Compartir a través de

Objetos admitidos y propiedades recuperables en Microsoft Entra Backup and Recovery (versión preliminar)

Importante

Microsoft Entra Backup and Recovery está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Microsoft Entra Backup and Recovery admite la recuperación de un conjunto definido de tipos de objetos de inquilino y propiedades seleccionadas en esos objetos.

Nota:

El conjunto de objetos y propiedades admitidos se expande con el tiempo. La recuperación solo se aplica a las propiedades admitidas enumeradas en este artículo y no implica la reversión completa de objetos.

Usuario

La recuperación de objetos de usuario admite estas propiedades:

  • AccountEnabled
  • AgeGroup
  • City
  • CompanyName
  • ConsentProvidedForMinor
  • Country
  • Department
  • DisplayName
  • EmployeeHireDate
  • EmployeeId
  • EmployeeLeaveDate
  • EmployeeOrgData
  • EmployeeType
  • FaxNumber
  • GivenName
  • JobTitle
  • Mail
  • MailNickname
  • Mobile
  • OtherMail
  • PasswordPolicies
  • PerUserMfaState
  • PhysicalDeliveryOfficeName
  • PostalCode
  • PreferredDataLocation
  • PreferredLanguage
  • State
  • StreetAddress
  • Surname
  • TelephoneNumber
  • UsageLocation
  • UserPrincipalName
  • UserType

Nota:

Los cambios de administrador y patrocinador no están dentro del alcance.

Como referencia, vea el conjunto completo de propiedades de usuario en el tipo de recurso de usuario de Microsoft Graph.

Grupo

La recuperación para objetos de grupo admite estas propiedades:

  • Classification
  • Description
  • DisplayName
  • GroupType
  • IsPublic
  • Mail
  • MailEnabled
  • MailNickname
  • PreferredDataLocation
  • PreferredLanguage
  • SecurityEnabled
  • Theme

Nota:

Los cambios de propiedad del grupo no están dentro del alcance. Los grupos dinámicos se pueden restaurar o borrar temporalmente durante la recuperación, pero los cambios en las reglas de los grupos dinámicos no están en el ámbito.

Como referencia, vea el conjunto completo de propiedades de grupo en el tipo de recurso de grupo de Microsoft Graph.

Directiva de acceso condicional

Todas las propiedades de las directivas de acceso condicional están dentro del ámbito. Vea todas las propiedades de la directiva de acceso condicional en el tipo de recurso conditionalAccessPolicy de Microsoft Graph.

Directiva de ubicación con nombre

Todas las propiedades de las directivas de ubicación con nombre están en el ámbito. Vea todas las propiedades de directiva de ubicación con nombre en el tipo de recurso Microsoft Graph denominadoLocation.

Directiva de autorización

La recuperación de objetos de políticas de autorización admite estas propiedades:

  • blockMsolPowerShell
  • guestUserRoleId

Aquí hay un mapeo de roles de usuario invitado con niveles de permiso de usuario invitado.

Nivel de autorización Descripción Id. de rol
Usuario miembro Los usuarios invitados tienen el mismo acceso que los miembros a0b1b346-4d3e-4e8b-98f8-753987be4970
Usuario invitado Los usuarios invitados tienen acceso limitado a propiedades y pertenencias a objetos de directorio 10dae51f-b6af-4016-8d66-8c2a99b929b3
Usuario invitado restringido El acceso de usuario invitado está restringido a propiedades y pertenencias de sus propios objetos de directorio 2af84b1e-32c8-42b7-82bc-daa82404023b

Para obtener más información, consulte el conjunto completo de propiedades de la directiva de autorización en el tipo de recurso authorizationPolicy de Microsoft Graph.

