Восстановление после удаления
В этой статье рассматривается восстановление после обратимого и жесткого удаления в клиенте Microsoft Entra. Прочитайте статью о рекомендациях по восстановлению для получения базовых знаний, если вы еще этого не сделали.
Мониторинг удаления
Журнал аудита Microsoft Entra содержит сведения обо всех операциях удаления, выполняемых в клиенте. Экспортируйте эти журналы в средство управления информационной безопасностью и событиями безопасности, например Microsoft Sentinel.
Вы также можете использовать Microsoft Graph для проверки изменений и создать собственное решение для отслеживания различий. Дополнительные сведения о поиске удаленных элементов с помощью Microsoft Graph см. в статье Список удаленных элементов — Microsoft Graph версии 1.0.
Журнал аудита
В журнал аудита всегда записывается событие "Удаление <объект>", когда в клиенте удаляется объект из активного состояния путем обратимого или необратимого удаления.
Для приложений, пользователей и Групп Microsoft 365 удаление является обратимым. Для любых других типов объекта удаление является необратимым. Отслеживайте возникновение событий необратимого удаления путем сравнения событий "Удаление <объект>" с типом удаленного объекта. Обратите внимание на события, которые не поддерживают обратимое удаление. Кроме того, обратите внимание на события "Необратимое удаление <объект>".
Тип объекта | Действие в журнале | Результат |
---|---|---|
Приложение | Удаление приложения | Обратимо удалено |
Приложение | Необратимое удаление приложения | Необратимое удаление |
User | Удаление пользователя | Обратимо удалено |
User | Необратимое удаление пользователя | Необратимое удаление |
Группа Microsoft 365 | Удалить группу | Обратимо удалено |
Группа Microsoft 365 | Необратимое удаление группы | Необратимое удаление |
Все прочие объекты | Удаление objectType | Необратимое удаление |
Примечание.
В журнале аудита не различается тип удаленной группы. Обратимым является только удаление групп Microsoft 365. Если вы видите запись "Удаление группы", это может быть обратимое удаление группы Microsoft 365 или необратимое удаление группы другого типа.
Важно, чтобы документация по известному хорошему состоянию включала тип для каждой группы в вашей организации. Дополнительные сведения о документирования известного хорошего состояния см. в разделе Рекомендации по обеспечению возможности восстановления.
Мониторинг запросов в службу поддержки
Внезапное увеличение запросов в службу поддержки в отношении доступа к определенному объекту может указывать на то, что произошло удаление. Поскольку некоторые объекты имеют зависимости, удаление группы, используемой для доступа к приложению, самого приложения или политики условного доступа, предназначенной для приложения, может привести к внезапному широкому воздействию. Если вы наблюдаете подобную тенденцию, убедитесь, что ни один из объектов, необходимых для доступа, не удален.
Обратимые удаления
Когда происходит обратимое удаление таких объектов, как пользователи, группы Microsoft 365 или регистрации приложений, они переходят в заблокированное состояние, в котором они недоступны для использования другими службами. В этом состоянии элементы сохраняют свои свойства и могут быть восстановлены в течение 30 дней. Через 30 дней объекты в состоянии обратимого удаления удаляются полностью без возможности восстановления.
Примечание.
Объекты в состоянии необратимого удаления невозможно восстановить. Их необходимо создать и настроить заново.
В случае обратимого удаления
Важно понимать, почему происходит удаление объектов в вашей среде, чтобы можно было к нему подготовиться. В этом разделе описываются частые сценарии обратимого удаления объектов различных классов. Вы можете увидеть сценарии, уникальные для вашей организации, поэтому процесс обнаружения является ключевым для подготовки.
Пользователи
Пользователи переходят в состояние обратимого удаления каждый раз, когда удаляется объект пользователя с помощью портала Azure, Microsoft Graph или PowerShell.
Наиболее частыми сценариями удаления пользователей являются:
- Администратор намеренно удаляет пользователя в портал Azure в ответ на запрос или в рамках обычного обслуживания пользователей.
