Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O gerenciamento de exclusões na ID do Microsoft Entra é um aspecto crítico para manter a integridade e a disponibilidade da infraestrutura de identidade da sua organização. Este artigo fornece um guia abrangente para entender as diferenças entre exclusões suaves e duras, monitorar exclusões e recuperar ou recriar objetos em seu locatário do Microsoft Entra. Se você estiver lidando com exclusões acidentais ou preparando estratégias de recuperação, este guia o equipará com o conhecimento e as ferramentas para minimizar a interrupção e garantir a continuidade. Para obter insights fundamentais, comece com as práticas recomendadas de recuperação.
Realizar o monitoramento de exclusões
O log de auditoria do Microsoft Entra contém informações sobre todas as operações de exclusão realizadas no locatário. Exporte esses logs para uma ferramenta de gerenciamento de eventos e informações de segurança, como o Microsoft Sentinel.
Use o Microsoft Graph para auditar as alterações e criar uma solução personalizada para monitorar as diferenças ao longo do tempo. Para obter mais informações sobre como localizar itens excluídos usando o Microsoft Graph, consulte Lista de itens excluídos – Microsoft Graph v1.0 .
Log de auditoria
O log de Auditoria sempre registra um evento "Excluir <objeto>" quando um objeto no inquilino é removido de um estado ativo por uma exclusão temporária ou permanente.
Um evento de exclusão para aplicativos, usuários, Grupos do Microsoft 365 e grupos de segurança na nuvem é uma exclusão temporária. Para qualquer outro tipo de objeto, é uma exclusão definitiva. Acompanhe a ocorrência de eventos de exclusão permanente comparando eventos "Excluir <objeto>" com o tipo de objeto que foi excluído. Observe os eventos que não suportam a exclusão temporária. Além disso, observe os eventos "Hard Delete <objeto>".
| Tipo de objeto | Atividade no log | Resultado |
|---|---|---|
| Aplicativo | Excluir aplicativo | Exclusão temporária |
| Aplicativo | Excluir aplicativo irreversivelmente | Excluído permanentemente |
| Usuário | Excluir usuário | Exclusão temporária |
| Usuário | Excluir usuário irreversivelmente | Deletado permanentemente |
| Grupo do Microsoft 365 | Excluir grupo | Exclusão suave |
| Grupo do Microsoft 365 | Excluir grupo irreversivelmente | Excluído permanentemente |
| Grupo de segurança de nuvem | Excluir grupo | Exclusão suave |
| Grupo de segurança de nuvem | Excluir grupo irreversivelmente | Excluído permanentemente |
| Todos os outros objetos | Excluir "objectType" | Excluído definitivamente |
Observação
O log de auditoria não distingue o tipo de grupo de um grupo excluído. Grupos do Microsoft 365 e grupos de segurança na nuvem são excluídos suavemente. Se você vir uma entrada de grupo "Excluir", isso pode indicar a exclusão reversível de um Grupo do Microsoft 365 ou de um grupo de segurança de nuvem, ou a exclusão permanente de outro tipo de grupo.
É importante que sua documentação do seu bom estado conhecido inclua o tipo de grupo para cada grupo em sua organização. Para saber mais sobre como documentar seu estado válido conhecido, consulte as Práticas recomendadas de recuperabilidade.
Monitorar tíquetes de suporte
Um aumento repentino nos tíquetes de suporte sobre o acesso a um objeto específico pode indicar que ocorreu uma exclusão. Como alguns objetos têm dependências, excluir um grupo usado para acessar um aplicativo, um aplicativo em si ou uma política de Acesso Condicional direcionada a um aplicativo pode causar um impacto amplo e repentino. Se você vir uma tendência como essa, verifique se nenhum dos objetos necessários para acesso foi excluído.
Exclusões suaves
Quando objetos como usuários, Grupos do Microsoft 365, grupos de segurança na nuvem ou registros de aplicativos são excluídos suavemente, eles entram em um estado suspenso no qual não estão disponíveis para uso por outros serviços. Nesse estado, os itens mantêm suas propriedades e podem ser restaurados por 30 dias. Após 30 dias, os objetos no estado de exclusão suave são excluídos permanentemente ou submetidos à exclusão permanente.
Observação
Objetos não podem ser restaurados de um estado excluído definitivamente. Recriar e reconfigurá-los.
Quando as exclusões suaves acontecem
Entender por que as exclusões de objeto ocorrem em seu ambiente ajuda você a se preparar para elas. Esta seção descreve cenários frequentes de exclusão reversível por classe de objeto. Você pode ver cenários exclusivos para sua organização e, portanto, um processo de descoberta é fundamental para a preparação.
Usuários
Os usuários entram em um estado de exclusão temporária quando o objeto de usuário é excluído usando o Centro de administração do Microsoft Entra, o Microsoft Graph ou o PowerShell.
Cenários comuns para excluir usuários incluem:
- Um administrador exclui um usuário no Centro de administração do Microsoft Entra em resposta a uma solicitação ou como parte da manutenção rotineira do usuário.
