Eseguire il ripristino dalle eliminazioni
Questo articolo illustra il ripristino da eliminazioni temporanee e definitive nel tenant di Microsoft Entra. Se non è già stato fatto, leggere Procedure consigliate per la recuperabilità come informazioni di base.
Monitorare le eliminazioni
Il log di controllo di Microsoft Entra contiene informazioni su tutte le operazioni di eliminazione eseguite nel tenant. Esportare questi log in uno strumento di gestione degli eventi e informazioni di sicurezza, come ad esempio Microsoft Sentinel.
È anche possibile usare Microsoft Graph per controllare le modifiche e creare una soluzione personalizzata per monitorare le differenze nel tempo. Per ulteriori informazioni su come trovare elementi eliminati tramite Microsoft Graph, vedere Elencare gli elementi eliminati - Microsoft Graph v1.0.
Log di audit
Il log di controllo registra sempre un evento "Delete <object>", anche quando un oggetto nel tenant viene rimosso da uno stato con un'eliminazione temporanea o definitiva.
Un evento di eliminazione per applicazioni, utenti e gruppi di Microsoft 365 è un'eliminazione temporanea. Per qualsiasi altro tipo di oggetto, l'eliminazione è considerata definitiva. Tenere traccia dell'occorrenza di eventi di eliminazione definitiva confrontando gli eventi "Delete <object>" con il tipo di oggetto eliminato. Si annotino gli eventi che non supportano l'eliminazione temporanea. Si annotino anche gli eventi "Hard Delete <object>".
| Tipo oggetto | Attività nel log | Risultato |
|---|---|---|
| Applicazione | Eliminare l'applicazione | Eliminato temporaneamente |
| Applicazione | Eliminare definitivamente un'applicazione | Eliminazione definitiva |
| User | Eliminare un utente | Eliminato temporaneamente |
| User | Eliminare definitivamente un utente | Eliminazione definitiva |
| Gruppo di Microsoft 365 | Eliminare un gruppo | Eliminato temporaneamente |
| Gruppo di Microsoft 365 | Eliminare un gruppo definitivamente | Eliminazione definitiva |
| Tutti gli altri oggetti | Eliminare "objectType" | Eliminazione definitiva |
Nota
Il log di audit non distingue di che tipo è un gruppo eliminato. Solo i gruppi di Microsoft 365 vengono eliminati temporaneamente. Se visualizzi la voce Elimina gruppo, potrebbe trattarsi dell'eliminazione temporanea di un gruppo di Microsoft 365 o dell'eliminazione definitiva di un altro tipo di gruppo.
È importante che la documentazione dello stato valido noto includa il tipo di gruppo per ogni gruppo dell'organizzazione. Per ulteriori informazioni sulla documentazione dello stato valido noto, vedere Procedure consigliate per il recupero.
Monitorare i ticket di supporto
Un aumento improvviso dei ticket di supporto sull'accesso a un oggetto specifico potrebbe indicare che si è verificata un'eliminazione. Poiché alcuni oggetti hanno dipendenze, l'eliminazione di un gruppo usato per accedere a un'applicazione, un'applicazione stessa o un Criterio di accesso condizionale destinato a un'applicazione può causare un impatto improvviso generale. Se viene visualizzata una tendenza simile a questa, verificare che nessuno degli oggetti necessari per l'accesso sia stato eliminato.
Eliminazioni temporanee
Quando oggetti come utenti, gruppi di Microsoft 365 o registrazioni di applicazioni vengono eliminati temporaneamente, entrano in uno stato di sospensione in cui non sono disponibili per l'uso da parte di altri servizi. In questo stato, gli elementi mantengono le loro proprietà e possono essere ripristinati per 30 giorni. Dopo 30 giorni, gli oggetti nello stato eliminato temporaneamente vengono eliminati permanentemente o definitivamente.
Nota
Gli oggetti non possono essere ripristinati da uno stato eliminato definitivamente. Devono essere ricreati e riconfigurati.
Quando si verificano eliminazioni temporanee
È importante comprendere perché le eliminazioni di oggetti si verificano nell'ambiente affinché sia possibile prepararle. In questa sezione vengono descritti gli scenari frequenti per l'eliminazione temporanea in base alla classe dell’oggetto. È possibile che vengano visualizzati scenari univoci per l'organizzazione, quindi un processo di individuazione è fondamentale per la preparazione.
