保护 Microsoft 365 数据
为什么备份 Microsoft 365 数据?
尽管 Microsoft 365 是一组云服务,但定期备份会提供额外的一层保护,以免出现用户错误和有意的恶意操作。即使在 Microsoft 365 保留期到期后,也可以从备份中恢复已删除的项目。此外,出于法规遵从性需要,可以保留 Exchange Online 邮箱的本地副本。
备份数据会自动进行压缩,并且它所占用的备份位置空间少于其原始位置空间。云到云备份的压缩级别是固定的,对应于非云到云备份的正常级别。有关这些级别的详细信息,请参阅 压缩级别。
云代理程序和本地代理程序
对于 Microsoft 365 作负载,有两个代理程序可用:
-
云代理程序
云代理程序将提供可在 Cyber Protect 中控台中直接访问的扩展备份功能。无需安装。有关详细信息,请参阅 使用适用于 Microsoft 365 的云代理程序。
-
本地代理程序
本地代理程序仅提供对 Exchange Online 邮箱的备份。此代理程序必须安装在已连接到 Internet 的 Windows 计算机上。有关详细信息,请参阅 使用本地安装的适用于 Office 365 的代理程序。
两类代理程序都支持 Azure 信息保护 (AIP)。
下表汇总了代理程序的功能。
| 本地代理程序 | 云代理程序 | |
|---|---|---|
| 可以备份的数据项目 |
Exchange Online:用户邮箱和共享邮箱(包括 Kiosk 计划中用户的邮箱和诉讼保留的邮箱) |
|
| 存档邮箱(就位存档)备份 |
否 |
是 |
| 备份预定 |
每天最多六次* |
|
| 备份位置 |
云存储、本地文件夹、网络文件夹 |
仅限云存储 (包括合作伙伴托管的存储) |
| 自动保护新的 Microsoft 365 用户、组、站点和团队 |
否 |
是,方法是将保护计划应用于所有用户、所有组、所有站点、所有团队组 |
| 保护多个 Microsoft 365 组织 |
否 |
是 |
| 粒度恢复 |
是 |
是 |
| 恢复至同一个组织内的其他用户 |
是 |
是 |
| 恢复至其他组织 |
否 |
是 |
| 恢复至本地 Microsoft Exchange Server |
否 |
否 |
| 在性能不下降的情况下可以备份的最大项目数 |
备份到云存储时:每个公司 5000 个邮箱 备份到其他目标位置时:每个保护计划 2000 个邮箱(对每个公司的邮箱数量不作限制) |
每个公司 10 000 个受保护项目(邮箱、OneDrive 或站点)** |
| 最大手动备份运行数 |
否 |
|
| 最大同时恢复操作数 |
否 |
10 个操作,包括 Google Workspace 恢复操作 |
* 默认选项是每天一次。使用高级备份包,您可以每天预定最多六个备份。备份按大概的间隔时间开始,间隔时间取决于在数据中心服务多个客户的云代理程序的当前负载。这可确保当天的负载均匀,以及对所有客户同等的服务质量。
保护预定可能会受第三方服务操作的影响,例如 Microsoft 365 服务器的可访问性、Microsoft 服务器上的限制设置等。另请参见 https://docs.microsoft.com/en-us/graph/throttling。
** 建议您按以下顺序逐步备份受保护的项目:
- 邮箱。
- 在所有邮箱都完成备份后,继续处理 OneDrive。
- 在 OneDrive 完成备份后,继续处理 SharePoint Online 站点。
第一个完整备份可能需要几天时间,具体取决于受保护项目的数量及其大小。
所需用户权限
在 Cyber Protection 中
本地代理程序必须注册在公司管理员帐户下,并在客户租户级别上使用。单位级别的公司管理员、单位管理员和用户无法备份或恢复 Microsoft 365 数据。
云代理程序可以在客户租户级别和单位级别上使用。有关这些级别及其相应管理员的详细信息,请参阅 管理在不同级别上添加的 Microsoft 365 组织。
在 Microsoft 365 中
必须在 Microsoft 365 中向您的帐户指派全局管理员角色。
要发现、备份和恢复 Microsoft 365 公用文件夹,您的至少一个 Microsoft 365 管理员帐户必须有邮箱并对要备份的公用文件夹有读取/写入权限。
- 本地代理程序将使用此帐户登录到 Microsoft 365。若要启用代理程序来访问所有邮箱的内容,将向此帐户分配 ApplicationImpersonation 管理角色。如果更改帐户密码,请在 Cyber Protect 中控台中更新密码,如 更改 Microsoft 365 访问凭据 中所述。
-
云代理程序不会登录到 Microsoft 365。您需要以全局管理员身份登录到 Microsoft 365 一次,才能授予运行云代理程序所需的权限。
在 Microsoft 365 中,需要以下权限:
- 登录和读取用户个人资料
- 在所有站点集中读取和写入文件
- 读取和写入所有用户的完整个人资料
- 读取和写入所有组
- 读取目录数据
- 读取所有通道消息
- 读取和写入托管元数据
- 在所有站点集中读取和写入项目和列表
- 完全控制所有站点集
- 在所有站点集中读取和写入项目
- 使用对所有邮箱有完全访问权限的 Exchange Web 服务
-
云代理程序不会存储您的帐户凭据,也不会使用它们来执行备份和恢复。更改凭据、禁用帐户或删除帐户不会影响云代理程序的运行。
限制
- 拥有邮箱或 OneDrive 的所有用户都会显示在 Cyber Protect 中控台中,包括没有 Microsoft 365 许可证的用户和被阻止登录到 Microsoft 365 服务的用户。
- 邮箱备份仅包括对用户可见的文件夹。邮箱备份中不包括可恢复项目文件夹及其子文件夹(删除、版本、清除、审核、DiscoveryHold、日历日志记录)。
- 无法在恢复期间自动创建用户、公用文件夹、组或站点。例如,如果要恢复已删除的 SharePoint Online 站点,请首先手动创建一个新站点,然后在恢复期间将其指定为目标站点。
- 即使可以从搜索结果中选择此类项目,也无法同时从不同恢复点来恢复项目。
-
在备份期间,将保留应用于内容的任何敏感标签。因此,如果它恢复到非原始的位置并且其用户具有不同的访问权限,则不会显示敏感内容。
-
无法将多个单独的备份计划应用于同一工作负载。
-
当单独的备份计划和组备份计划应用于相同的工作负载时,单独计划中的设置优先。
Microsoft 365 席位许可报告
公司管理员可以下载有关受保护的 Microsoft 365 席位及其许可的报告。该报告采用 CSV 格式,包含有关席位的许可状态和许可证的使用原因的信息。该报告还包含受保护的席位名称、关联的电子邮件地址、组、Microsoft 365 组织、受保护工作负载的名称和类型。
此报告仅适用于注册有 Microsoft 365 组织的租户。
下载 Microsoft 365 席位许可报告
- 以公司管理员身份登录到 Cyber Protect 中控台。
- 单击右上角的帐户图标。
- 单击 Microsoft 365 席位许可报告。
日志记录
使用云到云资源的操作,例如查看备份电子邮件的内容、下载附件或文件、将电子邮件恢复到非原始邮箱或将其作为电子邮件发送可能会侵犯用户隐私。这些操作记录在管理门户的监控 > 审核日志中。