Wiederherstellen gelöschter Elemente
Dieser Artikel behandelt das Wiederherstellen von vorläufig und endgültig gelöschten Elementen in Ihrem Microsoft Entra-Mandanten. Wenn Sie dies noch nicht getan haben, lesen Sie den Artikel Bewährte Methoden zur Wiederherstellbarkeit, um grundlegende Kenntnisse zu erhalten.
Überwachen von Löschungen
Das Microsoft Entra-Überwachungsprotokoll enthält Informationen zu allen Löschvorgängen in Ihrem Mandanten. Exportieren Sie diese Protokolle in ein SIEM-Tool (Security Information & Event Management) wie Microsoft Sentinel.
Sie können auch mit Microsoft Graph Änderungen überwachen und eine benutzerdefinierte Lösung erstellen, um Abweichungen im Laufe der Zeit zu überwachen. Weitere Informationen zum Suchen gelöschter Elemente mithilfe von Microsoft Graph finden Sie unter Auflisten gelöschter Elemente – Microsoft Graph v1.0.
Überwachungsprotokoll
Das Überwachungsprotokoll zeichnet immer dann ein Ereignis vom Typ „<Objekt> löschen“ auf, wenn ein Objekt im Mandanten durch vorläufiges oder endgültiges Löschen aus einem aktiven Zustand entfernt wird.
Bei einem Löschereignis für Anwendungen, Benutzer und Microsoft 365-Gruppen handelt es sich um vorläufiges Löschen. Allen anderen Objekttypen werden endgültig gelöscht. Verfolgen Sie das Auftreten von endgültigen Löschungen nach, indem Sie Ereignisse vom Typ „<Objekt> löschen“ mit dem Typ des gelöschten Objekts vergleichen. Notieren Sie die Ereignisse, die kein vorläufiges Löschen unterstützen. Notieren Sie außerdem Ereignisse vom Typ „<Objekt> endgültig löschen“.
| Objekttyp | Aktivität im Protokoll | Ergebnis |
|---|---|---|
| Application | Löschen der Anwendung | Vorläufig gelöscht |
| Application | Anwendung endgültig löschen | Endgültig gelöscht |
| Benutzer | Benutzer löschen | Vorläufig gelöscht |
| Benutzer | Benutzer endgültig löschen | Endgültig gelöscht |
| Microsoft 365-Gruppe | Gruppe löschen | Vorläufig gelöscht |
| Microsoft 365-Gruppe | Gruppe endgültig löschen | Endgültig gelöscht |
| Alle anderen Objekte | „objectType“ löschen | Endgültig gelöscht |
Hinweis
Im Überwachungsprotokoll wird nicht zwischen den Gruppentypen einer gelöschten Gruppe unterschieden. Nur Microsoft 365-Gruppen werden vorläufig gelöscht. Wenn ein Eintrag vom Typ „Gruppe löschen“ angezeigt wird, kann es sich um das vorläufige Löschen einer Microsoft 365-Gruppe oder um das endgültige Löschen eines anderen Gruppentyps handeln.
Es ist wichtig, dass die Dokumentation Ihres bekannten, fehlerfreien Status den Gruppentyp für jede Gruppe in Ihrer Organisation enthält. Weitere Informationen zum Dokumentieren ihres bekannten guten Zustands finden Sie unter Bewährte Methoden zur Wiederherstellbarkeit.
Überwachen von Supporttickets
Ein plötzlicher Anstieg der Supporttickets bezüglich des Zugriffs auf ein bestimmtes Objekt kann darauf hinweisen, dass etwas gelöscht wurde. Da einige Objekte über Abhängigkeiten verfügen, kann das Löschen einer zum Zugreifen auf eine Anwendung verwendeten Gruppe, einer Anwendung selbst oder einer Richtlinie für bedingten Zugriff für eine Anwendung eine plötzliche und weitreichende Auswirkung haben. Wenn ein Trend wie dieser auftritt, überprüfen Sie, dass keines der für den Zugriff benötigten Objekte gelöscht wurde.
