Microsoft 365-Daten sichern

Warum sollten Sie Microsoft 365-Daten per Backup sichern?

Microsoft 365 ist zwar ein Set von Cloud-Diensten, ein regelmäßiges Backup bietet aber eine zusätzliche Schutzebene gegen Anwenderfehler und bösartige Angriffe. Sie können gelöschte Elemente auch dann noch aus einem Backup wiederherstellen, wenn die offizielle Microsoft 365-Aufbewahrungsdauer abgelaufen ist. Zusätzlich können Sie eine lokale Kopie Ihrer Exchange Online-Postfächer speichern, falls Sie dies aufgrund von gesetzlichen oder firmeninternen Vorschriften tun müssen.

Die Backup-Daten werden automatisch komprimiert und benötigen daher am Backup-Speicherort weniger Platz als am ursprünglichen Speicherort. Der Komprimierungsgrad für Cloud-zu-Cloud-Backups ist fest eingestellt und entspricht dem Komprimierungsgrad Normal von Nicht-Cloud-zu-Cloud-Backups. Weitere Informationen über diese Komprimierungsgrade finden Sie im Abschnitt 'Komprimierungsgrad'.

Cloud Agent und lokaler Agent

Für Microsoft 365-Workloads sind zwei Agenten verfügbar:

  • Der Cloud Agent

    Der Cloud Agent bietet eine erweiterte Backup-Funktionalität, die direkt über die Cyber Protect-Konsole zugänglich ist. Es ist keine Installation erforderlich. Weitere Informationen finden Sie im Abschnitt 'Den Cloud Agenten für Microsoft 365 verwenden'.

  • Der lokale Agent

    Der lokale Agent ermöglicht nur das Sichern von Exchange Online-Postfächern. Dieser Agent muss auf einer Windows-Maschine installiert werden, die mit dem Internet verbunden ist. Weitere Informationen finden Sie im Abschnitt 'Den lokal installierten Agenten für Office 365 verwenden'.

Azure Information Protection (AIP) wird mit beiden Agenten unterstützt.

Für Mandanten im Compliance-Modus ist nur der lokale Agent verfügbar. Diese Mandanten können nur Microsoft 365-Postfächer sichern. Sie können nicht die erweiterte Funktionalität nutzen, die der Cloud Agent bereitstellt.

Die nachfolgende Tabelle fasst die jeweilige Funktionalität der Agenten zusammen.

  Lokaler Agent Cloud Agent
Datenelemente, die per Backup gesichert werden können

Exchange Online: Benutzerpostfächer und freigegebene Postfächer (einschließlich der Postfächer von Benutzern mit einem Kiosk-Tarif und Postfächer mit aktiver Aufbewahrung für juristische Zwecke)
  • Exchange Online:
    • Benutzerpostfächer und freigegebene Postfächer (einschließlich der Postfächer von Benutzern mit einem Kiosk-Tarif und Postfächer mit aktiver Aufbewahrung für juristische Zwecke)
    • Gruppenpostfächer
    • Öffentliche Ordner
  • OneDrive: Benutzer-Dateien und -Ordner
  • SharePoint Online:
    • Klassische Website-Sammlungen
    • Gruppen-(Team)-Websites
    • Kommunikations-Websites
    • einzelne Datenelemente
  • Microsoft 365-Teams:
    • komplette Teams
    • Team-Kanäle
    • Kanaldateien
    • Team-Postfächer
    • Dateien und E-Mail-Nachrichten in Team-Postfächern
    • Besprechungen
    • Team-Websites
  • OneNote-Notizbüchern: als Bestandteil von OneDrive-, SharePoint Online- und Microsoft 365 Teams-Backups
Backup von Archivpostfächern (In-Situ-Archiv)

Nein

Ja
Backup-Planung

Benutzerdefiniert

Bis zu sechsmal pro Tag*
Backup-Speicherorte

Cloud Storage, lokaler Ordner, Netzwerkordner

Nur Cloud Storage

(einschließlich Partner Hosted Storage)
Automatischer Schutz für neue Microsoft 365-Benutzer, -Gruppen, -Websites und -Teams

Nein

Ja, indem Sie einen Schutzplan auf die Gruppen Alle Benutzer, Alle Gruppen, Alle Websites und Alle Teams anwenden.
Mehr als eine Microsoft 365-Organisation sichern

Nein

Ja
Granulares Recovery

Ja

Ja
Wiederherstellung zu einem anderen Benutzer in derselben Microsoft 365-Organisation

Ja

Ja
Wiederherstellung zu einer anderen Microsoft 365-Organisation im selben Mandanten

Nein

Ja
Wiederherstellung zu einem lokalen Microsoft Exchange Server

Nein

Nein
Maximale Anzahl von Elementen, die ohne Performanceverlust gesichert werden können

