application "surveille" continuellement l'activité de vos utilisateurs afin de sauvegarder les nouveaux fichiers ou les fichiers modifiés. L'option "Sauvegarde manuelle" nécessite que la sauvegarde soit déclenchée manuellement à partir de l'interface DSM, tandis que l'option "Sauvegarde programmée" permet de planifier la sauvegarde : une seule fois, tous les week-ends, un jour sur deux, tous les lundis, tous les jours, etc... En fonction de ce que vous souhaitez, à une heure spécifique.
Quant à la conversation des versions de fichiers, soit vous pouvez conserver toutes les versions (attention à l'espace disque...), soit vous pouvez déterminer le nombre de jours pendant laquelle une version précédente est conservée. Je vous invite à lire l'explication ci-dessous pour bien comprendre ce principe qui s'applique sur chaque fichier.
Cliquez sur "Suivant" lorsque vous avez fait votre choix. Le récapitulatif s'affiche, cliquez sur "Effectué". L'application vous demande si vous souhaitez exécuter la sauvegarde dès maintenant, ou attendre la prochaine planification.
Je tiens à préciser que vous pouvez revenir sur votre configuration à tout moment pour apporter des modifications à la tâche. Il suffit de sélectionner la tâche puis de cliquer sur "Modifier".
Lorsque la tâche est en cours, vous pouvez suivre la progression depuis l'interface Active Backup for Microsoft 365.
La vue d'ensemble fait office de tableau de bord et elle ne devrait pas dépayser les personnes habituées à utiliser les applications de la suite Active Backup. Vous pouvez visualiser le nombre de comptes protégés par service (Disque, Courrier, etc.), ainsi que l'espace disque utilisé par service et par utilisateur.
Maintenant, si l'on bascule sur l'explorateur de fichiers de DSM, c'est-à-dire "File Station", on peut regarder à quoi ressemblent les données sauvegardées.
Les données sauvegardées sont stockées à la racine du partage dans un dossier nommé "ActiveBackupForMicrosoft365" avec un sous-dossier par tâche. Certains éléments ne sont pas visibles directement, notamment les e-mails, par contre les fichiers sont consultables en parcourant l'arborescence de la sauvegarde.
Voici un exemple des données sauvegardées à partir de l'onglet "Fichiers" du canal "Général" de l'équipe Teams "Redacteurs" de mon tenant.
À partir de l'application "Active Backup for Microsoft 365" vous pouvez créer d'autres tâches de sauvegarde, mais aussi accéder au "Journal" afin de garder un oeil sur les actions réalisées (tâche créée, sauvegarde effectuée, données restaurées, etc.), sous la forme d'un log.
V. Restaurer les données avec Active Backup for Microsoft 365
Pour finir ce tutoriel, je vais vous parler de la restauration des données à partir d'Active Backup for Microsoft 365. Pour cela, il faut utiliser l'icône nommée "Active Backup for Microsoft 365 Portal" : un nouvel onglet va s'ouvrir.
En tant qu'administrateur du NAS, on peut accéder à toutes les données sauvegardées. Pour naviguer entre les comptes utilisateurs, les tâches (si vous en avez plusieurs) et les types de contenu, il faut utiliser les boutons en haut à droite. Par exemple, en cliquant sur "Rôle de l'affichage", vous allez pouvoir choisir le compte afin de voir les données sauvegardées pour ce compte.
Si l'on prend l'exemple d'un fichier que l'on souhaite restaurer, il suffit de le sélectionner et de cliquer sur "Restaurer".
Le fichier sera restauré au sein du OneDrive de l'utilisateur dans un dossier nommé "Restore_<date>_<heure>" (ou à l'emplacement d'origine selon le choix effectué au moment de restaurer).
Maintenant, si l'on souhaite restaurer un autre élément, par exemple un e-mail, il faut changer de type de contenu, car par défaut, ce sont les fichiers qui sont sélectionnés. Il faut cliquer sur le bouton avec 4 carrés en haut à droite, puis choisir "Courrier".
Ensuite, l'e-mail à restaurer doit être sélectionné et la restauration pourra être lancée, sur le même principe que pour un fichier. Pour l'e-mail, vous pouvez décider d'effectuer la restauration dans le dossier d'origine, en écrasant l'e-mail s'il existe ou en ignorant en cas de conflit, sinon il est possible de restaurer dans un dossier spécifique à la restauration. Ce dossier sera créé automatiquement et visible par l'utilisateur via Outlook ou tout autre client de messagerie. Il portera le nom "Restore_Inbox_<date>_<heure>". Cette option est pratique si vous avez besoin de restaurer de nombreux e-mails, cela permettra à l'utilisateur de récupérer ce dont il a besoin à partir des éléments restaurés.
