Recuperação de exclusões
Este artigo aborda a recuperação de exclusões temporárias e definitivas no locatário do Microsoft Entra. Se você ainda não fez isso, leia sobre as Melhores práticas de recuperabilidade para conhecimento básico.
Monitorar exclusões
O log de auditoria do Microsoft Entra contém informações sobre todas as operações de exclusão realizadas no locatário. Exporte esses logs para uma ferramenta de gerenciamento de eventos e informações de segurança, como o Microsoft Sentinel.
Você também pode usar o Microsoft Graph para auditar alterações e criar uma solução personalizada para monitorar diferenças ao longo do tempo. Para obter mais informações sobre como localizar itens excluídos usando o Microsoft Graph, consulte Lista de itens excluídos – Microsoft Graph v1.0 .
Log de auditoria
O log de Auditoria sempre registra um evento "Excluir <objeto>" quando um objeto no locatário é removido de um estado ativo por uma exclusão reversível ou permanente.
Um evento Delete para aplicativos, usuários e grupos do Microsoft 365 é uma exclusão temporária. Para qualquer outro tipo de objeto, é uma exclusão permanente. Acompanhe a ocorrência de eventos de exclusão permanente comparando eventos "Excluir <objeto>" com o tipo de objeto que foi excluído. Observe os eventos que não dão suporte à exclusão temporária. Além disso, observe os eventos "<Objeto> de exclusão permanente".
| Tipo de objeto | Atividade no log | Result |
|---|---|---|
| Aplicativo | Excluir aplicativo | Exclusão temporária |
| Aplicativo | Excluir aplicativo irreversivelmente | Excluído permanentemente |
| Usuário | Excluir usuário | Exclusão temporária |
| Usuário | Excluir usuário irreversivelmente | Excluído permanentemente |
| Grupo do Microsoft 365 | Excluir grupo | Exclusão temporária |
| Grupo do Microsoft 365 | Excluir grupo irreversivelmente | Excluído permanentemente |
| Todos os outros objetos | Excluir "objectType" | Excluído permanentemente |
Observação
O log de auditoria não distingue o tipo de grupo de um grupo excluído. Somente grupos do Microsoft 365 são excluídos temporariamente. Se você vir uma entrada de grupo Delete, pode ser a exclusão temporária de um grupo do Microsoft 365 ou a exclusão permanente de outro tipo de grupo.
É importante que sua documentação do seu bom estado conhecido inclua o tipo de grupo para cada grupo em sua organização. Para saber mais sobre como documentar seu estado válido conhecido, consulte as Práticas recomendadas de recuperabilidade.
Monitorar tíquetes de suporte
Um aumento repentino de tíquetes de suporte sobre o acesso a um objeto específico pode indicar que ocorreu uma exclusão. Como alguns objetos têm dependências, a exclusão de um grupo usado para acessar um aplicativo, um aplicativo em si ou uma política de Acesso Condicional direcionada a um aplicativo pode causar um grande impacto repentino. Se você vir uma tendência como essa, verifique se nenhum dos objetos necessários para acesso foi excluído.
Exclusões reversíveis
Quando objetos como usuários, grupos do Microsoft 365 ou registros de aplicativos são excluídos temporariamente, eles entram no estado suspenso, não ficando disponíveis para uso por outros serviços. Nesse estado, os itens retêm suas propriedades e podem ser restaurados por 30 dias. Após 30 dias, os objetos no estado de exclusão reversível são excluídos permanentemente.
Observação
Os objetos não podem ser restaurados de um estado excluído permanentemente. Eles devem ser recriados e reconfigurados.
Quando ocorrem exclusões temporárias
É importante entender por que as exclusões de objeto ocorrem em seu ambiente para que você possa se preparar para elas. Esta seção descreve cenários frequentes de exclusão reversível por classe de objeto. Você pode ver cenários exclusivos para sua organização e, portanto, um processo de descoberta é fundamental para a preparação.
Usuários
Os usuários entram no estado de exclusão temporária sempre que o objeto de usuário é excluído usando o portal do Azure, o Microsoft Graph ou o PowerShell.