- Um script de automação no Microsoft Graph ou no PowerShell dispara a exclusão. Por exemplo, você pode ter um script que remove usuários que não fazem logon por um tempo especificado.
- Um usuário está fora do escopo de sincronização com o Microsoft Entra Connect.
- Um usuário se aposenta, é removido de um sistema de RH e é desprovisionado por meio de um fluxo de trabalho automatizado.
Grupos
Os cenários mais frequentes para excluir grupos são:
- Um administrador exclui intencionalmente o grupo, por exemplo, em resposta a uma solicitação de suporte.
- Um script de automação no Microsoft Graph ou no PowerShell dispara a exclusão. Por exemplo, você pode ter um script que exclui grupos que não são acessados ou atestados pelo proprietário do grupo por um horário especificado.
- Exclusão não intencional de um grupo detido por não administradores.
Objetos de aplicativos e principais de serviço
Os cenários mais frequentes para excluir aplicativos são:
- Um administrador exclui intencionalmente o aplicativo, por exemplo, em resposta a uma solicitação de suporte.
- Um script de automação no Microsoft Graph ou no PowerShell dispara a exclusão. Por exemplo, talvez você queira um processo para excluir aplicativos abandonados que não sejam mais usados ou gerenciados. Em geral, crie um processo de remoção de aplicativos em vez de criar scripts para evitar exclusões não intencionais.
Quando você exclui um aplicativo, o registro do aplicativo, por padrão, entra em estado de exclusão suave. Para entender a relação entre registros de aplicativos e entidades de serviço, confira Aplicativos e entidades de serviço no Microsoft Entra ID – Microsoft Identity Platform.
Unidades administrativas
O cenário mais comum para exclusões é quando unidades administrativas são excluídas acidentalmente, mas ainda são necessárias.
Recuperar-se da exclusão suave
Nem todas as classes de objeto gerenciam recursos de exclusão suave no Centro de administração Microsoft Entra. Alguns são listados, exibidos, excluídos permanentemente ou restaurados usando a API deletedItems do Microsoft Graph.
Propriedades mantidas com exclusão temporária
| Tipo de objeto | Propriedades importantes mantidas |
|---|---|
| Usuários (incluindo usuários externos) | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo, funções e licenças, atribuições de aplicativo |
| Grupos do Microsoft 365 | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo, licenças e atribuições de aplicativo |
| Grupos de segurança na nuvem | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo e atribuições de aplicativo |
| Registro de aplicativo | Todas as propriedades mantidas. Confira mais informações após esta tabela. |
| Entidade de serviço | Todas as propriedades mantidas |
| Unidade administrativa | Mantidas todas as propriedades |
| Políticas de acesso condicional | Todas as propriedades mantidas |
| Localizações nomeadas | Todas as propriedades mantidas |
Usuários
Você pode ver usuários excluídos temporariamente no portal do Azure na página Usuários | Usuários excluídos.
Para obter mais informações sobre como restaurar usuários, consulte a seguinte documentação:
- Para restauração no portal do Azure, confira Restaurar ou excluir permanentemente um usuário excluído recentemente.
- Para restaurar usando o Microsoft Graph, consulte Restaurar um item excluído – Microsoft Graph v1.0.
Grupos
Você pode ver grupos do Microsoft 365 excluídos imediatamente e grupos de segurança em nuvem no portal do Azure na página Grupos | Grupos excluídos.
Importante
Não há suporte para exclusão reversível para grupos de segurança nos seguintes cenários:
- Locatários de EDU usando o armazenamento do OneDrive for Business (OBD)
- Direcionamento de público-alvo com Web Parts clássicas (todos os locatários)
Para obter mais informações sobre como restaurar grupos do Microsoft 365 excluídos e grupos de segurança na nuvem, consulte a seguinte documentação:
- Para restaurar do portal do Azure, consulte Restaurar um grupo do Microsoft 365 excluído.
- Para restaurar usando o Microsoft Graph, consulte Restaurar um item excluído – Microsoft Graph v1.0.
Aplicativos e entidades de serviço
Os aplicativos incluem dois objetos: o registro do aplicativo e a entidade de serviço. Para saber mais sobre as diferenças entre o registro e a entidade de serviço, confira Aplicativos e entidades de serviço no Microsoft Entra ID.
Para restaurar um aplicativo do Centro de administração do Microsoft Entra, navegue até Entra ID>Registros de aplicativos>Aplicativos excluídos. Selecione o registro do aplicativo a ser restaurado e, em seguida, selecione Restaurar registro do aplicativo.
As entidades de serviço podem ser listadas, exibidas, excluídas ou restauradas usando a API deletedItems do Microsoft Graph. Para restaurar os aplicativos usando o Microsoft Graph, confira Restaurar um item excluído – Microsoft Graph v1.0..
