Eseguire il ripristino dalle eliminazioni

Questo articolo illustra il ripristino da eliminazioni temporanee e definitive nel tenant di Microsoft Entra. Se non è già stato fatto, leggere Procedure consigliate per la recuperabilità come informazioni di base.

Monitorare le eliminazioni

Il log di controllo di Microsoft Entra contiene informazioni su tutte le operazioni di eliminazione eseguite nel tenant. Esportare questi log in uno strumento di gestione degli eventi e informazioni di sicurezza, come ad esempio Microsoft Sentinel.

È anche possibile usare Microsoft Graph per controllare le modifiche e creare una soluzione personalizzata per monitorare le differenze nel tempo. Per ulteriori informazioni su come trovare elementi eliminati tramite Microsoft Graph, vedere Elencare gli elementi eliminati - Microsoft Graph v1.0.

Log di audit

Il log di controllo registra sempre un evento "Delete <object>", anche quando un oggetto nel tenant viene rimosso da uno stato con un'eliminazione temporanea o definitiva.

Screenshot che mostra un log di controllo con eliminazioni.

Un evento di eliminazione per applicazioni, utenti e gruppi di Microsoft 365 è un'eliminazione temporanea. Per qualsiasi altro tipo di oggetto, l'eliminazione è considerata definitiva. Tenere traccia dell'occorrenza di eventi di eliminazione definitiva confrontando gli eventi "Delete <object>" con il tipo di oggetto eliminato. Si annotino gli eventi che non supportano l'eliminazione temporanea. Si annotino anche gli eventi "Hard Delete <object>".

Tipo oggetto Attività nel log Risultato
Applicazione Eliminare l'applicazione Eliminato temporaneamente
Applicazione Eliminare definitivamente un'applicazione Eliminazione definitiva
User Eliminare un utente Eliminato temporaneamente
User Eliminare definitivamente un utente Eliminazione definitiva
Gruppo di Microsoft 365 Eliminare un gruppo Eliminato temporaneamente
Gruppo di Microsoft 365 Eliminare un gruppo definitivamente Eliminazione definitiva
Tutti gli altri oggetti Eliminare "objectType" Eliminazione definitiva

Nota

Il log di audit non distingue di che tipo è un gruppo eliminato. Solo i gruppi di Microsoft 365 vengono eliminati temporaneamente. Se visualizzi la voce Elimina gruppo, potrebbe trattarsi dell'eliminazione temporanea di un gruppo di Microsoft 365 o dell'eliminazione definitiva di un altro tipo di gruppo.

È importante che la documentazione dello stato valido noto includa il tipo di gruppo per ogni gruppo dell'organizzazione. Per ulteriori informazioni sulla documentazione dello stato valido noto, vedere Procedure consigliate per il recupero.

Monitorare i ticket di supporto

Un aumento improvviso dei ticket di supporto sull'accesso a un oggetto specifico potrebbe indicare che si è verificata un'eliminazione. Poiché alcuni oggetti hanno dipendenze, l'eliminazione di un gruppo usato per accedere a un'applicazione, un'applicazione stessa o un Criterio di accesso condizionale destinato a un'applicazione può causare un impatto improvviso generale. Se viene visualizzata una tendenza simile a questa, verificare che nessuno degli oggetti necessari per l'accesso sia stato eliminato.

Eliminazioni temporanee

Quando oggetti come utenti, gruppi di Microsoft 365 o registrazioni di applicazioni vengono eliminati temporaneamente, entrano in uno stato di sospensione in cui non sono disponibili per l'uso da parte di altri servizi. In questo stato, gli elementi mantengono le loro proprietà e possono essere ripristinati per 30 giorni. Dopo 30 giorni, gli oggetti nello stato eliminato temporaneamente vengono eliminati permanentemente o definitivamente.

Nota

Gli oggetti non possono essere ripristinati da uno stato eliminato definitivamente. Devono essere ricreati e riconfigurati.

