Recuperación de eliminaciones
En este artículo se aborda la recuperación de las eliminaciones temporales y permanentes en el inquilino de Microsoft Entra. Si aún no lo ha hecho, lea Procedimientos recomendados para la capacidad de recuperación a fin de obtener los conocimientos básicos.
Supervisión de eliminaciones
El registro de auditoría de Microsoft Entra contiene información sobre todas las operaciones de eliminación realizadas en el inquilino. Exporte estos registros a una herramienta de Administración de eventos e información de seguridad , como Microsoft Sentinel.
También puede usar Microsoft Graph para auditar los cambios y crear una solución personalizada para supervisar las diferencias a lo largo del tiempo. Para más información sobre cómo buscar elementos eliminados con Microsoft Graph, consulte Enumerar elementos eliminados: Microsoft Graph v1.0.
Registro de auditoría
El registro de auditoría siempre registra un evento "Eliminar <objeto>" cuando se quita un objeto del inquilino de un estado activo mediante una eliminación temporal o permanente.
Un evento de eliminación para aplicaciones, usuarios y grupos de Microsoft 365 es una eliminación temporal. Para cualquier otro tipo de objeto, es una eliminación permanente. Para supervisar la aparición de eventos de eliminación permanente, compare los eventos "Eliminar <objeto>" con el tipo de objeto que se ha eliminado. Tenga en cuenta los eventos que no admiten la eliminación temporal. Además, tenga en cuenta los eventos "Eliminación permanente de <objeto>".
| Tipo de objeto | Actividad en el registro | Resultado |
|---|---|---|
| Application | Eliminar aplicación | Eliminado temporalmente |
| Application | Eliminación permanente de una aplicación | Eliminado de forma permanente |
| Usuario | Eliminación de usuario | Eliminado temporalmente |
| Usuario | Eliminación permanente de un usuario | Eliminado permanentemente |
| Grupo de Microsoft 365 | Eliminar grupo | Eliminado temporalmente |
| Grupo de Microsoft 365 | Eliminar permanentemente un grupo | Eliminado de forma permanente |
| Todos los demás objetos | Eliminar "tipoDeObjeto" | Eliminado de forma permanente |
Nota
El registro de auditoría no distingue el tipo de grupo de un grupo eliminado. Solo los grupos de Microsoft 365 se eliminan temporalmente. Si ve una entrada de eliminación de un grupo, puede ser la eliminación temporal de un grupo de Microsoft 365 o la eliminación permanente de otro tipo de grupo.
Es importante que la documentación del estado correcto conocido incluya el tipo de grupo de cada grupo de la organización. Para obtener más información sobre cómo documentar el estado correcto conocido, consulte Procedimientos recomendados para la capacidad de recuperación.
Supervisión de las incidencias de soporte técnico
Un aumento repentino de las incidencias de soporte técnico sobre el acceso a un objeto específico puede indicar que se ha hecho una eliminación. Dado que algunos objetos tienen dependencias, la eliminación de un grupo que se usa para acceder a una aplicación, una propia aplicación o una directiva de acceso condicional dirigida a una aplicación puede provocar un gran impacto repentino. Si ve una tendencia similar a esta, compruebe que no se han eliminado ninguno de los objetos necesarios para el acceso.
Eliminaciones temporales
Cuando los objetos como los usuarios, los grupos de Microsoft 365 o los registros de aplicaciones se eliminan temporalmente, pasan a un estado suspendido en el que no están disponibles para que otros servicios los usen. En este estado, los elementos conservan sus propiedades y se pueden restaurar durante 30 días. Después de 30 días, los objetos en estado de eliminación temporal se eliminan permanentemente.
Nota
Los objetos no se pueden restaurar a partir de un estado de eliminación permanente. Se deben volver a crear y volver a configurar.
Cuándo se producen las eliminaciones temporales
Es importante comprender por qué se producen eliminaciones de objetos en el entorno a fin de prepararse para ellas. En esta sección se describen escenarios frecuentes de la eliminación temporal por clase de objeto. Es posible que vea escenarios únicos para su organización, por lo que un proceso de detección es clave para la preparación.
Usuarios
Los usuarios pasan al estado de eliminación temporal cada vez que se elimina el objeto de usuario mediante Azure Portal, Microsoft Graph o PowerShell.
