Recuperar de exclusões
Este artigo aborda a recuperação de exclusões flexíveis e rígidas em seu locatário do Microsoft Entra. Se você ainda não tiver feito isso, leia Práticas recomendadas de capacidade de recuperação para obter conhecimento básico.
Monitorar exclusões
O log de auditoria do Microsoft Entra contém informações sobre todas as operações de exclusão executadas em seu locatário. Exporte esses logs para uma ferramenta de gerenciamento de eventos e informações de segurança, como o Microsoft Sentinel.
Você também pode usar o Microsoft Graph para auditar alterações e criar uma solução personalizada para monitorar diferenças ao longo do tempo. Para obter mais informações sobre como localizar itens excluídos usando o Microsoft Graph, consulte Listar itens excluídos - Microsoft Graph v1.0.
Registo de auditoria
O log de auditoria sempre registra um evento "Excluir <objeto" quando um objeto> no locatário é removido de um estado ativo por uma exclusão flexível ou rígida.
Um evento delete para aplicativos, usuários e Microsoft 365 Groups é uma exclusão suave. Para qualquer outro tipo de objeto, é uma exclusão difícil. Rastreie a ocorrência de eventos de exclusão física comparando os eventos "Excluir <objeto" com o tipo de objeto> que foi excluído. Observe os eventos que não suportam exclusão suave. Observe também os eventos "Hard Delete <object>".
| Object type | Atividade no log | Result |
|---|---|---|
| Aplicação | Eliminar aplicação | Suprimido suavemente |
| Aplicação | Aplicativo de exclusão difícil | Hard excluído |
| User | Eliminar utilizador | Suprimido suavemente |
| User | Usuário de exclusão difícil | Hard excluído |
| Grupo Microsoft 365 | Eliminar grupo | Suprimido suavemente |
| Grupo Microsoft 365 | Grupo de exclusão rígida | Hard excluído |
| Todos os outros objetos | Excluir "objectType" | Hard excluído |
Nota
O log de auditoria não distingue o tipo de grupo de um grupo excluído. Somente grupos do Microsoft 365 são excluídos suavemente. Se vir uma entrada de grupo Eliminar, poderá ser a eliminação suave de um Grupo do Microsoft 365 ou a eliminação física de outro tipo de grupo.
É importante que a documentação do seu estado em boas condições inclua o tipo de grupo para cada grupo na sua organização. Para saber mais sobre como documentar seu bom estado conhecido, consulte Práticas recomendadas de capacidade de recuperação.
Monitorar tíquetes de suporte
Um aumento repentino nos tíquetes de suporte sobre o acesso a um objeto específico pode indicar que ocorreu uma exclusão. Como alguns objetos têm dependências, a exclusão de um grupo usado para acessar um aplicativo, um aplicativo em si ou uma política de Acesso Condicional direcionada a um aplicativo pode causar um amplo impacto súbito. Se você vir uma tendência como essa, verifique se nenhum dos objetos necessários para o acesso foi excluído.
Exclusões suaves
Quando objetos como usuários, Grupos do Microsoft 365 ou registros de aplicativos são excluídos suavemente, eles entram em um estado suspenso no qual não estão disponíveis para uso por outros serviços. Nesse estado, os itens mantêm suas propriedades e podem ser restaurados por 30 dias. Após 30 dias, os objetos no estado soft-deleted são excluídos permanentemente, ou hard, excluídos.
Nota
Os objetos não podem ser restaurados a partir de um estado excluído. Eles devem ser recriados e reconfigurados.
Quando ocorrem exclusões suaves
É importante entender por que as exclusões de objetos ocorrem em seu ambiente para que você possa se preparar para elas. Esta seção descreve cenários freqüentes para exclusão suave por classe de objeto. Você pode ver cenários exclusivos da sua organização, portanto, um processo de descoberta é fundamental para a preparação.
Utilizadores
Os usuários entram no estado de exclusão suave sempre que o objeto de usuário é excluído usando o portal do Azure, o Microsoft Graph ou o PowerShell.
