從刪除復原
本文說明從 Microsoft Entra 租使用者中的軟式和硬式刪除復原。 如果您尚未這麼做,請閱讀 基礎知識的可復原性最佳做法 。
監視刪除
Microsoft Entra 稽核記錄 包含租使用者中執行之所有刪除作業的相關資訊。 將這些記錄匯出至安全性資訊和事件管理工具,例如 Microsoft Sentinel 。
您也可以使用 Microsoft Graph 來稽核變更,並建置自訂解決方案來監視一段時間的差異。 如需如何使用 Microsoft Graph 尋找已刪除專案的詳細資訊,請參閱 列出已刪除的專案 - Microsoft Graph v1.0 。
稽核記錄
稽核記錄檔一律會在租使用者中的物件透過軟式或硬式刪除從作用中狀態中移除時,記錄「刪除 < 物件 > 」事件。
應用程式、使用者和Microsoft 365 群組的刪除事件是虛刪除。 若為任何其他物件類型,則為硬式刪除。 藉由比較「刪除 < 物件 > 」事件與已刪除的物件類型,來追蹤實刪除事件的發生次數。 請注意不支援虛刪除的事件。 另請注意「硬式刪除 < 物件 > 」事件。
Object type | 記錄中的活動 | 結果 |
---|---|---|
應用程式 | 刪除應用程式 | 已虛刪除 |
應用程式 | 硬式刪除應用程式 | 硬式刪除 |
User | 刪除使用者 | 已虛刪除 |
User | 硬式刪除使用者 | 硬式刪除 |
Microsoft 365 群組 | 刪除群組 | 已虛刪除 |
Microsoft 365 群組 | 硬式刪除群組 | 硬式刪除 |
所有其他物件 | 刪除 「objectType」 | 硬式刪除 |
注意
稽核記錄不會區分已刪除群組的群組類型。 只有Microsoft 365 群組虛刪除。 如果您看到 [刪除群組] 專案,可能是 Microsoft 365 群組的虛刪除,或是硬式刪除其他類型的群組。
您已知良好狀態的檔必須包含組織中 每個群組的群組類型。 若要深入瞭解記錄已知良好狀態,請參閱 復原能力最佳做法 。
監視支援票證
有關存取特定物件的支援票證突然增加,可能表示發生刪除。 由於某些物件具有相依性,因此刪除用來存取應用程式、應用程式本身或以應用程式為目標的條件式存取原則的群組,都可能造成廣泛的突然影響。 如果您看到這樣的趨勢,請檢查以確保沒有刪除存取所需的物件。
虛刪除
當使用者、Microsoft 365 群組或應用程式註冊等物件遭到虛刪除時,它們會進入暫停狀態,供其他服務使用。 在此狀態下,專案會保留其屬性,並可還原 30 天。 30 天后,虛刪除狀態中的物件會永久或永久刪除。
注意
無法從硬式刪除狀態還原物件。 必須重新建立和重新設定它們。
虛刪除發生時
請務必瞭解為何在您的環境中發生物件刪除,以便您可以準備刪除物件。 本節概述物件類別虛刪除的常見案例。 您可能會看到組織特有的案例,因此探索程式是準備的關鍵。
使用者
使用者只要使用 Azure 入口網站、Microsoft Graph 或 PowerShell 刪除使用者物件,就會進入虛刪除狀態。
使用者刪除最常見的案例包括:
- 系統管理員會刻意刪除Azure 入口網站中的使用者,以回應要求或做為例行使用者維護的一部分。
- Microsoft Graph 或 PowerShell 中的自動化腳本會觸發刪除。 例如,您可能有一個腳本,可移除尚未登入一段時間的使用者。
- 使用者已移出與 Microsoft Entra 連線同步處理的範圍。
- 使用者會從 HR 系統移除,並透過自動化工作流程取消布建。
Microsoft 365 群組
刪除Microsoft 365 群組最常見的案例如下:
- 系統管理員會刻意刪除群組,例如,以回應支援要求。
- Microsoft Graph 或 PowerShell 中的自動化腳本會觸發刪除。 例如,您可能有一個腳本,可刪除群組擁有者在指定時間內尚未存取或證明的群組。
- 不小心刪除非系統管理員所擁有的群組。
應用程式物件和服務主體
應用程式刪除最常見的案例如下:
- 系統管理員刻意刪除應用程式,例如,回應支援要求。
- Microsoft Graph 或 PowerShell 中的自動化腳本會觸發刪除。 例如,您可能想要刪除不再使用或管理的已放棄應用程式的程式。 一般而言,請為應用程式建立離線程式,而不是編寫腳本,以避免意外刪除。
當您刪除應用程式時,應用程式註冊預設會進入虛刪除狀態。 若要瞭解應用程式註冊和服務主體之間的關聯性,請參閱 Microsoft Entra 識別碼中的應用程式和服務主體 - Microsoft 身分識別平臺 。
管理單位
最常見的刪除案例是意外刪除管理單位(AU),但仍然需要。
從虛刪除復原
