Freigeben über

Unterstützte Objekte und wiederherstellbare Eigenschaften in Microsoft Entra Backup and Recovery (Vorschau)

Von Bedeutung

Microsoft Entra Backup and Recovery befindet sich derzeit in der Vorschau. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Entra Backup and Recovery unterstützt die Wiederherstellung für einen definierten Satz von Mandantenobjekttypen und ausgewählten Eigenschaften für diese Objekte.

Hinweis

Der Satz der unterstützten Objekte und Eigenschaften wird im Laufe der Zeit erweitert. Die Wiederherstellung gilt nur für in diesem Artikel aufgeführte unterstützte Eigenschaften und impliziert kein vollständiges Objektrollback.

Benutzer

Die Wiederherstellung für Benutzerobjekte unterstützt diese Eigenschaften:

  • AccountEnabled
  • AgeGroup
  • City
  • CompanyName
  • ConsentProvidedForMinor
  • Country
  • Department
  • DisplayName
  • EmployeeHireDate
  • EmployeeId
  • EmployeeLeaveDate
  • EmployeeOrgData
  • EmployeeType
  • FaxNumber
  • GivenName
  • JobTitle
  • Mail
  • MailNickname
  • Mobile
  • OtherMail
  • PasswordPolicies
  • PerUserMfaState
  • PhysicalDeliveryOfficeName
  • PostalCode
  • PreferredDataLocation
  • PreferredLanguage
  • State
  • StreetAddress
  • Surname
  • TelephoneNumber
  • UsageLocation
  • UserPrincipalName
  • UserType

Hinweis

Manager- und Sponsoränderungen fallen nicht in den Geltungsbereich.

Zeigen Sie zur Referenz den vollständigen Satz von Benutzereigenschaften im Microsoft Graph-Benutzerressourcentyp an.

Gruppieren

Die Wiederherstellung für Gruppenobjekte unterstützt diese Eigenschaften:

  • Classification
  • Description
  • DisplayName
  • GroupType
  • IsPublic
  • Mail
  • MailEnabled
  • MailNickname
  • PreferredDataLocation
  • PreferredLanguage
  • SecurityEnabled
  • Theme

Hinweis

Änderungen des Gruppenbesitzes liegen nicht im Rahmen. Dynamische Gruppen können während der Wiederherstellung wiederhergestellt oder soft-gelöscht werden, dynamische Gruppenregeländerungen fallen jedoch nicht in den Geltungsbereich.

Zeigen Sie den vollständigen Satz von Gruppeneigenschaften im Microsoft Graph-Gruppenressourcentyp an.

Richtlinie für bedingten Zugriff

Alle Eigenschaften von Richtlinien für bedingten Zugriff sind im Gültigkeitsbereich enthalten. Zeigen Sie alle Richtlinieneigenschaften für bedingten Zugriff im Ressourcentyp "ConditionalAccessPolicy" von Microsoft Graph an.

Benannte Standortpolitik

Alle Eigenschaften benannter Ortsrichtlinien sind im Geltungsbereich. Sehen Sie alle Eigenschaften der Richtlinien für benannte Standorte im Ressourcentyp Microsoft Graph namedLocation an.

Autorisierungsrichtlinie

Die Wiederherstellung für Autorisierungsrichtlinienobjekte unterstützt diese Eigenschaften:

  • blockMsolPowerShell
  • guestUserRoleId

Hier ist eine Zuordnung der IDs der Gastbenutzerrollen zu den Berechtigungsstufen der Gastbenutzer:

Berechtigungsstufe Beschreibung Rollen-ID
Mitgliedsbenutzer Gastbenutzer haben denselben Zugriff wie Mitglieder a0b1b346-4d3e-4e8b-98f8-753987be4970
Gastbenutzer Gastbenutzer haben eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten 10dae51f-b6af-4016-8d66-8c2a99b929b3
Eingeschränkter Gastbenutzer Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften ihrer eigenen Verzeichnisobjekte beschränkt. 2af84b1e-32c8-42b7-82bc-daa82404023b

Im Ressourcentyp Microsoft Graph authorizationPolicy können Sie den vollständigen Satz von Autorisierungsrichtlinieneigenschaften einsehen.

Richtlinie für Authentifizierungsmethoden

Die Wiederherstellung unterstützt die Richtlinien für Authentifizierungsmethoden.

  • Einmaliges E-Mail-Kennwort (OTP)
  • FIDO2-Passwort
  • Authenticator-App
  • Anruf
  • SMS
  • Drittanbieter-Software OATH
  • Befristeter Zugriffspass
  • Zertifikatbasierte Authentifizierung

Zur Referenz sehen Sie sich den vollständigen Satz von Richtlinieneigenschaften der Authentifizierungsmethoden im Ressourcentyp "Microsoft Graph authenticationMethodConfiguration" an.