Wenn Sie den Cloud Storage als Backup-Ziel verwenden: 5,000 Postfächer pro Unternehmen

Wenn andere Speicherorte als Backup-Ziel dienen: 2,000 Postfächer pro Schutzplan (ohne Beschränkung der Anzahl der Postfächer pro Unternehmen)

Bis zu 50.000 geschützte Workloads pro Unternehmen**
Maximale Anzahl von manuellen Backup-Ausführungen

Nein

10 manuelle Ausführungen in einer Stunde

Maximale Anzahl von gleichzeitigen Recovery-Aktionen

Nein

10 Aktionen, einschließlich Google Workspace-Wiederherstellungsaktionen

* Die Standardoption ist Einmal täglich. Mit dem Advanced Backup-Paket können Sie bis zu sechs Backups pro Tag planen. Die Backups werden in ungefähren Intervallen gestartet, die davon abhängen, wie hoch die aktuelle Auslastung des Cloud Agenten ist, der in einem Datacenter mehrere Kunden bedient. Dadurch wird gewährleistet, dass es während des Tages zu einer gleichmäßigen Auslastung kommt und alle Kunden die gleiche Service-Qualität erhalten.

Die Planung für den Schutz kann durch Aktionen und Einstellungen von Dritthersteller-Diensten beeinflusst werden – beispielsweise die Verfügbarkeit von Microsoft 365-Servern, den Drosselungseinstellungen auf den Microsoft-Servern und ähnlichem. Zu weiteren Informationen siehe https://docs.microsoft.com/de-de/graph/throttling.

** Die maximale Anzahl von Workloads hängt vom Workload-Typ ab – und das folgendermaßen: 50.000 Postfächer oder 10.000 Teams oder 10.000 SharePoint-Websites oder 5.000 OneDrives.

Verwenden Sie folgende Formel, wenn Sie die unterstützten Kombinationen berechnen möchten:

10 mailboxes = 2 teams = 2 sites = 1 OneDrive

Beispiel:

  • 50.000 Postfächer
  • 40.000 Postfächer und 1.000 OneDrives
  • 40.000 Postfächer und 2.000 Websites
  • 40.000 Postfächer und 2.000 Teams
  • 30.000 Postfächer, 1.000 OneDrives, 1.000 Websites und 1.000 Teams
  • 30.000 Postfächer, 2.000 Websites und 2.000 Teams

Wir empfehlen, dass Sie die Workloads stufenweise und in folgender Reihenfolge sichern:

  1. Postfächer.
  2. Nachdem alle Postfächer gesichert wurden, können den OneDrives fortfahren.
  3. Fahren Sie mit Teams fort, wenn das OneDrive-Backup abgeschlossen wurde.
  4. Fahren Sie mit den SharePoint-Websites fort, wenn das Teams-Backup abgeschlossen wurde.

Das erste vollständige Backup kann mehrere Tage dauern, je nach Anzahl der geschützten Elemente und deren Größe.

Erforderliche Benutzerrechte

In Cyber Protection

Der lokale Agent muss unter dem Konto eines Firmenadministrators registriert sein und auf der Kunden-Mandanten-Ebene verwendet werden. Firmenadministratoren, die auf Abteilungsebene agieren, Abteilungsadministratoren und Benutzer können keine Backups oder Wiederherstellungen von Microsoft 365-Daten durchführen.

Der Cloud Agent kann sowohl auf Kunden-Mandanten- als auch auf Abteilungsebene eingesetzt werden. Weitere Informationen über diese Ebenen und ihre jeweiligen Administratoren finden Sie unter 'Microsoft 365-Organisationen verwalten, die auf verschiedenen Ebenen hinzugefügt wurden'.

In Microsoft 365

Ihrem Konto muss die Rolle 'globaler Administrator' in Microsoft 365 zugewiesen sein.

Um öffentliche Microsoft 365-Ordner erkunden, sichern und wiederherstellen zu können, muss mindestens eines Ihrer Microsoft 365-Administratorkonten über ein Postfach und Lese-/Schreib-Rechte für die öffentlichen Ordner verfügen, die Sie sichern wollen.

  • Der lokale Agent wird sich mit diesem Konto bei Microsoft 365 anmelden. Damit der Agent auf die Inhalte aller Postfächer zugreifen kann, wird diesem Konto die Verwaltungsrolle ApplicationImpersonation zugewiesen. Wenn Sie das Kennwort des Kontos ändern, müssen Sie auch das Kennwort in der Cyber Protect-Konsole aktualisieren (wie im Abschnitt 'Die Microsoft 365-Zugriffsanmeldedaten ändern' beschrieben).

  • Der Cloud Agent meldet sich nicht bei Microsoft 365 an. Sie müssen sich daher einmalig als globaler Administrator bei Microsoft 365 anmelden, um dem Cloud Agenten die für seine Aktion erforderlichen Berechtigungen zu gewähren.