Vorläufiges Löschen
Werden Objekte wie Benutzer, Microsoft 365-Gruppen oder Anwendungsregistrierungen vorläufig gelöscht, werden sie einen gesperrten Zustand versetzt, in dem sie nicht für die Verwendung durch andere Dienste verfügbar sind. In diesem Zustand behalten Elemente ihre Eigenschaften und können noch 30 Tage lang wiederhergestellt werden. Nach 30 Tagen werden Objekte im vorläufig gelöschten Zustand endgültig gelöscht.
Hinweis
Objekte können aus dem endgültig gelöschten Zustand nicht wiederhergestellt werden. Sie müssen neu erstellt und neu konfiguriert werden.
Vorgehen beim Auftreten vorläufiger Löschungen
Es ist wichtig zu verstehen, warum Objektlöschungen in Ihrer Umgebung auftreten, sodass Sie sich auf solche Fälle vorbereiten können. In diesem Abschnitt werden für die jeweiligen Objektklassen häufige Szenarien der vorläufigen Löschung beschrieben. Eventuell treten Szenarios auf, die in Ihrer Organisation einzigartig sind, sodass ein Ermittlungsprozess wichtig für die Vorbereitung ist.
Benutzer
Benutzer*innen wechseln jedes Mal in den vorläufig gelöschten Zustand, wenn das Benutzerobjekt mithilfe des Azure-Portals, mit Microsoft Graph oder mit PowerShell gelöscht wird.
Die häufigsten Szenarien für die Löschung von Benutzern sind:
- Administrator löschen Benutzer im Azure-Portal absichtlich auf Anfrage oder als Teil der routinemäßigen Benutzerverwaltung.
- Ein Automatisierungsskript in Microsoft Graph oder PowerShell löst das Löschen aus. Eventuell nutzen Sie ein Skript, das Benutzer*innen entfernt, die sich über einen bestimmten Zeitraum hinweg nicht angemeldet haben.
- Benutzer*innen werden von der Synchronisierung mit Microsoft Entra Connect ausgeschlossen.
- Ein*e Benutzer*in wird aus einem HR-System entfernt und über einen automatisierten Workflow gelöscht.
Microsoft 365-Gruppen
Die häufigsten Szenarien für Microsoft 365-Gruppen, die gelöscht werden, sind:
- Administrator*innen löschen die Gruppe absichtlich, z. B. als Reaktion auf eine Supportanfrage.
- Ein Automatisierungsskript in Microsoft Graph oder PowerShell löst das Löschen aus. Sie könnten beispielsweise über ein Skript verfügen, das Gruppen löscht, auf die in einem vorgegebenen Zeitraum nicht zugegriffen wurde oder die nicht vom Gruppenbesitzer bestätigt wurden.
- Unbeabsichtigtes Löschen einer Gruppe, die nicht im Besitz von Administrator*innen ist
Anwendungsobjekte und Dienstprinzipale
Die häufigsten Szenarien für die Löschung von Anwendungen sind:
- Ein Administrator löscht die Gruppe, z. B. als Reaktion auf eine Supportanfrage absichtlich.
- Ein Automatisierungsskript in Microsoft Graph oder PowerShell löst das Löschen aus. Beispielsweise könnten Sie einen Prozess zum Löschen nicht mehr genutzter oder verwalteter Anwendungen verwenden. Allgemein sollten Sie einen Offboarding-Prozess für Anwendungen einrichten, statt Skripts zu verwenden, um unbeabsichtigte Löschungen zu vermeiden.
Wenn Sie eine Anwendung löschen, wechselt die Anwendungsregistrierung standardmäßig in den vorläufig gelöschten Zustand. Informationen zur Beziehung zwischen Anwendungsregistrierungen und Dienstprinzipalen finden Sie unter Apps und Dienstprinzipale in Microsoft Entra ID – Microsoft Identity Platform.
Verwaltungseinheiten
Am häufigsten werden Verwaltungseinheiten (AU) versehentlich gelöscht, obwohl sie noch benötigt werden.
