Condividi tramite


Recuperare dalle eliminazioni

La gestione delle eliminazioni in Microsoft Entra ID è un aspetto fondamentale della gestione dell'integrità e della disponibilità dell'infrastruttura di identità dell'organizzazione. Questo articolo fornisce una guida completa per comprendere le differenze tra eliminazioni soft ed hard, monitorare le eliminazioni e ripristinare o ricreare oggetti nel tenant di Microsoft Entra. Indipendentemente dal fatto che si tratti di eliminazioni accidentali o di preparazione di strategie di ripristino, questa guida fornisce informazioni e strumenti per ridurre al minimo le interruzioni e garantire la continuità. Per informazioni di base, iniziare con le procedure consigliate per la recuperabilità.

Monitorare le eliminazioni

Il log di controllo di Microsoft Entra contiene informazioni su tutte le operazioni di eliminazione eseguite nel tenant. Esportare questi log in uno strumento di gestione degli eventi e informazioni di sicurezza, ad esempio Microsoft Sentinel.

Usare Microsoft Graph per controllare le modifiche e creare una soluzione personalizzata per monitorare le differenze nel tempo. Per ulteriori informazioni su come trovare elementi eliminati tramite Microsoft Graph, vedere Elencare gli elementi eliminati - Microsoft Graph v1.0.

Log di audit

Il log di controllo registra sempre un evento "Delete <object>" quando un oggetto nel tenant viene rimosso da uno stato attivo mediante un'eliminazione soft o hard.

Screenshot che mostra un registro di controllo con cancellazioni.

Un evento di eliminazione per applicazioni, utenti, gruppi di Microsoft 365 e gruppi di sicurezza cloud è un'eliminazione temporanea. Per qualsiasi altro tipo di oggetto, è un'eliminazione definitiva. Tenere traccia dell'occorrenza di eventi di eliminazione definitiva confrontando gli eventi "Delete <object>" con il tipo di oggetto eliminato. Notare gli eventi che non supportano "soft delete". Si annotino anche gli eventi "Hard Delete <object>".

Tipo oggetto Attività nel log Risultato
Applicazione Eliminare l'applicazione Eliminato temporaneamente
Applicazione Eliminare definitivamente un'applicazione Eliminazione definitiva
Utente Eliminare un utente Eliminato in modo soft
Utente Eliminare definitivamente un utente Eliminazione definitiva
Gruppo di Microsoft 365 Eliminare un gruppo Cancellato in modalità provvisoria
Gruppo di Microsoft 365 Eliminare un gruppo definitivamente Eliminazione definitiva
Gruppo di sicurezza cloud Eliminare un gruppo Eliminato temporaneamente
Gruppo di sicurezza cloud Eliminare un gruppo definitivamente Eliminazione definitiva
Tutti gli altri oggetti Eliminare "objectType" Eliminazione definitiva

Nota

Il log di controllo non distingue il tipo di gruppo di un gruppo eliminato. I gruppi di Microsoft 365 e i gruppi di sicurezza cloud vengono eliminati softmente. Se viene visualizzata una voce Elimina gruppo, potrebbe trattarsi dell'eliminazione temporanea di un gruppo di Microsoft 365 o di un gruppo di sicurezza cloud o dell'eliminazione temporanea di un altro tipo di gruppo.

È importante che la documentazione del tuo stato noto come buono includa il tipo di gruppo per ciascun gruppo nell'organizzazione. Per ulteriori informazioni su come documentare il tuo stato noto come valido, vedere Procedure consigliate per il recupero.

Monitorare i ticket di supporto

Un aumento improvviso dei ticket di supporto sull'accesso a un oggetto specifico potrebbe indicare che si è verificata un'eliminazione. Poiché alcuni oggetti hanno dipendenze, l'eliminazione di un gruppo usato per accedere a un'applicazione, un'applicazione stessa o un criterio di accesso condizionale destinato a un'applicazione può causare un impatto improvviso e ampio. Se viene visualizzata una tendenza simile a questa, verificare che nessuno degli oggetti necessari per l'accesso sia stato eliminato.

