Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zarządzanie usunięciami w identyfikatorze Entra firmy Microsoft jest krytycznym aspektem utrzymania integralności i dostępności infrastruktury tożsamości organizacji. Ten artykuł zawiera kompleksowy przewodnik opisujący różnice między usuwaniem miękkim i twardym, monitorowaniem usunięć oraz odzyskiwaniem obiektów lub ich ponownym tworzeniem w dzierżawie Microsoft Entra. Niezależnie od tego, czy masz do czynienia z przypadkowymi usunięciami, czy przygotowujesz strategie odzyskiwania, ten przewodnik zawiera wiedzę i narzędzia, aby zminimalizować zakłócenia i zapewnić ciągłość. Aby uzyskać podstawowe informacje, zacznij od najlepszych rozwiązań dotyczących możliwości odzyskiwania.
Monitorowanie usuwania
Dziennik inspekcji Microsoft Entra zawiera informacje o wszystkich operacjach usuwania wykonywanych w dzierżawie. Wyeksportuj te dzienniki do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń, takimi jak Microsoft Sentinel.
Użyj programu Microsoft Graph do przeprowadzania inspekcji zmian i tworzenia niestandardowego rozwiązania do monitorowania różnic w czasie. Aby uzyskać więcej informacji na temat znajdowania usuniętych elementów przy użyciu programu Microsoft Graph, zobacz List deleted items - Microsoft Graph v1.0 (Wyświetlanie listy usuniętych elementów — Microsoft Graph w wersji 1.0).
Dziennik inspekcji
Dziennik inspekcji zawsze rejestruje zdarzenie "Usuń <obiekt>", gdy obiekt w dzierżawie jest usuwany ze stanu aktywnego przez usunięcie nietrwałe lub twarde.
Zdarzenie usuwania dla aplikacji, użytkowników, grup Microsoft 365 i grup zabezpieczeń w chmurze jest miękkim usunięciem. W przypadku dowolnego innego typu obiektu jest to twarde usunięcie. Śledź wystąpienia zdarzeń trwałego usuwania, porównując zdarzenia "Usuń <obiekt>" z typem usuniętego obiektu. Zwróć uwagę na zdarzenia, które nie obsługują usunięcia miękkiego. Zwróć również uwagę na wydarzenia "Twarde usunięcie <obiektu>".
| Typ obiektu | Aktywność w logu | Wynik |
|---|---|---|
| Aplikacja | Usuwanie aplikacji | Miękkie usunięcie |
| Aplikacja | Aplikacja do trwałego usuwania | Usunięto na stałe |
| Użytkownik | Usuwanie użytkownika | Miękkie usunięcie |
| Użytkownik | Trwałe usunięcie użytkownika | Usunięto trwale |
| Grupa platformy Microsoft 365 | Usuwanie grupy | Usunięte tymczasowo |
| Grupa platformy Microsoft 365 | Trwałe usunięcie grupy | Usunięto na stałe |
| Grupa zabezpieczeń w chmurze | Usuwanie grupy | Tymczasowe usunięcie |
| Grupa zabezpieczeń w chmurze | Twarde usunięcie grupy | Usunięto na stałe |
| Wszystkie inne obiekty | Usuń element "objectType" | Usunięto trwale |
Uwaga
Dziennik inspekcji nie rozróżnia typu usuniętej grupy. Grupy Microsoft 365 i grupy zabezpieczeń w chmurze są usuwane tymczasowo. Jeśli zostanie wyświetlony wpis Usuń grupę, może to być miękkie usunięcie grupy Microsoft 365 lub grupy zabezpieczeń w chmurze albo trwałe usunięcie innego typu grupy.
Ważne jest, aby dokumentacja znanego dobrego stanu zawierała typ grupy dla każdej grupy w organizacji. Aby dowiedzieć się więcej na temat dokumentowania znanego dobrego stanu, zobacz Najlepsze praktyki dotyczące możliwości odzyskiwania.
Monitorowanie zgłoszeń pomocy technicznej
Nagły wzrost liczby zgłoszeń pomocy technicznej dotyczących dostępu do określonego obiektu może wskazywać na to, że nastąpiło usunięcie. Ponieważ niektóre obiekty mają zależności, usunięcie grupy używanej do uzyskiwania dostępu do aplikacji, samej aplikacji lub zasad dostępu warunkowego, które są przeznaczone dla aplikacji, może spowodować szeroki, nagły wpływ. Jeśli widzisz trend podobny do tego, sprawdź, czy żaden z obiektów wymaganych do uzyskania dostępu nie został usunięty.