Application

Die Wiederherstellung für Anwendungsobjekte unterstützt diese Eigenschaften:

  • DisplayName
  • Description
  • Notes
  • ApplicationTag
  • AppIdentifierUri
  • AppCreatedDateTime
  • PublicClient
  • PublisherDomain
  • IsDeviceOnlyAuthSupported
  • ServiceManagementReference
  • RequiredResourceAccess
  • NativeAuthenticationApisEnabled
  • SignInAudience
  • GroupMembershipClaims
  • OptionalClaims
  • IsDisabled
  • AddIns
  • ServicePrincipalLockConfiguration
  • AppInformationalUrl

Zeigen Sie den vollständigen Satz von Anwendungseigenschaften im Ressourcentyp der Microsoft Graph-Anwendung an.

Service Principal

Die Wiederherstellung für Dienstprinzipalobjekte unterstützt die folgenden Eigenschaften:

  • AccountEnabled
  • AlternativeNames
  • ExplicitAccessGrantRequired
  • Description
  • LoginUrl
  • Notes
  • NotificationEmailAddresses
  • PreferredTokenSigningKeyThumbprint
  • ServicePrincipalTag
  • ServicePrincipalType
  • PreferredSingleSignOnMode
  • PublisherName
  • SamlSingleSignOnSettings
  • ServicePrincipalName

Zeigen Sie zur Referenz den vollständigen Satz von Dienstprinzipaleigenschaften im Ressourcentyp "Microsoft Graph servicePrincipal" an.

Die Dienstprinzipalwiederherstellung ist der Anker für verwandte Berechtigungen. Wenn ein Dienstprinzipal wiederhergestellt wird, stellt Microsoft Entra Backup and Recovery auch folgendes wieder her:

  • OAuth2-Berechtigungserteilungen, bei denen der wiederhergestellte Dienstprinzipal das Zielobjekt ist
  • App-Rollenzuweisungen, bei denen der wiederhergestellte Dienstprinzipal das Zielobjekt ist

OAuth2 (delegierte) Berechtigungserteilung

Die OAuth2-Berechtigungserteilung stellt die delegierten Berechtigungen dar, die dem Dienstprinzipal einer Anwendung gewährt werden. Ein Administrator kann delegierte Berechtigungserteilungen erstellen, wenn ein Benutzer der Anforderung einer Anwendung zustimmt, auf eine API zuzugreifen, oder ein Administrator sie im Namen aller Benutzer erteilen kann. Berechtigungen, die ein Administrator im Auftrag aller Benutzer erteilt, fallen in den Geltungsbereich. Sie können diese Berechtigungserteilungen mithilfe von consentType = AllPrincipals und principalId = null identifizieren.

Berechtigungserteilungen, die aufgrund der Zustimmung des Benutzers erstellt wurden, werden nicht unterstützt. Zeigen Sie die Eigenschaften der OAuth2(delegierten) Berechtigungserteilung im Ressourcentyp "Microsoft Graph oauth2PermissionGrant" an.

OAuth2-Berechtigungserteilungen werden nicht unabhängig wiederhergestellt. Für differenzierte Berichts- und Wiederherstellungsdefinitionen werden Dienstprinzipale, OAuth2-Berechtigungserteilungen und App-Rollenzuweisungen unter einem einzigen Filter im Microsoft Entra Admin Center gruppiert.

App-Rollenzuweisung

Eine App-Rollenzuweisung zeichnet auf, wenn einem Benutzer, einer Gruppe oder einem Dienstprinzipal eine App-Rolle für eine App zugewiesen wird. Alle Eigenschaften der App-Rollenzuweisung sind im Geltungsbereich. Zeigen Sie alle Details und Eigenschaften der App-Rollenzuweisung im Ressourcentyp "Microsoft Graph appRoleAssignment" an.

App-Rollenzuweisungen werden nicht unabhängig wiederhergestellt. Für differenzierte Berichts- und Wiederherstellungsdefinitionen werden Dienstprinzipale, OAuth2-Berechtigungserteilungen und App-Rollenzuweisungen unter einem einzigen Filter im Microsoft Entra Admin Center gruppiert.

Organisation

Die Wiederherstellung für das Organisationsobjekt unterstützt die folgenden Eigenschaften:

Einstellungen für die mehrstufige Authentifizierung (MFA) auf Benutzerebene für Mandanten:

  • StrongAuthenticationDetails

    • availableMFAMethods

      Screenshot der Eigenschaft

    • IsApplicationPasswordBlocked

      Screenshot der IsApplicationPasswordBlocked-Eigenschaft unter StrongAuthenticationDetails.

