分享方式:

從刪除中復原

  • 文章

本文說明從 Microsoft Entra 租用戶的虛刪除和實刪除中復原。 如果您尚未這麼做,請先閱讀可復原性最佳做法,以了解基本知識。

監視刪除情形

Microsoft Entra 稽核記錄包含租用戶中所執行所有刪除作業的相關資訊。 將這些記錄匯出至安全性資訊和事件管理工具,例如 Microsoft Sentinel

您也可以使用 Microsoft Graph 來稽核變更,並建置自訂解決方案來監視一段時間內的差異。 如需如何使用 Microsoft Graph 尋找已刪除項目的詳細資訊,請參閱列出已刪除的項目 - Microsoft Graph v1.0

稽核記錄

稽核記錄在租用戶中的物件遭到虛刪除或實刪除,而從主動狀態中移除時,一律會記錄「刪除<物件>」事件。

顯示稽核記錄具有刪除項目的螢幕擷取畫面。

應用程式、使用者和 Microsoft 365 群組的刪除事件為虛刪除。 對於任何其他物件類型,則為實刪除。 藉由比較「刪除<物件>」事件與已刪除的物件類型,來追蹤實刪除事件的發生次數。 請注意不支援虛刪除的事件。 也請注意「實刪除<物件>」事件。

Object type 記錄中的活動 結果
申請 刪除應用程式 已虛刪除
申請 實刪除應用程式 已實刪除
User 刪除使用者 已虛刪除
User 實刪除使用者 已實刪除
Microsoft 365 群組 刪除群組 已虛刪除
Microsoft 365 群組 實刪除群組 已實刪除
所有其他物件 刪除 “objectType” 已實刪除

注意

稽核記錄不會區分已刪除群組的群組類型。 只會將 Microsoft 365 群組虛刪除。 如果您看到 [刪除群組] 項目,可能是 Microsoft 365 群組的虛刪除,或是另一種群組類型的實刪除。

您已知良好狀態的文件必須包含組織中每個群組的群組類型。 若要深入了解如何記錄已知的良好狀態,請參閱復原性最佳做法

監視支援票證

有關存取特定物件的支援票證突然增加,可能表示已發生刪除。 由於某些物件具有相依性,因此將用來存取應用程式、應用程式本身或以應用程式為目標的條件式存取原則的群組刪除,可能會造成廣泛的突然影響。 如果您看到類似這樣的趨勢,請檢查以確定存取所需的物件全都未遭到刪除。

虛刪除

當使用者、Microsoft 365 群組或應用程式註冊等物件虛刪除時,這些物件會進入暫止狀態,使其他服務無法使用這些物件。 在此狀態中,項目會保留其屬性,並可還原 30 天。 在 30 天後,狀態為已虛刪除的物件會永久刪除或實刪除。

注意

無法從實刪除的狀態還原物件。 必須將物件重新建立並重新設定。

發生虛刪除時

請務必了解在您環境中發生物件刪除的原因,以準備刪除物件。 本節概述依物件類別進行虛刪除的常見案例。 您可能會看到組織特有的案例,因此探索程序是準備的關鍵。

使用者

每當使用 Azure 入口網站、Microsoft Graph 或 PowerShell 刪除使用者物件時,使用者就會進入虛刪除狀態。

使用者刪除最常見的案例為:

  • 系統管理員為回應要求或在例行使用者維護期間,會刻意刪除 Azure 入口網站中的使用者。
  • Microsoft Graph 或 PowerShell 中的自動化指令碼會觸發刪除。 例如,您可能有一個指令碼,可將指定時間內未登入的使用者移除。
  • 已將使用者移出範圍,以便與 Microsoft Entra Connect 進行同步處理。
  • 使用者會從 HR 系統中移除,並透過自動化工作流程取消佈建。

Microsoft 365 群組

所刪除 Microsoft 365 群組最常見的案例為:

  • 系統管理員刻意刪除群組,例如為了回應支援要求。
  • Microsoft Graph 或 PowerShell 中的自動化指令碼會觸發刪除。 例如,您可能會有一個指令碼,可將指定時間內群組擁有者尚未存取或證明的群組刪除。
  • 非系統管理員意外將其擁有的群組刪除。

應用程式物件與服務主體

最常見的應用程式刪除案例為:

  • 系統管理員刻意刪除應用程式,例如為了回應支援要求。
  • Microsoft Graph 或 PowerShell 中的自動化指令碼會觸發刪除。 例如,您可能需要一個程序來刪除不再使用或管理的已放棄應用程式。 一般而言,請為應用程式建立下架程序,而不是編寫指令碼,以避免意外刪除。