Directiva de métodos de autenticación

La recuperación soporta estas directivas de método de autenticación:

  • Contraseña de un solo uso (OTP) de correo electrónico
  • Clave de acceso FIDO2
  • Aplicación Authenticator
  • Llamada de voz
  • SMS
  • Software OATH de terceros
  • Pase de acceso temporal
  • Autenticación basada en certificados

Como referencia, vea el conjunto completo de propiedades de directiva de métodos de autenticación en el tipo de recurso AuthenticationMethodConfiguration de Microsoft Graph.

Aplicación

La recuperación para objetos de aplicación admite estas propiedades:

  • DisplayName
  • Description
  • Notes
  • ApplicationTag
  • AppIdentifierUri
  • AppCreatedDateTime
  • PublicClient
  • PublisherDomain
  • IsDeviceOnlyAuthSupported
  • ServiceManagementReference
  • RequiredResourceAccess
  • NativeAuthenticationApisEnabled
  • SignInAudience
  • GroupMembershipClaims
  • OptionalClaims
  • IsDisabled
  • AddIns
  • ServicePrincipalLockConfiguration
  • AppInformationalUrl

Como referencia, vea el conjunto completo de propiedades de la aplicación en el tipo de recurso de aplicación de Microsoft Graph.

Entidad principal de servicio

La recuperación de objetos de principal de servicio admite estas propiedades:

  • AccountEnabled
  • AlternativeNames
  • ExplicitAccessGrantRequired
  • Description
  • LoginUrl
  • Notes
  • NotificationEmailAddresses
  • PreferredTokenSigningKeyThumbprint
  • ServicePrincipalTag
  • ServicePrincipalType
  • PreferredSingleSignOnMode
  • PublisherName
  • SamlSingleSignOnSettings
  • ServicePrincipalName

Como referencia, vea el conjunto completo de propiedades de entidad de servicio en el tipo de recurso servicePrincipal de Microsoft Graph.

La recuperación del principal de servicio es el anclaje de los permisos relacionados. Cuando se recupera una entidad de servicio, Microsoft Entra Backup and Recovery también restaura:

  • Concesiones de permisos de OAuth2 donde el principal de servicio recuperado es el objeto de destino.
  • Asignaciones de roles de aplicación en las que la entidad de servicio recuperada es el objeto de destino

Concesión de permisos de OAuth2 (delegado)

La concesión de permisos de OAuth2 representa los permisos delegados concedidos al principal de servicio de una aplicación. Un administrador puede crear concesiones de permisos delegados cuando un usuario da su consentimiento a la solicitud de una aplicación para acceder a una API o un administrador puede concederlos en nombre de todos los usuarios. Las concesiones de permisos que un administrador crea en nombre de todos los usuarios están dentro del alcance. Puede identificar estas concesiones de permisos por consentType = AllPrincipals y .principalId = null

No se admiten las concesiones de permisos creadas como resultado del consentimiento del usuario. Vea las propiedades de permisos delegados de OAuth2 en el tipo de recurso oauth2PermissionGrant de Microsoft Graph.

Las concesiones de permisos de OAuth2 no se recuperan de forma independiente. En el caso de los informes de diferencias y el ámbito de recuperación, las entidades de servicio, las concesiones de permisos de OAuth2 y las asignaciones de roles de aplicación se agrupan bajo un único filtro en el Centro de administración de Microsoft Entra.

Asignación de roles de la aplicación

Una asignación de rol de aplicación registra cuándo se le asigna un rol de aplicación a un usuario, grupo o entidad de servicio. Todas las propiedades de la asignación de roles de aplicación están incluidas en el ámbito. Vea todos los detalles y propiedades de la asignación de roles de la aplicación en el tipo de recurso appRoleAssignment de Microsoft Graph.

Las asignaciones de roles de aplicación no se recuperan de forma independiente. En el caso de los informes de diferencias y el ámbito de recuperación, las entidades de servicio, las concesiones de permisos de OAuth2 y las asignaciones de roles de aplicación se agrupan bajo un único filtro en el Centro de administración de Microsoft Entra.