Utenti
Gli utenti immettono lo stato di eliminazione temporanea ogni volta che l'oggetto utente viene eliminato usando il portale di Azure, Microsoft Graph o PowerShell.
Gli scenari più frequenti per l'eliminazione degli utenti sono:
- Un amministratore elimina intenzionalmente un utente nel portale di Azure in risposta a una richiesta o nell’ambito della manutenzione di routine dell'utente.
- Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, si potrebbe avere uno script che rimuove gli utenti che non hanno eseguito l'accesso per un determinato periodo di tempo.
- Un utente viene spostato dall'ambito per la sincronizzazione con Microsoft Entra Connect.
- Un utente viene rimosso da un sistema HR e sottoposto a deprovisioning tramite un flusso di lavoro automatizzato.
Gruppi di Microsoft 365
Gli scenari più frequenti per i gruppi di Microsoft 365 eliminati sono:
- Un amministratore elimina intenzionalmente il gruppo, ad esempio in risposta a una richiesta di supporto.
- Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, si potrebbe avere uno script che elimina i gruppi a cui non è stato eseguito l'accesso o l'attestazione da parte del titolare del gruppo per un periodo di tempo specificato.
- Eliminazione involontaria di un gruppo di proprietà di utenti non amministratori.
Oggetti applicazione ed entità servizio
Gli scenari più frequenti per l'eliminazione dell'applicazione sono:
- Un amministratore elimina intenzionalmente l'applicazione, ad esempio in risposta a una richiesta di supporto.
- Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, potrebbe essere necessario un processo per eliminare le applicazioni abbandonate che non vengono più usate o gestite. In generale, creare un processo di offboarding per le applicazioni anziché creare script per evitare eliminazioni involontarie.
Quando si elimina un'applicazione, la registrazione dell'applicazione per impostazione predefinita entra nello stato di eliminazione temporanea. Per comprendere la relazione tra le registrazioni delle applicazioni e le entità servizio, vedere App e entità servizio in Microsoft Entra ID - Microsoft Identity Platform.
Unità amministrative
Lo scenario più comune per le eliminazioni è quando le unità amministrative (UA) vengono eliminate per errore, benché ancora necessarie.
Ripristino dall'eliminazione temporanea
È possibile ripristinare gli elementi eliminati temporaneamente nel portale di amministrazione o usando Microsoft Graph. Non tutte le classi di oggetti possono gestire le funzionalità di eliminazione temporanea nel portale, alcune sono elencate, visualizzate, eliminate o ripristinate solo usando l'API Microsoft Graph deletedItems.
Proprietà mantenute con eliminazione temporanea
| Tipo oggetto | Proprietà importanti mantenute |
|---|---|
| Utenti (inclusi gli utenti esterni) | Tutte le proprietà gestite, inclusi ObjectID, appartenenze ai gruppi, ruoli, licenze e assegnazioni di applicazioni |
| Gruppi di Microsoft 365 | Tutte le proprietà mantenute, inclusi ObjectID, appartenenze ai gruppi, licenze e assegnazioni di applicazioni |
| Registrazione dell'applicazione | Tutte le proprietà mantenute. Vedere ulteriori informazioni dopo questa tabella. |
| Entità servizio | Tutte le proprietà mantenute |
| Unità amministrativa (UA) | Tutte le proprietà mantenute |
Utenti
È possibile visualizzare gli utenti eliminati temporaneamente nel portale di Azure nella pagina Utenti | Utenti eliminati.
Per ulteriori informazioni su come ripristinare gli utenti, vedere la documentazione seguente:
- Per eseguire il ripristino dal portale di Azure, vedere Ripristinare o rimuovere permanentemente l'utente eliminato di recente.
- Per eseguire il ripristino con Microsoft Graph, vedere Ripristinare l'elemento eliminato – Microsoft Graph v1.0.
Gruppi
È possibile visualizzare i gruppi di Microsoft 365 eliminati temporaneamente nel portale di Azure nella pagina Gruppi | Gruppi eliminati.
Per altre informazioni su come ripristinare i gruppi di Microsoft 365 eliminati temporaneamente, vedere la documentazione seguente:
- Per eseguire il ripristino dal portale di Azure, vedere Ripristinare un gruppo di Microsoft 365 eliminato.
- Per eseguire il ripristino con Microsoft Graph, vedere Ripristinare l'elemento eliminato – Microsoft Graph v1.0.
