共用方式為


復原能力的最佳做法

您的租用戶將會發生非預期的刪除和設定錯誤。 若要將這些非預期事件的影響降到最低,您必須為其發生做好準備。

可復原性是一種準備程序和功能,可讓您在發生非預期變更之後,將服務傳回至先前的運作狀態。 非預期的變更包括 Microsoft Entra ID 租用戶中應用程式、群組、使用者、原則和其他物件的虛刪除、實刪除或設定錯誤。

復原能力有助於讓您的組織更具復原性。 雖然復原性與復原能力相關,但也不同。 復原性可以忍受系統元件中斷,並以對您業務、使用者、客戶和作業最少的影響來進行復原。 如需如何使系統更具復原性的詳細資訊,請參閱使用 Microsoft Entra ID 將復原性建置到身分識別和存取管理中

本文說明預防刪除和設定錯誤的最佳做法,以將組織業務非預期的結果降到最低。

刪除和設定錯誤

依據您的租用戶,刪除和設定錯誤具有不同的影響。

刪除

刪除的影響取決於物件類型。

使用者、Microsoft 365 群組和應用程式可以虛刪除。 虛刪除的項目會傳送至 Microsoft Entra ID 資源回收筒。 當項目處於資源回收筒時,將無法使用。 不過,項目會保留其所有屬性,而且可以透過 Microsoft Graph API 呼叫或在 Azure 入口網站中還原。 若在 30 天內未還原處於虛刪除狀態的項目,將會永久刪除或實刪除。

圖表顯示使用者、Microsoft 365 群組和應用程式已虛刪除,並且會在 30 天後實刪除。

重要

所有其他物件類型會在選取要刪除時,立即實刪除。 當實刪除物件時,就無法復原。 必須將物件重新建立並重新設定。

如需刪除和如何從中復原的詳細資訊,請參閱從刪除中復原

設定錯誤

錯誤設定意指資源或原則的設定偏離組織的原則或計畫,而會造成非預期或不必要的結果。 整個租用戶的設定或條件式存取原則若錯誤設定,可能會嚴重影響您的安全性和組織的公眾形象。 設定錯誤可能會:

  • 變更管理員、租用戶使用者和外部使用者與租用戶中資源進行互動的方式。
  • 變更您的使用者與其他租用戶互動的能力,以及外部使用者與您的租用戶互動的能力。
  • 造成拒絕服務。
  • 中斷資料、系統和應用程式之間的相依性。

如需設定錯誤以及如何從中復原的詳細資訊,請參閱從設定錯誤中復原

共同責任

復原能力是 Microsoft 作為雲端服務提供者和組織之間的共同責任。

圖表顯示 Microsoft 與客戶在規劃與復原上的共同責任。

您可以使用 Microsoft 提供的工具和服務來預防刪除和設定錯誤。

商務持續性性和災害規劃

還原實刪除或設定錯誤的項目是耗用大量資源的程序。 您可以預先規劃,以將所需的資源降到最低。 考量允許特定系統管理員小組負責還原。

測試您的還原程序

針對不同的物件類型排練還原程序,並排練傳出作為結果的通訊。 請務必在測試租用戶中,以測試物件進行排練。

測試您的計劃是否可協助您判斷下列各項:

  • 物件狀態文件的有效性和完整性。
  • 一般解決時間。
  • 適當的通訊及其對象。
  • 預期的成功和潛在挑戰。

建立通訊程序

建立預先定義的通訊程序,讓其他人員瞭解問題和還原的時間表。 將下列各點包含於您的還原通訊計劃中:

  • 要輸出的通訊類型。請考慮建立預先定義的範本。

  • 接收通訊的專案關係人。 請視需要包含下列群組:

    • 受影響的業務負責人。
    • 執行復原的作業系統管理員。
    • 業務和技術核准者。
    • 受影響的使用者。
  • 定義觸發通訊的事件,例如:

    • 初始刪除。
    • 影響評量。
    • 解決時間。
    • 恢復。

記錄已知的良好狀態

定期記錄租用戶及其物件的狀態。 然後,如果發生硬刪除或設定錯誤,您就會有用於復原的藍圖。 下列工具可協助您記錄目前的狀態:

常用的 Microsoft Graph API

您可以使用 Microsoft Graph API,以匯出許多 Microsoft Entra 設定的目前狀態。 API 涵蓋大部分有關先前狀態的參考資料,或從匯出複本套用該狀態的能力,對於維持您的企業運作至關重要。

您可以根據組織需求,高度自訂 Microsoft Graph API。 若要實作備份或參考資料的解決方案,開發人員必須設計程式碼來查詢、儲存及顯示資料。 許多實作都會使用線上程式碼存放庫作為此功能的一部分。

復原的實用 API

資源類型 參考連結
使用者、群組和其他目錄物件 directoryObject API
使用者 API
群組 API
應用程式 API
ServicePrincipal API
目錄角色 directoryRole API
roleManagement API
條件式存取原則 條件式存取原則 API
裝置 裝置 API
網域 網域 API
管理單位 系統管理單位 API
刪除的項目* deletedItems API

