Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Gerenciar exclusões no Microsoft Entra ID é um aspeto crítico para manter a integridade e a disponibilidade da infraestrutura de identidade da sua organização. Este artigo fornece um guia abrangente para entender as diferenças entre exclusões flexíveis e rígidas, monitorar exclusões e recuperar ou recriar objetos em seu locatário do Microsoft Entra. Quer esteja a lidar com eliminações acidentais ou a preparar estratégias de recuperação, este guia fornece-lhe o conhecimento e as ferramentas para minimizar as interrupções e garantir a continuidade. Para obter informações básicas, comece com as práticas recomendadas de capacidade de recuperação.
Monitorizar exclusões
O log de auditoria do Microsoft Entra contém informações sobre todas as operações de exclusão executadas em seu locatário. Exporte esses logs para uma ferramenta de gerenciamento de eventos e informações de segurança, como o Microsoft Sentinel.
Use o Microsoft Graph para auditar alterações e criar uma solução personalizada para monitorar as diferenças ao longo do tempo. Para obter mais informações sobre como localizar itens excluídos usando o Microsoft Graph, consulte Listar itens excluídos - Microsoft Graph v1.0.
Registo de auditoria
O log de auditoria sempre registra um evento "Excluir <objeto>" quando um objeto no locatário é removido de um estado ativo por uma exclusão flexível ou rígida.
Um evento de exclusão para aplicativos, usuários, grupos do Microsoft 365 e grupos de segurança na nuvem é uma exclusão suave. Para qualquer outro tipo de objeto, é uma exclusão difícil. Rastreie a ocorrência de eventos de eliminação permanente comparando os eventos "Eliminar <objeto>" com o tipo de objeto que foi eliminado. Observe os eventos que não suportam exclusão suave. Observe também os eventos "Hard Delete <object>".
| Tipo de objeto | Atividade no log | Resultado |
|---|---|---|
| Aplicação | Eliminar aplicação | Suprimido suavemente |
| Aplicação | Aplicação de eliminação definitiva | Exclusão permanente |
| Utilizador | Eliminar utilizador | Suprimido suavemente |
| Utilizador | Eliminar permanentemente utilizador | Exclusão permanente |
| Grupo Microsoft 365 | Excluir Grupo | Suprimido suavemente |
| Grupo Microsoft 365 | Eliminar definitivamente grupo | Exclusão definitiva |
| Grupo de segurança na nuvem | Excluir Grupo | Suprimido suavemente |
| Grupo de segurança na nuvem | Grupo de exclusão rígida | Excluído permanentemente |
| Todos os outros objetos | Excluir "objectType" | Excluído permanentemente |
Nota
O log de auditoria não distingue o tipo de grupo de um grupo excluído. Os Grupos do Microsoft 365 e os grupos de segurança na nuvem são excluídos suavemente. Se vir uma entrada Eliminar grupo, poderá ser a eliminação suave de um Grupo do Microsoft 365 ou de um grupo de segurança na nuvem ou a eliminação física de outro tipo de grupo.
É importante que a documentação do seu estado conhecido como bom inclua o tipo de grupo para cada grupo na sua organização. Para saber mais sobre como documentar seu bom estado conhecido, consulte Práticas recomendadas de capacidade de recuperação.
Monitorizar chamados de suporte
Um aumento repentino nos tíquetes de suporte sobre o acesso a um objeto específico pode indicar que uma exclusão aconteceu. Como alguns objetos têm dependências, excluir um grupo usado para acessar um aplicativo, um aplicativo em si ou uma política de Acesso Condicional direcionada a um aplicativo pode causar um impacto amplo e repentino. Se você vir uma tendência como essa, verifique se nenhum dos objetos necessários para acesso foi excluído.
Exclusões suaves
Quando objetos como usuários, Grupos do Microsoft 365, grupos de segurança na nuvem ou registros de aplicativos são excluídos suavemente, eles entram em um estado suspenso no qual não estão disponíveis para uso por outros serviços. Nesse estado, os itens mantêm suas propriedades e podem ser restaurados por 30 dias. Após 30 dias, os objetos no estado de exclusão suave são excluídos permanentemente ou excluídos automaticamente.
Nota
Os objetos não podem ser restaurados a partir de um estado de eliminação permanente. Recrie-os e reconfigure-os.
Quando exclusões suaves acontecem
Entender por que as exclusões de objetos acontecem em seu ambiente ajuda você a se preparar para elas. Esta seção descreve cenários freqüentes para exclusão suave por classe de objeto. Você pode ver cenários exclusivos da sua organização, portanto, um processo de descoberta é fundamental para a preparação.
Utilizadores
Os usuários entram em um estado de exclusão suave quando o objeto de usuário é excluído usando o centro de administração do Microsoft Entra, o Microsoft Graph ou o PowerShell.
Os cenários comuns para excluir usuários incluem:
- Um administrador exclui um usuário no centro de administração do Microsoft Entra em resposta a uma solicitação ou como parte da manutenção de rotina do usuário.