    Folgende Berechtigungen sind in Microsoft 365 erforderlich:

    • Anmelden und Benutzerprofile lesen
    • Dateien in allen Website-Sammlungen lesen und schreiben
    • Die vollständigen Profile aller Benutzer lesen und schreiben
    • Alle Gruppen lesen und schreiben
    • Verzeichnisdaten lesen
    • Alle Kanalnachrichten lesen
    • Verwaltete Metadaten lesen und schreiben
    • Elemente und Listen in allen Website-Sammlungen lesen und schreiben
    • Volle Kontrolle über alle Website-Sammlungen haben
    • Elemente in allen Website-Sammlungen lesen und schreiben
    • Exchange-Webdienste mit vollem Zugriff auf alle Postfächer verwenden

  • Der Cloud Agent speichert Ihre Kontoanmeldedaten nicht und verwendet diese beim Durchführen von Backups und Wiederherstellungen nicht. Wenn Sie die Anmeldedaten ändern oder das Konto deaktivieren bzw. löschen, hat dies keine Auswirkungen auf die Aktionen des Cloud Agenten.

Einschränkungen

  • Sie können mit dem lokalen Agenten bis zu 5.000 Workloads schützen. Mit dem Cloud-Agenten können Sie dagegen bis zu 50.000 Workloads schützen.

  • Alle Benutzer mit einem Postfach oder OneDrive werden in der Cyber Protect-Konsole angezeigt – einschließlich solcher Benutzer, die keine Microsoft 365-Lizenz haben, und Benutzer, deren Anmeldung an den Microsoft 365-Diensten blockiert wurde.
  • Ein Postfach-Backup umfasst nur Order, die für Benutzer sichtbar sind. Der Ordner Wiederherstellbare Elemente und seine Unterordner (Löschungen, Versionen, Säuberungen, Überwachungen, DiscoveryHolds, Kalenderprotokollierung) werden nicht in ein Postfach-Backup eingeschlossen.
  • Eine automatische Erstellung von Benutzern, öffentlichen Ordnern, Gruppen oder Websites während einer Wiederherstellung ist nicht möglich. Wenn Sie z.B. eine gelöschte SharePoint Online-Website wiederherstellen wollen, erstellen Sie zuerst manuell eine neue Website und spezifizieren Sie diese Website dann als Ziel für eine Wiederherstellung.
  • Sie können nicht gleichzeitig Elemente von verschiedenen Recovery-Punkten wiederherstellen, auch wenn Sie solche Elemente aus den Suchergebnissen auswählen können.

  • Während eines Backups bleiben alle Vertraulichkeitsbezeichnungen erhalten, die auf den Inhalt angewendet wurden. Daher werden vertrauliche Inhalte möglicherweise nicht angezeigt, wenn diese an einem anderen als dem ursprünglichen Speicherort wiederhergestellt werden und dessen Benutzer andere Zugriffsrechte hat.

  • Sie können nur einen individuellen Backup-Plan auf einen Workload anwenden.

  • Wenn ein individueller Backup-Plan und ein Gruppen-Backup-Plan auf denselben Workload angewendet werden, haben die Einstellungen des individuellen Plans eine höhere Priorität.

Microsoft 365 Arbeitsplätze-Lizenzierungsbericht

Firmenadministratoren können einen Bericht über die geschützten Microsoft 365-Arbeitsplätze und deren Lizenzierung herunterladen. Der Bericht liegt im CSV-Format vor und enthält Informationen über den Lizenzierungsstatus eines Arbeitsplatzes sowie den Grund, warum eine Lizenz verwendet wird. Der Bericht enthält außerdem den Namen des geschützten Arbeitsplatzes, die dazugehörige E-Mail-Adresse, die Gruppe, die Microsoft 365-Organisation sowie den Namen und Typ des geschützten Workloads.

Dieser Bericht ist nur für Mandanten verfügbar, in denen eine Microsoft 365-Organisation registriert ist.

So können Sie den Lizenzierungsbericht für Microsoft 365-Arbeitsplätze herunterladen

  1. Melden Sie sich als Firmenadministrator an der Cyber Protect-Konsole an.
  2. Klicken Sie in der rechten oberen Ecke auf das Symbol für 'Konto'.
  3. Klicken Sie auf Microsoft 365 Arbeitsplätze-Lizenzierungsbericht.

Protokollierung

Aktionen mit Cloud-zu-Cloud-Ressourcen (wie das Anzeigen der Inhalte von gesicherten E-Mails, das Herunterladen von Anhängen oder Dateien, das Wiederherstellen von E-Mails zu anderen als den ursprünglichen Postfächern oder das Versenden der Inhalte als E-Mail) können die Datenschutzrechte des Benutzers verletzen. Solche Aktionen werden im Management-Portal im Monitoring –> Überwachungsprotokoll protokolliert.