Odzyskiwanie po usunięciu
Ten artykuł dotyczy odzyskiwania po nietrwałych i twardych usunięciach w dzierżawie firmy Microsoft Entra. Jeśli jeszcze tego nie zrobiono, zapoznaj się z najlepszymi rozwiązaniami dotyczącymi możliwości odzyskiwania dla podstawowych informacji.
Monitorowanie usuwania
Dziennik inspekcji firmy Microsoft Entra zawiera informacje o wszystkich operacjach usuwania wykonywanych w dzierżawie. Wyeksportuj te dzienniki do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń, takimi jak Microsoft Sentinel.
Program Microsoft Graph umożliwia również przeprowadzanie inspekcji zmian i tworzenie niestandardowego rozwiązania do monitorowania różnic w czasie. Aby uzyskać więcej informacji na temat znajdowania usuniętych elementów przy użyciu programu Microsoft Graph, zobacz List deleted items - Microsoft Graph v1.0 (Wyświetlanie listy usuniętych elementów — Microsoft Graph w wersji 1.0).
Dziennik inspekcji
Dziennik inspekcji zawsze rejestruje zdarzenie "Usuń <obiekt>", gdy obiekt w dzierżawie jest usuwany ze stanu aktywnego przez usunięcie nietrwałe lub twarde.
Zdarzenie usuwania dla aplikacji, użytkowników i Grupy Microsoft 365 to usuwanie nietrwałe. W przypadku dowolnego innego typu obiektu jest to twarde usunięcie. Śledź wystąpienie zdarzeń usuwania twardego, porównując zdarzenia "Usuń <obiekt>" z typem usuniętego obiektu. Zwróć uwagę na zdarzenia, które nie obsługują usuwania nietrwałego. Zwróć również uwagę na zdarzenia "Hard Delete <object>".
| Object type | Działanie w dzienniku | Result |
|---|---|---|
| Aplikacja | Usuwanie aplikacji | Usuwanie nietrwałe |
| Aplikacja | Aplikacja do usuwania twardego | Usunięto trwale |
| User | Usuwanie użytkownika | Usuwanie nietrwałe |
| User | Użytkownik usuwania twardego | Usunięto trwale |
| Grupa platformy Microsoft 365 | Usuwanie grupy | Usuwanie nietrwałe |
| Grupa platformy Microsoft 365 | Grupa usuwania twardego | Usunięto trwale |
| Wszystkie inne obiekty | Usuń element "objectType" | Usunięto trwale |
Uwaga
Dziennik inspekcji nie rozróżnia typu grupy usuniętej grupy. Tylko Grupy Microsoft 365 są usuwane nietrwale. Jeśli zostanie wyświetlony wpis Usuń grupę, może to być usuwanie nietrwałe grupy platformy Microsoft 365 lub twarde usunięcie innego typu grupy.
Ważne jest, aby dokumentacja znanego dobrego stanu zawierała typ grupy dla każdej grupy w organizacji. Aby dowiedzieć się więcej na temat dokumentowania znanego dobrego stanu, zobacz Najlepsze rozwiązania dotyczące możliwości odzyskiwania.
Monitorowanie biletów pomocy technicznej
Nagły wzrost liczby biletów pomocy technicznej dotyczących dostępu do określonego obiektu może wskazywać na to, że wystąpiło usunięcie. Ponieważ niektóre obiekty mają zależności, usunięcie grupy używanej do uzyskiwania dostępu do aplikacji, samej aplikacji lub zasad dostępu warunkowego, które są przeznaczone dla aplikacji, może spowodować szeroki nagły wpływ. Jeśli widzisz trend podobny do tego, sprawdź, czy żaden z obiektów wymaganych do uzyskania dostępu nie został usunięty.
Usuwanie nietrwałe
Gdy obiekty, takie jak użytkownicy, Grupy Microsoft 365 lub rejestracje aplikacji są usuwane nietrwale, wchodzą w stan wstrzymania, w którym nie są one dostępne do użytku przez inne usługi. W tym stanie elementy zachowują swoje właściwości i można je przywrócić przez 30 dni. Po upływie 30 dni obiekty w stanie usunięcia nietrwałego są trwale lub trwale usuwane.
Uwaga
Nie można przywrócić obiektów ze stanu trwale usuniętego. Należy je ponownie utworzyć i ponownie skonfigurować.
Gdy wystąpi usuwanie nietrwałe
Ważne jest, aby zrozumieć, dlaczego w środowisku występują usunięcia obiektów, dzięki czemu można je przygotować. W tej sekcji opisano częste scenariusze usuwania nietrwałego według klasy obiektów. Mogą pojawić się scenariusze, które są unikatowe dla organizacji, więc proces odnajdywania jest kluczem do przygotowania.
Użytkownicy
Użytkownicy wprowadzają stan usuwania nietrwałego za każdym razem, gdy obiekt użytkownika zostanie usunięty przy użyciu witryny Azure Portal, programu Microsoft Graph lub programu PowerShell.