您可以在系統管理入口網站中或使用 Microsoft Graph 還原虛刪除的專案。 並非所有物件類別都可以在入口網站中管理虛刪除功能,某些類別只會使用 deletedItems Microsoft Graph API 列出、檢視、硬式刪除或還原。
使用虛刪除維護的屬性
Object type | 維護的重要屬性 |
---|---|
使用者(包括外部使用者) | 維護的所有屬性,包括 ObjectID、群組成員資格、角色、授權和應用程式指派 |
Microsoft 365 群組 | 維護的所有屬性,包括 ObjectID、群組成員資格、授權和應用程式指派 |
應用程式註冊 | 維護的所有屬性。 請參閱此資料表之後的詳細資訊。 |
服務主體 | 維護的所有屬性 |
管理員單位(AU) | 維護的所有屬性 |
使用者
您可以在使用者Azure 入口網站 中看到虛刪除的使用者 |已刪除的使用者 頁面。
如需如何還原使用者的詳細資訊,請參閱下列檔:
- 若要從Azure 入口網站還原,請參閱 還原或永久移除最近刪除的使用者 。
- 若要使用 Microsoft Graph 還原,請參閱 還原已刪除的專案 – Microsoft Graph v1.0 。
群組
您可以在群組上的 Azure 入口網站中看到虛刪除Microsoft 365 群組 |已刪除的群組 頁面。
如需如何還原虛刪除Microsoft 365 群組的詳細資訊,請參閱下列檔:
- 若要從Azure 入口網站還原,請參閱 還原已刪除的 Microsoft 365 群組 。
- 若要使用 Microsoft Graph 還原,請參閱 還原已刪除的專案 – Microsoft Graph v1.0 。
應用程式與服務主體
應用程式有兩個物件:應用程式註冊和服務主體。 如需註冊與服務主體之間差異的詳細資訊,請參閱 Microsoft Entra ID 中的應用程式和服務主體。
若要從Azure 入口網站還原應用程式,請選取 [應用程式註冊 > ][已建立的應用程式]。 選取要還原的應用程式註冊,然後選取 [ 還原應用程式註冊 ]。
目前,服務主體可以透過 deletedItems Microsoft Graph API 列出、檢視、硬式刪除或還原。 若要使用 Microsoft Graph 還原應用程式,請參閱 還原已刪除的專案 - Microsoft Graph v1.0. 。
管理單位
您可以透過 deletedItems Microsoft Graph API 列出、檢視或還原 AU。 若要使用 Microsoft Graph 還原 AU,請參閱 還原已刪除的專案 - Microsoft Graph v1.0. 。 一旦刪除 AU,它就會保持虛刪除狀態,而且可以還原 30 天,但在此期間無法進行硬式刪除。 虛刪除的 AU 會在 30 天后自動刪除。
硬式刪除
硬式刪除是從 Microsoft Entra 租使用者永久移除物件。 以這種方式移除不支援虛刪除的物件。 同樣地,虛刪除的物件會在刪除 30 天后進行硬式刪除。 唯一支援虛刪除的物件類型如下:
- 使用者
- Microsoft 365 群組
- 應用程式註冊
- 服務主體
- 系統管理單位
重要
所有其他專案類型都會硬式刪除。 當專案遭到硬式刪除時,就無法還原。 必須重新建立。 系統管理員和 Microsoft 都無法還原硬式刪除的專案。 請確定您有流程和檔,以將硬式刪除的潛在中斷降到最低,以備妥這種情況。
如需如何準備和記錄目前狀態的資訊,請參閱 復原能力最佳做法 。
通常發生硬式刪除時
在下列情況下,可能會發生硬式刪除。
從虛刪除移至硬式刪除:
- 未在 30 天內還原虛刪除的物件。
- 系統管理員刻意刪除處於虛刪除狀態的物件。
直接實刪除:
- 已刪除的物件類型不支援虛刪除。
- 系統管理員選擇使用入口網站永久刪除專案,這通常會在回應要求時發生。
- 自動化腳本會使用 Microsoft Graph 或 PowerShell 觸發刪除物件。 使用自動化腳本來清除過時的物件並不常見。 租使用者中物件的強固離線程式可協助您避免可能導致大量刪除重要物件的錯誤。
從硬式刪除復原
必須重新建立並重新設定實刪除的專案。 最好避免不必要的硬式刪除。
檢閱虛刪除的物件
請確定您有一個程式,經常檢閱處於虛刪除狀態的專案,並視需要還原這些專案。 若要這樣做,您應該:
- 經常 列出已刪除的專案 。
- 請確定您有應還原之專案的特定準則。
- 請確定您已獲指派特定角色或使用者,以視需要評估及還原專案。
- 開發和測試持續性管理計畫。 如需詳細資訊,請參閱 企業商務持續性管理計畫的 考慮。
如需如何避免不必要刪除的詳細資訊,請參閱復原能力最佳做法 中的 下列文章:
- 商務持續性和災害規劃
- 檔已知良好狀態
- 監視和資料保留