Unidades administrativas
As unidades administrativas podem ser listadas, exibidas ou restauradas por meio da API deletedItems do Microsoft Graph. Para restaurar unidades administrativas usando o Microsoft Graph, consulte Restaurar item excluído – Microsoft Graph v1.0.. Quando uma unidade administrativa é excluída, ela permanece em um estado de exclusão reversível e pode ser restaurada por 30 dias, mas não pode ser duramente excluída durante esse tempo. As unidades administrativas excluídas suavemente são excluídas permanentemente automaticamente após 30 dias.
Políticas de acesso condicional
Você deve examinar e validar a configuração da política de Acesso Condicional após a restauração para garantir que ela se comporte conforme o esperado.
Para restaurar uma política de acesso condicional:
- Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue atéEntra ID>Acesso Condicional>Políticas Excluídas (Prévia).
- Selecione as reticências (...) no lado direito da política a ser restaurada.
- Selecione Restaurar.
- Na caixa de diálogo Restaurar Acesso Condicional? você pode optar por restaurar a política no modo somente relatório ou deixá-la no estado em que estava quando excluída, que pode estar Ativada. Faça sua seleção e selecione Restaurar.
Aviso
Restaurar uma política para seu estado anterior pode ter consequências não intencionais. A Microsoft recomenda que os administradores restaurem suas políticas no modo somente relatório primeiro e, em seguida, reservem tempo para revisar e habilitar.
Localizações nomeadas
Os locais nomeados não podem ser excluídos quando marcados como confiáveis e, quando recuperados da exclusão reversível, não são marcados como confiáveis. Todas as localizações nomeadas recuperadas devem ser revisadas depois de restauradas antes de serem marcadas como confiáveis novamente.
Para restaurar um local designado:
- Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até Entra ID>Acesso Condicional>Locais nomeados>Locais Nomeados Excluídos (Versão Prévia).
- Selecione as reticências (...) na extrema direita do local que você deseja restaurar.
- Selecione Restaurar.
- Na caixa de diálogo Restaurar o local nomeado selecionado?, selecione Restaurar.
Exclusões permanentes
Uma exclusão definitiva remove permanentemente um objeto do locatário do Microsoft Entra. Os objetos que não dão suporte à exclusão temporária são removidos dessa forma. Objetos com exclusão reversível também são excluídos de modo rígido após 30 dias. Somente esses tipos de objeto dão suporte à exclusão reversível:
- Usuários
- Grupos do Microsoft 365
- Grupos de segurança na nuvem
- Registro de aplicativo
- Entidade de serviço
- Unidade administrativa
- Políticas de acesso condicional
- Localizações nomeadas
Importante
Todos os outros tipos de item são excluídos e não podem ser restaurados. Eles devem ser recriados. Seus administradores e a Microsoft não podem restaurar itens excluídos. Prepare-se criando processos e documentação para minimizar a interrupção.
Para obter informações sobre como preparar e documentar estados atuais, consulte as Práticas recomendadas de recuperação.
Quando as deleções permanentes geralmente ocorrem
Exclusões difíceis podem ocorrer nestas circunstâncias:
Alteração de exclusão temporária para permanente:
- Um objeto excluído temporariamente não é restaurado dentro de 30 dias.
- Um administrador exclui intencionalmente um objeto no estado de exclusão temporária.
Observação
Os objetos de aplicativo não são excluídos automaticamente mesmo após 30 dias quando o valor 'signInAudience' dos aplicativos é definido como um dos ("AzureADMultipleOrgs", "AzureADandPersonalMicrosoftAccount" ou "PersonalMicrosoftAccount"). Nesse caso, os objetos de aplicativo devem ser excluídos manualmente.
Excluído diretamente e permanentemente
- O tipo de objeto que foi excluído não dá suporte à exclusão temporária.
- Um administrador opta por excluir permanentemente um item usando o portal, que, normalmente, ocorre em resposta a uma solicitação.
- Um script de automação dispara a exclusão do objeto usando o Microsoft Graph ou o PowerShell. Os scripts de automação geralmente são usados para limpar objetos obsoletos. Um processo de remoção robusto ajuda a evitar erros que podem resultar na exclusão em massa de objetos críticos.
Recuperar-se da exclusão permanente
Os itens permanentemente excluídos precisam ser recriados e reconfigurados. Evitar exclusões difíceis indesejadas é o melhor.
Examinar objetos excluídos temporariamente
Verifique se você tem um processo para revisar regularmente os itens no estado de exclusão reversível e restaurá-los, se necessário. Para preparar:
- Listar regularmente itens excluídos.
- Defina critérios específicos para o que restaurar.
- Atribua funções ou usuários específicos para avaliar e restaurar itens conforme necessário.
- Crie e teste um plano de gerenciamento de continuidade. Saiba mais em Considerações para seu Plano de Gerenciamento de Continuidade de Negócios Corporativos.
Próximas etapas
Saiba como evitar exclusões indesejadas nas práticas recomendadas de recuperação.