Azure Backup には、バックアップ データが削除された後でも回復できるように、セキュア バイ デフォルト機能とソフト デリートを利用できます。 この機能は、次の場合に役立ちます。
- バックアップ データを誤って削除し、元に戻す必要があります。
- ランサムウェアまたは悪意のあるアクターがバックアップ データを悪意を持って削除しました。
Azure Backup の「セキュア・バイ・デフォルト」保証の一環として、ソフト削除が既定で強制適用されるようになりました。 これは、偶発的または悪意のある削除からの確実な回復を提供します。 この既定の適用は、現在、Recovery Services ボールトのすべてのパブリック リージョンでプレビュー中です。
サポートされるシナリオ
- 論理的な削除が既定で適用されたので、Azure portal から論理的な削除の状態を変更できなくなります。 この強制により、偶発的または悪意のある削除からの信頼性の高い回復が保証されます。
- デフォルトでセキュアな設定により、ソフト削除はボールトレベルでも適用されます。 ボールトが削除されると、自動的にソフト削除された状態に遷移します。 その後、必要に応じてボールトを復旧できます。
サポートされているリージョン
デフォルトのセキュリティとしてのソフト削除は、次のリージョンで利用可能です。
| ボールトの種類 | 可用性の種類 | リージョン |
|---|---|---|
| Recovery Services コンテナー | 一般公開 | 米国中西部 |
| Recovery Services コンテナー | Preview | 残りの Azure パブリック リージョンすべて |
| バックアップ保管庫 | Preview | オーストラリア東部、米国中西部、東アジア |
バックアップ ボールトの場合、オーストラリア東部、米国中西部、東アジア以外のリージョンでは、Azure ポータルからのソフト削除を無効にすることもできます。
論理的な削除とは?
論理的な削除では、バックアップ データとコンテナーの完全な削除 (コンテナーのプレビュー段階) が遅れ、削除後にデータを回復する機会が与えられます。 この削除されたデータは、指定された論理的な削除の保持期間にわたって保持されます。 既定では、保持期間は 14 日間です。 最大 180 日まで延長できます。
データが削除された後、すなわちデータがソフト削除された状態である場合は、復元できます。 このアクションは、データを保持したまま停止保護の状態に戻します。 その後、データを使用して他の復元操作を実行することも、このインスタンスのバックアップを再開することもできます。
次の図は、削除されたバックアップ項目 (またはバックアップ インスタンス) のフローを示しています。
論理的な削除の主な利点は次のとおりです。
既定でセキュリティ保護: 回復ポイント、バックアップ項目、ボールトに対して論理的な削除が自動的に有効になります。 オンボーディングされたすべてのリージョンで、1 つの強制状態で動作します。 この強制状態により、どのような状況でも論理的な削除を無効にする必要がなくなります。 新しく作成されたすべてのボールトでは、保護を強化し、既定で優れたセキュリティ レベルを適用するために、ソフト削除が完全に有効になっています。
Note
Recovery Services コンテナーと Backup コンテナーでデフォルトでセキュアな保証がプレビューまたは一般提供(GA)されているリージョンでは、ソフト削除を無効にすることはできません。
データの回復可能性: Azure Backup では、既定で最大 14 日間、追加コストなしでデータを回復できます。 バックアップ データのセキュリティで保護された既定の状態を構成するためのアクションを実行する必要はありません。
セキュリティ体制の強化: ソフト削除を使用してデフォルトでセキュリティが有効となっているリージョンでは、Recovery Services ボルトはすべてランサムウェア攻撃に対する組み込み保護の恩恵を受けます。 その結果、GA リージョン内のすべてのバックアップ項目とボールトのセキュリティ レベルは 良好なセキュリティ レベルに昇格されます。
構成可能なソフト削除のリテンション期間: 削除されたバックアップ データがソフト削除された状態を維持するためのリテンション期間を指定できます。 期間の範囲は 14 ~ 180 日です。 既定では、ボルトの保持期間は 14 日に設定されます。 必要に応じて拡張できます。
14 日間の追加コストは発生しません。 ただし、14 日を超える期間は課金されます。