Usuwanie miękkie
Gdy obiekty, takie jak użytkownicy, grupy platformy Microsoft 365, grupy zabezpieczeń w chmurze lub rejestracje aplikacji, są usuwane nietrwale, wchodzą w stan zawieszenia, w którym nie są one dostępne do użytku przez inne usługi. W tym stanie elementy zachowują swoje właściwości i można je przywrócić przez 30 dni. Po upływie 30 dni obiekty w stanie miękkiego usunięcia zostaną trwale usunięte.
Uwaga
Nie można przywrócić obiektów ze stanu trwale usuniętego. Utwórz je ponownie i skonfiguruj ponownie.
Gdy występują miękkie usunięcia
Zrozumienie, dlaczego usuwanie obiektów ma miejsce w środowisku, pomaga przygotować się do nich. W tej sekcji opisano częste scenariusze usuwania nietrwałego według klasy obiektów. Mogą pojawić się scenariusze, które są unikatowe dla organizacji, więc proces odnajdywania jest kluczem do przygotowania.
Użytkownicy
Użytkownicy przechodzą w stan usunięcia tymczasowego po usunięciu obiektu użytkownika przy użyciu centrum administracyjnego Microsoft Entra, Microsoft Graph lub PowerShell.
Typowe scenariusze usuwania użytkowników obejmują:
- Administrator usuwa użytkownika w centrum administracyjnym firmy Microsoft Entra w odpowiedzi na żądanie lub w ramach rutynowej konserwacji użytkownika.
- Skrypt automatyzacji w programie Microsoft Graph lub programie PowerShell wyzwala usunięcie. Na przykład może istnieć skrypt, który usuwa użytkowników, którzy nie logują się przez określony czas.
- Użytkownik przechodzi poza zakres synchronizacji z firmą Microsoft Entra Connect.
- Użytkownik przechodzi na emeryturę, zostaje usunięty z systemu KADR i zdezaktualizowany za pośrednictwem zautomatyzowanego przepływu pracy.
Grupy
Najczęstsze scenariusze usuwania grup to:
- Administrator celowo usuwa grupę, na przykład w odpowiedzi na żądanie pomocy technicznej.
- Skrypt automatyzacji w programie Microsoft Graph lub programie PowerShell wyzwala usunięcie. Na przykład może istnieć skrypt, który usuwa grupy, do których nie uzyskuje się dostępu, ani nie jest sprawdzany przez właściciela grupy przez określony czas.
- Niezamierzone usunięcie grupy należącej do osób niebędących administratorami.
Obiekty aplikacji i jednostki usługi
Najczęstsze scenariusze usuwania aplikacji to:
- Administrator celowo usuwa aplikację, na przykład w odpowiedzi na żądanie pomocy technicznej.
- Skrypt automatyzacji w programie Microsoft Graph lub programie PowerShell wyzwala usunięcie. Na przykład może być potrzebny proces usuwania porzuconych aplikacji, które nie są już używane ani zarządzane. Ogólnie rzecz biorąc, utwórz proces odłączania dla aplikacji, a nie skryptów, aby uniknąć niezamierzonych operacji usuwania.
Po usunięciu aplikacji rejestracja aplikacji domyślnie wprowadza stan usunięcia nietrwałego. Aby zrozumieć relację między rejestracjami aplikacji i jednostkami usługi, zobacz Aplikacje i jednostki usługi w usłudze Microsoft Entra ID — Platforma tożsamości Microsoft.
Jednostki administracyjne
Najczęstszym scenariuszem usuwania jest to, że jednostki administracyjne zostaną przypadkowo usunięte, ale nadal są potrzebne.
Odzyskiwanie po usunięciu tymczasowym
Nie wszystkie klasy obiektów obsługują funkcje usuwania w trybie soft-delete w centrum administracyjnym Microsoft Entra. Niektóre elementy są tylko wymieniane, wyświetlane, trwale usuwane lub przywracane przy użyciu interfejsu API Microsoft Graph deletedItems.
