Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
在 Microsoft Entra ID 中管理删除是维护组织标识基础结构完整性和可用性的关键方面。 本文提供了一个全面的指南,用于了解软删除与硬删除之间的差异、监视删除以及恢复或重新创建 Microsoft Entra 租户中的对象。 无论你是处理意外删除还是准备恢复策略,本指南都提供知识和工具,以最大程度地减少中断并确保连续性。 有关基础见解,请从 可恢复性最佳做法开始。
监视删除
Microsoft Entra 审核日志包含有关租户中执行的所有删除操作的信息。 将这些日志导出到安全信息和事件管理工具,例如 Microsoft Sentinel。
使用 Microsoft Graph 审核更改,并生成自定义解决方案来监视一段时间内的差异。 有关如何使用 Microsoft Graph 查找已删除项的详细信息,请参阅列出已删除项 - Microsoft Graph v1.0。
审核日志
当租户中的对象通过软删除或硬删除从活动状态中移除时,审核日志始终记录“删除 <object>”事件。
应用程序、用户和 Microsoft 365 组的删除事件是软删除。 对于任何其他对象类型,这是硬删除。 通过将“删除 <>”事件与已删除对象的类型进行比较来跟踪硬删除事件的发生。 注意不支持软删除的事件。 另请注意“硬删除 <object>”事件。
| 对象类型 | 日志中的活动 | 结果 |
|---|---|---|
| 应用程序 | 删除应用程序 | 已软删除 |
| 应用程序 | 硬删除应用程序 | 已硬删除 |
| 用户 | 删除用户 | 已软删除 |
| 用户 | 硬删除用户 | 已硬删除 |
| Microsoft 365 组 | 删除组 | 已软删除 |
| Microsoft 365 组 | 硬删除组 | 已硬删除 |
| 所有其他对象 | 删除“objectType” | 已硬删除 |
注意
审核日志无法区分已删除组的组类型。 只有 Microsoft 365 组被软删除。 如果看到“删除组”条目,可能是 Microsoft 365 组的软删除或其他类型的组的硬删除。
重要的是,已知良好状态的文档中应包含组织中每个组的组类型。 若要了解有关记录已知良好状态的详细信息,请参阅可恢复性最佳做法。
监视支持票证
有关访问特定对象的支持请求数量的突然增加,表明可能是由于发生了删除。 由于某些对象具有依赖项,因此删除用于访问应用程序、应用程序本身或面向应用程序的条件访问策略的组可能会导致广泛、突然的影响。 如果看到这样的趋势,请检查以确保没有删除访问所需的对象。
软删除
当用户、Microsoft 365 组或应用程序注册等对象被软删除时,它们会进入暂停状态,而其他服务无法使用它们。 在此状态下,项目保留其属性,并且可以在30天内恢复。 30 天后,将永久删除或硬删除处于软删除状态的对象。
注意
无法从硬删除状态还原对象。 重新创建并重新配置它们。
软删除发生时
了解环境中发生对象删除的原因有助于为它们做好准备。 本部分概述了按对象类进行软删除的常见场景。 你可能会看到组织特有的情况,因此发现过程是准备的关键。
用户
使用 Microsoft Entra 管理中心、Microsoft Graph 或 PowerShell 删除用户对象时,用户将进入软删除状态。
删除用户的常见方案包括:
- 管理员删除 Microsoft Entra 管理中心中的用户,以响应请求或作为日常用户维护的一部分。
- Microsoft Graph 或 PowerShell 中的自动化脚本会触发删除。 例如,你可能有一个脚本,用于删除未登录指定时间的用户。
- 用户退出与 Microsoft Entra Connect 同步的范围。
- 用户停用,从 HR 系统中删除,并通过自动化工作流解除权限。
Microsoft 365 组
删除Microsoft 365 组的最常见方案包括:
- 管理员有意删除组,例如为了响应支持请求。
- Microsoft Graph 或 PowerShell 中的自动化脚本会触发删除。 例如,你可能有一个脚本,用于删除组所有者在指定时间内未访问或未确认的组。
- 无意删除非管理员拥有的组。
应用程序对象和服务主体
删除应用程序的最常见方案包括:
- 管理员有意删除应用程序,例如为了响应支持请求。
- Microsoft Graph 或 PowerShell 中的自动化脚本会触发删除。 例如,可能需要删除不再使用或管理的废弃应用程序的过程。 通常,为应用程序创建一个卸载过程,而不是编写脚本以避免意外删除。
删除应用程序时,应用程序注册默认进入软删除状态。 若要了解应用程序注册与服务主体之间的关系,请参阅 Microsoft Entra ID - Microsoft 标识平台中的应用和服务主体。
管理单元
最常见的删除情况是意外删除了仍然需要的管理单元。
从软删除中恢复
并非所有对象类都在 Microsoft Entra 管理中心管理软删除功能。 某些内容仅使用 deletedItems Microsoft图形 API 列出、查看、硬删除或还原。
软删除后维持的属性
| 对象类型 | 维持的重要属性 |
|---|---|
| 用户 (包括外部用户) | 维持的所有属性,包括 ObjectID、组成员身份、角色、许可证、应用程序分配 |