Wiederherstellen vorläufig gelöschter Elemente
Sie können vorläufig gelöschte Elemente im Verwaltungsportal oder mit Microsoft Graph wiederherstellen. Nicht alle Objektklassen können Funktionen für vorläufiges Löschen im Portal verwalten. Einige werden nur mit der deletedItems-Microsoft Graph-API aufgelistet, angezeigt, endgültig gelöscht oder wiederhergestellt.
Bei vorläufigem Löschen beibehaltene Eigenschaften
| Objekttyp | Beibehaltung wichtiger Eigenschaften |
|---|---|
| Benutzer (einschließlich externer Benutzer) | Beibehaltung aller Eigenschaften, einschließlich ObjectID, Gruppenmitgliedschaften, Rollen, Lizenzen, Anwendungszuweisungen |
| Microsoft 365-Gruppen | Beibehaltung aller Eigenschaften, einschließlich ObjectID, Gruppenmitgliedschaften, Lizenzen, Anwendungszuweisungen |
| Anwendungsregistrierung | Alle Eigenschaften werden beibehalten. Weitere Informationen finden Sie nach dieser Tabelle. |
| Dienstprinzipal | Alle Eigenschaften werden beibehalten. |
| Verwaltungseinheit (AU) | Alle Eigenschaften werden beibehalten. |
Benutzer
Vorläufig gelöschte Benutzer*innen werden im Azure-Portal auf der Seite Benutzer – Gelöschte Benutzer angezeigt.
Weitere Informationen zum Wiederherstellen von Benutzer*innen finden Sie in der folgenden Dokumentation:
- Informationen zum Wiederherstellen mithilfe des Azure-Portals finden Sie unter Wiederherstellen oder endgültiges Entfernen kürzlich gelöschter Benutzer.
- Informationen zum Wiederherstellen mithilfe von Microsoft Graph finden Sie unter Wiederherstellen gelöschter Elemente – Microsoft Graph v1.0.
Gruppen
Vorläufig gelöschte Microsoft 365-Gruppen werden im Azure-Portal auf der Seite Gruppen – Gelöschte Gruppen angezeigt.
Weitere Informationen zum Wiederherstellen vorläufig gelöschter Microsoft 365-Gruppen finden Sie in der folgenden Dokumentation:
- Informationen zum Wiederherstellen mithilfe des Azure-Portals finden Sie unter Wiederherstellen einer gelöschten Microsoft 365-Gruppe.
- Informationen zum Wiederherstellen mithilfe von Microsoft Graph finden Sie unter Wiederherstellen gelöschter Elemente – Microsoft Graph v1.0.
Anwendungen und Dienstprinzipale
Anwendungen verfügen über zwei Objekte: die Anwendungsregistrierung und den Dienstprinzipal. Weitere Informationen zu den Unterschieden zwischen der Registrierung und dem Dienstprinzipal finden Sie unter Apps und Dienstprinzipale in Microsoft Entra ID.
Um eine Anwendung im Azure-Portal wiederherzustellen, wählen Sie App-Registrierungen>Gelöschte Anwendungen aus. Wählen Sie die wiederherzustellende Anwendungsregistrierung aus, und wählen Sie dann App-Registrierung wiederherstellen aus.
Derzeit können Dienstprinzipale über die deletedItems-Microsoft Graph-API aufgelistet, angezeigt, endgültig gelöscht oder wiederhergestellt werden. Informationen zum Wiederherstellen von Anwendungen mithilfe von Microsoft Graph finden Sie unter Wiederherstellen gelöschter Elemente – Microsoft Graph v1.0.
Verwaltungseinheiten
AUs können über die deletedItems-Microsoft Graph-API aufgelistet, angezeigt oder wiederhergestellt werden. Informationen zum Wiederherstellen von AUs mithilfe von Microsoft Graph finden Sie unter Wiederherstellen gelöschter Elemente – Microsoft Graph v1.0. Nachdem eine AU gelöscht wurde, bleibt sie im Zustand „vorläufig gelöscht“ und kann 30 Tage lang wiederhergestellt werden. Sie kann in diesem Zeitraum aber nicht endgültig gelöscht werden. Vorläufig gelöschte AUs werden automatisch nach 30 Tagen endgültig gelöscht.
