Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La gestion des suppressions dans Microsoft Entra ID est un aspect essentiel de la maintenance de l’intégrité et de la disponibilité de l’infrastructure d’identité de votre organisation. Cet article fournit un guide complet pour comprendre les différences entre les suppressions logiques et définitives, surveiller les suppressions et récupérer ou recréer des objets dans votre tenant Microsoft Entra. Que vous soyez confronté à des suppressions accidentelles ou à la préparation de stratégies de récupération, ce guide vous fournit les connaissances et les outils nécessaires pour réduire les interruptions et assurer la continuité. Pour obtenir des insights fondamentaux, commencez par les meilleures pratiques de récupération.
Monitoring des suppressions
Le journal d’audit Microsoft Entra contient des informations sur toutes les opérations de suppression effectuées dans votre tenant. Exportez ces journaux vers un outil de gestion des informations de sécurité et des événements, tel que Microsoft Sentinel.
Utilisez Microsoft Graph pour auditer les modifications et créer une solution personnalisée pour surveiller les différences au fil du temps. Pour plus d’informations sur la recherche d’éléments supprimés à l’aide de Microsoft Graph, consultez Liste des éléments supprimés – Microsoft Graph v1.0.
Journal d’audit
Le journal d’audit enregistre toujours un événement « Supprimer <objet> » lorsqu’un objet du locataire à l’état actif est supprimé de façon réversible ou définitive.
Un événement de suppression pour les applications, les utilisateurs, les groupes Microsoft 365 et les groupes de sécurité cloud est une suppression douce. Pour tout autre type d’objet, il s’agit d’une suppression définitive. Suivez l’occurrence d’événements de suppression définitive en comparant les événements « Supprimer <objet> » avec le type d’objet qui a été supprimé. Notez ceux qui ne prennent pas en charge la suppression réversible ainsi que les événements « Supprimer <objet> définitivement ».
| Type d’objet | Activité dans le journal | Résultat |
|---|---|---|
| Application | Supprimer l’application | Suppression réversible |
| Application | Suppression définitive d’une application | Suppression définitive |
| Utilisateur | Supprimer un utilisateur | Suppression réversible |
| Utilisateur | Suppression définitive d’un utilisateur | Suppression définitive |
| Groupe Microsoft 365 | Supprimer un groupe | Suppression réversible |
| Groupe Microsoft 365 | Supprimer définitivement un groupe | Suppression définitive |
| Groupe de sécurité cloud | Supprimer un groupe | Suppression réversible |
| Groupe de sécurité cloud | Supprimer définitivement un groupe | Suppression définitive |
| Tous les autres objets | Suppression « objectType » | Suppression définitive |
Notes
Le journal d’audit ne distingue pas le type de groupe d’un groupe supprimé. Les groupes Microsoft 365 et les groupes de sécurité cloud sont supprimés de façon temporaire. Si vous voyez une entrée supprimer un groupe, il peut s’agir de la suppression réversible d’un groupe Microsoft 365 ou d’un groupe de sécurité cloud, ou de la suppression définitive d’un autre type de groupe.
Il est important que la documentation de votre état correct connu inclue le type de chaque groupe de votre organisation. Pour plus d’informations sur la documentation de votre état correct connu, consultez Meilleures pratiques de récupération.
Monitoring des tickets de support
Une augmentation soudaine des tickets de support concernant l’accès à un objet spécifique peut indiquer qu’une suppression s’est produite. Étant donné que certains objets ont des dépendances, la suppression d’un groupe utilisé pour accéder à une application, une application elle-même ou une stratégie d’accès conditionnel qui cible une application peut entraîner un impact soudain large. Si vous constatez une tendance de ce type, vérifiez qu’aucun des objets nécessaires pour l’accès n’a été supprimé.
