Important
Microsoft Entra のバックアップと回復は現在プレビュー段階です。 ベータ版、プレビュー版、または他の方法で一般公開されていない Azure の機能に適用される法的条件については、Microsoft Azure プレビューの追加利用規約を参照してください。
Microsoft Entra Backup and Recovery では、テナント オブジェクトの種類の定義済みセットと、それらのオブジェクトで選択されたプロパティの復旧がサポートされています。
注
サポートされているオブジェクトとプロパティのセットは、時間の経過と同時に拡張されます。 回復は、この記事に記載されているサポートされているプロパティにのみ適用され、オブジェクトの完全なロールバックを意味するものではありません。
User
ユーザー オブジェクトの回復では、次のプロパティがサポートされます。
AccountEnabledAgeGroupCityCompanyNameConsentProvidedForMinorCountryDepartmentDisplayNameEmployeeHireDateEmployeeIdEmployeeLeaveDateEmployeeOrgDataEmployeeTypeFaxNumberGivenNameJobTitleMailMailNicknameMobileOtherMailPasswordPoliciesPerUserMfaStatePhysicalDeliveryOfficeNamePostalCodePreferredDataLocationPreferredLanguageStateStreetAddressSurnameTelephoneNumberUsageLocationUserPrincipalNameUserType
注
マネージャーとスポンサーの変更はスコープ内にありません。
参照については、 Microsoft Graph ユーザー リソースの種類のユーザー プロパティの完全なセットを表示します。
グループ
グループ オブジェクトの回復では、次のプロパティがサポートされます。
ClassificationDescriptionDisplayNameGroupTypeIsPublicMailMailEnabledMailNicknamePreferredDataLocationPreferredLanguageSecurityEnabledTheme
注
グループの所有権の変更はスコープ内にありません。 動的グループは復旧中に復元または論理的に削除できますが、動的グループ ルールの変更はスコープ内にありません。
参照については、 Microsoft Graph グループ リソースの種類のグループ プロパティの完全なセットを表示します。
条件付きアクセス ポリシー
条件付きアクセス ポリシーのすべてのプロパティがスコープ内にあります。 Microsoft Graph conditionalAccessPolicy リソースの種類ですべての条件付きアクセス ポリシー プロパティを表示します。
名前付き場所ポリシー
名前付き場所ポリシーのすべてのプロパティが対象範囲内にあります。 Microsoft Graph の namedLocation リソース タイプですべての名前付きロケーション ポリシー プロパティを表示します。
認可ポリシー
承認ポリシー オブジェクトの回復では、次のプロパティがサポートされます。
blockMsolPowerShellguestUserRoleId
ゲスト ユーザー ロール ID とゲスト ユーザーのアクセス許可レベルのマッピングを次に示します。
| 権限レベル | 説明 | ロール ID |
|---|---|---|
| メンバーユーザー | ゲスト ユーザーはメンバーと同じアクセス権を持ちます | a0b1b346-4d3e-4e8b-98f8-753987be4970 |
| ゲスト ユーザー | ゲスト ユーザーは、ディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスが制限されています | 10dae51f-b6af-4016-8d66-8c2a99b929b3 |
| 制限されたゲストユーザー | ゲスト ユーザー アクセスは、独自のディレクトリ オブジェクトのプロパティとメンバーシップに制限されます | 2af84b1e-32c8-42b7-82bc-daa82404023b |
リファレンスについては、 Microsoft Graph authorizationPolicy リソースの種類の承認ポリシー プロパティの完全なセットを表示します。
認証方法ポリシー
回復では、次の認証方法ポリシーがサポートされています。
- 電子メール ワンタイム パスワード (OTP)
- FIDO2 パスキー
- Authenticator アプリ
- 音声通話
- SMS
- サード パーティ製ソフトウェア OATH
- 一時アクセス パス
- 証明書ベースの認証
リファレンスについては、 Microsoft Graph authenticationMethodConfiguration リソースの種類の認証方法ポリシー プロパティの完全なセットを表示します。
アプリケーション
アプリケーション オブジェクトの回復では、次のプロパティがサポートされます。
DisplayNameDescriptionNotesApplicationTagAppIdentifierUriAppCreatedDateTimePublicClientPublisherDomainIsDeviceOnlyAuthSupportedServiceManagementReferenceRequiredResourceAccessNativeAuthenticationApisEnabledSignInAudienceGroupMembershipClaimsOptionalClaimsIsDisabledAddInsServicePrincipalLockConfigurationAppInformationalUrl
参考までに、 Microsoft Graph アプリケーション リソースの種類のアプリケーション プロパティの完全なセットを表示します。
サービス プリンシパル
サービス プリンシパル オブジェクトの復旧では、次のプロパティがサポートされます。
