Delen via


Herstellen na verwijderingen

In dit artikel wordt beschreven hoe u herstelt van zachte en harde verwijderingen in uw Microsoft Entra-tenant. Als u dit nog niet hebt gedaan, leest u best practices voor herstelbaarheid voor basiskennis.

Controleren op verwijderingen

Het Auditlogboek van Microsoft Entra bevat informatie over alle verwijderingsbewerkingen die in uw tenant worden uitgevoerd. Exporteer deze logboeken naar een hulpprogramma voor beveiligingsgegevens en gebeurtenisbeheer, zoals Microsoft Sentinel.

U kunt Microsoft Graph ook gebruiken om wijzigingen te controleren en een aangepaste oplossing te bouwen om verschillen in de loop van de tijd te bewaken. Zie Verwijderde items weergeven - Microsoft Graph v1.0 voor meer informatie over het vinden van verwijderde items met Behulp van Microsoft Graph.

Auditlogboek

In het auditlogboek wordt altijd een gebeurtenis 'Object> verwijderen<' vastgelegd wanneer een object in de tenant wordt verwijderd uit een actieve status door een zachte of harde verwijdering.

Schermopname van een auditlogboek met verwijderingen.

Een verwijder gebeurtenis voor toepassingen, gebruikers en Microsoft 365 Groepen is een voorlopig verwijderen. Voor elk ander objecttype is het een harde verwijdering. Houd het optreden van hard-delete-gebeurtenissen bij door gebeurtenissen 'Object> verwijderen<' te vergelijken met het type object dat is verwijderd. Let op de gebeurtenissen die geen ondersteuning bieden voor voorlopig verwijderen. Let ook op de gebeurtenissen 'Object hard verwijderen<>'.

Object type Activiteiten in logboek Resultaat
Toepassing Toepassing verwijderen Voorlopig verwijderd
Toepassing Toepassing voor hard verwijderen Hard verwijderd
User Gebruiker verwijderen Voorlopig verwijderd
User Gebruiker hard verwijderen Hard verwijderd
Microsoft 365-groep Groep verwijderen Voorlopig verwijderd
Microsoft 365-groep Groep voor hard verwijderen Hard verwijderd
Alle andere objecten ObjectType verwijderen Hard verwijderd

Notitie

In het auditlogboek wordt het groepstype van een verwijderde groep niet onderscheiden. Alleen Microsoft 365 Groepen worden voorlopig verwijderd. Als u een groep verwijderen ziet, is het mogelijk de voorlopig verwijderen van een Microsoft 365-groep of het harde verwijderen van een ander type groep.

Het is belangrijk dat uw documentatie van uw bekende goede status het groepstype voor elke groep in uw organisatie bevat. Zie best practices voor herstelbaarheid voor meer informatie over het documenteren van uw bekende goede status.

Ondersteuningstickets bewaken

Een plotselinge toename van ondersteuningstickets over toegang tot een specifiek object kan erop wijzen dat er een verwijdering is opgetreden. Omdat sommige objecten afhankelijkheden hebben, kan het verwijderen van een groep die wordt gebruikt voor toegang tot een toepassing, een toepassing zelf of een beleid voor voorwaardelijke toegang dat gericht is op een toepassing, een grote plotselinge impact veroorzaken. Als u een dergelijke trend ziet, controleert u of geen van de objecten die zijn vereist voor toegang, zijn verwijderd.

Voorlopig verwijderen

Wanneer objecten zoals gebruikers, Microsoft 365 Groepen of toepassingsregistraties voorlopig worden verwijderd, voeren ze een onderbroken status in waarin ze niet beschikbaar zijn voor gebruik door andere services. In deze status behouden items hun eigenschappen en kunnen ze 30 dagen worden hersteld. Na 30 dagen worden objecten met de status Voorlopig verwijderd definitief of definitief verwijderd.

Notitie

Objecten kunnen niet worden hersteld vanuit een definitief verwijderde status. Ze moeten opnieuw worden gemaakt en opnieuw worden geconfigureerd.

Wanneer voorlopig verwijderen plaatsvindt

Het is belangrijk om te begrijpen waarom objectverwijderingen plaatsvinden in uw omgeving, zodat u deze kunt voorbereiden. In deze sectie vindt u een overzicht van veelvoorkomende scenario's voor voorlopig verwijderen per objectklasse. Mogelijk ziet u scenario's die uniek zijn voor uw organisatie, dus een detectieproces is essentieel voor de voorbereiding.

