可恢复性最佳做法

租户将发生意外删除和配置错误。 若要最大程度地减少这些意外事件的影响,必须针对这些事件的出现做好准备。

可恢复性是准备过程和功能,使你能够在意外更改后将服务返回到以前的运行状态。 意外的更改包括 Microsoft Entra 租户中的应用程序、组、用户、策略和其他对象的软或硬删除或错误配置。

可恢复性有助于组织提高复原能力。 复原能力虽然与它相关,但有所不同。 复原能力指能经受系统组件中断并在对业务、用户、客户和操作影响最小的情况下恢复的能力。 有关如何提高系统复原能力的详细信息,请参阅使用 Microsoft Entra ID 生成复原标识和访问管理

本文介绍如何最好地针对删除和错误配置做好准备,以最大程度地减少对组织业务造成的意外后果。

删除和配置错误

删除和配置错误对租户的影响不同。

删除

删除的影响取决于对象类型。

用户、Microsoft 365 组和应用程序可以被“软删除”。 被软删除的项会被发送到 Microsoft Entra ID 回收站。 在回收站中,项不可用。 但是,它们会保留其所有属性,并且可以通过 Microsoft 图形 API 调用或 Azure 门户还原。 未在 30 天内还原的具有软删除状态的项会被永久删除或“硬删除”。

此图显示先将用户、Microsoft 365 组和应用程序软删除,然后再在 30 天后将其硬删除。

重要

选择删除所有其他对象类型时,将被立即硬删除。 如果硬删除对象,无法恢复该对象。 必须重新创建和重新配置对象。

有关删除以及如何从中恢复的详细信息,请参阅从删除中恢复

错误配置

错误配置是资源或策略的配置,它与组织策略或计划不同,并且会导致意外或不必要的后果。 租户范围设置或条件访问策略配置不当可能会严重影响组织的安全和公共形象。 配置不当可能会导致:

  • 更改管理员、租户用户和外部用户与租户中资源交互的方式。
  • 更改用户与其他租户交互的能力,以及外部用户与租户交互的能力。
  • 导致拒绝服务。
  • 中断数据、系统和应用程序之间的依赖关系。

有关错误配置以及如何从中恢复的详细信息,请参阅从错误配置中恢复

共担责任

可恢复性是 Microsoft(作为你的云服务提供商)和你的组织之间的共同责任。

此图显示 Microsoft 和客户在进行规划和恢复时共担的责任。

可以使用 Microsoft 提供的工具和服务来针对删除和配置错误做好准备。

业务连续性和灾难恢复计划

还原硬删除或配置错误的项是一个资源密集型过程。 可以通过提前规划来最大程度地减少所需的资源。 请考虑让特定的管理员团队负责还原。

测试还原过程

为不同的对象类型排练还原过程,以及将作为结果发出的通信内容。 请务必对测试对象执行排练,最好是在测试租户中。

测试计划可以帮助你确定:

  • 对象状态文档的有效性和完整性。
  • 解决问题的通常时间。
  • 适当的通信及其受众。
  • 预期的成功和潜在的挑战。

创建通信过程

创建预定义通信过程,让其他人了解问题以及还原时间线。 在还原通信计划中包括以下几个要点:

  • 要发出的通信类型。请考虑创建预定义的模板。

  • 要接收通信的利益干系人。 包括以下组(如适用):

    • 受影响的业务所有者。
    • 将执行恢复的操作管理员。
    • 业务和技术审批者。
    • 受影响的用户。
  • 定义触发通信的事件,例如:

    • 初始删除。
    • 影响评估。
    • 解决问题的时间。
    • 还原。

文档已知良好状态

定期记录租户及其对象的状态。 然后,如果发生硬删除或错误配置,你就有了恢复路线图。 以下工具可帮助你记录当前状态:

常用的 Microsoft 图形 API

Microsoft 图形 API 可用于导出许多 Microsoft Entra 配置的当前状态。 API 涵盖以下许多场景:关于以前状态的参考资料或从导出副本应用该状态的功能可能对于保持业务运行至关重要。

Microsoft Graph API 根据组织需求高度可自定义。 若要实现备份或参考材料的解决方案,开发人员需要设计代码来查询、存储和显示数据。 许多实现使用联机代码存储库作为此功能的一部分。

用于恢复的有用 APIS

资源类型 参考链接
用户、组和其他目录对象 directoryObject API
用户 API
组 API
应用程序 API
servicePrincipal API
目录角色 directoryRole API
roleManagement API
条件访问策略 条件访问策略 API
设备 设备 API
域 API
管理单元 管理单元 API
删除的项* deletedItems API

*通过提供给有限数量的管理员的访问权限安全地存储这些配置导出。

Microsoft Entra 导出程序可以提供你所需的大部分文档:

  • 验证是否已实现所需的配置。
  • 使用导出程序捕获当前配置。
  • 查看导出,了解未导出的租户的设置,并手动记录这些设置。
  • 使用有限的访问权限将输出存储在安全位置。

注意

旧的多重身份验证门户(对于应用程序代理)中的设置和联合设置可能无法通过 Microsoft Entra 导出程序或 Microsoft Graph API 导出。 Microsoft 365 Desired State Configuration 模块使用 Microsoft Graph 和 PowerShell 检索 Microsoft Entra ID 中许多配置的状态。 此信息可用作参考信息,也可以通过使用 PowerShell Desired State Configuration 脚本重新应用已知良好的状态。

使用条件访问图形 API 来管理代码等策略。 自动执行审批,从预生产环境推广策略、备份和还原、监视更改并提前计划紧急情况。

映射对象之间的依赖关系

删除某些对象可能会导致因依赖关系而产生的连锁反应。 例如,删除用于应用程序分配的安全组将导致属于该组成员的用户无法访问该组分配到的应用程序。

通用依赖项

对象类型 潜在依赖项
应用程序对象 服务主体(企业应用程序)。
分配给应用程序的组。
影响应用程序的条件访问策略。
服务主体 Application 对象。
条件访问策略 分配给策略的用户。
分配给策略的组。
策略针对的服务主体(企业应用程序)。
除 Microsoft 365 组以外的组 分配给组的用户。
向其分配组的条件访问策略。
向其分配组访问权限的应用程序。

监视和数据保留

Microsoft Entra 审核日志包含有关租户中执行的所有删除和配置操作的信息。 建议将这些日志导出到安全信息和事件管理 工具(如 Microsoft Sentinel)。 还可以使用 Microsoft Graph 审核更改并生成自定义解决方案,以监视随时间推移的差异。 有关使用 Microsoft Graph 查找已删除项的详细信息,请参阅列出已删除项 - Microsoft Graph v1.0

审核日志

当租户中的对象从活动状态删除时(从活动到软删除或活动到硬删除),审核日志始终记录“删除 <object>”事件。

屏幕截图显示了审核日志详细信息。

应用程序、服务主体、用户和 Microsoft 365 组的删除事件是软删除。 对于任何其他对象类型,这是硬删除。

对象类型 日志中的活动 结果
应用程序 删除应用程序对象和服务主体 已软删除
应用程序 硬删除应用程序 已硬删除
服务主体 删除服务主体 已软删除
服务主体 硬删除服务主体 已硬删除
用户 删除用户 已软删除
用户 硬删除用户 已硬删除
Microsoft 365 组 删除组 已软删除
Microsoft 365 组 硬删除组 已硬删除
所有其他对象 删除“objectType” 已硬删除

注意

审核日志不区分已删除组的组类型。 只有 Microsoft 365 组被软删除。 如果看到“删除组”条目,可能是 Microsoft 365 组的软删除或其他类型的组的硬删除。 已知良好状态的文档中应包含组织中每个组的组类型。

有关监视配置更改的信息,请参阅从错误配置恢复

使用工作簿跟踪配置更改

Azure Monitor 工作簿可以帮助你监视配置更改。

敏感操作报告工作簿可以帮助识别可能指示盗用的可疑应用程序和服务主体活动,包括:

  • 修改后的应用程序或服务主体凭据或身份验证方法。
  • 向服务主体授予的新权限。
  • 服务主体的目录角色和组成员身份更新。
  • 经过修改的联合身份验证设置。

跨租户访问活动工作簿可帮助你监视用户正在访问外部租户中的哪些应用程序,以及外部用户正在访问你的租户中的哪些应用程序。 使用此工作簿可在租户中查找入站或出站应用程序访问中的异常更改。

运营安全

防止不需要的更改比重新创建和重新配置对象要容易得多。 在更改管理过程中包括以下任务,以最大程度地减少事故:

  • 使用最低特权模型。 确保团队中的每个成员都拥有完成日常任务所需的最低权限。 需要制定一个过程来升级更多异常任务的特权。
  • 对象的管理控制支持配置和删除。 对于不需要创建、更新或删除 (CRUD) 操作的任务,请使用权限较低的角色(例如安全读取者角色)。 如果需要 CRUD 操作,请尽可能使用特定于对象的角色。 例如,用户管理员只能删除用户,应用程序管理员只能删除应用程序。 尽可能使用这些受到更多限制的角色。
  • 使用 Privileged Identity Management (PIM)。 PIM 支持实时提升特权来执行硬删除等任务。 可以将 PIM 配置为对特权提升进行通知或审批。

后续步骤