Los escenarios más frecuentes de eliminación de usuarios son los siguientes:
- Un administrador elimina intencionadamente un usuario en Azure Portal en respuesta a una solicitud o como parte del mantenimiento rutinario de usuarios.
- Un script de automatización en Microsoft Graph o PowerShell desencadena la eliminación. Por ejemplo, puede tener un script que quite los usuarios que no han iniciado sesión durante un tiempo especificado.
- Un usuario se quita del ámbito de la sincronización con Microsoft Entra Connect.
- Un usuario se quita de un sistema de RR. HH. y se desaprovisiona a través de un flujo de trabajo automatizado.
Grupos de Microsoft 365
Los escenarios más frecuentes para la eliminación de grupos de Microsoft 365 son los siguientes:
- Un administrador elimina intencionadamente el grupo, por ejemplo, en respuesta a una solicitud de soporte técnico.
- Un script de automatización en Microsoft Graph o PowerShell desencadena la eliminación. Por ejemplo, puede tener un script que elimine los grupos a los que el propietario del grupo no ha accedido o los grupos que el propietario no haya atestiguado durante un tiempo específico.
- La eliminación involuntaria de un grupo de su propiedad por parte de un usuario que no es administrador.
Objetos de aplicación y entidades de servicio
Los escenarios más frecuentes de eliminación de aplicaciones son los siguientes:
- Un administrador elimina intencionadamente la aplicación, por ejemplo, en respuesta a una solicitud de soporte técnico.
- Un script de automatización en Microsoft Graph o PowerShell desencadena la eliminación. Por ejemplo, puede que quiera tener un proceso para eliminar aplicaciones abandonadas que ya no se usan ni administran. En general, cree un proceso de retirada de aplicaciones en lugar de crear scripts para evitar eliminaciones involuntarias.
Al eliminar una aplicación, el registro de la aplicación pasa de manera predeterminada al estado de eliminación temporal. Para comprender la relación entre los registros de aplicaciones y las entidades de servicio, consulte Aplicaciones y entidades de servicio de Microsoft Entra ID: Plataforma de identidad de Microsoft.
Unidades administrativas
El escenario más común para eliminaciones es cuando las unidades administrativas (AU) se eliminan por accidente, aunque siguen siendo necesarias.
Recuperación de la eliminación temporal
Puede restaurar elementos eliminados temporalmente en el portal administrativo o con Microsoft Graph. No todas las clases de objeto pueden administrar funcionalidades de eliminación temporal en el portal, algunas solo se muestran, ven, eliminan de forma permanente o restauran mediante la API deletedItems de Microsoft Graph.
Propiedades mantenidas con la eliminación temporal
| Tipo de objeto | Propiedades importantes mantenidas |
|---|---|
| Usuarios (incluidos los usuarios externos) | Todas las propiedades mantenidas, incluidos ObjectID, pertenencias a grupos, roles, licencias y asignaciones de aplicaciones |
| Grupos de Microsoft 365 | Todas las propiedades mantenidas, incluidos ObjectID, pertenencias a grupos, licencias y asignaciones de aplicaciones |
| Registro de la aplicación | Todas las propiedades mantenidas. Vea más información después de esta tabla. |
| Entidad de servicio | Todas las propiedades mantenidas |
| Unidad administrativa (AU) | Todas las propiedades mantenidas |
Usuarios
Puede ver los usuarios eliminados temporalmente en la página Usuarios | usuarios eliminados de Azure Portal.
Para obtener más información sobre cómo restaurar usuarios, consulte la siguiente documentación:
- Para restaurar en Azure Portal, consulte Restauración o eliminación permanente de usuarios eliminados recientemente.
- Para llevar a cabo la restauración mediante Microsoft Graph, consulte Restauración de un elemento eliminado: Microsoft Graph v1.0.
Grupos
Puede ver grupos de Microsoft 365 eliminados temporalmente en la página Grupos | grupos eliminados de Azure Portal.
Para obtener más información sobre cómo restaurar grupos de Microsoft 365 eliminados temporalmente, consulte la siguiente documentación:
- Para llevar a cabo la restauración desde Azure Portal, consulte Restauración de un grupo de Microsoft 365 eliminado.
- Para llevar a cabo la restauración mediante Microsoft Graph, consulte Restauración de un elemento eliminado: Microsoft Graph v1.0.