AccountEnabledAlternativeNamesExplicitAccessGrantRequiredDescriptionLoginUrlNotesNotificationEmailAddressesPreferredTokenSigningKeyThumbprintServicePrincipalTagServicePrincipalTypePreferredSingleSignOnModePublisherNameSamlSingleSignOnSettingsServicePrincipalName
参考までに、 Microsoft Graph servicePrincipal リソースの種類のサービス プリンシパル プロパティの完全なセットを表示します。
サービス プリンシパルの回復は、関連するアクセス許可の基盤です。 サービス プリンシパルが復旧されると、Microsoft Entra のバックアップと回復も復元されます。
- OAuth2 アクセス許可は、回復されたサービス プリンシパルがターゲット オブジェクトである場所を許可します
- 復旧されたサービス プリンシパルがターゲット オブジェクトであるアプリ ロールの割り当て
OAuth2 (委任された) アクセス許可の付与
OAuth2 アクセス許可付与は、アプリケーションのサービス プリンシパルに付与された委任されたアクセス許可を表します。 管理者は、ユーザーがアプリケーションの API へのアクセス要求に同意した場合に委任されたアクセス許可付与を作成できます。または、管理者はすべてのユーザーに代わってアクセス許可を付与できます。 管理者がすべてのユーザーに代わって作成するアクセス許可が対象範囲に含まれます。 これらのアクセス許可付与は、 consentType = AllPrincipals と principalId = nullで識別できます。
ユーザーの同意の結果として作成されたアクセス許可許可はサポートされていません。 Microsoft Graph oauth2PermissionGrant リソースの種類で OAuth2 (委任された) アクセス許可付与プロパティを表示します。
OAuth2 アクセス許可付与は個別に復旧されません。 レポートと回復のスコープの違いについては、サービス プリンシパル、OAuth2 アクセス許可付与、アプリ ロールの割り当ては、Microsoft Entra 管理センターの 1 つのフィルターの下にグループ化されます。
アプリ ロールの割り当て
アプリ ロールの割り当ては、ユーザー、グループ、またはサービス プリンシパルにアプリのアプリ ロールが割り当てられたときに記録されます。 アプリ ロールの割り当てのすべてのプロパティがスコープ内にあります。 Microsoft Graph appRoleAssignment リソースの種類ですべてのアプリロールの割り当ての詳細とプロパティを表示します。
アプリ ロールの割り当ては個別に回復されません。 レポートと回復のスコープの違いについては、サービス プリンシパル、OAuth2 アクセス許可付与、アプリ ロールの割り当ては、Microsoft Entra 管理センターの 1 つのフィルターの下にグループ化されます。
組織
組織オブジェクトの回復では、次のプロパティがサポートされます。
テナント レベルのユーザーごとの多要素認証 (MFA) 設定:
StrongAuthenticationDetailsavailableMFAMethods
IsApplicationPasswordBlocked
IsRememberDevicesEnabled
rememberDevicesDurationInDays
StrongAuthenticationPolicyenabled
ipAllowList
制限事項
Microsoft Entra のバックアップと回復を使用する場合は、次の制限事項を考慮してください。
ジョブの完了時間
差分レポートと回復の完了時間は、データの読み込みと処理によって異なります。
差分レポートまたは復旧を使用してバックアップに初めてアクセスすると、復旧サービスによってバックアップ データが読み込まれます。 この読み込みには、小規模なテナントでも一定の時間がかかります。 このサービスでは、同じバックアップを参照する操作間で読み込まれたデータが再利用されるため、後続の操作は高速に完了します。 復旧前に差分レポートを作成すると、データを事前に読み込むことで復旧時間を短縮できます。
データの読み込みが完了すると、操作は処理に移ります。 差分レポートでは、処理によってバックアップと現在のテナントの間の変更が識別されます。 復旧の場合、バックアップ状態を復元するために必要な変更が処理によって適用されます。 処理時間は、オブジェクトの数、操作のスコープ、および関係する変更の数によって異なります。
ハード削除されたオブジェクト
Microsoft Entra のバックアップと回復では、ハード削除されたオブジェクトの回復または再作成はサポートされていません。 復元できるのは、ソフト削除されたオブジェクトまたは変更済みのオブジェクトのみです。
オンプレミスの Active Directory Domain Services で管理されるオブジェクト
オンプレミス同期オブジェクト (グループ メンバーシップを除く) に加えられた変更は、差分レポートに表示されますが、回復からは自動的に除外されます。 Microsoft Entra ID でハイブリッド ID を使用する組織では、差分レポートを使用して、オンプレミスから同期されたオブジェクトに対する変更を識別できます。 ユーザーやグループなど、特定の種類のオブジェクトについては、権限のソースをオンプレミスからクラウドに移動できます。 変換後、これらのオブジェクトに対してすべてのバックアップと回復機能を使用できます。 別のソリューションを使用して、オンプレミスで管理されているオブジェクトをバックアップおよび回復します。
バックアップの作成後にユーザーまたはグループがクラウド管理に変換された場合、そのバックアップから復旧しても、権限のソースはオンプレミスの Active Directory に戻りません。 サポートされているその他の変更された属性が復旧されます。
より広範な回復可能性
Microsoft Entra のバックアップと回復は、組織の回復力を高めるのに役立つ回復性に対するより広範なアプローチの一部として使用する必要があります。 悪意のある偶発的なディレクトリ データ損失のリスクを軽減するには、 Microsoft Entra ID の回復可能性のベスト プラクティスに従ってください。 これらのプラクティスは次のとおりです。
- 予防的な運用セキュリティ対策の確立
- Microsoft Graph API を使用して既知の良好な状態を定期的に文書化する
- 削除と構成の誤りから回復するためのプロセスの準備