Compartilhar via

Objetos com suporte e propriedades recuperáveis no Backup e recuperação do Microsoft Entra (versão prévia)

Importante

O Backup e a Recuperação do Microsoft Entra estão atualmente em versão prévia. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Entra Backup and Recovery oferece suporte à recuperação para um conjunto definido de tipos de objeto de locatário e propriedades selecionadas desses objetos.

Observação

O conjunto de objetos e propriedades com suporte se expande ao longo do tempo. A recuperação aplica-se somente às propriedades com suporte listadas neste artigo e não implica reversão completa de objeto.

Usuário

A recuperação de objetos de usuário dá suporte às seguintes propriedades:

  • AccountEnabled
  • AgeGroup
  • City
  • CompanyName
  • ConsentProvidedForMinor
  • Country
  • Department
  • DisplayName
  • EmployeeHireDate
  • EmployeeId
  • EmployeeLeaveDate
  • EmployeeOrgData
  • EmployeeType
  • FaxNumber
  • GivenName
  • JobTitle
  • Mail
  • MailNickname
  • Mobile
  • OtherMail
  • PasswordPolicies
  • PerUserMfaState
  • PhysicalDeliveryOfficeName
  • PostalCode
  • PreferredDataLocation
  • PreferredLanguage
  • State
  • StreetAddress
  • Surname
  • TelephoneNumber
  • UsageLocation
  • UserPrincipalName
  • UserType

Observação

As alterações de gerente e patrocinador não estão incluídas no escopo.

Para referência, exiba o conjunto completo de propriedades de usuário no tipo de recurso de usuário do Microsoft Graph.

Grupo

A recuperação de objetos de grupo suporta estas propriedades:

  • Classification
  • Description
  • DisplayName
  • GroupType
  • IsPublic
  • Mail
  • MailEnabled
  • MailNickname
  • PreferredDataLocation
  • PreferredLanguage
  • SecurityEnabled
  • Theme

Observação

As alterações de propriedade do grupo não estão no escopo. Grupos dinâmicos podem ser restaurados ou excluídos temporariamente durante a recuperação, mas alterações nas regras de grupos dinâmicos não estão no escopo.

Para referência, exiba o conjunto completo de propriedades de grupo no tipo de recurso de grupo do Microsoft Graph.

Política de acesso condicional

Todas as propriedades das políticas de acesso condicional estão no escopo. Exiba todas as propriedades da política de acesso condicional no recurso do tipo política de acesso condicional do Microsoft Graph.

Política de localização nomeada

Todas as propriedades das políticas de localização nomeadas estão no escopo. Exiba todas as propriedades de política de localização nomeadas no tipo de recurso Microsoft Graph namedLocation.

Política de autorização

A recuperação de objetos de política de autorização dá suporte a estas propriedades:

  • blockMsolPowerShell
  • guestUserRoleId

Aqui está um mapeamento de IDs de função de usuário convidado associados a níveis de permissão de usuário convidado:

Nível de permissão Descrição ID de Função
Usuário Membro Os usuários convidados têm o mesmo acesso que os membros a0b1b346-4d3e-4e8b-98f8-753987be4970
Usuário convidado Os usuários convidados têm acesso limitado a propriedades e associações de objetos de diretório 10dae51f-b6af-4016-8d66-8c2a99b929b3
Usuário convidado restrito O acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório 2af84b1e-32c8-42b7-82bc-daa82404023b

Para referência, consulte o conjunto completo das propriedades da política de autorização no tipo de recurso authorizationPolicy do Microsoft Graph.

Política de métodos de autenticação

A recuperação dá suporte a essas políticas de método de autenticação:

  • Email de senha única (OTP)
  • Chave de passagem FIDO2
  • Aplicativo autenticador
  • Chamada de voz
  • SMS
  • OATH de software terceirizado
  • Senha de Acesso Temporária
  • Autenticação baseada em certificado

Para referência, consulte o conjunto completo de propriedades da política de métodos de autenticação no tipo de recurso authenticationMethodConfiguration do Microsoft Graph.

Aplicativo

A recuperação de objetos de aplicação dá suporte a estas propriedades:

  • DisplayName
  • Description
  • Notes
  • ApplicationTag
  • AppIdentifierUri
  • AppCreatedDateTime
  • PublicClient
  • PublisherDomain
  • IsDeviceOnlyAuthSupported
  • ServiceManagementReference
  • RequiredResourceAccess
  • NativeAuthenticationApisEnabled
  • SignInAudience
  • GroupMembershipClaims
  • OptionalClaims
  • IsDisabled
  • AddIns
  • ServicePrincipalLockConfiguration
  • AppInformationalUrl

Para referência, exiba o conjunto completo de propriedades do aplicativo no tipo de recurso de aplicativo do Microsoft Graph.

Entidade de serviço

A recuperação dos objetos do service principal oferece suporte a estas propriedades:

  • AccountEnabled
  • AlternativeNames
  • ExplicitAccessGrantRequired
  • Description
  • LoginUrl
  • Notes
  • NotificationEmailAddresses
  • PreferredTokenSigningKeyThumbprint
  • ServicePrincipalTag
  • ServicePrincipalType
  • PreferredSingleSignOnMode
  • PublisherName
  • SamlSingleSignOnSettings
  • ServicePrincipalName

Para referência, exiba o conjunto completo de propriedades do service principal no tipo de recurso servicePrincipal do Microsoft Graph.