Aplicaciones y entidades de servicio
Las aplicaciones tienen dos objetos: el registro de la aplicación y la entidad de servicio. Para obtener más información sobre las diferencias entre el registro y la entidad de servicio, consulte Aplicaciones y entidades de servicio en Microsoft Entra ID.
Para restaurar una aplicación desde Azure Portal, seleccione Registros de aplicaciones>Aplicaciones eliminadas. Seleccione el registro de aplicación que se va a restaurar y, a continuación, seleccione Restaurar registro de aplicación.
Actualmente, las entidades de servicio se pueden enumerar, ver, eliminar o restaurar mediante la API deletedItems de Microsoft Graph. Para llevar a cabo la restauración de aplicaciones mediante Microsoft Graph, consulte Restauración de un elemento eliminado: Microsoft Graph v1.0.
Unidades administrativas
Las unidades administrativas se pueden enumerar, ver o restaurar mediante la API deletedItems de Microsoft Graph. Para llevar a cabo la restauración de unidades administrativas mediante Microsoft Graph, consulte Restauración de un elemento eliminado: Microsoft Graph v1.0. Una vez que se elimina una UA, permanece en un estado de eliminación temporal y se puede restaurar durante 30 días. Además, no se puede eliminar de forma permanente durante ese tiempo. Las UA eliminadas temporalmente se eliminan de forma permanente después de 30 días.
Eliminaciones permanentes
Una eliminación permanente es la eliminación perpetua de un objeto del inquilino de Microsoft Entra. Los objetos que no admiten la eliminación temporal se quitan de esta manera. Del mismo modo, los objetos eliminados temporalmente se eliminan de forma permanente después de que el tiempo de eliminación sea superior a 30 días. Los únicos tipos de objeto que admiten una eliminación temporal son los siguientes:
- Usuarios
- Grupos de Microsoft 365
- Registro de la aplicación
- Entidad de servicio
- Unidad administrativa
Importante
Todos los demás tipos de elementos se eliminan de forma permanente. Cuando se elimina permanentemente un elemento, no se puede restaurar. Se debe volver a crear. Ni los administradores ni Microsoft pueden restaurar los elementos eliminados de forma permanente. Prepárese para esta situación; para ello, asegúrese de que tiene procesos y documentación para minimizar la posible interrupción de una eliminación permanente.
Para obtener información sobre cómo preparar y documentar los estados actuales, consulte Procedimientos recomendados para la capacidad de recuperación.
Cuándo se producen normalmente las eliminaciones permanentes
Las eliminaciones permanentes pueden producirse en las siguientes circunstancias.
Paso de la eliminación temporal a la eliminación permanente:
- Un objeto eliminado temporalmente no se restauró en un plazo de 30 días.
- Un administrador elimina intencionadamente un objeto que se encuentra en estado de eliminación temporal.
Eliminación permanente directa:
- El tipo de objeto que se ha eliminado no admite la eliminación temporal.
- Un administrador decide eliminar permanentemente un elemento mediante el portal, cosa que ocurre normalmente en respuesta a una solicitud.
- Un script de automatización desencadena la eliminación del objeto mediante Microsoft Graph o PowerShell. No es raro el uso de un script de automatización para limpiar objetos obsoletos. Un proceso sólido de retirada de los objetos del inquilino le ayuda a evitar errores que pueden dar lugar a la eliminación masiva de objetos críticos.
Recuperación de la eliminación permanente
Los elementos eliminados de forma permanente deben volver a crearse y volver a configurarse. Es mejor evitar eliminaciones permanentes no deseadas.
Revisión de objetos eliminados temporalmente
Asegúrese de que tiene un proceso para revisar con frecuencia los elementos que se encuentran en estado de eliminación temporal y restaurarlos si procede. Para ello, debe hacer lo siguiente:
- Enumere los elementos eliminados con frecuencia.
- Asegúrese de que tiene criterios específicos respecto a lo que se debe restaurar.
- Asegúrese de que tiene roles o usuarios específicos asignados para evaluar y restaurar elementos según corresponda.
- Desarrolle y pruebe un plan de administración de continuidad. Para obtener más información, consulte Consideraciones para el plan de administración de continuidad empresarial de Enterprise.
Para obtener más información sobre cómo evitar eliminaciones no deseadas, consulte los artículos siguientes en Procedimientos recomendados para la capacidad de recuperación:
- Continuidad empresarial y planeamiento ante desastres
- Documentación de los estados correctos conocidos
- Supervisión y retención de datos