Recuperar de supressões

Este artigo aborda a recuperação de supressões suaves e duras no seu inquilino Azure Ative Directory (Azure AD). Se ainda não o fez, leia as melhores práticas de recuperação para o conhecimento fundamental.

Monitor para supressões

O registo de auditoria Azure AD contém informações sobre todas as operações de exclusão realizadas no seu inquilino. Exporte estes registos para uma ferramenta de gestão de informações de segurança e eventos, como o Microsoft Sentinel.

Também pode utilizar o Microsoft Graph para auditar alterações e construir uma solução personalizada para monitorizar as diferenças ao longo do tempo. Para obter mais informações sobre como encontrar itens eliminados utilizando o Microsoft Graph, consulte itens eliminados da Lista - Microsoft Graph v1.0.

Registo de auditoria

O registo de auditoria regista sempre um evento "Delete <object>" quando um objeto no inquilino é removido de um estado ativo por uma eliminação suave ou dura.

Screenshot que mostra um registo de auditoria com supressões.

Um evento de eliminação para aplicações, utilizadores e Grupos do Microsoft 365 é uma eliminação suave. Para qualquer outro tipo de objeto, é uma eliminação difícil. Acompanhe a ocorrência de eventos de eliminação dura comparando os eventos de "Eliminar <objeto>" com o tipo de objeto que foi eliminado. Note os eventos que não suportam a exclusão suave. Note também os eventos "Hard Delete <object>".

Tipo de Objeto Atividade em log Resultado
Aplicação Eliminar aplicação Suave apagado
Aplicação Aplicação de eliminação difícil Duramente eliminada
Utilizador Eliminar utilizador Suave apagado
Utilizador Utilizador de eliminação difícil Duramente eliminada
Microsoft 365 Group Eliminar grupo Suave apagado
Microsoft 365 Group Grupo de eliminação difícil Duramente eliminada
Todos os outros objetos Eliminar "objectType" Duramente eliminada

Nota

O registo de auditoria não distingue o tipo de grupo de um grupo eliminado. Apenas Grupos do Microsoft 365 são apagados suaves. Se vir uma entrada de grupo delete, pode ser a eliminação suave de um Grupo Microsoft 365 ou a eliminação dura de outro tipo de grupo.

É importante que a sua documentação do seu bom estado conhecido inclua o tipo de grupo para cada grupo da sua organização. Para saber mais sobre documentar o seu bom estado conhecido, consulte as melhores práticas de Recuperabilidade.

Monitorize bilhetes de apoio

Um aumento repentino de bilhetes de apoio sobre o acesso a um objeto específico pode indicar que ocorreu uma eliminação. Como alguns objetos têm dependências, a eliminação de um grupo usado para aceder a uma aplicação, uma aplicação em si ou uma política de Acesso Condicional que vise uma aplicação pode causar um impacto súbito. Se vir uma tendência como esta, verifique se nenhum dos objetos necessários para o acesso foi eliminado.

Supressões suaves

Quando objetos como utilizadores, Grupos do Microsoft 365 ou registos de aplicações são eliminados suavemente, entram num estado suspenso no qual não estão disponíveis para uso por outros serviços. Neste estado, os itens conservam as suas propriedades e podem ser restaurados por 30 dias. Após 30 dias, os objetos no estado de apagação suave são permanentemente, ou duros, apagados.

Nota

Os objetos não podem ser restaurados de um estado duramente apagado. Devem ser recriados e reconfigurados.

Quando ocorrem eliminações suaves

É importante entender por que as eliminações de objetos ocorrem no seu ambiente para que possa se preparar para eles. Esta secção descreve cenários frequentes para a eliminação suave por classe de objetos. Você pode ver cenários que são exclusivos da sua organização, por isso um processo de descoberta é fundamental para a preparação.

Utilizadores

Os utilizadores introduzem o estado de eliminação suave sempre que o objeto do utilizador é eliminado utilizando o portal do Azure, Microsoft Graph ou PowerShell.

Os cenários mais frequentes para a eliminação do utilizador são:

  • Um administrador elimina intencionalmente um utilizador no portal Azure AD em resposta a um pedido ou como parte da manutenção rotineira do utilizador.
  • Um script de automatização no Microsoft Graph ou PowerShell ativa a eliminação. Por exemplo, pode ter um script que remove utilizadores que não se tenham inscrito durante um determinado período de tempo.
  • Um utilizador é deslocado do âmbito para sincronização com Azure AD Connect.
  • Um utilizador é removido de um sistema de RH e é desprovisionado através de um fluxo de trabalho automatizado.

Grupos do Microsoft 365

Os cenários mais frequentes para Grupos do Microsoft 365 a serem eliminados são:

  • Um administrador apaga intencionalmente o grupo, por exemplo, em resposta a um pedido de apoio.
  • Um script de automatização no Microsoft Graph ou PowerShell ativa a eliminação. Por exemplo, pode ter um script que elimina grupos que não foram acedidos ou atestados pelo proprietário do grupo por um tempo especificado.
  • Supressão não intencional de um grupo de propriedade de não administradores.