Endgültige Löschungen
Endgültiges Löschen bedeutet das dauerhafte Entfernen eines Objekts aus Ihrem Microsoft Entra-Mandanten. Objekte, die vorläufiges Löschen nicht unterstützen, werden auf diese Weise entfernt. Ebenso werden vorläufig gelöschte Objekte nach 30 Tagen endgültig gelöscht. Die einzigen Objekttypen, die vorläufiges Löschen unterstützen, sind:
- Benutzer
- Microsoft 365-Gruppen
- Anwendungsregistrierung
- Dienstprinzipal
- Verwaltungseinheit
Wichtig
Alle anderen Elementtypen werden endgültig gelöscht. Ein endgültig gelöschtes Element kann nicht wiederhergestellt werden. Es muss neu erstellt werden. Weder Administrator*innen noch Microsoft können endgültig gelöschte Elemente wiederherstellen. Bereiten Sie sich auf diese Situation mit Prozessen und Dokumentationen vor, um potenzielle Unterbrechungen durch endgültiges Löschen zu minimieren.
Informationen zum Vorbereiten und Dokumentieren aktueller Zustände finden Sie unter Bewährte Methoden zur Wiederherstellbarkeit.
Typische Szenarien des endgültigen Löschens
Endgültige Löschungen können unter folgenden Umständen auftreten:
Wechseln vom vorläufigen zum endgültigen Löschen:
- Ein vorläufig gelöschtes Objekt wurde nicht innerhalb von 30 Tagen wiederhergestellt.
- Administrator*innen löschen absichtlich ein Objekt im vorläufig gelöschten Zustand.
Direktes endgültiges Löschen:
- Der gelöschte Objekttyp unterstützt kein vorläufiges Löschen.
- Ein*e Administrator*in entscheidet sich in der Regel als Reaktion auf eine Anfrage dafür, ein Element dauerhaft mithilfe des Portals zu löschen.
- Ein Automatisierungsskript löst das Löschen des Objekts mithilfe von Microsoft Graph oder PowerShell aus. Oft wird ein Automatisierungsskript zum Bereinigen veralteter Objekte verwendet. Ein durchdachter Offboarding-Prozess für Objekte in Ihrem Mandanten hilft Ihnen, Fehler zu vermeiden, die zum Massenlöschen kritischer Objekte führen können.
Wiederherstellen endgültig gelöschter Elemente
Endgültig gelöschte Elemente müssen neu erstellt und neu konfiguriert werden. Es ist am besten, unerwünschte endgültige Löschungen zu vermeiden.
Überprüfen von vorläufig gelöschten Objekten
Stellen Sie sicher, dass Sie über ein Verfahren verfügen, mit dem Sie vorläufig gelöschte Elemente häufig überprüfen und bei Bedarf wiederherstellen können. Dazu gehen Sie wie folgt vor:
- Häufig gelöschte Elemente auflisten.
- Stellen Sie sicher, dass Sie bestimmte Kriterien für die Wiederherstellung haben.
- Stellen Sie sicher, dass Sie bestimmte Rollen oder Benutzer für das Bewerten und Wiederherstellen von Elementen nach Bedarf zugewiesen haben.
- Entwickeln und testen Sie einen Geschäftskontinuitäts-Managementplan. Weitere Informationen finden Sie unter Überlegungen zu Ihrem Geschäftskontinuitäts-Verwaltungsplan für Ihr Unternehmen.
Weitere Informationen zum Vermeiden unerwünschter Löschungen finden Sie in den folgenden Artikeln unter Bewährte Methoden zur Wiederherstellbarkeit:
- Planung der Geschäftskontinuität und Notfallwiederherstellung
- Dokumentieren von bekannten fehlerfreien Status
- Überwachung und Datenaufbewahrung