Organización

La recuperación del objeto de organización apoya estas propiedades:

Configuración de autenticación multifactor (MFA) de nivel de inquilino por usuario:

  • StrongAuthenticationDetails

    • availableMFAMethods

      Captura de pantalla que muestra la propiedad availableMFAMethods en StrongAuthenticationDetails.

    • IsApplicationPasswordBlocked

      Captura de pantalla que muestra la propiedad IsApplicationPasswordBlocked en StrongAuthenticationDetails.

    • IsRememberDevicesEnabled

      Captura de pantalla que muestra la propiedad IsRememberDevicesEnabled en StrongAuthenticationDetails.

    • rememberDevicesDurationInDays

      Captura de pantalla que muestra la propiedad rememberDevicesDurationInDays en StrongAuthenticationDetails.

  • StrongAuthenticationPolicy

    • enabled

      Captura de pantalla que muestra la propiedad habilitada en StrongAuthenticationPolicy.

    • ipAllowList

      Captura de pantalla que muestra la propiedad ipAllowList en StrongAuthenticationPolicy.

Limitaciones

Tenga en cuenta las siguientes limitaciones al usar Microsoft Entra Backup and Recovery.

Tiempo de finalización del trabajo

El tiempo de finalización de los informes y la recuperación de diferencias depende de la carga y el procesamiento de datos.

La primera vez que acceda a una copia de seguridad a través de un informe de diferencias o recuperación, el servicio de recuperación carga los datos de copia de seguridad. Esta carga tarda una cantidad fija de tiempo, incluso para inquilinos pequeños. El servicio reutiliza los datos cargados entre operaciones que hacen referencia a la misma copia de seguridad, por lo que las operaciones posteriores se completan más rápido. La creación de un informe de diferencias antes de la recuperación puede reducir el tiempo de recuperación mediante la carga previa de los datos.

Una vez completada la carga de datos, la operación se mueve al procesamiento. Para los informes de diferencias, el procesamiento identifica los cambios entre la copia de seguridad y el inquilino actual. Para la recuperación, el procesamiento aplica los cambios necesarios para restaurar el estado de copia de seguridad. El tiempo de procesamiento varía en función del número de objetos, del ámbito de la operación y del número de cambios implicados.

Objetos eliminados de forma permanente

Microsoft Entra Backup and Recovery no admite la recuperación ni la re-creación de objetos eliminados de forma permanente. Solo se pueden restaurar objetos modificados o eliminados suavemente.

Objetos administrados en Active Directory Domain Services local

Los cambios realizados en objetos sincronizados locales (excepto las pertenencias a grupos) aparecen en informes de diferencias, pero se excluyen automáticamente de la recuperación. Las organizaciones que usan la identidad híbrida con el identificador de Entra de Microsoft pueden usar informes de diferencias para identificar los cambios en los objetos sincronizados desde el entorno local. Para determinados tipos de objetos, como usuarios y grupos, puede mover el origen de autoridad de un entorno local a la nube. Después de la conversión, todas las funciones de copia de seguridad y recuperación están disponibles para esos objetos. Realice una copia de seguridad y recupere objetos administrados localmente mediante una solución alternativa.

Si un usuario o grupo se convierte en administrado en la nube después de realizar la copia de seguridad, la recuperación de esa copia de seguridad no revierte el origen de la autoridad a Active Directory local. Se recuperan otros atributos modificados admitidos.

Capacidad de recuperación más amplia

Microsoft Entra Backup and Recovery debe usarse como parte de un enfoque más amplio para la capacidad de recuperación que ayuda a su organización a ser más resistente. Para reducir el riesgo de pérdida de datos de directorio malintencionada y accidental, siga los procedimientos recomendados de recuperación en Microsoft Entra ID. Estas prácticas incluyen:

  • Establecimiento de medidas de seguridad operativas preventivas
  • Documentar periódicamente el buen estado conocido mediante las API de Microsoft Graph
  • Preparación de procesos para recuperarse de la eliminación y la configuración incorrecta
  • Last updated on