Voilà, vous savez désormais installer et configurer Active Backup for Microsoft 365 sur votre NAS Synology pour protéger les données de votre tenant Office 365 !
Bonjour,
Merci pour ce tuto !
Mais je bloque au lancement du script.
J’obtiens une erreur lors de l’éxecution du script :
——————————————————————————————————————————
Line : 102
$creds = Connect-AzureAD
One or more errors occurred. (Could not load type ‘System.Security.Cryptography.SHA256Cng’ from assembly ‘System.Core, Version=4.0.0.0,
| Culture=neutral, PublicKeyToken=b77a5c561934e089’.): Could not load type ‘System.Security.Cryptography.SHA256Cng’ from assembly ‘System.Core,
| Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089’.
——————————————————————————————————————————–
Avez-vous déjà rencontrer ce message d’erreur ?
De mon coté tout s’est parfaitement déroulé en executant le script depuis ma VM AZURE on premise.
Le Backup est en cours ! A mon avis je vais pleurer sur la taille que cela va prendre.
J’ai paramétré toutes les semaines. Mais a chaque fois il faut une complète ou juste une différentielle ?
Encore merci pour ce super tuto.
Bonne année à toute l’équipe,
Nicolas
Résolu !
La cause était que dans mon terminal Windows, j’utilisais Powershell Core 7.2.1.
J’ai relancer le script sur Powershell 5.1 et ça fonctionne.
Merci Florian pour ton article en tout cas.
Bonjour,
Merci pour le tuto et la solution proposée!
De mon côté, je n’arrive pas à créer la tâche au moment de valider celle-ci:
« Impossible d’effectuer cette opération, peut-être parce que le système est occupé. Veuillez réessayer ultérieurement. »
Vous avez une idée du souci?
J’ai réinscrit l’application sur Azure AD 2 fois pour être sûr de ne pas avoir fait de bêtise.
Redémarré mon NAS, changé la destination des sauvegardes.
Paul
Bonjour,
Merci pour ce tuto, toujours top comme d’habitude !
Super appli pour sauvegarder son tenant office 365, à préciser qu’il n’est pas compatible avec tous les NAS Synology ! Voici la liste : https://www.synology.com/fr-fr/dsm/packages/ActiveBackup-Office365
En espérant qu’ils élargissent les gammes 🙂
Hello Staz,
Merci pour le lien, c’est vrai que j’aurais pu le préciser dans l’article ! Bien vu !
A+
Florian
Hello,
Existe-il un moyen d’utiliser cette solution sans avoir le droit all sur « sites.fullControl » et « group.FullControl » pour des SharePoint et Teams spécifique ?
Faisons partie d’un grand groupe, nous n’avons pas le droit d’avoir « sites.fullControlAll » et « group.FullControlAll » ?
Merci d’avance
Bonjour, j’ai mis en place le backup Microsoft 365.
Mais est il possible de backuper SharePoint?
Merci
Bonjour
La sauvegarde fonctionne bien mais de temps en temps j’ai des erreurs de backup
par exemple
– OneDrive: succès : 7 ; avertissement : 0 ; erreur : 1
– Mail : succès : 9 ; avertissement : 0 ; erreur : 0
– Boîte aux lettres d’archives : succès : 9 ; avertissement : 0 ; erreur : 0
– Contacts : succès : 9 ; avertissement : 0 ; erreur : 0
– Calendrier : succès : 9 ; avertissement : 0 ; erreur : 0
– SharePoint: succès : 4 ; avertissement : 0 ; erreur : 2
Y a t il possibilité d’avoir plus de détail dans le log transmis par mail ?
comment savoir ce qui met le backup en échec ?
merci
Bonjour,
Merci pour cet article très intéressant.
Est il possible de sauvegarder des données d’un tenant et les restaurées sur un autre tenant ? Je m’explique, dans le cadre d’une migration tenant to tenant, puis je utiilsé cet outil pour sauvergarder un tenant A et restaurer sur un tenant B après avoir migrer les users et boîtes aux lettres ?
Merci d’avance.
Bonjour Florent, est ce que les données de sauvegarde qui sont sur le NAS sont cryptées au repos ?
Merci
Bonjour
Merci pour cette démonstration.
Tous les NAS sont ils compatibles? ou il faut des modèles précis.
merci
Bonjour Florian,
Merci pour ce tuto ! Tout fonctionne parfaitement !
Désormais depuis DSM 7.2 (je suppose), plus besoin de script Powershell, connexion directement depuis DSM au tenant pour créer l’application, encore plus simple et efficace !