Właściwości zachowywane w ramach miękkiego usuwania
| Typ obiektu | Zachowane ważne właściwości |
|---|---|
| Użytkownicy (w tym użytkownicy zewnętrzni) | Wszystkie właściwości są utrzymywane, w tym ObjectID, członkostwa w grupach, role, licencje i przypisania aplikacji. |
| Grupy Microsoft 365 | Wszystkie właściwości są zachowane, w tym ObjectID, członkostwa w grupach, licencje i przypisania aplikacji |
| Grupy zabezpieczeń w chmurze | Wszystkie utrzymywane właściwości, w tym ObjectID, członkostwa w grupach i przypisania aplikacji |
| Rejestrowanie aplikacji | Wszystkie właściwości są zachowane. Więcej informacji znajdziesz po tej tabeli. |
| Jednostka usługi | Wszystkie zachowane właściwości |
| Jednostka administracyjna | Wszystkie zachowane właściwości |
| Zasady dostępu warunkowego | Wszystkie zachowane właściwości |
| Nazwane lokalizacje | Wszystkie zachowane właściwości |
Użytkownicy
Użytkownicy miękko usunięci są widoczni w portalu Azure na stronie Użytkownicy | Usunięci użytkownicy.
Aby uzyskać więcej informacji na temat przywracania użytkowników, zobacz następującą dokumentację:
- Aby przywrócić z portalu Azure, odwiedź stronę Przywracanie lub trwałe usuwanie ostatnio usuniętego użytkownika.
- Aby przywrócić przy użyciu programu Microsoft Graph, zobacz Przywracanie usuniętego elementu — Microsoft Graph w wersji 1.0.
Grupy
W portalu Azure można wyświetlić soft-deletowane grupy Microsoft 365 i grupy zabezpieczeń w chmurze na stronie Grupy | Usunięte grupy.
Ważne
Usuwanie częściowe dla grup zabezpieczeń nie działa w poniższych przypadkach:
- Użytkownicy EDU używający przestrzeni dyskowej OneDrive dla Firm (OBD)
- Docelowe grupy odbiorców przy użyciu klasycznych Web Parts (wszystkie środowiska)
Aby uzyskać więcej informacji na temat przywracania nietrwale usuniętych grup platformy Microsoft 365 i grup zabezpieczeń w chmurze, zobacz następującą dokumentację:
- Aby przywrócić z portalu Azure, odwiedź Przywróć usuniętą grupę Microsoft 365.
- Aby przywrócić przy użyciu programu Microsoft Graph, zobacz Przywracanie usuniętego elementu — Microsoft Graph w wersji 1.0.
Aplikacje i zasady usługi
Aplikacje obejmują dwa obiekty: rejestrację aplikacji i jednostkę usługi. Aby uzyskać więcej informacji na temat różnic między rejestracją a jednostką usługi, zobacz Aplikacje i jednostki usługi w usłudze Microsoft Entra ID.
Aby przywrócić aplikację z centrum administracyjnego firmy Microsoft Entra, przejdź do obszaruRejestracje> aplikacji Entra ID>Usunięte aplikacje. Wybierz rejestrację aplikacji do przywrócenia, a następnie wybierz pozycję Przywróć rejestrację aplikacji.
Główne jednostki usługi można wyświetlić listę, wyświetlić, usunąć trwale lub przywrócić przy użyciu interfejsu API Microsoft Graph deletedItems. Aby przywrócić aplikacje przy użyciu programu Microsoft Graph, zobacz Przywracanie usuniętego elementu — Microsoft Graph w wersji 1.0.
Jednostki administracyjne
Jednostki administracyjne można wyświetlać, przeglądać lub przywracać za pośrednictwem interfejsu API Microsoft Graph "deletedItems". Aby przywrócić jednostki administracyjne przy użyciu programu Microsoft Graph, zobacz Przywracanie usuniętego elementu — Microsoft Graph w wersji 1.0.. Gdy jednostka administracyjna zostanie usunięta, pozostaje w stanie miękko usuniętym i może zostać przywrócona przez 30 dni, ale nie można jej trwale usunąć w tym czasie. Miękko usunięte jednostki administracyjne są usuwane automatycznie po 30 dniach.
Zasady dostępu warunkowego
Należy przejrzeć i zweryfikować konfigurację zasad dostępu warunkowego po przywróceniu, aby upewnić się, że działa zgodnie z oczekiwaniami.
Aby przywrócić zasady dostępu warunkowego:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
- Przejdź do obszaru Entra ID> — usunięte zasady dostępu >(wersja zapoznawcza).
- Wybierz trzy kropki (...) po prawej stronie zasady, którą chcesz przywrócić.
- Wybierz przycisk Przywróć.
- W oknie dialogowym Przywracanie zasad dostępu warunkowego? możesz przywrócić zasady w trybie tylko raportowania lub pozostawić je w stanie, w jakim znajdowały się w momencie usunięcia, co może być włączone. Dokonaj wyboru, a następnie wybierz opcję Przywróć.