Eliminazioni parziali

Quando oggetti come utenti, gruppi di Microsoft 365, gruppi di sicurezza cloud o registrazioni di applicazioni vengono eliminati temporaneo, entrano in uno stato sospeso in cui non sono disponibili per l'uso da parte di altri servizi. In questo stato, gli elementi mantengono le proprietà e possono essere ripristinati per 30 giorni. Dopo 30 giorni, gli oggetti nello stato eliminato in modo leggero vengono eliminati definitivamente o eliminati permanentemente.

Nota

Gli oggetti non possono essere ripristinati da uno stato eliminato definitivamente. Ricrearli e riconfigurarli.

Quando si verificano eliminazioni flessibili

Comprendere il motivo per cui le eliminazioni di oggetti vengono eseguite nell'ambiente consente di prepararle. In questa sezione vengono descritti gli scenari frequenti per l'eliminazione temporanea in base alla classe dell’oggetto. È possibile che vengano visualizzati scenari univoci per l'organizzazione, quindi un processo di individuazione è fondamentale per la preparazione.

Utenti

Gli utenti immettono uno stato di eliminazione temporanea quando l'oggetto utente viene eliminato usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph o PowerShell.

Gli scenari comuni per l'eliminazione degli utenti includono:

  • Un amministratore elimina un utente nell'interfaccia di amministrazione di Microsoft Entra in risposta a una richiesta o come parte della manutenzione dell'utente di routine.
  • Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, potrebbe essere presente uno script che rimuove gli utenti che non accedono per un periodo di tempo specificato.
  • Un utente viene rimosso dall'ambito di sincronizzazione con Microsoft Entra Connect.
  • Un utente si ritira, viene rimosso da un sistema HR e ne viene eseguito il deprovisioning tramite un flusso di lavoro automatizzato.

Gruppi

Gli scenari più frequenti per l'eliminazione dei gruppi sono:

  • Un amministratore elimina intenzionalmente il gruppo, ad esempio in risposta a una richiesta di supporto.
  • Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, è possibile che si disponga di uno script che elimina i gruppi a cui non è stato eseguito l'accesso o l'attestazione da parte del proprietario del gruppo per un periodo di tempo specificato.
  • Eliminazione involontaria di un gruppo di proprietà di utenti non amministratori.

Oggetti applicazione ed entità di servizio

Gli scenari più frequenti per l'eliminazione di applicazioni sono:

  • Un amministratore elimina intenzionalmente l'applicazione, ad esempio in risposta a una richiesta di supporto.
  • Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, potrebbe essere necessario un processo per eliminare le applicazioni abbandonate che non vengono più usate o gestite. In generale, creare un processo di offboarding per le applicazioni anziché creare script per evitare eliminazioni involontarie.

Quando si elimina un'applicazione, la registrazione dell'applicazione per impostazione predefinita entra nello stato eliminato temporaneo. Per comprendere la relazione tra le registrazioni delle applicazioni e le entità servizio, vedere App e entità servizio in Microsoft Entra ID - Microsoft Identity Platform.

Unità amministrative

Lo scenario più comune per le eliminazioni è quando le unità amministrative vengono eliminate accidentalmente, ma sono ancora necessarie.

Recupero dall'eliminazione temporanea

Non tutte le classi di oggetti gestiscono le funzionalità di eliminazione temporanea nell'interfaccia di amministrazione di Microsoft Entra. Alcuni sono solo elencati, visualizzati, eliminati definitivamente o ripristinati usando l'API Microsoft Graph deletedItems.