Najczęstsze scenariusze usuwania użytkowników to:
- Administrator celowo usuwa użytkownika w witrynie Azure Portal w odpowiedzi na żądanie lub w ramach rutynowej konserwacji użytkownika.
- Skrypt automatyzacji w programie Microsoft Graph lub programie PowerShell wyzwala usunięcie. Na przykład może istnieć skrypt, który usuwa użytkowników, którzy nie zalogowali się przez określony czas.
- Użytkownik jest przenoszony poza zakres synchronizacji z programem Microsoft Entra Connect.
- Użytkownik zostanie usunięty z systemu KADR i zostanie anulowany za pośrednictwem zautomatyzowanego przepływu pracy.
Microsoft 365 Groups
Najczęstsze scenariusze usuwania Grupy Microsoft 365 to:
- Administrator celowo usuwa grupę, na przykład w odpowiedzi na żądanie pomocy technicznej.
- Skrypt automatyzacji w programie Microsoft Graph lub programie PowerShell wyzwala usunięcie. Na przykład może istnieć skrypt, który usuwa grupy, do których nie uzyskiwano dostępu lub świadczy o tym właściciel grupy przez określony czas.
- Niezamierzone usunięcie grupy należącej do osób niebędących administratorami.
Obiekty aplikacji i jednostki usługi
Najczęstsze scenariusze usuwania aplikacji to:
- Administrator celowo usuwa aplikację, na przykład w odpowiedzi na żądanie pomocy technicznej.
- Skrypt automatyzacji w programie Microsoft Graph lub programie PowerShell wyzwala usunięcie. Na przykład może być potrzebny proces usuwania porzuconych aplikacji, które nie są już używane ani zarządzane. Ogólnie rzecz biorąc, utwórz proces odłączania dla aplikacji, a nie skryptów, aby uniknąć niezamierzonych operacji usuwania.
Po usunięciu aplikacji rejestracja aplikacji domyślnie wprowadza stan usuwania nietrwałego. Aby zrozumieć relację między rejestracjami aplikacji i jednostkami usługi, zobacz Aplikacje i jednostki usługi w usłudze Microsoft Entra ID — Platforma tożsamości Microsoft.
Jednostki administracyjne
Najbardziej typowym scenariuszem usuwania jest to, że jednostki administracyjne (AU) są usuwane przypadkowo, mimo że nadal są potrzebne.
Odzyskiwanie po usunięciu nietrwałym
Elementy usunięte nietrwale można przywrócić w portalu administracyjnym lub przy użyciu programu Microsoft Graph. Nie wszystkie klasy obiektów mogą zarządzać funkcjami usuwania nietrwałego w portalu, niektóre są wyświetlane, wyświetlane, usuwane lub przywracane przy użyciu interfejsu API programu Microsoft Graph deletedItems.
Właściwości utrzymywane przy użyciu usuwania nietrwałego
| Object type | Obsługiwane ważne właściwości |
|---|---|
| Użytkownicy (w tym użytkownicy zewnętrzni) | Wszystkie obsługiwane właściwości, w tym ObjectID, członkostwa w grupach, role, licencje i przypisania aplikacji |
| Microsoft 365 Groups | Wszystkie obsługiwane właściwości, w tym ObjectID, członkostwa w grupach, licencje i przypisania aplikacji |
| Rejestrowanie aplikacji | Wszystkie właściwości są utrzymywane. Zobacz więcej informacji po tej tabeli. |
| Jednostka usługi | Wszystkie zachowane właściwości |
| Jednostka administracyjna (AU) | Wszystkie zachowane właściwości |
Użytkownicy
Użytkownicy usunięci nietrwale są widoczni w witrynie Azure Portal w witrynie Użytkownicy | Usunięto stronę użytkowników .
Aby uzyskać więcej informacji na temat przywracania użytkowników, zobacz następującą dokumentację:
- Aby przywrócić z witryny Azure Portal, zobacz Przywracanie lub trwałe usuwanie ostatnio usuniętego użytkownika.
- Aby przywrócić przy użyciu programu Microsoft Graph, zobacz Przywracanie usuniętego elementu — Microsoft Graph w wersji 1.0.
Grupy
Grupy Microsoft 365 nietrwałych można wyświetlić w witrynie Azure Portal w obszarze Grupy | Usunięto stronę grup.
Aby uzyskać więcej informacji na temat przywracania nietrwale usuniętych Grupy Microsoft 365, zobacz następującą dokumentację:
- Aby przywrócić z witryny Azure Portal, zobacz Przywracanie usuniętej grupy platformy Microsoft 365.
- Aby przywrócić przy użyciu programu Microsoft Graph, zobacz Przywracanie usuniętego elementu — Microsoft Graph w wersji 1.0.