Objetos de aplicação e principais de serviço

Os cenários mais frequentes para a eliminação de aplicações são:

  • Um administrador apaga intencionalmente a aplicação, por exemplo, em resposta a um pedido de apoio.
  • Um script de automatização no Microsoft Graph ou PowerShell ativa a eliminação. Por exemplo, pode querer um processo para eliminar aplicações abandonadas que já não sejam usadas ou geridas. Em geral, crie um processo de offboarding para aplicações em vez de scripts para evitar supressões não intencionais.

Propriedades mantidas com exclusão suave

Tipo de Objeto Propriedades importantes mantidas
Utilizadores (incluindo utilizadores externos) Todas as propriedades são mantidas, incluindo ObjectID, membros do grupo, funções, licenças e atribuições de aplicações.
Grupos do Microsoft 365 Todas as propriedades são mantidas, incluindo ObjectID, membros do grupo, licenças e atribuições de aplicações.
Registo da aplicação Todas as propriedades são mantidas. (Ver mais informações após esta tabela.)

Quando elimina uma aplicação, o registo de pedido por predefinição entra no estado de exclusão suave. Para compreender a relação entre registos de candidaturas e diretores de serviços, consulte apps e diretores de serviços em Azure AD - plataforma de identidades da Microsoft.

Recuperar da eliminação suave

Pode restaurar itens apagados suavemente no portal do Azure ou com o Microsoft Graph.

Utilizadores

Pode ver utilizadores com soft-apagados na portal do Azure nos Utilizadores | Página de utilizadores eliminados.

Screenshot que mostra restaurar os utilizadores no portal do Azure.

Para obter mais informações sobre como restaurar os utilizadores, consulte a seguinte documentação:

Grupos

Pode ver Grupos do Microsoft 365 de portal do Azure nos grupos | Página de grupos apagados.

Screenshot que mostra grupos restaurados no portal do Azure.

Para obter mais informações sobre como restaurar Grupos do Microsoft 365 de apagamento suave, consulte a seguinte documentação:

Aplicações

As candidaturas têm dois objetos: o registo de candidatura e o principal do serviço. Para obter mais informações sobre as diferenças entre o registo e o principal do serviço, consulte apps e diretores de serviços em Azure AD.

Para restaurar uma aplicação a partir do portal do Azure, selecione Registos de aplicações>Despostas. Selecione o registo de candidatura para restaurar e, em seguida, selecione o registo da aplicação Restore.

Screenshot que mostra o processo de restauro do registo da aplicação no portal azure.

Para restaurar as aplicações utilizando o Microsoft Graph, consulte o produto Restore eliminado - Microsoft Graph v1.0.

Supressões difíceis

Uma supressão difícil é a remoção permanente de um objeto do seu inquilino Azure AD. Os objetos que não suportam a eliminação suave são removidos desta forma. Da mesma forma, os objetos apagados com macio são duramente eliminados após um período de eliminação de 30 dias. Os únicos tipos de objetos que suportam uma eliminação suave são:

  • Utilizadores
  • Grupos do Microsoft 365
  • Registo da aplicação

Importante

Todos os outros tipos de artigos são duramente eliminados. Quando um item é duramente apagado, não pode ser restaurado. Tem de ser recriada. Nem os administradores nem a Microsoft podem restaurar itens eliminados. Prepare-se para esta situação garantindo que tem processos e documentação para minimizar possíveis perturbações de uma eliminação dura.

Para obter informações sobre como preparar e documentar os estados atuais, consulte as melhores práticas de recuperação.

Quando as eliminações duras geralmente ocorrem

As eliminações duras ocorrem mais frequentemente nas seguintes circunstâncias.

Passar de suave a duro eliminar:

  • Um objeto apagado não foi restaurado em 30 dias.
  • Um administrador elimina intencionalmente um objeto no estado de exclusão suave.

Eliminado diretamente:

  • O tipo de objeto que foi eliminado não suporta a eliminação suave.
  • Um administrador opta por eliminar permanentemente um item utilizando o portal, o que normalmente ocorre em resposta a um pedido.
  • Um script de automatização desencadeia a eliminação do objeto utilizando o Microsoft Graph ou PowerShell. O uso de um script de automação para limpar objetos velhos não é incomum. Um processo robusto de off-boarding para objetos no seu inquilino ajuda-o a evitar erros que podem resultar na eliminação em massa de objetos críticos.

Recuperar da supressão difícil

Os itens eliminados devem ser recriados e reconfigurados. É melhor evitar supressões indesejadas.

Reveja objetos apagados suaves

Certifique-se de que tem um processo para rever frequentemente itens no estado de eliminação suave e restaurá-los se apropriado. Para tal, deve:

Para obter mais informações sobre como evitar supressões indesejadas, consulte os seguintes artigos nas melhores práticas de recuperação:

  • Continuidade de negócios e planeamento de desastres
  • Documento conhecido bons estados
  • Monitorização e retenção de dados