    • IsRememberDevicesEnabled

      Ein Screenshot zeigt die Eigenschaft IsRememberDevicesEnabled unter StrongAuthenticationDetails.

    • rememberDevicesDurationInDays

      Bildschirmfoto der Eigenschaft „rememberDevicesDurationInDays“ unter „StrongAuthenticationDetails“.

  • StrongAuthenticationPolicy

    • enabled

      Screenshot der aktivierten Eigenschaft unter StrongAuthenticationPolicy.

    • ipAllowList

      Screenshot der ipAllowList-Eigenschaft unter StrongAuthenticationPolicy.

Einschränkungen

Beachten Sie die folgenden Einschränkungen, wenn Sie Microsoft Entra Backup and Recovery verwenden.

Auftragsabschlusszeit

Die Abschlusszeit für Differenzberichte und Wiederherstellung hängt vom Laden und Verarbeiten von Daten ab.

Wenn Sie zum ersten Mal über einen Differenzbericht oder eine Wiederherstellung auf eine Sicherung zugreifen, lädt der Wiederherstellungsdienst die Sicherungsdaten. Das Laden dauert eine feste Zeit, auch für kleine Mandanten. Der Dienst verwendet geladene Daten für alle Vorgänge, die auf dieselbe Sicherung verweisen, sodass nachfolgende Vorgänge schneller ausgeführt werden. Das Erstellen eines Differenzberichts vor der Wiederherstellung kann die Wiederherstellungszeit reduzieren, indem sie die Daten vorab laden.

Nach Abschluss des Ladens von Daten wechselt der Vorgang in die Verarbeitung. Bei Differenzberichten identifiziert die Verarbeitung Änderungen zwischen der Sicherung und dem aktuellen Mandanten. Für die Wiederherstellung wendet die Verarbeitung die erforderlichen Änderungen an, um den Sicherungszustand wiederherzustellen. Die Verarbeitungszeit variiert je nach Anzahl der Objekte, dem Umfang des Vorgangs und der Anzahl der beteiligten Änderungen.

Endgültig gelöschte Objekte

Microsoft Entra Backup and Recovery unterstützt keine Wiederherstellung oder erneute Erstellung von endgültig gelöschten Objekten. Es können nur vorläufig gelöschte oder geänderte Objekte wiederhergestellt werden.

In lokalen Active Directory-Domänendiensten verwaltete Objekte

Alle Änderungen an lokalen synchronisierten Objekten (mit Ausnahme von Gruppenmitgliedschaften) werden in differenzierten Berichten angezeigt, werden jedoch automatisch von der Wiederherstellung ausgeschlossen. Organisationen, die hybride Identität mit Microsoft Entra ID verwenden, können differenzierte Berichte verwenden, um Änderungen an Objekten zu identifizieren, die von der lokalen Bereitstellung synchronisiert werden. Für bestimmte Objekttypen, z. B. Benutzer und Gruppen, können Sie die Autoritätsquelle von der lokalen Bereitstellung in die Cloud verschieben. Nach der Konvertierung sind alle Sicherungs- und Wiederherstellungsfunktionen für diese Objekte verfügbar. Sichern und Wiederherstellen von Objekten, die lokal verwaltet werden, mithilfe einer alternativen Lösung.

Wenn ein Benutzer oder eine Gruppe nach dem Erstellen der Sicherung cloud-verwaltet wird, setzt die Wiederherstellung aus dieser Sicherung die Autoritätsquelle nicht auf das lokale Active Directory zurück. Andere unterstützte geänderte Attribute werden wiederhergestellt.

Umfassendere Wiederherstellbarkeit

Microsoft Entra Backup and Recovery sollte als Teil eines umfassenderen Ansatzes zur Wiederherstellbarkeit verwendet werden, der Ihrer Organisation hilft, robuster zu sein. Um das Risiko eines böswilligen und versehentlichen Datenverlusts zu verringern, befolgen Sie bewährte Methoden zur Wiederherstellbarkeit in der Microsoft Entra-ID. Zu diesen Methoden gehören:

  • Einrichtung präventiver betrieblicher Sicherheitsmaßnahmen
  • Regelmäßiges Dokumentieren des bekannten guten Zustands mithilfe von Microsoft Graph-APIs
  • Vorbereiten von Prozessen zum Wiederherstellen von Löschungen und Fehlkonfigurationen
  • Last updated on