Suppressions réversibles
Lorsque des objets tels que des utilisateurs, des groupes Microsoft 365, des groupes de sécurité cloud ou des inscriptions d’applications sont supprimés de manière réversible, ils entrent un état suspendu dans lequel ils ne sont pas disponibles pour une utilisation par d’autres services. Dans cet état, les éléments conservent leurs propriétés et peuvent être restaurés pendant 30 jours. Après 30 jours, les objets dans l’état supprimé de manière réversible sont définitivement supprimés ou supprimés en dur.
Notes
Les objets ne peuvent pas être restaurés à partir d’un état de suppression définitive. Recréez et reconfigurez-les.
Lorsque des suppressions réversibles se produisent
Comprendre pourquoi les suppressions d’objets se produisent dans votre environnement vous aide à les préparer. Cette section décrit les scénarios fréquents de suppression réversible en fonction de la classe d’objet. Certains scénarios peuvent être propres à votre organisation. Par conséquent, un processus de découverte est essentiel à la préparation.
Utilisateurs
Les utilisateurs entrent dans un état de suppression réversible lorsque l’objet utilisateur est supprimé à l’aide de Microsoft Entra Centre d’administration, de Microsoft Graph ou de PowerShell.
Les scénarios courants de suppression d’utilisateurs sont les suivants :
- Un administrateur supprime un utilisateur dans le Centre d’administration Microsoft Entra en réponse à une demande ou dans le cadre de la maintenance courante des utilisateurs.
- Un script d’automatisation présent dans Microsoft Graph ou PowerShell déclenche la suppression. Par exemple, vous pouvez avoir un script qui supprime les utilisateurs qui ne se connectent pas pendant une heure spécifiée.
- Un utilisateur quitte l’étendue de la synchronisation avec Microsoft Entra Connect.
- Un utilisateur prend sa retraite, est supprimé d’un système RH et est déprovisionné via un flux de travail automatisé.
Groupes
Les scénarios les plus fréquents de suppression de groupes sont les suivants :
- Un administrateur supprime intentionnellement le groupe, par exemple en réponse à une demande de support.
- Un script d’automatisation présent dans Microsoft Graph ou PowerShell déclenche la suppression. Par exemple, vous pouvez avoir un script qui supprime les groupes qui ne sont pas accessibles ou attestés par le propriétaire du groupe pour une heure spécifiée.
- Suppression involontaire d’un groupe par une personne non administratrice.
Objets d’application et principaux de service
Les scénarios les plus fréquents de suppression d’applications sont les suivants :
- Un administrateur supprime intentionnellement l’application, par exemple en réponse à une demande de support.
- Un script d’automatisation présent dans Microsoft Graph ou PowerShell déclenche la suppression. Il peut s’agir par exemple d’un processus permettant de supprimer les applications abandonnées qui ne sont plus utilisées ni gérées. D’une manière générale, créez un processus de retrait d’applications plutôt qu’un script pour éviter les suppressions involontaires.
Lorsque vous supprimez une application, l’enregistrement de l’application par défaut entre dans l'état de suppression temporaire. Pour comprendre la relation entre les inscriptions d’applications et les principaux de service, consultez Applications et principaux de service dans Microsoft Entra ID – Plateforme d’identités Microsoft.
Unités administratives
Le scénario le plus courant pour les suppressions est le moment où les unités administratives sont supprimées accidentellement, mais toujours nécessaires.
Récupération après suppression réversible
Toutes les classes d’objets ne gèrent pas les fonctionnalités de suppression réversible dans le Centre d’administration Microsoft Entra. Certains sont répertoriés, affichés, supprimés en dur ou restaurés à l’aide de l’API Microsoft Graph deletedItems.