Os cenários mais frequentes para exclusão do usuário são:
- Um administrador exclui intencionalmente um usuário no portal do Azure em resposta a uma solicitação ou como parte da manutenção de rotina do usuário.
- Um script de automação no Microsoft Graph ou PowerShell dispara a exclusão. Por exemplo, você pode ter um script que remove usuários que não entraram por um tempo especificado.
- Um usuário é movido para fora do escopo de sincronização com o Microsoft Entra Connect.
- Um usuário é removido de um sistema de RH e é desprovisionado por meio de um fluxo de trabalho automatizado.
Grupos do Microsoft 365
Os cenários mais frequentes para os Grupos do Microsoft 365 serem excluídos são:
- Um administrador exclui intencionalmente o grupo, por exemplo, em resposta a uma solicitação de suporte.
- Um script de automação no Microsoft Graph ou PowerShell dispara a exclusão. Por exemplo, você pode ter um script que exclui grupos que não foram acessados ou atestados pelo proprietário do grupo por um tempo especificado.
- Exclusão não intencional de um grupo de propriedade de não-administradores.
Objetos de aplicativo e entidades de serviço
Os cenários mais frequentes para exclusão de aplicativos são:
- Um administrador exclui intencionalmente o aplicativo, por exemplo, em resposta a uma solicitação de suporte.
- Um script de automação no Microsoft Graph ou PowerShell dispara a exclusão. Por exemplo, você pode querer um processo para excluir aplicativos abandonados que não são mais usados ou gerenciados. Em geral, crie um processo de desintegração para aplicativos em vez de scripts para evitar exclusões não intencionais.
Quando você exclui um aplicativo, o registro do aplicativo por padrão entra no estado de exclusão suave. Para entender a relação entre registros de aplicativos e entidades de serviço, consulte Aplicativos e entidades de serviço no Microsoft Entra ID - Microsoft Identity platform.
Unidades administrativas
O cenário mais comum para exclusões é quando as unidades administrativas (UA) são excluídas por acidente, embora ainda sejam necessárias.
Recuperar da exclusão suave
Você pode restaurar itens excluídos por software no portal administrativo ou usando o Microsoft Graph. Nem todas as classes de objeto podem gerenciar recursos de exclusão suave no portal, algumas são apenas listadas, visualizadas, excluídas ou restauradas usando a API do Microsoft Graph deletedItems.
Propriedades mantidas com exclusão suave
| Object type | Propriedades importantes mantidas |
|---|---|
| Utilizadores (incluindo utilizadores externos) | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo, funções, licenças e atribuições de aplicativos |
| Grupos do Microsoft 365 | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo, licenças e atribuições de aplicativos |
| Registo de aplicação | Todas as propriedades mantidas. Veja mais informações após esta tabela. |
| Service principal (Principal de serviço) | Todos os imóveis mantidos |
| Unidade administrativa (UA) | Todos os imóveis mantidos |
Utilizadores
Você pode ver usuários excluídos suavemente no portal do Azure em Usuários | Página de usuários excluídos.
Para obter mais informações sobre como restaurar usuários, consulte a seguinte documentação:
- Para restaurar a partir do portal do Azure, consulte Restaurar ou remover permanentemente o utilizador eliminado recentemente.
- Para restaurar usando o Microsoft Graph, consulte Restaurar item excluído – Microsoft Graph v1.0.
Grupos
Você pode ver os Grupos do Microsoft 365 excluídos por software no portal do Azure no Grupos | Página de grupos excluídos.
Para obter mais informações sobre como restaurar grupos do Microsoft 365 excluídos por software, consulte a seguinte documentação:
- Para restaurar a partir do portal do Azure, consulte Restaurar um Grupo Microsoft 365 eliminado.
- Para restaurar usando o Microsoft Graph, consulte Restaurar item excluído – Microsoft Graph v1.0.
