Поделиться через

Восстановление после удаления

Управление удалением в Microsoft Entra ID является важным аспектом обеспечения целостности и доступности инфраструктуры удостоверений вашей организации. В этой статье содержится комплексное руководство по пониманию различий между мягким и жестким удалением, мониторингу удаления, а также восстановлению или воссозданию объектов в вашей учетной записи Microsoft Entra. Независимо от того, имеете ли вы дело с случайными удалениями или готовите стратегии восстановления, в этом руководстве вы можете использовать знания и инструменты для минимизации нарушений и обеспечения непрерывности. Для базовой аналитики начните с рекомендаций по восстановлению.

Мониторинг удаления

Журнал аудита Microsoft Entra содержит сведения обо всех операциях удаления, выполняемых в клиенте. Экспортируйте эти журналы в средство управления сведениями о безопасности и событиями, например Microsoft Sentinel.

Используйте Microsoft Graph для аудита изменений и создания пользовательского решения для отслеживания различий с течением времени. Дополнительные сведения о поиске удаленных элементов с помощью Microsoft Graph см. в статье Список удаленных элементов — Microsoft Graph версии 1.0.

Журнал аудита

В журнал аудита всегда записывается событие "Удаление <объект>", когда в клиенте удаляется объект из активного состояния путем обратимого или необратимого удаления.

Снимок экрана, где показан журнал аудита с операциями удаления.

Событие удаления для приложений, пользователей, групп Microsoft 365 и групп облачной безопасности — это мягкое удаление. Для любых других типов объекта удаление является необратимым. Отслеживайте возникновение событий необратимого удаления путем сравнения событий "Удаление <объект>" с типом удаленного объекта. Обратите внимание на события, которые не поддерживают обратимое удаление. Кроме того, обратите внимание на события "Необратимое удаление <объект>".

Тип объекта Действие в журнале Результат
Приложение Удаление приложения Обратимо удалено
Приложение Необратимое удаление приложения Необратимое удаление
Пользователь Удаление пользователя Обратимо удалено
Пользователь Необратимое удаление пользователя Необратимое удаление
Группа Microsoft 365 Удалить группу Обратимо удалено
Группа Microsoft 365 Необратимое удаление группы Необратимое удаление
Группа безопасности облака Удалить группу Обратимо удалено
Группа безопасности облака Необратимое удаление группы Необратимое удаление
Все прочие объекты Удаление objectType Необратимое удаление

Примечание.

Журнал аудита не отличает тип группы удаленной группы. Группы Microsoft 365 и группы облачной безопасности мягко удалены. Если вы видите запись "Удалить группу", это может быть обратимое удаление группы Microsoft 365 или облачной группы безопасности или жесткое удаление другой группы.

Важно, чтобы документация по известному хорошему состоянию включала тип для каждой группы в вашей организации. Дополнительные сведения о документирования известного хорошего состояния см. в разделе Рекомендации по обеспечению возможности восстановления.

Мониторинг запросов в службу поддержки

Внезапное увеличение запросов в службу поддержки о доступе к конкретному объекту может указывать на то, что произошло удаление. Так как некоторые объекты имеют зависимости, удаление группы, используемой для доступа к приложению, самому приложению или политике условного доступа, предназначенной для приложения, может привести к широкому, внезапному влиянию. Если вы наблюдаете подобную тенденцию, убедитесь, что ни один из объектов, необходимых для доступа, не удален.

Обратимые удаления

Если такие объекты, как пользователи, группы Microsoft 365, облачные группы безопасности или регистрации приложений, мягко удаляются, они переходят в состояние ожидания, в котором они недоступны для использования другими службами. В этом состоянии элементы сохраняют свои свойства и могут быть восстановлены в течение 30 дней. Через 30 дней объекты в состоянии временного удаления удаляются окончательно.

Примечание.

Объекты в состоянии необратимого удаления невозможно восстановить. Повторно создайте и перенастроите их.

При мягком удалении

Понимание того, почему удаление объектов происходит в вашей среде, помогает подготовиться к ним. В этом разделе описываются частые сценарии обратимого удаления объектов различных классов. Вы можете увидеть сценарии, уникальные для вашей организации, поэтому процесс обнаружения является ключевым для подготовки.

Пользователи

Пользователи переходят в состояние мягкого удаления, когда объект пользователя удаляется через административный центр Microsoft Entra, Microsoft Graph или PowerShell.

