Proč nestačí spoléhat na Microsoft?
Mnoho organizací se domnívá, že přesunem do Microsoft 365 (dříve Office 365) přenesly zodpovědnost za zálohu dat na Microsoft. To je nebezpečný omyl. Microsoft jasně říká ve svých podmínkách služby (Microsoft Services Agreement, sekce 6b): „Doporučujeme, abyste si pravidelně zálohovali svůj obsah a data, která uchováváte ve službách nebo v aplikacích a službách třetích stran."
Microsoft garantuje dostupnost infrastruktury (SLA 99,9 %), ale nezajišťuje ochranu vašich dat před:
- Neúmyslným smazáním — uživatel omylem smaže e-mail, soubor nebo celou složku
- Úmyslným smazáním — odcházející zaměstnanec smaže své e-maily a soubory
- Ransomwarem — zašifrované soubory se synchronizují do OneDrive
- Bezpečnostními hrozbami — kompromitovaný účet může být zneužit ke smazání dat
- Regulatorními požadavky — GDPR, SOX nebo odvětvové předpisy mohou vyžadovat dlouhodobou archivaci
- Právními držení dat — nutnost uchovat data pro případné soudní spory
Model sdílené odpovědnosti
Microsoft používá model sdílené odpovědnosti (Shared Responsibility Model), který jasně definuje, za co zodpovídá Microsoft a za co zákazník.
Za co zodpovídá Microsoft
- Infrastruktura — fyzické servery, datová centra, síť
- Dostupnost služby — SLA 99,9 % uptime
- Fyzická bezpečnost — ochrana datových center
- Geo-redundance — replikace dat mezi datovými centry
- Patching a aktualizace — údržba platformy
- Základní obnova po havárii — obnova celé služby (ne jednotlivých dat)
Za co zodpovídáte vy
- Záloha a obnova dat — vaše data, vaše zodpovědnost
- Ochrana před úmyslným/neúmyslným smazáním
- Ochrana před ransomwarem a malwarem
- Dodržování regulatorních požadavků — retence, archivace
- Správa přístupu — kdo má k čemu přístup
- Řízení životního cyklu dat
Retenční politiky Microsoft 365
Microsoft 365 nabízí určitou úroveň ochrany před smazáním, ale s výraznými omezeními. Pochopení těchto limitů je klíčové pro rozhodnutí o potřebě zálohy.
Exchange Online (e-maily)
| Akce | Retence | Poznámka |
|---|---|---|
| Smazaný e-mail (koš) | 30 dní | Uživatel může obnovit z koše |
| Trvale smazaný e-mail | 14 dní (výchozí, max 30) | Obnovitelné přes Recoverable Items |
| Smazaný mailbox | 30 dní | Soft-deleted, pak nenávratně smazán |
| Smazaná licence | 30 dní | Data se smažou po odebrání licence |
OneDrive for Business
| Akce | Retence | Poznámka |
|---|---|---|
| Smazaný soubor (koš) | 93 dní | Koš 1. stupně (uživatel) + 2. stupně (admin) |
| Verze souboru | 500 verzí | Výchozí limit verzování |
| Smazaný uživatelský účet | 30 dní | Pak se celý OneDrive smaže |
SharePoint Online
| Akce | Retence | Poznámka |
|---|---|---|
| Smazaný soubor | 93 dní | Koš webu + koš kolekce webů |
| Smazaný web | 93 dní | Obnovitelný správcem |
| Verze souborů | 500 verzí | Konfigurovatelné per knihovna |
Microsoft Teams
| Akce | Retence | Poznámka |
|---|---|---|
| Smazaná zpráva | 21 dní (soft delete) | Uživatel může obnovit do 21 dní |
| Smazaný tým | 30 dní | Obnovitelný správcem |
| Soubory v Teams | 93 dní | Uloženy v SharePoint, platí pravidla SharePoint |
Litigation Hold vs. záloha
Microsoft 365 nabízí funkce Litigation Hold (soudní zadržení) a Retention Policies (retenční politiky) v rámci plánů E3/E5 nebo jako doplněk. Tyto funkce jsou někdy mylně považovány za zálohu.