- Um script de automação no Microsoft Graph ou PowerShell dispara a exclusão. Por exemplo, você pode ter um script que remove usuários que não entram por um tempo especificado.
- Um usuário sai do escopo de sincronização com o Microsoft Entra Connect.
- Um usuário se aposenta, é removido de um sistema de RH e é desprovisionado por meio de um fluxo de trabalho automatizado.
Grupos
Os cenários mais frequentes para excluir grupos são:
- Um administrador exclui intencionalmente o grupo, por exemplo, em resposta a uma solicitação de suporte.
- Um script de automação no Microsoft Graph ou PowerShell dispara a exclusão. Por exemplo, você pode ter um script que exclui grupos que não são acessados ou atestados pelo proprietário do grupo por um tempo especificado.
- Exclusão não intencional de um grupo pertencente a não-administradores.
Objetos de aplicativo e entidades de serviço
Os cenários mais frequentes para excluir aplicativos são:
- Um administrador exclui intencionalmente o aplicativo, por exemplo, em resposta a uma solicitação de suporte.
- Um script de automação no Microsoft Graph ou PowerShell dispara a exclusão. Por exemplo, você pode querer um processo para excluir aplicativos abandonados que não são mais usados ou gerenciados. Em geral, crie um processo de offboarding para aplicações em vez de usar scripts para evitar eliminações acidentais.
Quando você exclui um aplicativo, o registro do aplicativo por padrão entra no estado de exclusão suave. Para entender a relação entre registros de aplicativos e entidades de serviço, consulte Aplicativos e entidades de serviço no Microsoft Entra ID - Microsoft identity platform.
Unidades administrativas
O cenário mais comum para exclusões é quando as unidades administrativas são excluídas acidentalmente, mas ainda são necessárias.
Recuperar da exclusão suave
Nem todas as classes de objeto gerenciam recursos de exclusão suave no centro de administração do Microsoft Entra. Alguns são apenas listados, visualizados, excluídos permanentemente ou restaurados usando a API deletedItems do Microsoft Graph.
Propriedades mantidas com exclusão suave
| Tipo de objeto | Propriedades importantes mantidas |
|---|---|
| Utilizadores (incluindo utilizadores externos) | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo, funções, licenças e atribuições de aplicativos |
| Grupos do Microsoft 365 | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo, licenças e atribuições de aplicativos |
| Grupos de segurança na nuvem | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo e atribuições de aplicativo |
| Registo de aplicativo | Todas as propriedades mantidas. Veja mais informações após esta tabela. |
| Service principal | Todos os imóveis mantidos |
| Unidade administrativa | Todos os imóveis mantidos |
| Políticas de Acesso Condicional | Todos os imóveis mantidos |
| Localizações com nome | Todos os imóveis mantidos |
Utilizadores
Você pode ver usuários suavemente excluídos no portal do Azure na página Usuários | Usuários excluídos.
Para obter mais informações sobre como restaurar usuários, consulte a seguinte documentação:
- Para restaurar a partir do portal do Azure, consulte Restaurar ou remover permanentemente o utilizador eliminado recentemente.
- Para restaurar usando o Microsoft Graph, consulte Restaurar item excluído – Microsoft Graph v1.0.
Grupos
Você pode ver os Grupos do Microsoft 365 apagados suavemente e os grupos de segurança na nuvem no portal do Azure na página Grupos | Grupos eliminados.
Importante
A eliminação suave para grupos de segurança não é suportada nos seguintes cenários:
- Clientes EDU que usam armazenamento OneDrive for Business (OBD)
- Segmentação de público com partes clássicas da web (todas as instâncias)
Para obter mais informações sobre como restaurar grupos do Microsoft 365 excluídos por software e grupos de segurança na nuvem, consulte a seguinte documentação:
- Para restaurar a partir do portal do Azure, consulte Restaurar um Grupo Microsoft 365 eliminado.
- Para restaurar usando o Microsoft Graph, consulte Restaurar item excluído – Microsoft Graph v1.0.
Aplicações e princípios de serviço
Os objetos de uma aplicação incluem dois elementos: o registo da aplicação e a entidade de serviço. Para obter mais informações sobre as diferenças entre o registro e a entidade de serviço, consulte Aplicativos e entidades de serviço no Microsoft Entra ID.
Para restaurar um aplicativo a partir do centro de administração do Microsoft Entra, navegue até Entra ID>Registros de aplicativos>Aplicativos eliminados. Selecione o registo da aplicação a restaurar e, em seguida, selecione Restaurar registo da aplicação.
Os princípios de serviço podem ser listados, visualizados, excluídos definitivamente ou restaurados usando a Microsoft Graph API deletedItems. Para restaurar aplicativos usando o Microsoft Graph, consulte Restaurar item excluído - Microsoft Graph v1.0..