Quando si verificano eliminazioni temporanee

È importante comprendere perché le eliminazioni di oggetti si verificano nell'ambiente affinché sia possibile prepararle. In questa sezione vengono descritti gli scenari frequenti per l'eliminazione temporanea in base alla classe dell’oggetto. È possibile che vengano visualizzati scenari univoci per l'organizzazione, quindi un processo di individuazione è fondamentale per la preparazione.

Utenti

Gli utenti immettono lo stato di eliminazione temporanea ogni volta che l'oggetto utente viene eliminato usando il portale di Azure, Microsoft Graph o PowerShell.

Gli scenari più frequenti per l'eliminazione degli utenti sono:

  • Un amministratore elimina intenzionalmente un utente nel portale di Azure in risposta a una richiesta o nell’ambito della manutenzione di routine dell'utente.
  • Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, si potrebbe avere uno script che rimuove gli utenti che non hanno eseguito l'accesso per un determinato periodo di tempo.
  • Un utente viene spostato dall'ambito per la sincronizzazione con Microsoft Entra Connect.
  • Un utente viene rimosso da un sistema HR e sottoposto a deprovisioning tramite un flusso di lavoro automatizzato.

Gruppi di Microsoft 365

Gli scenari più frequenti per i gruppi di Microsoft 365 eliminati sono:

  • Un amministratore elimina intenzionalmente il gruppo, ad esempio in risposta a una richiesta di supporto.
  • Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, si potrebbe avere uno script che elimina i gruppi a cui non è stato eseguito l'accesso o l'attestazione da parte del titolare del gruppo per un periodo di tempo specificato.
  • Eliminazione involontaria di un gruppo di proprietà di utenti non amministratori.

Oggetti applicazione ed entità servizio

Gli scenari più frequenti per l'eliminazione dell'applicazione sono:

  • Un amministratore elimina intenzionalmente l'applicazione, ad esempio in risposta a una richiesta di supporto.
  • Uno script di automazione in Microsoft Graph o PowerShell attiva l'eliminazione. Ad esempio, potrebbe essere necessario un processo per eliminare le applicazioni abbandonate che non vengono più usate o gestite. In generale, creare un processo di offboarding per le applicazioni anziché creare script per evitare eliminazioni involontarie.

Quando si elimina un'applicazione, la registrazione dell'applicazione per impostazione predefinita entra nello stato di eliminazione temporanea. Per comprendere la relazione tra le registrazioni delle applicazioni e le entità servizio, vedere App e entità servizio in Microsoft Entra ID - Microsoft Identity Platform.

Unità amministrative

Lo scenario più comune per le eliminazioni è quando le unità amministrative (UA) vengono eliminate per errore, benché ancora necessarie.

Ripristino dall'eliminazione temporanea

È possibile ripristinare gli elementi eliminati temporaneamente nel portale di amministrazione o usando Microsoft Graph. Non tutte le classi di oggetti possono gestire le funzionalità di eliminazione temporanea nel portale, alcune sono elencate, visualizzate, eliminate o ripristinate solo usando l'API Microsoft Graph deletedItems.

Proprietà mantenute con eliminazione temporanea

Tipo oggetto Proprietà importanti mantenute
Utenti (inclusi gli utenti esterni) Tutte le proprietà gestite, inclusi ObjectID, appartenenze ai gruppi, ruoli, licenze e assegnazioni di applicazioni
Gruppi di Microsoft 365 Tutte le proprietà mantenute, inclusi ObjectID, appartenenze ai gruppi, licenze e assegnazioni di applicazioni
Registrazione dell'applicazione Tutte le proprietà mantenute. Vedere ulteriori informazioni dopo questa tabella.
Entità servizio Tutte le proprietà mantenute
Unità amministrativa (UA) Tutte le proprietà mantenute

Utenti

È possibile visualizzare gli utenti eliminati temporaneamente nel portale di Azure nella pagina Utenti | Utenti eliminati.