- Удаление запускает скрипт автоматизации в Microsoft Graph или PowerShell. Например, у вас может быть скрипт, удаляющий пользователей, которые не выполнили вход в течение указанного периода времени.
- Пользователь перемещается из области синхронизации с Microsoft Entra Connect.
- Пользователь удаляется из системы управления персоналом и отзывается с помощью автоматизированного рабочего процесса.
Microsoft 365 Groups
Наиболее частыми сценариями удаления Группы Microsoft 365 являются:
- Администратор намеренно удаляет группу, например в ответ на запрос в службу поддержки.
- Удаление запускает скрипт автоматизации в Microsoft Graph или PowerShell. Например, у вас может быть скрипт, удаляющий группы, к которым не выполнялся доступ или которые не были проверены владельцем группы в течение определенного периода времени.
- Непреднамеренное удаление группы, принадлежащей пользователям, не являющимся администраторами.
Объекты приложения и субъекты-службы
Наиболее частыми сценариями удаления приложений являются:
- Администратор намеренно удаляет приложение, например в ответ на запрос в службу поддержки.
- Удаление запускает скрипт автоматизации в Microsoft Graph или PowerShell. Например, может потребоваться процесс удаления приложений, которые больше не используются или не управляются. Как правило, рекомендуется создавать процесс отключения для приложений, а не скрипты, чтобы избежать непреднамеренных удалений.
При удалении приложения регистрация приложения по умолчанию переходит в состояние обратимого удаления. Сведения о связи между регистрацией приложений и субъектами-службами см. в разделе "Приложения и субъекты-службы" в идентификаторе Microsoft Entra ID платформа удостоверений Майкрософт.
Административные единицы
Наиболее распространенный сценарий удаления заключается в том, что административные единицы (AU) удаляются случайно, хотя и необходимы.
Восстановление после обратимого удаления
Вы можете восстановить обратимо удаленные элементы на административном портале или с помощью Microsoft Graph. Не все классы объектов могут управлять возможностями обратимого удаления на портале, некоторые из них доступны только для просмотра, жесткого удаления или восстановления с помощью API Microsoft Graph deletedItems.
Свойства, поддерживаемые в состоянии обратимого удаления
Тип объекта | Важные свойства сохраняются |
---|---|
Пользователи (включая внешних пользователей) | Все свойства, включая ObjectID, членство в группах, роли, лицензии и назначения приложений |
Microsoft 365 Groups | Все свойства, поддерживаемые, включая ObjectID, членство в группах, лицензии и назначения приложений |
Регистрация приложения | Сохраняются все свойства. Дополнительные сведения см. после этой таблицы. |
Субъект-служба | Все свойства, поддерживаемые |
Административная единица (AU) | Все свойства, поддерживаемые |
Пользователи
Список пользователей, находящихся в состоянии обратимого удаления можно просмотреть на портале Azure на странице Пользователи | удаленные пользователи.
Дополнительные сведения о восстановлении пользователей см. в следующей документации:
- Сведения о восстановлении на портале Azure см. в статье Восстановление или окончательное удаление недавно удаленного пользователя.
- Сведения о восстановлении с помощью Microsoft Graph см. в статье Восстановление удаленного элемента — Microsoft Graph версии 1.0.
Группы
Группы Microsoft 365, находящиеся в состоянии обратимого удаления, можно просмотреть на портале Azure на странице Группы | Удаленные группы.
Дополнительные сведения о восстановлении групп Microsoft 365, находящихся в состоянии обратимого удаления, см. в следующей документации:
- Сведения о восстановлении на портале Azure см. в разделе Восстановление удаленной группы Microsoft 365.
- Сведения о восстановлении с помощью Microsoft Graph см. в статье Восстановление удаленного элемента — Microsoft Graph версии 1.0.
Приложения и субъекты-службы
Приложения имеют два объекта: регистрацию приложения и субъект-службу. Дополнительные сведения о различиях между регистрацией и субъектом-службой см. в разделе "Приложения и субъекты-службы" в идентификаторе Microsoft Entra ID.