Applicazioni ed entità servizio
Le applicazioni hanno due oggetti: la registrazione dell'applicazione e l'entità servizio. Per ulteriori informazioni sulle differenze tra la registrazione e l'entità servizio, vedere App e entità servizio in Microsoft Entra ID.
Per ripristinare un'applicazione dal portale di Azure, selezionare Registrazioni app>Applicazioni eliminate. Selezionare la registrazione dell'applicazione da ripristinare e poi selezionare Ripristina registrazione app.
Attualmente, le entità servizio possono essere elencate, visualizzate, eliminate definitivamente o ripristinate tramite l'API Microsoft Graph deletedItems. Per ripristinare le applicazioni con Microsoft Graph, vedere Ripristinare l'elemento eliminato - Microsoft Graph v1.0..
Unità amministrative
Le UA possono essere elencate, visualizzate o ripristinate tramite l'API Microsoft Graph deletedItems. Per ripristinare le UA con Microsoft Graph, vedere Ripristinare l'elemento eliminato - Microsoft Graph v1.0.. L’UA, una volta eliminata, rimane in uno stato di eliminazione temporanea e può essere ripristinata per 30 giorni, ma non può essere eliminata definitivamente durante tale periodo. Le UA eliminate temporaneamente vengono eliminate automaticamente dopo 30 giorni.
Eliminazioni hard
Un'eliminazione definitiva è la rimozione permanente di un oggetto dal tenant di Microsoft Entra. Gli oggetti che non supportano l'eliminazione temporanea vengono rimossi in questo modo. Analogamente, gli oggetti eliminati temporaneamente vengono eliminati definitivamente dopo un periodo di eliminazione di 30 giorni. Gli unici tipi di oggetto che supportano un'eliminazione temporanea sono:
- Utenti
- Gruppi di Microsoft 365
- Registrazione dell'applicazione
- Entità servizio
- Unità amministrativa
Importante
Tutti gli altri tipi di elementi vengono eliminati definitivamente. Quando un elemento viene eliminato definitivamente, non può essere ripristinato. È necessario ricrearlo. Né gli amministratori né Microsoft possono ripristinare elementi eliminati definitivamente. Prepararsi per questa situazione accertandosi di disporre di processi e documentazione per ridurre al minimo le potenziali interruzioni di un'eliminazione temporanea.
Per informazioni su come preparare e documentare gli stati correnti, vedere Procedure consigliate per la recuperabilità.
Quando si verificano in genere eliminazioni definitive
Le eliminazioni definitive possono verificarsi nelle circostanze seguenti.
Passaggio dall'eliminazione temporanea all'eliminazione definitiva:
- Un oggetto eliminato temporaneamente non è stato ripristinato entro 30 giorni.
- Un amministratore elimina intenzionalmente un oggetto nello stato di eliminazione temporanea.
Eliminazione definitiva diretta:
- Il tipo di oggetto eliminato non supporta l'eliminazione temporanea.
- Un amministratore sceglie di eliminare definitivamente un elemento usando il portale, cosa che in genere si verifica in risposta a una richiesta.
- Uno script di automazione attiva l'eliminazione dell'oggetto tramite Microsoft Graph o PowerShell. L'uso di uno script di automazione per pulire gli oggetti non aggiornati non è insolito. Un processo di off-boarding affidabile per gli oggetti nel tenant ti consente di evitare errori che potrebbero comportare l'eliminazione in blocco di oggetti critici.
Ripristino dall'eliminazione definitiva
Gli elementi eliminati definitivamente devono essere ricreati e riconfigurati. È consigliabile evitare eliminazioni temporanee indesiderate.
Esaminare gli oggetti eliminati temporaneamente
Accertarsi di disporre di un processo per esaminare frequentemente gli elementi nello stato di eliminazione temporanea e ripristinarli, se del caso. A tale scopo, è necessario:
- Elenco elementi eliminati di frequente.
- Accertarsi di disporre di criteri specifici per gli elementi da ripristinare.
- Accertarsi di disporre di ruoli o di utenti specifici assegnati per valutare e ripristinare gli elementi in base alle esigenze.
- Sviluppare e testare un piano di gestione della continuità. Per ulteriori informazioni, vedere Considerazioni per il piano di gestione della continuità aziendale.
Per ulteriori informazioni su come evitare eliminazioni indesiderate, vedere gli articoli seguenti in Procedure consigliate per la recuperabilità:
- Continuità aziendale e pianificatore di emergenza
- Documentare gli stati validi noti
- Monitoraggio e conservazione dei dati