Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La gestione delle eliminazioni in Microsoft Entra ID è un aspetto fondamentale della gestione dell'integrità e della disponibilità dell'infrastruttura di identità dell'organizzazione. Questo articolo fornisce una guida completa per comprendere le differenze tra eliminazioni soft ed hard, monitorare le eliminazioni e ripristinare o ricreare oggetti nel tenant di Microsoft Entra. Indipendentemente dal fatto che si tratti di eliminazioni accidentali o di preparazione di strategie di ripristino, questa guida fornisce informazioni e strumenti per ridurre al minimo le interruzioni e garantire la continuità. Per informazioni di base, iniziare con le procedure consigliate per la recuperabilità.
Monitorare le eliminazioni
Il log di controllo di Microsoft Entra contiene informazioni su tutte le operazioni di eliminazione eseguite nel tenant. Esportare questi log in uno strumento di gestione degli eventi e informazioni di sicurezza, ad esempio Microsoft Sentinel.
Usare Microsoft Graph per controllare le modifiche e creare una soluzione personalizzata per monitorare le differenze nel tempo. Per ulteriori informazioni su come trovare elementi eliminati tramite Microsoft Graph, vedere Elencare gli elementi eliminati - Microsoft Graph v1.0.
Log di audit
Il log di controllo registra sempre un evento "Delete <object>" quando un oggetto nel tenant viene rimosso da uno stato attivo mediante un'eliminazione soft o hard.
Un evento di eliminazione per applicazioni, utenti, gruppi di Microsoft 365 e gruppi di sicurezza cloud è un'eliminazione temporanea. Per qualsiasi altro tipo di oggetto, è un'eliminazione definitiva. Tenere traccia dell'occorrenza di eventi di eliminazione definitiva confrontando gli eventi "Delete <object>" con il tipo di oggetto eliminato. Notare gli eventi che non supportano "soft delete". Si annotino anche gli eventi "Hard Delete <object>".
| Tipo oggetto | Attività nel log | Risultato |
|---|---|---|
| Applicazione | Eliminare l'applicazione | Eliminato temporaneamente |
| Applicazione | Eliminare definitivamente un'applicazione | Eliminazione definitiva |
| Utente | Eliminare un utente | Eliminato in modo soft |
| Utente | Eliminare definitivamente un utente | Eliminazione definitiva |
| Gruppo di Microsoft 365 | Eliminare un gruppo | Cancellato in modalità provvisoria |
| Gruppo di Microsoft 365 | Eliminare un gruppo definitivamente | Eliminazione definitiva |
| Gruppo di sicurezza cloud | Eliminare un gruppo | Eliminato temporaneamente |
| Gruppo di sicurezza cloud | Eliminare un gruppo definitivamente | Eliminazione definitiva |
| Tutti gli altri oggetti | Eliminare "objectType" | Eliminazione definitiva |
Nota
Il log di controllo non distingue il tipo di gruppo di un gruppo eliminato. I gruppi di Microsoft 365 e i gruppi di sicurezza cloud vengono eliminati softmente. Se viene visualizzata una voce Elimina gruppo, potrebbe trattarsi dell'eliminazione temporanea di un gruppo di Microsoft 365 o di un gruppo di sicurezza cloud o dell'eliminazione temporanea di un altro tipo di gruppo.
È importante che la documentazione del tuo stato noto come buono includa il tipo di gruppo per ciascun gruppo nell'organizzazione. Per ulteriori informazioni su come documentare il tuo stato noto come valido, vedere Procedure consigliate per il recupero.
Monitorare i ticket di supporto
Un aumento improvviso dei ticket di supporto sull'accesso a un oggetto specifico potrebbe indicare che si è verificata un'eliminazione. Poiché alcuni oggetti hanno dipendenze, l'eliminazione di un gruppo usato per accedere a un'applicazione, un'applicazione stessa o un criterio di accesso condizionale destinato a un'applicazione può causare un impatto improvviso e ampio. Se viene visualizzata una tendenza simile a questa, verificare che nessuno degli oggetti necessari per l'accesso sia stato eliminato.