Co Litigation Hold umí
- Uchovává všechny verze dokumentů a e-mailů, i když je uživatel smaže
- Data jsou uchována po celou dobu trvání holdu
- Administrátor může prohledávat uchovaná data přes eDiscovery
Co Litigation Hold neumí
- Point-in-time obnova — nemůžete obnovit mailbox ke stavu z konkrétního data
- Granulární obnova — obtížné obnovení konkrétních položek
- Obnova celé struktury — nelze snadno obnovit složky, pravidla, nastavení
- Nezávislost na platformě — data jsou stále v M365, pokud Microsoft deaktivuje účet, ztratíte přístup
- Ochrana před kompromitací tenanta — pokud útočník získá přístup k administrátorskému účtu, může hold deaktivovat
Co zálohovat v Microsoft 365
Exchange Online
- Mailboxy uživatelů — e-maily, přílohy, složky, pravidla
- Sdílené mailboxy — společné schránky týmů
- Archivní mailboxy — In-Place Archive
- Kontakty a kalendáře — schůzky, opakované události
- Veřejné složky — pokud je organizace používá
- Podpisy a pravidla — nastavení mailboxu
OneDrive for Business
- Všechny soubory a složky — včetně struktury
- Sdílení a oprávnění — kdo má k čemu přístup
- Historie verzí — pro případ potřeby obnovení starší verze
SharePoint Online
- Knihovny dokumentů — soubory a metadata
- Seznamy — strukturovaná data (úkoly, sledování, databáze)
- Stránky webů — intranetový obsah
- Oprávnění — ACL, skupiny, sdílení
- Workflow a Power Automate toky
Microsoft Teams
- Konverzace kanálů — historie diskuzí (uloženy v Exchange group mailbox)
- 1:1 a skupinové chaty — uloženy v Exchange mailboxech účastníků
- Soubory — uloženy v SharePoint (kanály) nebo OneDrive (chaty)
- Konfigurace týmů — členství, kanály, záložky, konektory
- Wiki stránky — uloženy v SharePoint
- Nahrávky schůzek — uloženy v OneDrive nebo SharePoint
Zálohovací řešení pro Microsoft 365
Na trhu existuje řada specializovaných nástrojů pro zálohu Microsoft 365. Zde jsou nejvýznamnější:
Veeam Backup for Microsoft 365
Nejrozšířenější řešení pro zálohu M365. Zálohuje Exchange Online, SharePoint Online, OneDrive for Business a Microsoft Teams. Data ukládá do lokálního úložiště (server, NAS) nebo objektového úložiště (S3, Azure Blob, Wasabi). Verze Community Edition je zdarma pro 10 uživatelů a 1 TB SharePoint dat.
Klíčové vlastnosti Veeam Backup for Microsoft 365:
- Granulární obnova — obnovte jednotlivý e-mail, soubor, kontakt nebo kalendářní položku
- Point-in-time obnovení — vraťte mailbox do stavu k libovolnému datu
- Flexibilní úložiště — lokální disk, NAS, S3, Azure Blob, Wasabi a další
- Self-service portál — uživatelé mohou sami obnovovat smazané položky
- eDiscovery a vyhledávání — prohledávání zálohy napříč všemi mailboxy
- Community Edition zdarma — pro malé organizace do 10 uživatelů
Acronis Cyber Protect Cloud
Komplexní řešení pro MSP a firmy. Kromě zálohy M365 nabízí i endpoint protection, anti-malware a správu zranitelností. Zálohy se ukládají do Acronis Cloud. Silná integrace s ostatními Acronis produkty.
Backupify (Datto)
Plně cloudové řešení — nevyžaduje žádnou lokální infrastrukturu. Automatické zálohy třikrát denně. Podporuje Exchange, OneDrive, SharePoint a kontakty/kalendáře. Jednoduchá správa, ideální pro organizace bez vlastních IT zdrojů.
Spanning Backup (Kaseya)
Cloudové zálohovací řešení s denními automatickými zálohami. Jednoduché nasazení — jen autorizace přes Azure AD. Granulární obnova, neomezené úložiště, podpora Exchange, OneDrive a SharePoint.