Aplikacje i jednostki usługi
Aplikacje mają dwa obiekty: rejestrację aplikacji i jednostkę usługi. Aby uzyskać więcej informacji na temat różnic między rejestracją a jednostką usługi, zobacz Aplikacje i jednostki usługi w usłudze Microsoft Entra ID.
Aby przywrócić aplikację z witryny Azure Portal, wybierz pozycję Rejestracje aplikacji> Deletowane aplikacje. Wybierz rejestrację aplikacji do przywrócenia, a następnie wybierz pozycję Przywróć rejestrację aplikacji.
Obecnie jednostki usługi można wyświetlić, wyświetlić, usunąć lub przywrócić za pośrednictwem interfejsu API programu Microsoft Graph deletedItems. Aby przywrócić aplikacje przy użyciu programu Microsoft Graph, zobacz Przywracanie usuniętego elementu — Microsoft Graph w wersji 1.0.
Jednostki administracyjne
Jednostki AU można wyświetlić, wyświetlić lub przywrócić za pośrednictwem interfejsu API programu Microsoft Graph deletedItems. Aby przywrócić jednostki AU przy użyciu programu Microsoft Graph, zobacz Przywracanie usuniętego elementu — Microsoft Graph w wersji 1.0. Po usunięciu jednostki organizacyjnej pozostaje w stanie usunięcia nietrwałego i można go przywrócić przez 30 dni, ale nie można go usunąć w tym czasie. Usunięte nietrwale jednostki AU są usuwane automatycznie po 30 dniach.
Twarde usunięcia
Twarde usunięcie to trwałe usunięcie obiektu z dzierżawy firmy Microsoft Entra. Obiekty, które nie obsługują usuwania nietrwałego, są usuwane w ten sposób. Podobnie obiekty usunięte nietrwale są usuwane trwale po upływie 30 dni od usunięcia. Jedynymi typami obiektów obsługującymi usuwanie nietrwałe są:
- Użytkownicy
- Microsoft 365 Groups
- Rejestrowanie aplikacji
- Jednostka usługi
- Jednostka administracyjna
Ważne
Wszystkie inne typy elementów są trwale usuwane. Jeśli element jest trwale usunięty, nie można go przywrócić. Należą ją ponownie utworzyć. Ani administratorzy, ani firma Microsoft nie mogą przywracać trwale usuniętych elementów. Przygotuj się do tej sytuacji, upewniając się, że masz procesy i dokumentację w celu zminimalizowania potencjalnych zakłóceń związanych z twardym usunięciem.
Aby uzyskać informacje na temat przygotowywania się do bieżących stanów i dokumentowania ich, zobacz Najlepsze rozwiązania dotyczące możliwości odzyskiwania.
Gdy zwykle występują twarde usunięcia
Usunięcie twarde może wystąpić w następujących okolicznościach.
Przejście z usuwania nietrwałego do twardego:
- Obiekt usunięty nietrwale nie został przywrócony w ciągu 30 dni.
- Administrator celowo usuwa obiekt w stanie usuwania nietrwałego.
Usunięto bezpośrednio:
- Usunięty typ obiektu nie obsługuje usuwania nietrwałego.
- Administrator decyduje się na trwałe usunięcie elementu przy użyciu portalu, który zazwyczaj występuje w odpowiedzi na żądanie.
- Skrypt automatyzacji wyzwala usunięcie obiektu przy użyciu programu Microsoft Graph lub programu PowerShell. Używanie skryptu automatyzacji do czyszczenia nieaktualnych obiektów nie jest rzadkością. Niezawodny proces odłączania obiektów w dzierżawie pomaga uniknąć błędów, które mogą spowodować masowe usunięcie krytycznych obiektów.
Odzyskiwanie po twardym usunięciu
Elementy trwale usunięte muszą zostać ponownie utworzone i ponownie skonfigurowane. Najlepiej unikać niepożądanych twardych operacji usuwania.
Przeglądanie obiektów usuniętych nietrwale
Upewnij się, że masz proces częstego przeglądania elementów w stanie usuwania nietrwałego i przywracania ich, jeśli jest to konieczne. W tym celu należy:
- Często wyświetlaj listę usuniętych elementów.
- Upewnij się, że masz określone kryteria dotyczące tego, co należy przywrócić.
- Upewnij się, że masz przypisane określone role lub użytkowników do oceny i przywracania elementów zgodnie z potrzebami.
- Opracowywanie i testowanie planu zarządzania ciągłością. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące planu zarządzania ciągłością biznesową przedsiębiorstwa.
Aby uzyskać więcej informacji na temat unikania niepożądanych operacji usuwania, zobacz następujące artykuły w artykule Najlepsze rozwiązania dotyczące możliwości odzyskiwania:
- Ciągłość działalności biznesowej i planowanie awarii
- Znane dobre stany dokumentu
- Monitorowanie i przechowywanie danych