Ниже приведены распространенные сценарии удаления пользователей:

  • Администратор удаляет пользователя в Центре администрирования Microsoft Entra в ответ на запрос или в рамках обычного обслуживания пользователей.
  • Удаление запускает скрипт автоматизации в Microsoft Graph или PowerShell. Например, у вас может быть скрипт, который удаляет пользователей, которые не входить в систему в течение указанного времени.
  • Пользователь выходит из области синхронизации с Microsoft Entra Connect.
  • Пользователь выходит на пенсию, удаляется из системы управления персоналом и отключается с помощью автоматизированного рабочего процесса.

Группы

Наиболее частыми сценариями удаления групп являются:

  • Администратор намеренно удаляет группу, например в ответ на запрос в службу поддержки.
  • Удаление запускает скрипт автоматизации в Microsoft Graph или PowerShell. Например, у вас может быть скрипт, который удаляет группы, к которым не осуществляется доступ и которые не подтверждаются владельцем группы в течение указанного времени.
  • Непреднамеренное удаление группы, принадлежащей пользователям, не являющимся администраторами.

Объекты приложения и субъекты-службы

Наиболее частыми сценариями удаления приложений являются:

  • Администратор намеренно удаляет приложение, например в ответ на запрос в службу поддержки.
  • Удаление запускает скрипт автоматизации в Microsoft Graph или PowerShell. Например, может потребоваться процесс удаления приложений, которые больше не используются или не управляются. Как правило, рекомендуется создавать процесс отключения для приложений, а не скрипты, чтобы избежать непреднамеренных удалений.

При удалении приложения регистрация приложения по умолчанию переходит в состояние мягкого удаления. Сведения о связи между регистрацией приложений и субъектами-службами см. в разделе "Приложения и субъекты-службы" в идентификаторе Microsoft Entra ID платформа удостоверений Майкрософт.

Административные единицы

Наиболее распространенный сценарий удаления заключается в том, что административные единицы случайно удаляются, но по-прежнему необходимы.

Восстановление после обратимого удаления

Не все классы объектов управляют возможностями мягкого удаления в Центре администрирования Microsoft Entra. Некоторые из них перечислены только для просмотра, жесткого удаления или восстановления с помощью API Microsoft Graph deletedItems.

Свойства, поддерживаемые в состоянии обратимого удаления

Тип объекта Важные свойства сохраняются
Пользователи (включая внешних пользователей) Все свойства, включая ObjectID, членство в группах, роли, лицензии и назначения приложений
Группы Microsoft 365 Все свойства, поддерживаемые, включая ObjectID, членство в группах, лицензии и назначения приложений
Группы безопасности облака Все свойства поддерживаются, включая ObjectID, членство в группах и назначения приложений
Регистрация приложения Сохраняются все свойства. Дополнительные сведения см. после этой таблицы.
Субъект-служба Все свойства, поддерживаемые
Административная единица Все свойства, поддерживаемые
Политики условного доступа Все свойства, поддерживаемые
Названные места Все свойства, поддерживаемые

Пользователи

Список пользователей, находящихся в состоянии обратимого удаления можно просмотреть на портале Azure на странице Пользователи | удаленные пользователи.

Дополнительные сведения о восстановлении пользователей см. в следующей документации:

Группы

Вы можете увидеть мягко удаленные группы Microsoft 365 и группы облачной безопасности на портале Azure на странице Группы | Удаленные группы.

Снимок, где показано восстановление групп на портале Azure.

Дополнительные сведения о восстановлении мягко удаленных групп Microsoft 365 и групп облачной безопасности см. в следующей документации:

Приложения и субъекты-службы

Приложения включают два объекта: регистрацию приложения и субъект-службу. Дополнительные сведения о различиях между регистрацией и субъектом-службой см. в разделе "Приложения и субъекты-службы" в идентификаторе Microsoft Entra ID.

Чтобы восстановить приложение из Центра администрирования Microsoft Entra, перейдите к Регистрация приложений>, Удаленные приложения>. Выберите регистрацию приложения, которую необходимо восстановить, а затем выберите Восстановить регистрацию приложения.

Субъекты-службы могут быть перечислены, просматриваются, жестко удаляются или восстанавливаются с помощью API Microsoft Graph deletedItems. Сведения о восстановлении приложений с помощью Microsoft Graph см. в статье "Восстановление удаленного элемента " Microsoft Graph версии 1.0.".