| Microsoft 365 组 | 维持的所有属性,包括 ObjectID、组成员身份、许可证、应用程序分配 |
| 应用程序注册 | 维持的所有属性。 请参阅此表后的更多信息。 |
| 服务主体 | 维持的所有属性 |
| 管理单元 | 维持的所有属性 |
| 条件访问策略 | 维持的所有属性 |
| 命名位置 | 维持的所有属性 |
用户
可以在 Azure 门户中的“用户 | 已删除用户”页面上看到软删除的用户。
有关如何还原用户的详细信息,请参阅以下文档:
- 若要在 Azure 门户中还原,请参阅还原或永久删除最近删除的用户。
- 若要使用 Microsoft Graph 进行还原,请参阅还原已删除的项目 - Microsoft Graph v1.0。
组
可以在 Azure 门户中的“组 | 已删除组”页面看到软删除的 Microsoft 365 组。
有关如何还原软删除的 Microsoft 365 组的详细信息,请参阅以下文档:
- 若要在 Azure 门户中还原,请参阅还原已删除的 Microsoft 365 组。
- 若要使用 Microsoft Graph 进行还原,请参阅还原已删除的项目 - Microsoft Graph v1.0。
应用程序和服务主体
应用程序包括两个对象:应用程序注册和服务主体。 有关注册与服务主体区别的详细信息,请参阅 Microsoft Entra ID 中的应用和服务主体。
若要从 Microsoft Entra 管理中心还原应用程序,请浏览到 Entra ID>应用注册>已删除的应用程序。 选择要还原的应用程序注册,然后选择“还原应用注册”。
可以使用 deletedItems Microsoft图形 API 列出、查看、硬删除或还原服务主体。 若要使用 Microsoft Graph 还原应用程序,请参阅还原已删除的项 - Microsoft Graph v1.0。
管理单元
可以利用 Microsoft Graph API 的 deletedItems 功能来列出、查看或还原管理单元。 若要使用 Microsoft Graph 还原管理单元,请参阅 还原已删除的项 - Microsoft Graph v1.0.。 删除管理单元后,它仍处于软删除状态,可以还原 30 天,但在此期间无法硬删除。 软删除的管理单元在 30 天后自动被硬删除。
条件访问策略
还原后,应查看并验证条件访问策略配置,以确保其按预期运行。
要还原条件访问策略:
- 至少以条件访问管理员的身份登录到Microsoft Entra 管理中心。
- 浏览到 Entra ID>条件访问>已删除的策略(预览版)。
- 选择策略最右边的省略号(...)以进行还原。
- 选择“还原”。
- 在 “还原条件访问策略” 对话框中,可以选择在“仅报告”模式下还原策略,或将其保留为删除时的状态(可能为 “打开”)。 进行选择,然后选择还原。
警告
将策略还原到其以前的状态可能会导致意外后果。 Microsoft建议管理员先在“仅报告”模式下还原其策略,然后花时间查看和启用。
命名位置
命名位置在被标记为受信任时不能被删除,而从软删除中恢复后,它们不会自动被标记为受信任。 在还原后的检查中,应检查所有已恢复的命名位置,然后再将其标记为受信任。
为了恢复具有名称的位置,请按照以下步骤操作:
- 至少以条件访问管理员的身份登录到Microsoft Entra 管理中心。
- 浏览到 Entra ID>条件访问>命名位置>已删除的命名位置(预览版)。
- 选择要还原的位置最右侧的省略号(...)。
- 选择“还原”。
- 在 “还原选定的命名位置?” 对话框中,选择“ 还原”。
硬删除
硬删除会永久删除Microsoft Entra 租户中的对象。 以这种方式删除不支持软删除的对象。 软删除的对象在 30 天后也会硬删除。 只有这些对象类型支持软删除:
- 用户
- Microsoft 365 组
- 应用程序注册
- 服务主体
- 管理单元
- 条件访问策略
- 命名位置
重要
所有其他项类型都是硬删除的,无法还原。 必须重新创建它们。 管理员和Microsoft无法还原硬删除的项目。 通过创建流程和文档来最大程度地减少中断,从而做好准备。
有关准备和记录当前状态的信息,请参阅可恢复性最佳做法。
通常发生硬删除时
在以下情况下,可能会发生硬删除:
从软删除到硬删除:
- 未在 30 天内恢复的对象为软删除对象。
- 管理员有意删除处于软删除状态的对象。
直接硬删除:
- 已删除的对象类型不支持软删除。
- 管理员选择使用门户永久删除项目,这通常是为了响应请求。
- 自动化脚本使用 Microsoft Graph 或 PowerShell 触发对象删除。 自动化脚本通常用于清理过时的对象。 可靠的卸载过程有助于避免导致大量删除关键对象的错误。
从硬删除中恢复
需要重新创建和重新配置已经硬删除的项目。 避免不需要的硬删除是最好的。
查看软删除的对象
确保有一个过程来定期查看处于软删除状态的项目,并在需要时还原它们。 准备工作:
- 定期 列出已删除的项目。
- 定义要还原的具体条件。
- 分配特定角色或用户以根据需要评估和还原项。
- 创建并测试连续性管理计划。 在 企业业务连续性管理计划的注意事项中了解详细信息。
后续步骤
了解如何在最佳可恢复性实践中避免不必要的删除。