Aplicações e principais de serviço
Os aplicativos têm dois objetos: o registro do aplicativo e a entidade de serviço. Para obter mais informações sobre as diferenças entre o registro e a entidade de serviço, consulte Aplicativos e entidades de serviço no Microsoft Entra ID.
Para restaurar um aplicativo a partir do portal do Azure, selecione Registros de>aplicativos Aplicativos excluídos. Selecione o registo da aplicação a restaurar e, em seguida, selecione Restaurar registo da aplicação.
Atualmente, as entidades de serviço podem ser listadas, visualizadas, excluídas ou restauradas por meio da API do Microsoft Graph deletedItems. Para restaurar aplicativos usando o Microsoft Graph, consulte Restaurar item excluído - Microsoft Graph v1.0..
Unidades administrativas
As AUs podem ser listadas, visualizadas ou restauradas por meio da API do Microsoft Graph deletedItems. Para restaurar AUs usando o Microsoft Graph, consulte Restaurar item excluído - Microsoft Graph v1.0.. Uma vez que uma AU é excluída, ela permanece em um estado de exclusão suave e pode ser restaurada por 30 dias, mas não pode ser excluída durante esse tempo. AUs excluídas suavemente são excluídas automaticamente após 30 dias.
Exclusões difíceis
Uma exclusão rígida é a remoção permanente de um objeto do locatário do Microsoft Entra. Os objetos que não suportam exclusão suave são removidos dessa maneira. Da mesma forma, objetos excluídos com software são excluídos após um tempo de exclusão de 30 dias. Os únicos tipos de objeto que suportam uma exclusão suave são:
- Utilizadores
- Grupos do Microsoft 365
- Registo de aplicação
- Service principal (Principal de serviço)
- Unidade administrativa
Importante
Todos os outros tipos de item são excluídos com dificuldade. Quando um item é excluído, ele não pode ser restaurado. Este tem de ser criado novamente. Nem os administradores nem a Microsoft podem restaurar itens excluídos. Prepare-se para essa situação, garantindo que você tenha processos e documentação para minimizar possíveis interrupções de uma exclusão rígida.
Para obter informações sobre como preparar e documentar os estados atuais, consulte Práticas recomendadas de capacidade de recuperação.
Quando as exclusões rígidas geralmente ocorrem
As exclusões rígidas podem ocorrer nas seguintes circunstâncias.
Passando de soft para hard delete:
- Um objeto excluído suavemente não foi restaurado em 30 dias.
- Um administrador exclui intencionalmente um objeto no estado de exclusão suave.
Diretamente excluído:
- O tipo de objeto que foi excluído não suporta exclusão suave.
- Um administrador opta por excluir permanentemente um item usando o portal, o que normalmente ocorre em resposta a uma solicitação.
- Um script de automação dispara a exclusão do objeto usando o Microsoft Graph ou o PowerShell. O uso de um script de automação para limpar objetos obsoletos não é incomum. Um processo robusto de desembarque de objetos em seu locatário ajuda você a evitar erros que podem resultar na exclusão em massa de objetos críticos.
Recuperar da exclusão rígida
Os itens excluídos devem ser recriados e reconfigurados. É melhor evitar exclusões duras indesejadas.
Revisar objetos excluídos suavemente
Certifique-se de ter um processo para revisar frequentemente os itens no estado de exclusão suave e restaurá-los, se apropriado. Para tal, deverá:
- Listar frequentemente itens excluídos.
- Certifique-se de ter critérios específicos para o que deve ser restaurado.
- Certifique-se de ter funções ou usuários específicos atribuídos para avaliar e restaurar itens conforme apropriado.
- Desenvolver e testar um plano de gestão da continuidade. Para obter mais informações, consulte Considerações para seu plano de gerenciamento de continuidade de negócios corporativo.
Para obter mais informações sobre como evitar exclusões indesejadas, consulte os seguintes artigos em Práticas recomendadas de capacidade de recuperação:
- Continuidade de negócios e planejamento de desastres
- Estado em boas condições do documento
- Monitorização e retenção de dados