Eliminazioni parziali
Quando oggetti come utenti, gruppi di Microsoft 365, gruppi di sicurezza cloud o registrazioni di applicazioni vengono eliminati temporaneo, entrano in uno stato sospeso in cui non sono disponibili per l'uso da parte di altri servizi. In questo stato, gli elementi mantengono le proprietà e possono essere ripristinati per 30 giorni. Dopo 30 giorni, gli oggetti nello stato eliminato in modo leggero vengono eliminati definitivamente o eliminati permanentemente.
Nota
Gli oggetti non possono essere ripristinati da uno stato eliminato definitivamente. Ricrearli e riconfigurarli.
Quando si verificano eliminazioni flessibili
Comprendere il motivo per cui le eliminazioni di oggetti vengono eseguite nell'ambiente consente di prepararle. In questa sezione vengono descritti gli scenari frequenti per l'eliminazione temporanea in base alla classe dell’oggetto. È possibile che vengano visualizzati scenari univoci per l'organizzazione, quindi un processo di individuazione è fondamentale per la preparazione.
Utenti
Gli utenti immettono uno stato di eliminazione temporanea quando l'oggetto utente viene eliminato usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph o PowerShell.
Gli scenari comuni per l'eliminazione degli utenti includono:
- Un amministratore elimina un utente nell'interfaccia di amministrazione di Microsoft Entra in risposta a una richiesta o come parte della manutenzione dell'utente di routine.
- Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, potrebbe essere presente uno script che rimuove gli utenti che non accedono per un periodo di tempo specificato.
- Un utente viene rimosso dall'ambito di sincronizzazione con Microsoft Entra Connect.
- Un utente si ritira, viene rimosso da un sistema HR e ne viene eseguito il deprovisioning tramite un flusso di lavoro automatizzato.
Gruppi
Gli scenari più frequenti per l'eliminazione dei gruppi sono:
- Un amministratore elimina intenzionalmente il gruppo, ad esempio in risposta a una richiesta di supporto.
- Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, è possibile che si disponga di uno script che elimina i gruppi a cui non è stato eseguito l'accesso o l'attestazione da parte del proprietario del gruppo per un periodo di tempo specificato.
- Eliminazione involontaria di un gruppo di proprietà di utenti non amministratori.
Oggetti applicazione ed entità di servizio
Gli scenari più frequenti per l'eliminazione di applicazioni sono:
- Un amministratore elimina intenzionalmente l'applicazione, ad esempio in risposta a una richiesta di supporto.
- Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, potrebbe essere necessario un processo per eliminare le applicazioni abbandonate che non vengono più usate o gestite. In generale, creare un processo di offboarding per le applicazioni anziché creare script per evitare eliminazioni involontarie.
Quando si elimina un'applicazione, la registrazione dell'applicazione per impostazione predefinita entra nello stato eliminato temporaneo. Per comprendere la relazione tra le registrazioni delle applicazioni e le entità servizio, vedere App e entità servizio in Microsoft Entra ID - Microsoft Identity Platform.
Unità amministrative
Lo scenario più comune per le eliminazioni è quando le unità amministrative vengono eliminate accidentalmente, ma sono ancora necessarie.
Recupero dall'eliminazione temporanea
Non tutte le classi di oggetti gestiscono le funzionalità di eliminazione temporanea nell'interfaccia di amministrazione di Microsoft Entra. Alcuni sono solo elencati, visualizzati, eliminati definitivamente o ripristinati usando l'API Microsoft Graph deletedItems.
Proprietà mantenute con eliminazione temporanea
| Tipo oggetto | Proprietà importanti mantenute |
|---|---|
| Utenti (inclusi gli utenti esterni) | Tutte le proprietà gestite, inclusi ObjectID, appartenenze ai gruppi, ruoli, licenze e assegnazioni di applicazioni |
| Gruppi di Microsoft 365 | Tutte le proprietà mantenute, inclusi ObjectID, appartenenze ai gruppi, licenze e assegnazioni di applicazioni |
| Gruppi di sicurezza cloud | Tutte le proprietà gestite, inclusi ObjectID, appartenenze ai gruppi e assegnazioni di applicazioni |
| Registrazione dell'applicazione | Tutte le proprietà mantenute. Vedere ulteriori informazioni dopo questa tabella. |
| Principale servizio | Tutte le proprietà mantenute |
| Unità amministrativa | Tutte le proprietà mantenute |
| Criteri di accesso condizionale | Tutte le proprietà mantenute |
| Posizioni specifiche | Tutte le proprietà mantenute |
Utenti
È possibile visualizzare gli utenti eliminati temporaneamente nel portale di Azure nella pagina Utenti | Utenti eliminati.