Gebruikers

Gebruikers voeren de status voorlopig verwijderen in wanneer het gebruikersobject wordt verwijderd met behulp van Azure Portal, Microsoft Graph of PowerShell.

De meest voorkomende scenario's voor het verwijderen van gebruikers zijn:

  • Een beheerder verwijdert opzettelijk een gebruiker in Azure Portal als reactie op een aanvraag of als onderdeel van routinegebruikersonderhoud.
  • Een automatiseringsscript in Microsoft Graph of PowerShell activeert de verwijdering. U hebt bijvoorbeeld een script waarmee gebruikers worden verwijderd die zich niet hebben aangemeld voor een opgegeven tijd.
  • Een gebruiker wordt buiten het bereik voor synchronisatie met Microsoft Entra Connect verplaatst.
  • Een gebruiker wordt verwijderd uit een HR-systeem en wordt de inrichting ongedaan gemaakt via een geautomatiseerde werkstroom.

Microsoft 365 Groups

De meest voorkomende scenario's voor het verwijderen van Microsoft 365 Groepen zijn:

  • Een beheerder verwijdert de groep opzettelijk, bijvoorbeeld als reactie op een ondersteuningsaanvraag.
  • Een automatiseringsscript in Microsoft Graph of PowerShell activeert de verwijdering. U hebt bijvoorbeeld een script waarmee groepen worden verwijderd die niet zijn geopend of waarop de groepseigenaar een opgegeven tijd heeft getest.
  • Onbedoeld verwijderen van een groep die eigendom is van niet-beheerders.

Toepassingsobjecten en service-principals

De meest voorkomende scenario's voor het verwijderen van toepassingen zijn:

  • Een beheerder verwijdert de toepassing opzettelijk, bijvoorbeeld als reactie op een ondersteuningsaanvraag.
  • Een automatiseringsscript in Microsoft Graph of PowerShell activeert de verwijdering. U wilt bijvoorbeeld een proces voor het verwijderen van verlaten toepassingen die niet meer worden gebruikt of beheerd. In het algemeen maakt u een offboarding-proces voor toepassingen in plaats van scripts om onbedoelde verwijderingen te voorkomen.

Wanneer u een toepassing verwijdert, voert de registratie van de toepassing standaard de status voorlopig verwijderen in. Zie Apps en service-principals in Microsoft Entra ID - Microsoft Identity Platform voor meer informatie over de relatie tussen toepassingsregistraties en service-principals.

Beheereenheden

Het meest voorkomende scenario voor verwijderingen is wanneer beheereenheden (AU) per ongeluk worden verwijderd, hoewel dit nog steeds nodig is.

Herstellen na voorlopig verwijderen

U kunt voorlopig verwijderde items herstellen in de beheerportal of met behulp van Microsoft Graph. Niet alle objectklassen kunnen mogelijkheden voor voorlopig verwijderen beheren in de portal, sommige worden alleen weergegeven, bekeken, definitief verwijderd of hersteld met behulp van de Microsoft Graph API van deletedItems.

Eigenschappen die worden onderhouden met voorlopig verwijderen

Object type Belangrijke eigenschappen die worden onderhouden
Gebruikers (inclusief externe gebruikers) Alle eigenschappen die worden onderhouden, waaronder ObjectID, groepslidmaatschappen, rollen, licenties en toepassingstoewijzingen
Microsoft 365 Groups Alle eigenschappen die worden onderhouden, waaronder ObjectID, groepslidmaatschappen, licenties en toepassingstoewijzingen
Toepassingsregistratie Alle eigenschappen worden onderhouden. Zie meer informatie na deze tabel.
Service-principal Alle eigenschappen die worden onderhouden
Administratieve eenheid (AU) Alle eigenschappen die worden onderhouden

Gebruikers

U kunt voorlopig verwijderde gebruikers zien in Azure Portal op de gebruikers | Pagina Verwijderde gebruikers .

Raadpleeg de volgende documentatie voor meer informatie over het herstellen van gebruikers:

Groepen

U kunt voorlopig verwijderde Microsoft 365 Groepen zien in Azure Portal op de groepen | Pagina Verwijderde groepen.

Schermopname van het herstellen van groepen in Azure Portal.

