Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
管理Microsoft Entra ID中的删除是维护组织标识基础结构的完整性和可用性的关键方面。 本文提供了一个全面的指南,用于了解软删除与硬删除、监视删除以及恢复或重新创建Microsoft Entra租户中的对象之间的差异。 无论你是处理意外删除还是准备恢复策略,本指南都提供知识和工具,以最大程度地减少中断并确保连续性。 有关基础见解,请从 可恢复性最佳做法开始。
监控删除情况
Microsoft Entra审核日志包含有关租户中执行的所有删除操作的信息。 将这些日志导出到安全信息和事件管理工具,例如 Microsoft Sentinel。
使用Microsoft Graph审核更改,并生成自定义解决方案来监视一段时间内的差异。 有关如何使用 Microsoft Graph 查找已删除项的详细信息,请参阅 List 已删除的项目 - Microsoft Graph v1.0。
审核日志
当租户中的对象通过软删除或硬删除从活动状态中移除时,审计日志始终记录“删除 <对象>”事件。
应用程序、用户、Microsoft 365 组和云安全组的删除事件属于软删除。 对于任何其他对象类型,这是硬删除。 通过将“删除 <>”事件与已删除对象的类型进行比较来跟踪硬删除事件的发生。 注意不支持软删除的事件。 请注意“硬删除 <对象>”事件。
| 对象类型 | 日志中的活动 | 结果 |
|---|---|---|
| 应用程序 | 删除应用程序 | 已软删除 |
| 应用程序 | 硬删除应用程序 | 已硬删除 |
| 用户 | 删除用户 | 已软删除 |
| 用户 | 硬删除用户 | 已硬删除 |
| Microsoft 365组 | 删除组 | 已软删除 |
| Microsoft 365组 | 硬删除组 | 已硬删除 |
| 云安全组 | 删除组 | 已软删除 |
| 云安全组 | 硬删除组 | 已硬删除 |
| 所有其他对象 | 删除“objectType” | 已硬删除 |
注意
审核日志无法区分已删除组的组类型。 已软删除 Microsoft 365 组和云端安全组。 如果看到“删除组”条目,可能是Microsoft 365组或云安全组的软删除,或者硬删除其他类型的组。
重要的是,您的已知良好状态文档应包含组织中每个组的组类型。 若要了解有关记录已知良好状态的详细信息,请参阅可恢复性最佳做法。
监视支持票证
有关访问特定对象的支持请求数量的突然增加,表明可能是由于发生了删除。 由于某些对象具有依赖项,因此删除用于访问应用程序、应用程序本身或面向应用程序的条件访问策略的组可能会导致广泛、突然的影响。 如果看到这样的趋势,请检查以确保没有删除访问所需的对象。
软删除
当用户、Microsoft 365 Groups、云安全组或应用程序注册等对象被软删除时,会进入暂停状态,而其他服务无法使用这些对象。 在此状态下,项目保留其属性,并且可以在30天内恢复。 30 天后,将永久删除或硬删除处于软删除状态的对象。
注意
无法从硬删除状态还原对象。 重新创建并重新配置它们。
软删除发生时
了解环境中发生对象删除的原因有助于为它们做好准备。 本部分概述了按对象类进行软删除的常见场景。 你可能会看到组织特有的情况,因此发现过程是准备的关键。
用户
使用Microsoft Entra管理中心、Microsoft Graph或 PowerShell 删除用户对象时,用户将进入软删除状态。
删除用户的常见方案包括:
- 管理员删除Microsoft Entra管理中心中的用户,以响应请求或作为常规用户维护的一部分。
- Microsoft Graph或 PowerShell 中的自动化脚本将触发删除。 例如,你可能有一个脚本,用于删除未登录指定时间的用户。
- 用户退出与 Microsoft Entra Connect 同步的范围。
- 用户停用,从 HR 系统中删除,并通过自动化工作流解除权限。
组
删除组的最常见方案包括:
- 管理员有意删除组,例如为了响应支持请求。
- Microsoft Graph或 PowerShell 中的自动化脚本将触发删除。 例如,你可能有一个脚本,用于删除组所有者在指定时间内未访问或未确认的组。
- 非管理员拥有的组被无意删除。
应用程序对象和服务主体
删除应用程序的最常见方案包括:
- 管理员有意删除应用程序,例如为了响应支持请求。
- Microsoft Graph或 PowerShell 中的自动化脚本将触发删除。 例如,可能需要删除不再使用或管理的废弃应用程序的过程。 通常,为应用程序创建一个卸载过程,而不是编写脚本以避免意外删除。
删除应用程序时,应用程序注册默认进入软删除状态。 若要了解应用程序注册和服务主体之间的关系,请参阅 Microsoft Entra ID 中的 应用和服务主体 - Microsoft 标识平台。
管理单元
最常见的删除情况是意外删除了仍然需要的管理单元。
从软删除中恢复
并非所有对象类都在Microsoft Entra管理中心管理软删除功能。 某些项仅使用 deletedItems Microsoft Graph API列出、查看、硬删除或还原。
软删除后维持的属性
| 对象类型 | 被维持的重要属性 |
|---|---|
| 用户 (包括外部用户) | 维持的所有属性,包括 ObjectID、组成员身份、角色、许可证、应用程序分配 |
| Microsoft 365 Groups | 维持的所有属性,包括 ObjectID、组成员身份、许可证、应用程序分配 |
| 云安全组 | 所有被维护的属性,包括 ObjectID、组成员身份和应用程序分配。 |
| 应用程序注册 | 所有属性均已维护。 请参阅此表后的更多信息。 |
| 服务主体 | 所有属性保持不变 |