Per ulteriori informazioni su come ripristinare gli utenti, vedere la documentazione seguente:
- Per eseguire il ripristino dal portale di Azure, vedere Ripristinare o rimuovere permanentemente l'utente eliminato di recente.
- Per eseguire il ripristino con Microsoft Graph, vedere Ripristinare l'elemento eliminato – Microsoft Graph v1.0.
Gruppi
È possibile visualizzare i gruppi di Microsoft 365 eliminati in modo soft e i gruppi di sicurezza cloud nel portale di Azure nella pagina Gruppi | Gruppi eliminati.
Importante
L'eliminazione temporanea per i gruppi di sicurezza non è supportata negli scenari seguenti:
- I tenant EDU che usano l'archiviazione di OneDrive for Business
- Selezione di destinatari con web part classiche (tutte le tenancie)
Per ulteriori informazioni su come ripristinare i gruppi di Microsoft 365 eliminati temporaneamente e i gruppi di sicurezza nel cloud, consultare la documentazione seguente:
- Per eseguire il ripristino dal portale di Azure, vedere Ripristinare un gruppo di Microsoft 365 eliminato.
- Per eseguire il ripristino con Microsoft Graph, vedere Ripristinare l'elemento eliminato – Microsoft Graph v1.0.
Applicazioni ed entità servizio
Le applicazioni includono due oggetti: la registrazione dell'applicazione e l'entità servizio. Per ulteriori informazioni sulle differenze tra la registrazione e l'entità servizio, vedere App e entità servizio in Microsoft Entra ID.
Per ripristinare un'applicazione dall'interfaccia di amministrazione di Microsoft Entra, passare aRegistrazioni> app Entra ID>Applicazioni eliminate. Selezionare la registrazione dell'applicazione da ripristinare e poi selezionare Ripristina registrazione app.
Le principali del servizio possono essere elencate, visualizzate, eliminate definitivamente o ripristinate usando l'API deletedItems di Microsoft Graph. Per ripristinare le applicazioni con Microsoft Graph, vedere Ripristinare l'elemento eliminato - Microsoft Graph v1.0..
Unità amministrative
Le unità amministrative possono essere elencate, visualizzate o ripristinate tramite l'API Microsoft Graph deletedItems. Per ripristinare le unità amministrative con Microsoft Graph, vedere Ripristinare l'elemento eliminato - Microsoft Graph v1.0.. Quando un'unità amministrativa viene eliminata, rimane in uno stato eliminato temporaneamente e può essere ripristinata per 30 giorni, ma non può essere eliminata definitivamente durante tale periodo. Le unità amministrative eliminate in modo soft vengono eliminate definitivamente dopo 30 giorni.
Criteri di accesso condizionale
È necessario esaminare e convalidare la configurazione dei criteri di accesso condizionale dopo il ripristino per assicurarsi che si comporti come previsto.
Per ripristinare un criterio di accesso condizionale:
- Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
- Passare a Entra ID>Accesso condizionale>Criteri eliminati (Anteprima).
- Selezionare i puntini di sospensione (...) all'estrema destra dei criteri da ripristinare.
- Selezionare Ripristina.
- Nella finestra di dialogo Ripristina criteri di accesso condizionale? è possibile scegliere di ripristinare il criterio in modalità solo report o lasciarlo nello stato in cui era stato eliminato, che potrebbe essere Attivato. Effettuare la selezione e selezionare Ripristina.