Další řešení na trhu
- AvePoint Cloud Backup — pokročilé řešení s podporou více SaaS platforem
- Druva inSync — cloud-native záloha s AI-driven správou
- Commvault Metallic — enterprise-grade SaaS záloha
- N-able Cove Data Protection — záloha pro MSP s M365 podporou
- Microsoft 365 Backup — nativní zálohovací služba od Microsoftu (preview/GA 2024), placená per uživatel
Srovnání zálohovacích řešení
| Vlastnost | Veeam | Acronis | Backupify | Spanning |
|---|---|---|---|---|
| Exchange Online | Ano | Ano | Ano | Ano |
| SharePoint | Ano | Ano | Ano | Ano |
| OneDrive | Ano | Ano | Ano | Ano |
| Teams konverzace | Ano | Omezené | - | - |
| Vlastní úložiště | Ano | Acronis Cloud | Datto Cloud | Spanning Cloud |
| S3/Azure Blob | Ano | - | - | - |
| Bezplatná verze | 10 uživatelů | - | - | - |
| Lokální infrastruktura | Vyžaduje server | Cloud-only | Cloud-only | Cloud-only |
Jak implementovat zálohu M365
Krok 1: Audit dat
Zmapujte, jaká data vaše organizace v M365 má:
- Kolik mailboxů a jaký je jejich průměrný objem
- Kolik dat je na SharePoint a OneDrive
- Kolik týmů a kanálů v Teams
- Jaké jsou regulatorní požadavky na retenci
Krok 2: Definice RPO a RTO
- RPO (Recovery Point Objective) — jak staré mohou být obnovená data. Typicky 24 hodin pro většinu organizací, méně pro kritické systémy.
- RTO (Recovery Time Objective) — jak rychle musíte data obnovit. Granulární obnova jednoho e-mailu by měla být do minut, kompletní obnova mailboxu do hodin.
Krok 3: Výběr řešení
- Malá firma (do 50 uživatelů) — Veeam Community Edition (zdarma pro 10 uživatelů) nebo Spanning pro jednoduchost
- Střední firma (50–500 uživatelů) — Veeam Backup for M365 s lokálním serverem nebo cloud řešení (Backupify, Acronis)
- Enterprise (500+ uživatelů) — Veeam s objektovým úložištěm (S3/Azure Blob) nebo Commvault Metallic. Podrobný popis Veeam najdete na veeam.zalohujsi.cz
Krok 4: Nastavení a testování
- Nasaďte vybrané řešení a nakonfigurujte přístup k M365 (Azure AD aplikace, Graph API oprávnění)
- Nastavte zálohovací úlohy — doporučujeme zálohu alespoň jednou denně
- Spusťte první zálohu a ověřte její kompletnost
- Otestujte obnovu — obnovte testovací e-mail, soubor a SharePoint stránku
- Nastavte monitoring a alerting pro neúspěšné zálohy
Doporučené postupy
- Zálohujte nezávisle na M365 — ukládejte zálohy mimo Microsoft infrastrukturu (vlastní server, jiný cloud provider)
- Šifrujte zálohy — zejména pokud obsahují osobní údaje dle GDPR
- Zálohujte i odcházející zaměstnance — před smazáním licence zajistěte archivaci mailboxu a OneDrive
- Definujte retenční politiku zálohy — jak dlouho uchovávat zálohy (s ohledem na GDPR a interní předpisy)
- Monitorujte úspěšnost záloh — nastavte e-mailové nebo Teams notifikace
- Dokumentujte postup obnovy — kdo může požádat o obnovu, kdo ji provede, jaké jsou SLA
- Kombinujte s retenčními politikami M365 — záloha třetí strany + Litigation Hold pro compliance = nejlepší ochrana
- Zvažte multi-tenant zálohu — pokud spravujete více M365 tenantů
Náklady na zálohu Microsoft 365
Záloha M365 je investice, která se vyplatí při prvním incidentu se ztrátou dat. Typické náklady:
- Veeam Backup for M365 — od cca 20 Kč/uživatel/měsíc (+ náklady na server a úložiště) nebo zdarma pro 10 uživatelů
- Cloudová řešení (Backupify, Spanning) — od cca 80–120 Kč/uživatel/měsíc (včetně úložiště)
- Acronis Cyber Protect Cloud — od cca 60 Kč/uživatel/měsíc
- Microsoft 365 Backup (nativní) — cca 5 USD/uživatel/měsíc
Při výběru řešení porovnávejte celkové náklady včetně úložiště, infrastruktury a správy. Čistě cloudová řešení jsou dražší na uživatele, ale nevyžadují vlastní server. Veeam je cenově nejefektivnější pro větší organizace, které mají vlastní infrastrukturu.