ボールトのソフト削除: ソフト削除されたアイテムを含むボールトをソフト削除状態に移行できます。 必要に応じて、構成された保持期間内にソフト削除されたボールトを回復できます。 また、保有期間中は、論理的に削除されたコンテナーと同じリソース グループ内に同じ名前の新しい Recovery Services コンテナーまたは Backup コンテナーを作成できます。
論理的に削除されたバックアップ項目の再構成: 選択した別のコンテナーを使用して、論理的に削除された状態の項目のバックアップを構成できます。 詳細については、こちらを参照してください。
バックアップ コンテナーの論理的な削除と再登録: コンテナー内のすべてのバックアップ項目を削除した場合は、バックアップ コンテナーの登録を解除できます (論理的に削除できます)。 その後、そのようにソフト削除されたコンテナーを他のボールトに登録できます。 この機能は、サポートされているワークロード (Azure Virtual Machines 上の SQL Server のバックアップ、Azure Virtual Machines 上の SAP HANA、オンプレミス サーバーなど) にのみ適用されます。
Note
Microsoft Azure Recovery Services (MARS)、System Center Data Protection Manager、または Microsoft Azure Backup Server (MABS) を使用してハイブリッド バックアップの登録を解除するには、論理的な削除を無効にする必要はありません。 バックアップ データは論理的に削除された状態に移行し、保持期間が経過すると完全に削除されます。
ワークロード間の論理的な削除: 論理的な削除は、コンテナー化されたすべてのデータ ソースに適用され、Recovery Services コンテナーとバックアップ コンテナーでサポートされます。 論理的な削除は、即時復元に使用されるディスクと仮想マシン (VM) バックアップ スナップショットの運用バックアップにも適用されます。 ただし、コンテナー化されたバックアップとは異なり、論理的な削除期間が経過する前に、これらのスナップショットに直接アクセスして削除できます。 論理的な削除は、BLOB と Azure Files 共有の運用バックアップでは現在サポートされていません。
復旧ポイントの論理的な削除: バックアップ ポリシーの変更またはバックアップ項目に関連付けられているバックアップ ポリシーの変更の一環として削除した復旧ポイントからデータを回復できます。 SQL Server および SAP HANA ワークロードのログ復旧ポイントでは、復旧ポイントの論理的な削除はサポートされていません。
コンテナーの論理的な削除
Azure portal を使用して、ソフト削除された項目を含む Recovery Services ボールトまたは Backup ボールトの削除を開始すると、ボールトは完全に削除されるのではなく、自動的にソフト削除の状態に移行します。 論理的に削除されたコンテナーは、構成された保持期間内に復元することで復旧できます。
リテンション期間中は、ソフト削除された保管庫と同じリソース グループ内に、同じ名前の新しい保管庫を作成することもできます。 Azure Backup では、1 つのリソース グループ内で同じ名前の論理的に削除された複数のコンテナーを使用できます。これは、名前付けの制約はアクティブなコンテナーにのみ適用されるためです。
リカバリー サービスの保管庫の場合は、保管庫の削除を開始する前に、次の手順に従う必要があります。
- バックアップを停止し、保護されているすべての項目を論理的に削除します。
- サーバーとストレージ アカウントの関連付けをクリーンアップします。
- Azure Site Recovery のレプリケートされた項目のレプリケーションを無効にします。
- Site Recovery のレプリケートされたアイテムに関連する依存関係をクリーンアップします。
- プライベート エンドポイント接続を削除します。
バックアップ ボールトの場合は、ボールトの削除を開始する前に、バックアップを停止し、保護されているすべての項目をソフト削除する必要があります。
Note
Azure Backup では、バックアップ項目が既に論理的に削除された状態にある場合、バックアップ項目を同じコンテナーに再構成することはできません。 ただし、別のコンテナー内の項目を保護したり、Recovery Services コンテナーの同じコンテナー内のバックアップを復元および再開したりできます。
復旧ポイントの論理的な削除
復旧ポイントの論理的な削除は、1 つ以上の復旧ポイントの削除につながる可能性のある一部の操作で、誤ってまたは悪意を持って削除された復旧ポイントを復旧するのに役立ちます。 たとえば、次のアクティビティにより、特定の復旧ポイントが失われる可能性があります。