*安全儲存這些設定匯出,並提供有限數目的系統管理員存取權。

Microsoft Entra 匯出工具可以提供您所需的大部分文件:

  • 確認您已實作所需的設定。
  • 使用匯出工具來擷取目前的設定。
  • 檢閱匯出、瞭解未匯出租用戶的設定,並手動記錄這些設定。
  • 將輸出儲存在具備有限存取權的安全位置。

注意

針對應用程式 Proxy 和同盟設定,舊版多重要素驗證口網站中的設定可能無法與 Microsoft Entra 匯出工具或 Microsoft Graph API 一併匯出。 Microsoft 365 Desired State Configuration 模組會使用 Microsoft Graph 和 PowerShell 來擷取 Microsoft Entra 中多個設定的狀態。 這項資訊可用來作為參考資訊,或使用 PowerShell Desired State Configuration 指令碼來重新套用已知良好的狀態。

使用條件式存取圖形 API 來管理程式碼等的原則。 自動核准以升級實際執行前環境中的原則、備份和還原、監視變更,以及事先規劃緊急狀況。

對應物件之間的相依性

刪除某些物件可能會因為相依性而造成漣漪效應。 例如,刪除用於應用程式指派的安全性群組會導致屬於該群組成員的使用者無法存取指派給群組的應用程式。

通用相依性

Object type 潛在相依性
應用程式物件 服務主體 (企業應用程式)。
指派給應用程式的群組。
影響應用程式的條件式存取原則。
服務主體 應用程式物件。
條件式存取原則 指派給原則的使用者。
指派給原則的群組。
原則目標的服務主體 (企業應用程式)。
Microsoft 365 群組以外的群組 指派給群組的使用者。
指派給群組的條件式存取原則。
將存取權指派給群組的應用程式。

監視和資料保留

Microsoft Entra 稽核記錄包含租用戶中所執行所有刪除和設定作業的相關資訊。 建議您將這些記錄匯出至安全性資訊和事件管理工具,例如 Microsoft Sentinel。 您也可以使用 Microsoft Graph 來稽核變更,並建置自訂解決方案來監視一段時間內的差異。 如需使用 Microsoft Graph 尋找已刪除項目的詳細資訊,請參閱列出已刪除的項目 - Microsoft Graph v1.0。

稽核記錄

稽核記錄一律會在移除租用戶中物件的使用中狀態 (從使用中到虛刪除或從使用中到實刪除) 時記錄「刪除<物件>」事件。

顯示稽核記錄詳細資料的螢幕擷取畫面。

應用程式、服務主體、使用者和 Microsoft 365 群組的刪除事件為虛刪除。 對於任何其他物件類型,則為實刪除。

Object type 記錄中的活動 結果
申請 刪除應用程式和服務主體 已虛刪除
申請 實刪除應用程式 已實刪除
服務主體 刪除服務主體 已虛刪除
服務主體 實刪除服務主體 已實刪除
User 刪除使用者 已虛刪除
User 實刪除使用者 已實刪除
Microsoft 365 群組 刪除群組 已虛刪除
Microsoft 365 群組 實刪除群組 已實刪除
所有其他物件 刪除 “objectType” 已實刪除

注意

稽核記錄不會區分已刪除群組的群組類型。 只會將 Microsoft 365 群組虛刪除。 如果您看到 [刪除群組] 項目,可能是 Microsoft 365 群組的虛刪除,或是另一種群組類型的實刪除。 您已知良好狀態的文件應包含組織中每個群組的群組類型。

如需監視設定變更的相關資訊,請參閱從設定錯誤中復原

使用活頁簿來追蹤設定變更

Azure 監視器活頁簿可協助您監視設定變更。

敏感性作業報告活頁簿有助於識別可能表示有入侵現象的可疑應用程式與服務主體活動,包括:

  • 已修改的應用程式/服務主體認證或驗證方法。
  • 授與服務主體的新權限。
  • 服務主體的目錄角色和群組成員資格更新。
  • 已修改的同盟設定。

跨租用戶存取活動活頁簿可協助您監視使用者存取哪些外部租用戶中的應用程式,及外部使用者存取哪些租用戶中的應用程式。 請使用此活頁簿,跨租用戶尋找輸入或輸出應用程式存取中的異常變更。

作業安全性

防止不想要的變更遠比需要重新建立和重新設定物件還要簡單。 在您的變更管理程序中納入下列工作,以將意外狀況降到最低:

  • 使用最低權限模型。 確定小組的每位成員都有完成其一般工作必要的最低權限。 需要提升權限以處理異常工作的程序。
  • 物件的管理控制會啟用設定和刪除。 針對不需要建立、更新或刪除 (CRUD) 作業的工作,使用特殊權限較少的角色,例如安全性讀取者。 如果需要 CRUD 作業,請盡可能使用物件特定角色。 例如,使用者管理員只能刪除使用者,而應用程式管理員只能刪除應用程式。 請盡可能使用這些限制較多的角色。
  • 使用 Privileged Identity Management (PIM)。 PIM 允許即時提升權限,以執行實刪除等工作。 您可以設定 PIM 來提供提升權限的通知或核准。

下一步