| 管理单元 | 所有属性保持不变 |
| 条件访问策略 | 所有属性保持不变 |
| 命名位置 | 所有属性保持不变 |
用户
可以在 Azure 门户的 用户 | 已删除的用户 页看到软删除的用户。
有关如何还原用户的详细信息,请参阅以下文档:
- 若要从 Azure 门户还原,请参阅 Restore 或永久删除最近删除的用户。
- 若要使用 Microsoft Graph 进行还原,请参阅 Restore 已删除的项 - Microsoft Graph v1.0。
组
可以在 Azure 门户的 Groups | 已删除的组 页上看到软删除的 Microsoft 365 组和云安全组。
重要
在以下情况下,不支持安全组的软删除:
- 使用 OneDrive for Business (OBD) 存储的 EDU 租户
- 使用经典 Web 部件进行受众定位(适用于所有租户)
有关如何恢复已软删除的 Microsoft 365 组和云安全组的详细信息,请参阅以下文档:
- 要从 Azure 门户进行还原,请参阅还原已删除的 Microsoft 365 组。
- 若要使用 Microsoft Graph 进行还原,请参阅 Restore 已删除的项 - Microsoft Graph v1.0。
应用程序和服务主体
应用程序包括两个对象:应用程序注册和服务主体。 有关注册与服务主体之间差异的详细信息,请参阅 Microsoft Entra ID 中的 应用 和 服务主体。
若要从 Microsoft Entra 管理中心还原应用程序,请浏览到 Entra ID>App registrations>Deleted applications。 选择要还原的应用程序注册,然后选择“还原应用注册”。
可以使用 deletedItems Microsoft Graph API列出、查看、硬删除或还原服务主体。 若要使用 Microsoft Graph 还原应用程序,请参阅 Restore 已删除的项 - Microsoft Graph v1.0.。
管理单元
可以通过 deletedItems Microsoft Graph API列出、查看或还原管理单元。 若要使用 Microsoft Graph 还原管理单元,请参阅 Restore 已删除的项 - Microsoft Graph v1.0.。 删除管理单元后,它仍处于软删除状态,可以还原 30 天,但在此期间无法硬删除。 软删除的管理单元在 30 天后自动被硬删除。
条件访问策略
还原后,应查看并验证条件访问策略配置,以确保其按预期运行。
要还原条件访问策略:
- 登录到 Microsoft Entra 管理中心,身份至少为 条件访问管理员。
- 浏览到 Entra ID>条件访问>已删除的策略(预览版)。
- 选择策略最右边的省略号(...)以进行还原。
- 选择 还原。
- 在 “还原条件访问策略” 对话框中,可以选择在 “仅报告”模式下 还原策略,或将其保留为删除时的状态(可能为 “打开”)。 进行选择,然后选择还原。
警告
将策略还原到其以前的状态可能会导致意外后果。 Microsoft建议管理员先在“仅报告”模式下还原其策略,然后花时间查看和启用。
命名位置
命名位置在被标记为受信任时不能被删除,而从软删除中恢复后,它们不会自动被标记为受信任。 在还原后的检查中,应检查所有已恢复的命名位置,然后再将其标记为受信任。
为了恢复具有名称的位置,请按照以下步骤操作:
- 登录到 Microsoft Entra 管理中心,身份至少为条件访问管理员。
- 浏览到 Entra ID>条件访问>命名位置>已删除的命名位置(预览版)。
- 选择要还原的位置最右侧的省略号(...)。
- 选择 还原。
- 在 “还原选定的命名位置?” 对话框中,选择“ 还原”。
硬删除
硬删除会永久地从您的Microsoft Entra租户中彻底移除对象。 以这种方式删除不支持软删除的对象。 软删除的对象在 30 天后也会硬删除。 只有这些对象类型支持软删除:
- 用户
- Microsoft 365 Groups
- 云安全组
- 应用程序注册
- 服务主体
- 管理单元
- 条件访问策略
- 命名位置
重要
所有其他项类型都是硬删除的,无法还原。 必须重新创建它们。 管理员和Microsoft无法还原硬删除的项目。 通过创建流程和文档来最大程度地减少中断,从而做好准备。
有关准备和记录当前状态的信息,请参阅可恢复性最佳做法。
硬删除通常发生的时机
在以下情况下,可能会发生硬删除:
从软删除到硬删除:
- 未在 30 天内恢复的对象为软删除对象。
- 管理员有意删除处于软删除状态的对象。
注意
在应用程序的“signInAudience”值设为“AzureADMultipleOrgs”、“AzureADandPersonalMicrosoftAccount”或“PersonalMicrosoftAccount”时,即使过了30天,应用程序对象也不会被自动硬删除。 在这种情况下,应手动删除应用程序对象。
直接硬删除:
- 已删除的对象类型不支持软删除。
- 管理员选择使用门户永久删除项目,这通常是为了响应请求。
- 自动化脚本使用 Microsoft Graph 或 PowerShell 触发对象删除。 自动化脚本通常用于清理过时的对象。 可靠的卸载过程有助于避免导致大量删除关键对象的错误。
从硬删除中恢复
需要重新创建和重新配置已经硬删除的项目。 避免不需要的硬删除是最好的。
查看软删除的对象
确保有一个过程来定期查看处于软删除状态的项目,并在需要时还原它们。 准备工作:
- 定期 列出已删除的项目。
- 定义要还原的具体条件。
- 分配特定角色或用户以根据需要评估和还原项。
- 创建并测试连续性管理计划。 在 企业业务连续性管理计划的注意事项中了解详细信息。
后续步骤
了解如何在最佳可恢复性实践中避免不必要的删除。