Proprietà mantenute con eliminazione temporanea

Tipo oggetto Proprietà importanti mantenute
Utenti (inclusi gli utenti esterni) Tutte le proprietà gestite, inclusi ObjectID, appartenenze ai gruppi, ruoli, licenze e assegnazioni di applicazioni
Gruppi di Microsoft 365 Tutte le proprietà mantenute, inclusi ObjectID, appartenenze ai gruppi, licenze e assegnazioni di applicazioni
Gruppi di sicurezza cloud Tutte le proprietà gestite, inclusi ObjectID, appartenenze ai gruppi e assegnazioni di applicazioni
Registrazione dell'applicazione Tutte le proprietà mantenute. Vedere ulteriori informazioni dopo questa tabella.
Principale servizio Tutte le proprietà mantenute
Unità amministrativa Tutte le proprietà mantenute
Criteri di accesso condizionale Tutte le proprietà mantenute
Posizioni specifiche Tutte le proprietà mantenute

Utenti

È possibile visualizzare gli utenti eliminati temporaneamente nel portale di Azure nella pagina Utenti | Utenti eliminati.

Per ulteriori informazioni su come ripristinare gli utenti, vedere la documentazione seguente:

Gruppi

È possibile visualizzare i gruppi di Microsoft 365 eliminati in modo soft e i gruppi di sicurezza cloud nel portale di Azure nella pagina Gruppi | Gruppi eliminati.

Screenshot che mostra il ripristino dei gruppi nel portale di Azure.

Importante

L'eliminazione temporanea per i gruppi di sicurezza non è supportata negli scenari seguenti:

  • I tenant EDU che usano l'archiviazione di OneDrive for Business
  • Selezione di destinatari con web part classiche (tutte le tenancie)

Per ulteriori informazioni su come ripristinare i gruppi di Microsoft 365 eliminati temporaneamente e i gruppi di sicurezza nel cloud, consultare la documentazione seguente:

Applicazioni ed entità servizio

Le applicazioni includono due oggetti: la registrazione dell'applicazione e l'entità servizio. Per ulteriori informazioni sulle differenze tra la registrazione e l'entità servizio, vedere App e entità servizio in Microsoft Entra ID.

Per ripristinare un'applicazione dall'interfaccia di amministrazione di Microsoft Entra, passare aRegistrazioni> app Entra ID>Applicazioni eliminate. Selezionare la registrazione dell'applicazione da ripristinare e poi selezionare Ripristina registrazione app.

Le principali del servizio possono essere elencate, visualizzate, eliminate definitivamente o ripristinate usando l'API deletedItems di Microsoft Graph. Per ripristinare le applicazioni con Microsoft Graph, vedere Ripristinare l'elemento eliminato - Microsoft Graph v1.0..

Unità amministrative

Le unità amministrative possono essere elencate, visualizzate o ripristinate tramite l'API Microsoft Graph deletedItems. Per ripristinare le unità amministrative con Microsoft Graph, vedere Ripristinare l'elemento eliminato - Microsoft Graph v1.0.. Quando un'unità amministrativa viene eliminata, rimane in uno stato eliminato temporaneamente e può essere ripristinata per 30 giorni, ma non può essere eliminata definitivamente durante tale periodo. Le unità amministrative eliminate in modo soft vengono eliminate definitivamente dopo 30 giorni.

Criteri di accesso condizionale

È necessario esaminare e convalidare la configurazione dei criteri di accesso condizionale dopo il ripristino per assicurarsi che si comporti come previsto.

Per ripristinare un criterio di accesso condizionale:

  1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
  2. Passare a Entra ID>Accesso condizionale>Criteri eliminati (Anteprima).
  3. Selezionare i puntini di sospensione (...) all'estrema destra dei criteri da ripristinare.
  4. Selezionare Ripristina.
  5. Nella finestra di dialogo Ripristina criteri di accesso condizionale? è possibile scegliere di ripristinare il criterio in modalità solo report o lasciarlo nello stato in cui era stato eliminato, che potrebbe essere Attivato. Effettuare la selezione e selezionare Ripristina.