Os cenários mais frequentes para exclusão de usuário são:
- Um administrador exclui intencionalmente um usuário no portal do Azure em resposta a uma solicitação ou como parte da manutenção rotineira do usuário.
- Um script de automação no Microsoft Graph ou no PowerShell dispara a exclusão. Por exemplo, você pode ter um script que remove usuários que não se conectam por um tempo especificado.
- Um usuário é movido para fora do escopo de sincronização com o Microsoft Entra Connect.
- Um usuário é removido de um sistema de RH e é desprovisionado por um fluxo de trabalho automatizado.
Grupos do Microsoft 365
Os cenários mais frequentes para os Grupos do Microsoft 365 serem excluídos são:
- Um administrador exclui intencionalmente o grupo, por exemplo, em resposta a uma solicitação de suporte.
- Um script de automação no Microsoft Graph ou no PowerShell dispara a exclusão. Por exemplo, você pode ter um script que exclui grupos que não foram acessados ou atestados pelo proprietário do grupo por um tempo específico.
- Exclusão não intencional de um grupo detido por não administradores.
Objetos de aplicativo e entidades de serviço
Os cenários mais frequentes para exclusão de aplicativo são:
- Um administrador exclui intencionalmente o aplicativo, por exemplo, em resposta a uma solicitação de suporte.
- Um script de automação no Microsoft Graph ou no PowerShell dispara a exclusão. Por exemplo, talvez você queira um processo para excluir aplicativos abandonados que não sejam mais usados ou gerenciados. Em geral, crie um processo de remoção de aplicativos em vez de criar scripts para evitar exclusões não intencionais.
Quando você exclui um aplicativo, o registro do aplicativo, por padrão, entra no estado de exclusão reversível. Para entender a relação entre registros de aplicativos e entidades de serviço, confira Aplicativos e entidades de serviço no Microsoft Entra ID – Microsoft Identity Platform.
Unidades administrativas
O cenário mais comum para exclusões é quando unidades administrativas (UA) são excluídas por acidente, mesmo sendo necessárias.
Recuperar-se da exclusão reversível
Você pode restaurar itens excluídos temporariamente no portal administrativo ou usando o Microsoft Graph. Nem todas as classes de objeto podem gerenciar recursos de exclusão reversível no portal, algumas são listadas, exibidas, excluídas ou restauradas usando a API do Graph da Microsoft deletedItems.
Propriedades mantidas com exclusão temporária
| Tipo de objeto | Propriedades importantes mantidas |
|---|---|
| Usuários (incluindo usuários externos) | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo, funções e licenças, atribuições de aplicativo |
| Grupos do Microsoft 365 | Todas as propriedades mantidas, incluindo ObjectID, associações de grupo, licenças e atribuições de aplicativo |
| Registro de aplicativo | Todas as propriedades mantidas. Confira mais informações após esta tabela. |
| Entidade de serviço | Todas as propriedades mantidas |
| Unidade administrativa (AU) | Todas as propriedades mantidas |
Usuários
Você pode ver usuários excluídos temporariamente no portal do Azure na página Usuários | Usuários excluídos.
Para obter mais informações sobre como restaurar usuários, consulte a seguinte documentação:
- Para restauração no portal do Azure, confira Restaurar ou excluir permanentemente um usuário excluído recentemente.
- Para restaurar usando o Microsoft Graph, consulte Restaurar um item excluído – Microsoft Graph v1.0.
Grupos
Você pode ver os Grupos do Microsoft 365 excluídos temporariamente no portal do Azure na página Grupos | Grupos excluídos.
Para obter mais informações sobre como restaurar grupos do Microsoft 365 excluídos, consulte a seguinte documentação:
- Para restaurar do portal do Azure, consulte Restaurar um grupo do Microsoft 365 excluído.
- Para restaurar usando o Microsoft Graph, consulte Restaurar um item excluído – Microsoft Graph v1.0.
Aplicativos e entidades de serviço
Os aplicativos têm dois objetos: o registro do aplicativo e a entidade de serviço. Para saber mais sobre as diferenças entre o registro e a entidade de serviço, confira Aplicativos e entidades de serviço no Microsoft Entra ID.