Zie de volgende documentatie voor meer informatie over het herstellen van voorlopig verwijderde Microsoft 365 Groepen:

Toepassingen en service-principals

Toepassingen hebben twee objecten: de registratie van de toepassing en de service-principal. Zie Apps en service-principals in Microsoft Entra ID voor meer informatie over de verschillen tussen de registratie en de service-principal.

Als u een toepassing wilt herstellen vanuit Azure Portal, selecteert u App-registraties> Deleted toepassingen. Selecteer de toepassingsregistratie die u wilt herstellen en selecteer vervolgens App-registratie herstellen.

Op dit moment kunnen service-principals worden weergegeven, bekeken, verwijderd of hersteld via de VerwijderdeItems Microsoft Graph API. Als u toepassingen wilt herstellen met Microsoft Graph, raadpleegt u Verwijderde items herstellen - Microsoft Graph v1.0..

Beheereenheden

AUs kunnen worden weergegeven, bekeken of hersteld via de VerwijderdeItems Microsoft Graph API. Zie Verwijderde items herstellen - Microsoft Graph v1.0 als u AUs wilt herstellen met Microsoft Graph. Zodra een AU is verwijderd, blijft deze in een voorlopig verwijderde status en kan deze gedurende 30 dagen worden hersteld, maar kan deze gedurende die tijd niet hard worden verwijderd. Voorlopig verwijderde RU's worden na 30 dagen automatisch verwijderd.

Harde verwijderingen

Een harde verwijdering is het permanent verwijderen van een object uit uw Microsoft Entra-tenant. Objecten die geen ondersteuning bieden voor voorlopig verwijderen, worden op deze manier verwijderd. Op dezelfde manier worden voorlopig verwijderde objecten na een verwijderingstijd van 30 dagen hard verwijderd. De enige objecttypen die ondersteuning bieden voor voorlopig verwijderen zijn:

  • Gebruikers
  • Microsoft 365 Groups
  • Toepassingsregistratie
  • Service-principal
  • Beheereenheid

Belangrijk

Alle andere itemtypen zijn hard verwijderd. Wanneer een item hard wordt verwijderd, kan het niet worden hersteld. Deze moet opnieuw worden gemaakt. Beheerders en Microsoft kunnen verwijderde items niet herstellen. Bereid u voor op deze situatie door ervoor te zorgen dat u processen en documentatie hebt om mogelijke onderbrekingen van een harde verwijdering te minimaliseren.

Zie best practices voor herstelbaarheid voor informatie over het voorbereiden en documenteren van huidige statussen.

Wanneer harde verwijderingen meestal optreden

In de volgende omstandigheden kunnen harde verwijderingen optreden.

Verplaatsen van voorlopig naar hard verwijderen:

  • Een voorlopig verwijderd object is niet binnen 30 dagen hersteld.
  • Een beheerder verwijdert opzettelijk een object met de status Voorlopig verwijderen.

Rechtstreeks verwijderd:

  • Het objecttype dat is verwijderd, biedt geen ondersteuning voor voorlopig verwijderen.
  • Een beheerder kiest ervoor om een item definitief te verwijderen met behulp van de portal, wat meestal gebeurt als reactie op een aanvraag.
  • Met een automatiseringsscript wordt het verwijderen van het object geactiveerd met behulp van Microsoft Graph of PowerShell. Het gebruik van een automatiseringsscript voor het opschonen van verouderde objecten is niet ongebruikelijk. Een robuust off-boardingproces voor objecten in uw tenant helpt u fouten te voorkomen die ertoe kunnen leiden dat kritieke objecten massaal worden verwijderd.

Herstellen na harde verwijdering

Verwijderde items moeten opnieuw worden gemaakt en opnieuw worden geconfigureerd. Het is raadzaam ongewenste harde verwijderingen te voorkomen.

Voorlopig verwijderde objecten controleren

Zorg ervoor dat u een proces hebt voor het regelmatig controleren van items in de status voorlopig verwijderen en herstel ze indien van toepassing. Hiervoor moet u het volgende doen:

Zie de volgende artikelen in best practices voor herstelbaarheid voor meer informatie over het voorkomen van ongewenste verwijderingen:

  • Bedrijfscontinuïteit en planning na noodgevallen
  • Bekende goede statussen document
  • Bewaking en gegevensretentie