Propriétés conservées avec la suppression réversible
| Type d’objet | Propriétés importantes conservées |
|---|---|
| Utilisateurs (y compris externes) | Toutes les propriétés sont conservées, notamment ObjectID, les appartenances aux groupes, les rôles, les licences et les attributions d’applications |
| Groupes Microsoft 365 | Toutes les propriétés sont conservées, notamment ObjectID, les appartenances aux groupes, les licences et les attributions d’applications |
| Groupes de sécurité cloud | Toutes les propriétés gérées, y compris ObjectID, les appartenances aux groupes et les affectations d’applications |
| Inscription de l’application | Toutes les propriétés sont conservées Voir plus d’informations après ce tableau. |
| Principal du service | Toutes les propriétés sont conservées |
| Unité administrative | Toutes les propriétés sont conservées |
| Stratégies d’accès conditionnel | Toutes les propriétés sont conservées |
| Emplacements nommés | Toutes les propriétés sont conservées |
Utilisateurs
Pour voir les utilisateurs supprimés de manière réversible sur le portail Azure, accédez à la page Utilisateurs – Utilisateurs supprimés.
Pour plus d’informations sur la restauration des utilisateurs, consultez la documentation suivante :
- Pour la restauration à partir du portail Azure, consultez Restauration ou suppression définitive d’un utilisateur récemment supprimé.
- Pour la restauration avec Microsoft Graph, consultez Restauration d’un élément supprimé – Microsoft Graph v1.0.
Groupes
Vous pouvez voir les groupes Microsoft 365 supprimés temporairement et les groupes de sécurité cloud dans le portail Azure sur la page Groupes | Groupes supprimés.
Pour plus d’informations sur la restauration des groupes Microsoft 365 supprimés de manière réversible et des groupes de sécurité cloud, consultez la documentation suivante :
- Pour la restauration à partir du portail Azure, consultez Restauration d’un groupe Microsoft 365 supprimé.
- Pour la restauration avec Microsoft Graph, consultez Restauration d’un élément supprimé – Microsoft Graph v1.0.
Applications et principaux de service
Les applications incluent deux objets : l’inscription de l’application et le principal de service. Pour plus d’informations sur les différences entre l’inscription et le principal de service, consultez Applications et principaux de service dans Microsoft Entra ID.
Pour restaurer une application depuis le Centre d’administration Microsoft Entra, accédez à Entra ID>, Inscriptions d’application>, Applications supprimées. Sélectionnez l’inscription d’application à restaurer, puis Restaurer l’inscription d’application.
Les principaux de service peuvent être répertoriés, affichés, supprimés en dur ou restaurés à l’aide de l’API Microsoft Graph deletedItems. Pour la restauration d’applications avec Microsoft Graph, consultez Restaurer un élément supprimé – Microsoft Graph v1.0.
Unités administratives
Les unités administratives peuvent être répertoriées, affichées ou restaurées via l’API Microsoft Graph deletedItems. Pour restaurer des unités administratives à l’aide de Microsoft Graph, consultez Restaurer un élément supprimé - Microsoft Graph v1.0.. Lorsqu’une unité administrative est supprimée, elle reste dans un état supprimé de manière réversible et peut être restaurée pendant 30 jours, mais ne peut pas être supprimée durement pendant cette période. Les unités administratives supprimées temporairement sont supprimées définitivement automatiquement après 30 jours.
Stratégies d’accès conditionnel
Vous devez passer en revue et valider la configuration de la stratégie d’accès conditionnel après la restauration pour vous assurer qu’elle se comporte comme prévu.
Pour restaurer une stratégie d’accès conditionnel :
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
- Accédez à l’ID Entra>Accès conditionnel>Stratégies supprimées (Aperçu).
- Sélectionnez les points de suspension (...) à l’extrême droite de la stratégie à restaurer.
- Cliquez sur Restaurer.
- Dans la boîte de dialogue Restaurer une stratégie d’accès conditionnel ? Vous pouvez choisir de restaurer la stratégie en mode Rapport uniquement ou de la laisser dans l’état où elle a été supprimée, qui peut être activée. Effectuez votre sélection et sélectionnez Restaurer.
Avertissement
La restauration d’une stratégie à son état précédent peut avoir des conséquences inattendues. Microsoft recommande aux administrateurs de restaurer leurs stratégies en mode Rapport uniquement, puis de prendre le temps de passer en revue et d’activer.