A recuperação da entidade de serviço é a âncora para permissões relacionadas. Quando um principal de serviço é recuperado, Backup e Recuperação do Microsoft Entra também restaura:

  • Concessões de permissão OAuth2 onde o 'service principal' recuperado é o objeto alvo
  • Atribuições de função de aplicativo em que a entidade de serviço recuperada é o objeto de destino

Concessão de permissão delegada OAuth2

A concessão de permissão OAuth2 representa as permissões delegadas concedidas ao principal de serviço de um aplicativo. Um administrador pode criar concessões de permissão delegada quando um usuário consente com a solicitação de um aplicativo para acessar uma API ou um administrador pode concedê-los em nome de todos os usuários. A permissão permite que um administrador crie em nome de todos os usuários e está dentro do escopo. Você pode identificar essas concessões de permissão por consentType = AllPrincipals e .principalId = null

Não há suporte para concessões de permissão criadas como resultado do consentimento do usuário. Exiba as propriedades de concessão de permissão OAuth2 (delegada) no tipo de recurso oauth2PermissionGrant do Microsoft Graph.

As concessões de permissão OAuth2 não são recuperadas independentemente. Para escopos de relatório e recuperação de diferença, as entidades de serviço, as concessões de permissão OAuth2 e as atribuições de função de aplicativo são agrupadas em um único filtro no Centro de administração do Microsoft Entra.

Atribuição de função do aplicativo

Uma atribuição de função de aplicativo registra quando um usuário, grupo ou entidade de serviço recebe uma função de aplicativo para um aplicativo. Todas as propriedades da atribuição de função de aplicativo estão no escopo. Exiba todos os detalhes e propriedades da atribuição de função de aplicativo no tipo de recurso appRoleAssignment do Microsoft Graph.

As atribuições de função de aplicativo não são recuperadas independentemente. Para escopos de relatório e recuperação de diferença, as entidades de serviço, as concessões de permissão OAuth2 e as atribuições de função de aplicativo são agrupadas em um único filtro no Centro de administração do Microsoft Entra.

Organização

A recuperação do objeto da organização dá suporte a estas propriedades:

Configurações de MFA (autenticação multifator) no nível do locatário por usuário:

  • StrongAuthenticationDetails

    • availableMFAMethods

      Captura de tela mostrando a propriedade

    • IsApplicationPasswordBlocked

      Captura de tela mostrando a propriedade IsApplicationPasswordBlocked em StrongAuthenticationDetails.

    • IsRememberDevicesEnabled

      Captura de tela mostrando a propriedade IsRememberDevicesEnabled em StrongAuthenticationDetails.

    • rememberDevicesDurationInDays

      Captura de tela mostrando a propriedade rememberDevicesDurationInDays em StrongAuthenticationDetails.

  • StrongAuthenticationPolicy

    • enabled

      Captura de tela mostrando a propriedade habilitada em StrongAuthenticationPolicy.

    • ipAllowList

      Captura de tela mostrando a propriedade ipAllowList em StrongAuthenticationPolicy.

Limitações

Considere as seguintes limitações ao usar o Backup e a Recuperação do Microsoft Entra.

Tempo de conclusão do trabalho

O tempo de conclusão para relatórios de diferença e recuperação depende do carregamento e processamento dedados.

Na primeira vez que você acessa um backup por meio de um relatório de diferenças ou uma recuperação, o serviço de recuperação carrega os dados de backup. Esse carregamento leva um tempo fixo, mesmo para locatários pequenos. O serviço reutiliza dados carregados entre operações que fazem referência ao mesmo backup, para que as operações subsequentes sejam concluídas mais rapidamente. Criar um relatório de diferença antes da recuperação pode reduzir o tempo de recuperação pré-carregando os dados.

Depois que o carregamento de dados for concluído, a operação passará para o processamento. Para relatórios de variação, o processamento detecta mudanças entre o backup e o inquilino atual. Para recuperação, o processamento aplica as alterações necessárias para restaurar o estado de backup. O tempo de processamento varia de acordo com o número de objetos, o escopo da operação e o número de alterações envolvidas.

Objetos excluídos permanentemente

O Backup e a Recuperação do Microsoft Entra não dão suporte à recuperação ou à recriação de objetos excluídos. Somente objetos apagados temporariamente ou modificados podem ser restaurados.

Objetos gerenciados no Active Directory Domain Services local

Todas as alterações feitas em objetos sincronizados locais, com exceção das associações de grupo, constam dos relatórios de diferenças, mas são automaticamente excluídas da recuperação automática. As organizações que usam a identidade híbrida com a identidade Microsoft Entra podem usar relatórios de diferença para identificar alterações em objetos sincronizados localmente. Para determinados tipos de objeto, como usuários e grupos, você pode mover a fonte de autoridade do local para a nuvem. Após a conversão, todas as funcionalidades de Backup e Recuperação estão disponíveis para esses objetos. Faça backup e recupere objetos gerenciados localmente usando uma solução alternativa.

Se um usuário ou grupo for convertido em gerenciado por nuvem após o backup ter sido feito, a recuperação desse backup não reverterá a fonte de autoridade para o Active Directory local. Outros atributos alterados com suporte são recuperados.

Capacidade de recuperação mais ampla

O Backup e a Recuperação do Microsoft Entra devem ser usados como parte de uma abordagem mais ampla para a capacidade de recuperação que ajuda sua organização a ser mais resiliente. Para reduzir o risco de perda acidental e mal-intencionada de dados de diretório, siga as práticas recomendadas de recuperação no Microsoft Entra ID. Essas práticas incluem:

  • Estabelecendo medidas de segurança operacional preventivas
  • Documentando regularmente o bom estado conhecido usando APIs do Microsoft Graph
  • Preparando processos para recuperação de exclusão e desconfiguração
  • Last updated on