从删除中恢复
本文介绍了如何从 Microsoft Entra 租户中的软删除和硬删除中恢复。 如果尚未这样做,请阅读可恢复性最佳做法了解基础知识。
监视删除
Microsoft Entra 审核日志包含有关租户中执行的所有删除操作的信息。 请将这些日志导出到安全信息和事件管理工具,例如 Microsoft Sentinel。
还可以使用 Microsoft Graph 审核更改并生成自定义解决方案,以监视随时间推移的差异。 有关如何使用 Microsoft Graph 查找已删除项的详细信息,请参阅列出已删除项 - Microsoft Graph v1.0。
审核日志
当租户中的对象通过软删除或硬删除从活动状态中移除时,审核日志始终记录“删除 <object>”事件。
应用程序、用户和 Microsoft 365 组的删除事件是软删除。 对于任何其他对象类型,这是硬删除。 通过将“删除 <>”事件与已删除对象的类型进行比较来跟踪硬删除事件的发生。 注意不支持软删除的事件。 另请注意“硬删除 <object>”事件。
对象类型 | 日志中的活动 | 结果 |
---|---|---|
应用程序 | 删除应用程序 | 已软删除 |
应用程序 | 硬删除应用程序 | 已硬删除 |
用户 | 删除用户 | 已软删除 |
用户 | 硬删除用户 | 已硬删除 |
Microsoft 365 组 | 删除组 | 已软删除 |
Microsoft 365 组 | 硬删除组 | 已硬删除 |
所有其他对象 | 删除“objectType” | 已硬删除 |
注意
审核日志不区分已删除组的组类型。 只有 Microsoft 365 组被软删除。 如果看到“删除组”条目,可能是 Microsoft 365 组的软删除或其他类型的组的硬删除。
重要的是,已知良好状态的文档中应包含组织中每个组的组类型。 若要了解有关记录已知良好状态的详细信息,请参阅可恢复性最佳做法。
监视支持票证
有关访问特定对象的支持票证的突然增加可能表明发生了删除。 由于某些对象具有依赖项,因此删除用于访问应用程序的组、应用程序本身或面向应用程序的条件访问策略都可能导致广泛的突然影响。 如果看到这样的趋势,请检查以确保没有删除访问所需的对象。
软删除
当用户、Microsoft 365 组或应用程序注册等对象被软删除时,它们会进入暂停状态,而其他服务无法使用它们。 在此状态下,项会保留其属性,并且 30 天内可以还原。 30 天后,处于软删除状态的对象将被永久删除或硬删除。
注意
无法从硬删除状态还原对象。 必须重新创建并重新配置对象。
发生软删除时
请务必了解为什么环境中会发生对象删除,以为此做好准备。 本部分概述了按对象类进行软删除的常见场景。 你可能会看到组织特有的情况,因此发现过程是准备的关键。
用户
只要使用 Azure 门户、Microsoft Graph 或 PowerShell 删除用户对象,用户就会进入软删除状态。
用户删除的最常见场景包括:
- 管理员有意在 Azure 门户中删除用户,以响应请求或作为日常用户维护的一部分。
- Microsoft Graph 或 PowerShell 中的自动化脚本会触发删除。 例如,你可能有一个脚本,用于删除未在指定时间段内登录的用户。
- 用户被移出与 Microsoft Entra Connect 同步的范围。
- 用户从 HR 系统中移除,并通过自动化工作流撤销。
Microsoft 365 组
删除 Microsoft 365 组最常见的场景包括:
- 管理员有意删除组,例如为了响应支持请求。
- Microsoft Graph 或 PowerShell 中的自动化脚本会触发删除。 例如,你可能有一个脚本,用于删除在指定时间内未被组所有者访问或证明的组。
- 无意删除非管理员拥有的组。
应用程序对象和服务主体
应用程序删除的最常见场景包括:
- 管理员有意删除应用程序,例如为了响应支持请求。
- Microsoft Graph 或 PowerShell 中的自动化脚本会触发删除。 例如,可能需要删除不再使用或管理的废弃应用程序的过程。 通常,为应用程序创建一个卸载过程,而不是编写脚本以避免意外删除。
删除应用程序时,应用程序注册默认进入软删除状态。 若要了解应用程序注册与服务主体之间的关系,请参阅 Microsoft Entra ID - Microsoft 标识平台中的应用和服务主体。
管理单元
删除最常见的情况是,尽管仍需要管理单元 (AU),但却意外删除。
从软删除中恢复