Avvertimento
Il ripristino di un criterio allo stato precedente potrebbe avere conseguenze impreviste. Microsoft consiglia agli amministratori di ripristinare prima i criteri in modalità solo report, quindi dedicare tempo per esaminare e abilitare.
Posizioni specifiche
Le posizioni nominate non possono essere eliminate quando marcate come attendibili e, quando vengono recuperate dall'eliminazione temporanea, non vengono marcate come attendibili. Le posizioni denominate recuperate dovrebbero essere esaminate dopo il ripristino prima di marcare nuovamente come attendibili.
Per ripristinare una posizione denominata:
- Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
- Passare a Entra ID>Accesso condizionale>Località denominate>Eliminate (Anteprima).
- Selezionare i puntini di sospensione (...) alla destra della posizione da ripristinare.
- Selezionare Ripristina.
- Nella finestra di dialogo Ripristina percorso denominato selezionato? selezionare Ripristina.
Eliminazioni definitive
Un'eliminazione definitiva rimuove definitivamente un oggetto dal tenant di Microsoft Entra. Gli oggetti che non supportano l'eliminazione temporanea vengono rimossi in questo modo. Anche gli oggetti eliminati temporaneamente vengono eliminati permanentemente dopo 30 giorni. Solo questi tipi di oggetto supportano l'eliminazione temporanea:
- Utenti
- Gruppi di Microsoft 365
- Gruppi di sicurezza cloud
- Registrazione dell'applicazione
- Principale servizio
- Unità amministrativa
- Criteri di accesso condizionale
- Posizioni specifiche
Importante
Tutti gli altri tipi di elementi vengono eliminati definitivamente e non possono essere ripristinati. Devono essere ricreati. Gli amministratori e Microsoft non possono ripristinare gli elementi eliminati definitivamente. Prepararsi creando processi e documentazione per ridurre al minimo le interruzioni.
Per informazioni su come preparare e documentare gli stati correnti, vedere Procedure consigliate per la recuperabilità.
Quando si verificano in genere eliminazioni definitive
Le eliminazioni hard possono verificarsi in queste circostanze:
Passaggio dall'eliminazione temporanea all'eliminazione definitiva:
- Un oggetto eliminato temporaneamente non viene ripristinato entro 30 giorni.
- Un amministratore elimina intenzionalmente un oggetto nello stato di eliminazione temporanea.
Nota
Gli oggetti applicazione non vengono eliminati automaticamente anche dopo 30 giorni quando il valore "signInAudience" delle app è impostato su uno dei seguenti valori: "AzureADMultipleOrgs", "AzureADandPersonalMicrosoftAccount" o "PersonalMicrosoftAccount". In questo caso, gli oggetti dell'applicazione devono essere eliminati definitivamente manualmente.
Eliminazione definitiva diretta:
- Il tipo di oggetto eliminato non supporta l'eliminazione temporanea.
- Un amministratore sceglie di eliminare definitivamente un elemento usando il portale, cosa che in genere si verifica in risposta a una richiesta.
- Uno script di automazione attiva l'eliminazione dell'oggetto usando Microsoft Graph o PowerShell. Gli script di automazione vengono comunemente usati per pulire gli oggetti obsoleti. Un processo di off-boarding robusto consente di evitare errori che possono comportare l'eliminazione di massa di oggetti critici.
Ripristino dall'eliminazione definitiva
Gli elementi eliminati definitivamente devono essere ricreati e riconfigurati. È meglio evitare cancellazioni definitive indesiderate.
Esaminare gli oggetti eliminati in modo soft
Assicurarsi di disporre di un processo per esaminare regolarmente gli elementi nello stato di eliminazione temporanea e ripristinarli, se necessario. Preparazione:
- Elencare regolarmente gli elementi eliminati.
- Definire criteri specifici per gli elementi da ripristinare.
- Assegnare ruoli o utenti specifici per valutare e ripristinare gli elementi in base alle esigenze.
- Creare e testare un piano di gestione della continuità. Per altre informazioni, vedere Considerazioni sul piano di gestione della continuità aziendale.
Passaggi successivi
Scopri come evitare eliminazioni indesiderate nelle procedure consigliate per la recuperabilità.