- バックアップアイテムに関連付けられているバックアップ ポリシーを変更してバックアップの保持期間を短縮する
- 保持期間が低いバックアップ済みアイテムに新しいポリシーを割り当てる
この機能は、ボールトに指定したソフト削除の保持ポリシーに従って、これらの復旧ポイントを追加期間保存するのに役立ちます。 影響を受ける復旧ポイントは、この期間中にソフト削除済みとして表示されます。
バックアップ ポリシーのリテンション期間を増やすことで、復旧ポイントを復元できます。 回復ポイントを復元しない場合は、ソフト削除された状態からデータを復元することもできます。
SQL Server および SAP HANA ワークロードのログ復旧ポイントでは、復旧ポイントの論理的な削除はサポートされていません。
論理的な削除のリテンション期間
ソフト削除のリテンション期間は、ソフト削除状態にある削除済みアイテムの保持期間(日数)です。 保持期間が経過すると (削除日から)、アイテムは完全に削除され、復元できません。
保持期間の選択肢として、ソフト削除は14日から180日まで設定できます。 期間が長いほど、特定に時間がかかる可能性がある脅威 (高度な永続的な脅威など) からデータを回復するのに役立ちます。
既定では、ソフト削除の保持期間は14日間に設定されています。 いつでも変更できます。 ただし、削除時にアクティブなソフトデリートの保持期間が、ソフトデリートされた状態でのアイテムの保持を管理します。
14日間のソフト削除の保持には、コストはかかりません。 通常のバックアップ料金は、追加の保有日数に適用されます。
関連付けられているボールトもソフト削除された場合、ソフト削除された運用バックアップは、リテンション期間後に自動的にクリーンアップされません。 これらの論理的に削除された操作バックアップは、手動で削除する必要があります。
価格
コンテナー化されたバックアップの既定の論理的な削除期間が 14 日間の場合、保持コストは発生しません。 その後、ソフト削除では通常のバックアップ料金が発生します。 論理的な削除のリテンション期間が 14 日を超える場合、既定の期間は、論理的な削除で構成された連続リテンション期間の最後の 14 日間に適用され、バックアップは完全に削除されます。
たとえば、ソフト削除の保持期間が 60 日であるボールト内のあるインスタンスのバックアップを削除したとします。 削除から 52 日過ぎた後にソフト削除されたデータを回復する場合:
標準料金は、最初の 46 日間 (構成された論理的な削除の保持期間の 60 日間、既定の論理的な削除の保持期間から 14 日間を差し引いた期間) に適用されます。 同様のレートは、インスタンスがデータの保持状態で 保護を停止 している場合に適用されます。
最後の6日間のソフト削除リテンション期間に対する料金は発生しません。
ただし、上記の課金ルールは、ディスクと VM バックアップ スナップショットの論理的に削除された運用バックアップには適用されません。 課金は、リソースのコストに従って続行されます。
論理的に削除されたバックアップ項目を復元すると、再びアクティブになります。 その後、標準の価格料金が適用されます。
ソフト削除に関する API の考慮事項
既定では、Recovery Services ボールトとバックアップ ボールトの両方において、プレビュー中の最新の API バージョンでソフト削除が有効になっているデフォルトでセキュアです。 Recovery Services コンテナーの GA では、既定でセキュリティで保護された動作が すべての API バージョンに適用されます。
Note
プレビュー リージョンでは、古い API バージョンを引き続き使用して、必要に応じて論理的な削除とバックアップ項目の削除をすぐに無効にすることができます。
次のセクションでは、プレビューと GA の種類のシナリオ全体での API の動作について説明します。
保護された項目の削除アクション
次の表は、論理的な削除の構成の状態に基づいて、さまざまなクライアントでの 保護された項目 の削除アクションの動作の概要を示しています。
| Client | 論理的な削除が有効になっているか、常にオンになっている | ソフト削除が無効になっている |
|---|---|---|
| Azure portal | バックアップ項目はソフト デリート状態に移行します。 | バックアップ項目はソフト デリート状態に移行します。 |
| Azure PowerShell | バックアップ項目はソフト デリート状態に移行します。 | Azure PowerShell モジュール バージョン 7.5.0 以降の場合、Recovery Services コンテナー内のバックアップ項目は論理的に削除された状態に移行します。 以前のバージョンでは、バックアップ項目はすぐに削除されます。 バックアップボールトのアクションは、モジュールのバージョンに依存しません。 |