Чтобы восстановить приложение на портале Azure, выберите Регистрации приложений>Удаленные приложения. Выберите регистрацию приложения, которую необходимо восстановить, а затем выберите Восстановить регистрацию приложения.
В настоящее время субъекты-службы могут быть перечислены, просматриваются, жестко удаляются или восстанавливаются с помощью API Microsoft Graph deletedItems. Сведения о восстановлении приложений с помощью Microsoft Graph см. в статье "Восстановление удаленного элемента " Microsoft Graph версии 1.0.".
Административные единицы
AUs можно перечислять, просматривать или восстанавливать с помощью API DeletedItems Microsoft Graph. Сведения о восстановлении единиц AUS с помощью Microsoft Graph см. в статье "Восстановление удаленного элемента " Microsoft Graph версии 1.0.. После удаления AU он остается в обратимом удаленном состоянии и может быть восстановлен в течение 30 дней, но его нельзя удалить в течение этого времени. Обратимое удаление единиц AUS жестко удаляется автоматически через 30 дней.
Необратимые удаления
Жесткое удаление — это постоянное удаление объекта из клиента Microsoft Entra. Объекты, которые не поддерживают обратимое удаление, удаляются таким образом. Соответственно объекты, находящиеся в состоянии обратимого удаления, через 30 дней переходят в состояние необратимого удаления. Обратимое удаление поддерживается только для следующих типов объектов:
- Пользователи
- Microsoft 365 Groups
- Регистрация приложения
- Субъект-служба
- Административная единица
Внимание
Для элементов всех других типов выполняется необратимое удаление. Когда элемент удаляется необратимо, его нельзя восстановить. Его придется создавать заново. Элементы, находящиеся в состоянии необратимого удаления не смогут восстановить ни администраторы, ни корпорация Майкрософт. Подготовьтесь к этой ситуации, предусмотрев процессы и документацию, чтобы свести к минимуму потенциальные нарушения работы в результате необратимого удаления.
Сведения о подготовке и документирование текущих состояний см. в разделе Рекомендации по обеспечению возможности восстановления.
Когда чаще всего происходит необратимое удаление
Жесткие удаления могут возникать в следующих обстоятельствах.
Переход из состояния обратимого удаления к необратимому:
- Обратимо удаленный объект не был восстановлен в течение 30 дней.
- Администратор намеренно удаляет объект, находящийся в состоянии обратимого удаления.
Прямое необратимое удаление:
- Удаленный тип объекта не поддерживает обратимое удаление.
- Администратор выбирает окончательное удаление элемента с помощью портала, обычно это делается по запросу.
- Скрипт автоматизации запускает удаление объекта с помощью Microsoft Graph или PowerShell. Скрипт автоматизации достаточно часто используется для очистки устаревших объектов. Надежный процесс понижения уровня для объектов в клиенте помогает избежать ошибок, которые могут привести к массовому удалению критически важных объектов.
Восстановление после необратимого удаления
Необратимо удаленные элементы необходимо создать и настроить заново. Рекомендуется избегать нежелательных необратимых удалений.
Просмотр обратимо удаленных объектов
Убедитесь, что у вас есть процесс для частого просмотра элементов в состоянии обратимого удаления и восстановления их при необходимости. Для этого необходимо:
- Регулярно отображать список удаленных элементов.
- Подготовить критерии того, что следует восстанавливать.
- Назначить определенные роли или пользователей для оценки и восстановления элементов соответствующим образом.
- Разработать и протестировать план управления непрерывностью. Дополнительные сведения см. в разделе Рекомендации по составлению плана управления непрерывностью бизнес-процессов Enterprise.
Дополнительные сведения о предотвращении нежелательных удалений см. в следующих разделах статьи Рекомендации по обеспечению возможности восстановления:
- Планирование для обеспечения непрерывности бизнес-процессов и аварийного восстановления
- Описание известных исправных состояний
- Мониторинг и хранение данных