Avvertimento

Il ripristino di un criterio allo stato precedente potrebbe avere conseguenze impreviste. Microsoft consiglia agli amministratori di ripristinare prima i criteri in modalità solo report, quindi dedicare tempo per esaminare e abilitare.

Posizioni specifiche

Le posizioni nominate non possono essere eliminate quando marcate come attendibili e, quando vengono recuperate dall'eliminazione temporanea, non vengono marcate come attendibili. Le posizioni denominate recuperate dovrebbero essere esaminate dopo il ripristino prima di marcare nuovamente come attendibili.

Per ripristinare una posizione denominata:

  1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
  2. Passare a Entra ID>Accesso condizionale>Località denominate>Eliminate (Anteprima).
  3. Selezionare i puntini di sospensione (...) alla destra della posizione da ripristinare.
  4. Selezionare Ripristina.
  5. Nella finestra di dialogo Ripristina percorso denominato selezionato? selezionare Ripristina.

Eliminazioni definitive

Un'eliminazione definitiva rimuove definitivamente un oggetto dal tenant di Microsoft Entra. Gli oggetti che non supportano l'eliminazione temporanea vengono rimossi in questo modo. Anche gli oggetti eliminati temporaneamente vengono eliminati permanentemente dopo 30 giorni. Solo questi tipi di oggetto supportano l'eliminazione temporanea:

  • Utenti
  • Gruppi di Microsoft 365
  • Gruppi di sicurezza cloud
  • Registrazione dell'applicazione
  • Principale servizio
  • Unità amministrativa
  • Criteri di accesso condizionale
  • Posizioni specifiche

Importante

Tutti gli altri tipi di elementi vengono eliminati definitivamente e non possono essere ripristinati. Devono essere ricreati. Gli amministratori e Microsoft non possono ripristinare gli elementi eliminati definitivamente. Prepararsi creando processi e documentazione per ridurre al minimo le interruzioni.

Per informazioni su come preparare e documentare gli stati correnti, vedere Procedure consigliate per la recuperabilità.

Quando si verificano in genere eliminazioni definitive

Le eliminazioni hard possono verificarsi in queste circostanze:

Passaggio dall'eliminazione temporanea all'eliminazione definitiva:

  • Un oggetto eliminato temporaneamente non viene ripristinato entro 30 giorni.
  • Un amministratore elimina intenzionalmente un oggetto nello stato di eliminazione temporanea.

Nota

Gli oggetti applicazione non vengono eliminati automaticamente anche dopo 30 giorni quando il valore "signInAudience" delle app è impostato su uno dei seguenti valori: "AzureADMultipleOrgs", "AzureADandPersonalMicrosoftAccount" o "PersonalMicrosoftAccount". In questo caso, gli oggetti dell'applicazione devono essere eliminati definitivamente manualmente.

Eliminazione definitiva diretta:

  • Il tipo di oggetto eliminato non supporta l'eliminazione temporanea.
  • Un amministratore sceglie di eliminare definitivamente un elemento usando il portale, cosa che in genere si verifica in risposta a una richiesta.
  • Uno script di automazione attiva l'eliminazione dell'oggetto usando Microsoft Graph o PowerShell. Gli script di automazione vengono comunemente usati per pulire gli oggetti obsoleti. Un processo di off-boarding robusto consente di evitare errori che possono comportare l'eliminazione di massa di oggetti critici.

Ripristino dall'eliminazione definitiva

Gli elementi eliminati definitivamente devono essere ricreati e riconfigurati. È meglio evitare cancellazioni definitive indesiderate.

Esaminare gli oggetti eliminati in modo soft

Assicurarsi di disporre di un processo per esaminare regolarmente gli elementi nello stato di eliminazione temporanea e ripristinarli, se necessario. Preparazione:

Passaggi successivi

Scopri come evitare eliminazioni indesiderate nelle procedure consigliate per la recuperabilità.