Административные единицы

Административные единицы можно перечислять, просматривать или восстанавливать с помощью API DeletedItems Microsoft Graph. Сведения о восстановлении административных единиц с помощью Microsoft Graph см. в статье "Восстановление удаленного элемента " Microsoft Graph версии 1.0.". При удалении административной единицы она остается в обратимом удаленном состоянии и может быть восстановлена в течение 30 дней, но не может быть жестко удалена в течение этого времени. Условно удаленные административные единицы окончательно удаляются автоматически через 30 дней.

Политики условного доступа

После восстановления необходимо проверить и проверить конфигурацию политики условного доступа, чтобы убедиться, что она работает должным образом.

Чтобы восстановить политику условного доступа, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к Entra ID>Условный доступ>Удаленные политики (предварительная версия).
  3. Выберите многоточие (...) в правом углу политики для восстановления.
  4. Выберите Восстановить.
  5. В диалоговом окне "Восстановить политику условного доступа"? Вы можете восстановить политику в режиме только для отчета или оставить ее в состоянии удаления, которое может быть включено. Выберите нужный вариант и нажмите кнопку "Восстановить".

Предупреждение

Восстановление политики до предыдущего состояния может иметь непредвиденные последствия. Корпорация Майкрософт рекомендует администраторам сначала восстановить свои политики в режиме только для отчетов, а затем занять время для проверки и включения.

Названные места

Именованные расположения не могут быть удалены, если они помечены как доверенные, а при восстановлении из временного удаления они не считаются доверенными. Все восстановленные именованные расположения должны быть проверены после восстановления, прежде чем снова пометить как доверенные.

Чтобы восстановить именованное местоположение, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к Entra ID>Условный доступ>Именованные расположения>Удаленные именованные расположения (Предварительная версия).
  3. Выберите многоточие (...) в правом углу расположения, которое вы хотите восстановить.
  4. Выберите Восстановить.
  5. В диалоговом окне "Восстановить выбранное именованное место" выберите "Восстановить".

Необратимые удаления

Жесткое удаление окончательно удаляет объект из клиента Microsoft Entra. Объекты, которые не поддерживают обратимое удаление, удаляются таким образом. Мягко удаленные объекты также окончательно удаляются через 30 дней. Только эти типы объектов поддерживают обратимое удаление:

  • Пользователи
  • Группы Microsoft 365
  • Группы безопасности облака
  • Регистрация приложения
  • Субъект-служба
  • Административная единица
  • Политики условного доступа
  • Названные места

Внимание

Все остальные типы элементов окончательно удалены и не подлежат восстановлению. Их необходимо создать повторно. Администраторы и корпорация Майкрософт не могут восстановить удаленные элементы. Подготовьтесь к созданию процессов и документации, чтобы свести к минимуму нарушения.

Сведения о подготовке и документирование текущих состояний см. в разделе Рекомендации по обеспечению возможности восстановления.

Когда чаще всего происходит необратимое удаление

Жесткие удаления могут возникать в следующих случаях:

Переход из состояния обратимого удаления к необратимому:

  • Условно удаленный объект не будет восстановлен в течение 30 дней.
  • Администратор намеренно удаляет объект, находящийся в состоянии обратимого удаления.

Примечание.

Объекты приложений не удаляются автоматически даже через 30 дней, если значение 'signInAudience' приложения установлено на одно из следующих: "AzureADMultipleOrgs", "AzureADandPersonalMicrosoftAccount" или "PersonalMicrosoftAccount". В этом случае объекты приложений должны быть удалены вручную.

Прямое необратимое удаление:

  • Удаленный тип объекта не поддерживает обратимое удаление.
  • Администратор выбирает окончательное удаление элемента с помощью портала, обычно это делается по запросу.
  • Скрипт автоматизации активирует удаление объекта с помощью Microsoft Graph или PowerShell. Сценарии автоматизации обычно используются для очистки устаревших объектов. Надежный процесс отключения помогает избежать ошибок, которые могут привести к массовому удалению критически важных объектов.

Восстановление после необратимого удаления

Жестко удаленные элементы необходимо повторно создать и перенастроить. Лучше всего избегать нежелательных жестких удалений.

Просмотр обратимо удаленных объектов

Убедитесь, что у вас есть процесс регулярного просмотра элементов в состоянии обратимого удаления и их восстановления при необходимости. Для приготовления:

Дальнейшие шаги

Узнайте, как избежать нежелательных удалений в рекомендациях по восстановлению.

  • Last updated on