Emplacements nommés
Les emplacements nommés ne peuvent pas être supprimés lorsqu’ils sont marqués comme approuvés, et lorsqu’ils sont récupérés après une suppression douce, ils ne sont pas marqués comme approuvés. Tous les emplacements nommés restaurés doivent être examinés après la restauration avant de les marquer à nouveau comme approuvés.
Pour restaurer un emplacement nommé :
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
- Accédez à ID Entra>Accès conditionnel>Emplacements nommés>Emplacements nommés supprimés (préversion).
- Sélectionnez les points de suspension (...) à l’extrême droite de l’emplacement à restaurer.
- Cliquez sur Restaurer.
- Dans la boîte de dialogue Restaurer l’emplacement nommé sélectionné ? Sélectionnez Restaurer.
Suppressions définitives
Une suppression définitive supprime définitivement un objet de votre instance Microsoft Entra. Les objets qui ne prennent pas en charge la suppression réversible sont supprimés de cette façon. Les objets supprimés de manière temporaire sont également supprimés définitivement après 30 jours. Seuls ces types d’objets prennent en charge la suppression réversible :
- Utilisateurs
- Groupes Microsoft 365
- Groupes de sécurité cloud
- Inscription de l’application
- Principal du service
- Unité administrative
- Stratégies d’accès conditionnel
- Emplacements nommés
Important
Tous les autres types d’éléments sont supprimés en dur et ne peuvent pas être restaurés. Ils doivent être recréés. Vos administrateurs et Microsoft ne peuvent pas restaurer les éléments supprimés en dur. Préparez-vous en créant des processus et une documentation pour réduire les interruptions.
Pour plus d’informations sur la préparation et la documentation des états actuels, consultez Meilleures pratiques de récupération.
Scénarios courants de suppressions définitives
Les suppressions définitives peuvent se produire dans ces circonstances :
Passage d’une suppression réversible à une suppression définitive :
- Un objet supprimé temporairement n’est pas restauré dans les 30 jours.
- Un administrateur supprime intentionnellement un objet qui se trouve à l’état de suppression réversible.
Notes
Les objets d'application ne sont pas supprimés automatiquement, même après 30 jours, lorsque la valeur « signInAudience » des applications est définie sur l'une des valeurs suivantes : « AzureADMultipleOrgs », « AzureADandPersonalMicrosoftAccount » ou « PersonalMicrosoftAccount ». Dans ce cas, les objets d’application doivent être supprimés manuellement.
Suppression directe :
- Le type de l’objet supprimé ne prend pas en charge la suppression réversible.
- Un administrateur choisit de supprimer définitivement un élément à l’aide du portail, généralement en réponse à une demande.
- Un script Automation déclenche la suppression de l’objet à l’aide de Microsoft Graph ou de PowerShell. Les scripts d’automatisation sont couramment utilisés pour nettoyer les objets obsolètes. Un processus robuste de débardage permet d’éviter les erreurs qui peuvent entraîner la suppression massive d’objets critiques.
Récupération après suppression définitive
Les éléments supprimés en dur doivent être recréés et reconfigurés. Éviter les suppressions matérielles indésirables est optimal.
Passage en revue des objets supprimés de manière réversible
Vérifiez que vous disposez d’un processus de révision régulière des éléments dans l’état de suppression réversible et restaurez-les si nécessaire. Pour préparer :
- Répertoriez régulièrement les éléments supprimés.
- Définissez des critères spécifiques pour la restauration.
- Attribuez des rôles ou des utilisateurs spécifiques pour évaluer et restaurer des éléments selon les besoins.
- Créez et testez un plan de gestion de continuité. En savoir plus sur les considérations pour votre Plan de continuité des activités d'entreprise.
Étapes suivantes
Découvrez comment éviter les suppressions indésirables dans les meilleures pratiques de récupération.