| Azure CLI | バックアップ項目はソフト デリート状態に移行します。 | Azure CLI バージョン 2.75.0 以降の場合、Recovery Services コンテナー内のバックアップ項目は論理的に削除された状態に移行します。 以前のバージョンでは、バックアップ項目はすぐに削除されます。 バックアップボールトのアクションは、モジュールのバージョンに依存しません。 |
| REST API | バックアップ項目はソフト デリート状態に移行します。 | Recovery Services コンテナーでは、API バージョン 2024-09-30-preview 以降では、バックアップ項目は論理的に削除された状態に移行します。 バックアップボールトでは、API バージョン 2025-09-01 以降、バックアップ項目がソフト削除状態に移行します。 以前のバージョンの API では、バックアップ項目はすぐに削除されます。 |
ボールト削除アクション
次の表は、ソフト削除構成の状態に基づいて、クライアント間でのVault削除アクションの動作の概要を示しています。
| Client | ソフト削除が有効、常に有効、または無効 |
|---|---|
| Azure portal | ボールトが空である場合、または論理的に削除されたバックアップ項目またはコンテナーのみが含まれている場合、ボールトの論理削除が許可されます。 |
| Azure PowerShell | Azure PowerShell モジュール バージョン 7.5.0 以降では、Recovery Services コンテナーが空であるか、論理的に削除されたバックアップ項目またはコンテナーのみが含まれている場合、Recovery Services コンテナーの論理的な削除が許可されます。 以前のバージョンでは、コンテナーの削除は、コンテナーが完全に空の場合にのみ許可されます。 バックアップボールトのアクションは、モジュールのバージョンに依存しません。 |
| Azure CLI | Azure CLI バージョン 2.75.0 以降では、コンテナーが空であるか、論理的に削除されたバックアップ項目またはコンテナーのみが含まれている場合、Recovery Services コンテナーの論理的な削除が許可されます。 以前のバージョンでは、コンテナーの削除は、コンテナーが完全に空の場合にのみ許可されます。 バックアップボールトのアクションは、モジュールのバージョンに依存しません。 |
| REST API | Recovery Services コンテナーでは、API バージョン 2024-09-30-preview 以降では、コンテナーが空であるか、論理的に削除されたバックアップ項目またはコンテナーのみが含まれている場合、コンテナーの論理的な削除が許可されます。 バックアップ コンテナーでは、API バージョン 2025-09-01 以降では、コンテナーが空であるか、論理的に削除されたバックアップ項目またはコンテナーのみが含まれている場合、コンテナーの論理的な削除が許可されます。 以前のバージョンの API では、コンテナーが完全に空の場合にのみ、コンテナーの削除が許可されます。 |
ソフト削除アクションを無効にする
次の表では、さまざまなクライアントと API バージョンでの 論理的な削除の無効化 アクションの動作について説明します。
| Client | 行動 |
|---|---|
| Azure portal | 許可されていません。 |
| Azure PowerShell | Recovery Services コンテナーの Azure PowerShell モジュール バージョン 7.5.0 以降では使用できません。 以前のバージョンで許可されています。 バックアップボールトのアクションは、モジュールのバージョンに依存しません。 |
| Azure CLI | Recovery Services コンテナーでは、Azure CLI バージョン 2.75.0 以降では使用できません。 以前のバージョンで許可されています。 バックアップボールトのアクションは、モジュールのバージョンに依存しません。 |
| REST API | Recovery Services ボールトの API バージョン 2024-09-30-preview 以降では許可されていません。 Backup コンテナー内の API バージョン 2025-09-01 以降では使用できません。 以前のバージョンの API で使用できます。 |