當您刪除應用程式時,應用程式註冊預設會進入虛刪除狀態。 若要了解應用程式註冊與服務主體之間的關聯性,請參閱 Microsoft Entra ID 中的應用程式與服務主體 - Microsoft 身分識別平台

管理單位

最常見的刪除案例是在仍需要的情況下意外刪除管理單位(AU)。

從虛刪除中復原

您可以在系統管理入口網站中或使用 Microsoft Graph,還原虛刪除的項目。 並非所有物件類別都可以在入口網站中管理虛刪除功能,只會使用 deletedItems Microsoft Graph API 列出、檢視、實刪除或還原某些類別。

使用虛刪除維護的屬性

Object type 所維護的重要屬性
使用者 (包括外部使用者) 所維護的所有屬性,包括 ObjectID、群組成員資格、角色、授權和應用程式指派
Microsoft 365 群組 所維護的所有屬性,包括 ObjectID、群組成員資格、授權和應用程式指派
應用程式註冊 所維護的所有屬性。 請參閱此資料表之後的詳細資訊。
服務主體 所維護的所有屬性
管理單位 (AU) 所維護的所有屬性

使用者

您可以在 Azure 入口網站中的 [使用者 | 已刪除的使用者] 頁面上看到已虛刪除的使用者。

如需如何還原使用者的詳細資訊,請參閱下列文件:

群組

您可以在 Azure 入口網站的 [群組 | 已刪除的群組] 頁面中看到已虛刪除的 Microsoft 365 群組。

顯示在 Azure 入口網站中還原群組的螢幕擷取畫面。

如需如何還原虛刪除 Microsoft 365 群組的詳細資訊,請參閱下列文件:

應用程式與服務主體

應用程式有兩個物件:應用程式註冊和服務主體。 如需有關註冊與服務主體之間差異的詳細資訊,請參閱 Microsoft Entra ID 中的應用程式與服務主體

若要從 Azure 入口網站還原應用程式,請選取 [應用程式註冊] > [已刪除的應用程式]。 選取要還原的應用程式註冊,然後選取 [還原應用程式註冊]

目前可以透過 deletedItems Microsoft Graph API 列出、檢視、實刪除或還原服務主體。 若要使用 Microsoft Graph 還原應用程式,請參閱還原已刪除的項目 – Microsoft Graph 1.0 版

管理單位

您可以透過 deletedItems Microsoft Graph API 列出、檢視或還原 AU。 若要使用 Microsoft Graph 還原 AU,請參閱還原已刪除的項目 – Microsoft Graph 1.0 版。 一旦刪除 AU,其就會保持虛刪除狀態,而且可以在 30 天內還原,但在此期間無法進行實刪除。 虛刪除的 AU 會在 30 天後自動刪除。

實刪除

實刪除是從 Microsoft Entra 租用戶中永久移除物件。 以這種方式將不支援虛刪除的物件移除。 同樣地,在刪除時間 30 天之後,虛刪除的物件就會實刪除。 支援虛刪除的唯一物件類型為:

  • 使用者
  • Microsoft 365 群組
  • 應用程式註冊
  • 服務主體
  • 系統管理單位

重要

所有其他項目類型都會實刪除。 項目實刪除之後,就無法還原。 必須重新建立。 系統管理員或 Microsoft 都無法還原已實刪除的項目。 請確定您有程序和文件可將來自實刪除的可能中斷情況降到最低,以準備好應付這種情況。

如需關於如何準備及記錄目前狀態的詳細資訊,請參閱復原性最佳做法

通常發生實刪除時

在下列情況下,可能會發生實刪除。

從虛刪除移至實刪除:

  • 虛刪除的物件未在 30 天內還原。
  • 系統管理員刻意將處於虛刪除狀態的物件刪除。

已直接實刪除:

  • 已刪除的物件類型不支援虛刪除。
  • 系統管理員選擇使用入口網站永久刪除項目,通常是為了回應要求而發生。
  • 自動化指令碼會使用 Microsoft Graph 或 PowerShell 來觸發刪除物件。 使用自動化指令碼來清除過時的物件並不常見。 租用戶中的物件使用強固離線程序,可協助您避免發生可能導致大量刪除重要物件的錯誤。

從實刪除中復原

必須重新建立及重新設定實刪除的項目。 盡可能避免不必要的實刪除。

檢閱虛刪除的物件

請確定您有一個程序可經常檢閱處於虛刪除狀態的項目,並視需要加以還原。 若要這樣做,您應該:

如需關於如何避免不必要刪除的詳細資訊,請參閱復原性最佳做法中的下列文章:

  • 商務持續性性和災害規劃
  • 記錄已知的良好狀態
  • 監視和資料保留