Unidades administrativas
As unidades administrativas podem ser listadas, visualizadas ou restauradas por meio da API do Microsoft Graph deletedItems. Para restaurar unidades administrativas usando o Microsoft Graph, consulte Restaurar item excluído - Microsoft Graph v1.0.. Quando uma unidade administrativa é excluída, ela permanece em um estado de exclusão suave e pode ser restaurada por 30 dias, mas não pode ser excluída durante esse tempo. As unidades administrativas eliminadas temporariamente são eliminadas permanentemente após 30 dias.
Políticas de Acesso Condicional
Você deve revisar e validar a configuração da política de Acesso Condicional após a restauração para garantir que ela se comporte conforme o esperado.
Para restaurar uma política de acesso condicional:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até Entra ID>Acesso Condicional>Políticas Eliminadas (Pré-visualização).
- Selecione as reticências (...) na extrema direita da política a restaurar.
- Selecione Restaurar.
- Na caixa de diálogo Restaurar política de Acesso Condicional? , você pode optar por restaurar a política no modo Somente Relatório ou deixá-la no estado em que estava quando excluída, o que pode estar Ativado. Faça a sua seleção e selecione Restaurar.
Advertência
Restaurar uma política ao seu estado anterior pode ter consequências indesejadas. A Microsoft recomenda que os administradores restaurem suas políticas no modo somente relatório primeiro e, em seguida, dediquem algum tempo para revisar e habilitar.
Localizações com nome
Os locais nomeados não podem ser excluídos quando marcados como confiáveis e, quando recuperados da exclusão suave, não são marcados como confiáveis. Todos os locais nomeados que forem recuperados devem ser revisados após a restauração, antes de serem novamente marcados como confiáveis.
Para restaurar uma localização nomeada:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até ID Entra>Acesso Condicional>Locais Nomeados>Locais Nomeados Excluídos (Pré-visualização).
- Selecione as reticências (...) na extremidade direita da localização que deseja restaurar.
- Selecione Restaurar.
- Na caixa de diálogo Restaurar o local selecionado denominado?, selecione Restaurar.
Exclusões difíceis
Uma exclusão definitiva remove permanentemente um objeto do tenant do Microsoft Entra. Os objetos que não suportam exclusão suave são removidos dessa maneira. Os objetos eliminados de forma temporária também são eliminados permanentemente após 30 dias. Somente estes tipos de objeto suportam exclusão suave:
- Utilizadores
- Grupos do Microsoft 365
- Grupos de segurança na nuvem
- Registo de aplicação
- Service principal
- Unidade administrativa
- Políticas de Acesso Condicional
- Localizações com nome
Importante
Todos os outros tipos de itens são excluídos e não podem ser restaurados. Têm de ser recriados. Os administradores e a Microsoft não podem restaurar itens apagados. Prepare-se criando processos e documentação para minimizar interrupções.
Para obter informações sobre como preparar e documentar os estados atuais, consulte Práticas recomendadas de capacidade de recuperação.
Quando as exclusões rígidas geralmente ocorrem
Eliminações permanentes podem ocorrer nestas circunstâncias:
Passando de soft para hard delete:
- Um objeto excluído suavemente não é restaurado dentro de 30 dias.
- Um administrador exclui intencionalmente um objeto no estado de exclusão suave.
Nota
Os objetos de aplicação não são excluídos definitivamente automaticamente, mesmo após 30 dias, quando o valor 'signInAudience' das aplicações é definido como um dos seguintes: "AzureADMultipleOrgs", "AzureADandPersonalMicrosoftAccount" ou "PersonalMicrosoftAccount". Nesse caso, os objetos do aplicativo devem ser excluídos manualmente.
Eliminado permanentemente:
- O tipo de objeto que foi excluído não suporta exclusão suave.
- Um administrador opta por excluir permanentemente um item usando o portal, o que normalmente ocorre em resposta a uma solicitação.
- Um script de automação dispara a exclusão do objeto usando o Microsoft Graph ou o PowerShell. Os scripts de automação são comumente usados para limpar objetos obsoletos. Um processo robusto de saída ajuda a evitar erros que podem resultar na exclusão em massa de objetos críticos.
Recuperar da exclusão rígida
Os itens permanentemente excluídos precisam ser recriados e reconfigurados. Evitar exclusões indesejadas é o melhor.
Revisar objetos excluídos suavemente
Certifique-se de que tem um processo para rever regularmente os itens no estado de eliminação suave e restaurá-los, se necessário. Para preparar-se:
- Liste regularmente os itens excluídos.
- Defina critérios específicos para o que restaurar.
- Atribua funções ou usuários específicos para avaliar e restaurar itens conforme necessário.
- Crie e teste um plano de gerenciamento de continuidade. Saiba mais em Considerações para seu Plano de Gerenciamento de Continuidade de Negócios Corporativo.
Próximos passos
Saiba como evitar exclusões indesejadas nas práticas recomendadas de capacidade de recuperação.