Ostrzeżenie
Przywrócenie zasad do poprzedniego stanu może mieć niezamierzone konsekwencje. Firma Microsoft zaleca administratorom najpierw przywrócenie zasad w trybie tylko raportowania, a następnie ich przejrzenie i włączenie.
Nazwane lokalizacje
Nie można usuwać nazwanych lokalizacji, gdy są oznaczone jako zaufane, a po odzyskaniu z usunięcia nietrwałego nie są oznaczane jako zaufane. Odzyskane nazwane lokalizacje należy przejrzeć po przywróceniu, zanim ponownie oznaczy się je jako zaufane.
Aby przywrócić nazwaną lokalizację:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
- Przejdź do Entra ID>Dostęp warunkowy>Nazwane lokalizacje>Usunięte nazwane lokalizacje (wersja zapoznawcza).
- Wybierz wielokropek (...) po prawej stronie lokalizacji, którą chcesz przywrócić.
- Wybierz przycisk Przywróć.
- W oknie dialogowym Przywracanie wybranej nazwanej lokalizacji? wybierz pozycję Przywróć.
Twarde usunięcia
Twarde usunięcie trwale usuwa obiekt z dzierżawy Microsoft Entra. Obiekty, które nie obsługują usuwania nietrwałego, są usuwane w ten sposób. Obiekty miękko usunięte są również trwale usunięte po 30 dniach. Tylko te typy obiektów obsługują usuwanie miękkie:
- Użytkownicy
- Grupy Microsoft 365
- Grupy zabezpieczeń w chmurze
- Rejestrowanie aplikacji
- Jednostka usługi
- Jednostka administracyjna
- Zasady dostępu warunkowego
- Nazwane lokalizacje
Ważne
Wszystkie inne typy elementów są trwale usuwane i nie można ich przywrócić. Należy je ponownie utworzyć. Administratorzy i firma Microsoft nie mogą przywrócić usuniętych elementów. Przygotuj się, tworząc procesy i dokumentację, aby zminimalizować zakłócenia.
Aby uzyskać informacje na temat przygotowania do obecnych sytuacji i ich dokumentowania, zobacz Najlepsze praktyki dotyczące możliwości odzyskiwania.
Kiedy zwykle dochodzi do twardych usunięć
W takich okolicznościach mogą wystąpić bezpowrotne usunięcia:
Przejście z usuwania nietrwałego do twardego:
- Obiekt tymczasowo usunięty nie zostaje przywrócony w ciągu 30 dni.
- Administrator celowo usuwa obiekt w stanie usuwania nietrwałego.
Uwaga
Obiekty aplikacji nie są automatycznie usuwane nawet po 30 dniach, gdy wartość parametru aplikacji "signInAudience" jest ustawiona na jedną z następujących: "AzureADMultipleOrgs", "AzureADandPersonalMicrosoftAccount" lub "PersonalMicrosoftAccount". W takim przypadku obiekty aplikacji powinny zostać ręcznie usunięte.
Usunięto bezpośrednio:
- Usunięty typ obiektu nie obsługuje usuwania nietrwałego.
- Administrator decyduje się na trwałe usunięcie elementu przy użyciu portalu, co zazwyczaj ma miejsce w odpowiedzi na żądanie.
- Skrypt automatyzacji wyzwala usunięcie obiektu przy użyciu programu Microsoft Graph lub programu PowerShell. Skrypty automatyzacji są często używane do czyszczenia nieaktualnych obiektów. Niezawodna procedura off-boarding pomaga uniknąć błędów, które mogą spowodować masowe usunięcie krytycznych obiektów.
Odzyskiwanie danych po twardym usunięciu
Elementy trwale usunięte należy ponownie utworzyć i ponownie skonfigurować. Najlepiej unikać niepożądanych twardych usunięć.
Przeglądanie obiektów usuniętych nietrwale
Upewnij się, że masz proces regularnego przeglądania elementów w stanie usuwania nietrwałego i przywracania ich w razie potrzeby. Aby przygotować:
- Regularnie wyświetlaj listę usuniętych elementów.
- Zdefiniuj określone kryteria dotyczące tego, co przywrócić.
- Przypisz określone role lub użytkowników, aby oceniać i przywracać elementy zgodnie z potrzebami.
- Tworzenie i testowanie planu zarządzania ciągłością. Dowiedz się więcej w temacie Considerations for your Enterprise Business Continuity Management Plan (Zagadnienia dotyczące planu zarządzania ciągłością działania w przedsiębiorstwie).
Dalsze kroki
Dowiedz się, jak uniknąć niepożądanych operacji usuwania w artykule Najlepsze rozwiązania dotyczące możliwości odzyskiwania.