Para restaurar um aplicativo do portal do Azure, selecione Registros de aplicativo>Aplicativos excluídos. Selecione o registro do aplicativo a ser restaurado e, em seguida, selecione Restaurar registro do aplicativo.
Atualmente, as entidades de serviço podem ser listadas, exibidas, excluídas permanentemente ou restauradas por meio da API do Graph deletedItems. Para restaurar os aplicativos usando o Microsoft Graph, confira Restaurar um item excluído – Microsoft Graph v1.0..
Unidades administrativas
As AUs podem ser listadas, exibidas ou restauradas por meio da API do Microsoft Graph deletedItems. Para restaurar AUs usando o Microsoft Graph, consulte Restaurar um item excluído – Microsoft Graph v1.0. Depois que uma AU é excluída, ela permanece em um estado de exclusão temporária e pode ser restaurada por 30 dias, mas não pode ser excluída permanentemente durante esse tempo. As AUs excluídas temporariamente são excluídas permanentemente de modo automático após 30 dias.
Exclusões permanentes
Uma exclusão definitiva é a remoção permanente de um objeto do locatário do Microsoft Entra. Os objetos que não dão suporte à exclusão temporária são removidos dessa forma. Da mesma forma, os objetos excluídos temporariamente são excluídos depois de um tempo de exclusão de 30 dias. Os únicos tipos de objeto que dão suporte a uma exclusão temporária são:
- Usuários
- Grupos do Microsoft 365
- Registro de aplicativo
- Entidade de serviço
- Unidade administrativa
Importante
Todos os outros tipos de item são excluídos permanentemente. Quando um item é excluído irreversivelmente, ele não pode ser restaurado. Ele precisa ser recriado. Nem os administradores nem a Microsoft podem restaurar itens excluídos permanentemente. Prepare-se para essa situação garantindo que você tenha processos e documentação para minimizar as possíveis interrupções de uma exclusão permanente.
Para obter informações sobre como preparar e documentar estados atuais, consulte as Práticas recomendadas de recuperação.
Quando as exclusões permanentes geralmente ocorrem
As exclusões permanentes podem ocorrer nas circunstâncias abaixo.
Alteração de exclusão temporária para permanente:
- Um objeto excluído temporariamente não foi restaurado dentro de 30 dias.
- Um administrador exclui intencionalmente um objeto no estado de exclusão temporária.
Excluído permanentemente diretamente:
- O tipo de objeto que foi excluído não dá suporte à exclusão temporária.
- Um administrador opta por excluir permanentemente um item usando o portal, que, normalmente, ocorre em resposta a uma solicitação.
- Um script de automação dispara a exclusão do objeto usando o Microsoft Graph ou o PowerShell. O uso de um script de automação para limpar objetos obsoletos não é incomum. Um processo de remoção robusto para objetos em seu locatário ajuda você a evitar erros que podem resultar na exclusão em massa de objetos críticos.
Recuperar-se da exclusão permanente
Os itens excluídos permanentemente devem ser recriados e reconfigurados. É melhor evitar exclusões permanentes indesejadas.
Examinar objetos excluídos temporariamente
Verifique se você tem um processo para avaliar itens com frequência no estado de exclusão temporária e restaurá-los, se apropriado. Para fazer isso, você deve:
- Listar itens excluídos com frequência.
- Verificar se você tem critérios específicos para o que deve ser restaurado.
- Verificar se você tem funções ou usuários específicos atribuídos para avaliar e restaurar itens, conforme apropriado.
- Desenvolver e testar um plano de gerenciamento de continuidade. Para obter mais informações, consulte Considerações sobre seu plano de Gerenciamento de Continuidade de Negócios do Enterprise.
Para obter mais informações sobre como evitar exclusões indesejadas, confira os seguintes tópicos em Melhores práticas de capacidade de recuperação:
- Continuidade dos negócios e planejamento contra desastres
- Documentar bons estados conhecidos
- Monitoramento e retenção de dados