可以在管理门户中或使用 Microsoft Graph 还原软删除的项。 并非所有对象类都可以管理门户中的软删除功能,有些对象类只能使用 deletedItems Microsoft Graph API 列出、查看、硬删除或还原。
软删除后维持的属性
对象类型 | 维持的重要属性 |
---|---|
用户 (包括外部用户) | 维持的所有属性,包括 ObjectID、组成员身份、角色、许可证、应用程序分配 |
Microsoft 365 组 | 维持的所有属性,包括 ObjectID、组成员身份、许可证、应用程序分配 |
应用程序注册 | 维持的所有属性。 请参阅此表后的更多信息。 |
服务主体 | 维持的所有属性 |
管理单元 (AU) | 维持的所有属性 |
用户
可以在 Azure 门户中的“用户 | 已删除用户”页面上看到软删除的用户。
有关如何还原用户的详细信息,请参阅以下文档:
- 若要在 Azure 门户中还原,请参阅还原或永久删除最近删除的用户。
- 若要使用 Microsoft Graph 进行还原,请参阅还原已删除的项目 - Microsoft Graph v1.0。
组
可以在 Azure 门户中的“组 | 已删除组”页面看到软删除的 Microsoft 365 组。
有关如何还原软删除的 Microsoft 365 组的详细信息,请参阅以下文档:
- 若要在 Azure 门户中还原,请参阅还原已删除的 Microsoft 365 组。
- 若要使用 Microsoft Graph 进行还原,请参阅还原已删除的项目 - Microsoft Graph v1.0。
应用程序和服务主体
应用程序有两个对象:应用程序注册和服务主体。 有关注册与服务主体区别的详细信息,请参阅 Microsoft Entra ID 中的应用和服务主体。
若要在 Azure 门户中还原应用程序,请选择“应用注册”>“已删除的应用程序”。 选择要还原的应用程序注册,然后选择“还原应用注册”。
目前,可以通过 deletedItems Microsoft Graph API 列出、查看、硬删除或还原服务主体。 若要使用 Microsoft Graph 还原应用程序,请参阅还原已删除的项 - Microsoft Graph v1.0。
管理单元
可以通过 deletedItems Microsoft Graph API 列出、查看或还原 AU。 若要使用 Microsoft Graph 还原 AU,请参阅还原已删除的项 - Microsoft Graph v1.0。 删除 AU 后,它处于软删除状态并且可以在三十天内还原,但在此期间不能被硬删除。 软删除的 AU 在 30 天后自动被硬删除。
硬删除
硬删除是从 Microsoft Entra 租户中永久删除对象。 以这种方式删除不支持软删除的对象。 同样,软删除的对象在删除 30 天后会被硬删除。 支持软删除的唯一对象类型包括:
- 用户
- Microsoft 365 组
- 应用程序注册
- 服务主体
- 管理单元
重要
将硬删除的所有其他项类型。 如果一个项被硬删除,将无法还原。 必须重新创建。 管理员和 Microsoft 都无法还原硬删除的项。 请通过确保有流程和文档来最大程度地减少硬删除的潜在中断,为这种情况做好准备。
有关准备和记录当前状态的信息,请参阅可恢复性最佳做法。
通常发生硬删除时
在以下情况下,可能会进行硬删除。
从软删除到硬删除:
- 软删除的对象在 30 天内未还原。
- 管理员有意删除处于软删除状态的对象。
直接硬删除:
- 已删除的对象类型不支持软删除。
- 管理员选择使用门户永久删除项目,这通常是为了响应请求。
- 自动化脚本使用 Microsoft Graph 或 PowerShell 触发删除对象。 使用自动化脚本来清理过时的对象并不罕见。 租户中对象的可靠卸载过程可帮助避免可能导致关键对象大规模删除的错误。
从硬删除中恢复
必须重新创建并重新配置硬删除的项。 最好避免不需要的硬删除。
查看软删除的对象
确保有一个流程来经常查看处于软删除状态的项并在适当时还原它们。 为此,必须:
- 经常列出已删除的项目。
- 确保具有应还原的具体条件。
- 确保你被分配了特定的角色或用户,以便根据需要评估和还原项。
- 开发和测试连续性管理计划。 有关详细信息,请参阅企业业务连续性管理计划的注意事项。
若要详细了解如何避免不必要的删除,请参阅可恢复性最佳做法中的以下文章:
- 业务连续性和灾难恢复计划
- 文档已知良好状态
- 监视和数据保留