Per ulteriori informazioni su come ripristinare gli utenti, vedere la documentazione seguente:

Gruppi

È possibile visualizzare i gruppi di Microsoft 365 eliminati temporaneamente nel portale di Azure nella pagina Gruppi | Gruppi eliminati.

Screenshot che mostra il ripristino dei gruppi nel portale di Azure.

Per altre informazioni su come ripristinare i gruppi di Microsoft 365 eliminati temporaneamente, vedere la documentazione seguente:

Applicazioni ed entità servizio

Le applicazioni hanno due oggetti: la registrazione dell'applicazione e l'entità servizio. Per ulteriori informazioni sulle differenze tra la registrazione e l'entità servizio, vedere App e entità servizio in Microsoft Entra ID.

Per ripristinare un'applicazione dal portale di Azure, selezionare Registrazioni app>Applicazioni eliminate. Selezionare la registrazione dell'applicazione da ripristinare e poi selezionare Ripristina registrazione app.

Attualmente, le entità servizio possono essere elencate, visualizzate, eliminate definitivamente o ripristinate tramite l'API Microsoft Graph deletedItems. Per ripristinare le applicazioni con Microsoft Graph, vedere Ripristinare l'elemento eliminato - Microsoft Graph v1.0..

Unità amministrative

Le UA possono essere elencate, visualizzate o ripristinate tramite l'API Microsoft Graph deletedItems. Per ripristinare le UA con Microsoft Graph, vedere Ripristinare l'elemento eliminato - Microsoft Graph v1.0.. L’UA, una volta eliminata, rimane in uno stato di eliminazione temporanea e può essere ripristinata per 30 giorni, ma non può essere eliminata definitivamente durante tale periodo. Le UA eliminate temporaneamente vengono eliminate automaticamente dopo 30 giorni.

Eliminazioni hard

Un'eliminazione definitiva è la rimozione permanente di un oggetto dal tenant di Microsoft Entra. Gli oggetti che non supportano l'eliminazione temporanea vengono rimossi in questo modo. Analogamente, gli oggetti eliminati temporaneamente vengono eliminati definitivamente dopo un periodo di eliminazione di 30 giorni. Gli unici tipi di oggetto che supportano un'eliminazione temporanea sono:

  • Utenti
  • Gruppi di Microsoft 365
  • Registrazione dell'applicazione
  • Entità servizio
  • Unità amministrativa

Importante

Tutti gli altri tipi di elementi vengono eliminati definitivamente. Quando un elemento viene eliminato definitivamente, non può essere ripristinato. È necessario ricrearlo. Né gli amministratori né Microsoft possono ripristinare elementi eliminati definitivamente. Prepararsi per questa situazione accertandosi di disporre di processi e documentazione per ridurre al minimo le potenziali interruzioni di un'eliminazione temporanea.

Per informazioni su come preparare e documentare gli stati correnti, vedere Procedure consigliate per la recuperabilità.

Quando si verificano in genere eliminazioni definitive

Le eliminazioni definitive possono verificarsi nelle circostanze seguenti.

Passaggio dall'eliminazione temporanea all'eliminazione definitiva:

  • Un oggetto eliminato temporaneamente non è stato ripristinato entro 30 giorni.
  • Un amministratore elimina intenzionalmente un oggetto nello stato di eliminazione temporanea.

Eliminazione definitiva diretta:

  • Il tipo di oggetto eliminato non supporta l'eliminazione temporanea.
  • Un amministratore sceglie di eliminare definitivamente un elemento usando il portale, cosa che in genere si verifica in risposta a una richiesta.
  • Uno script di automazione attiva l'eliminazione dell'oggetto tramite Microsoft Graph o PowerShell. L'uso di uno script di automazione per pulire gli oggetti non aggiornati non è insolito. Un processo di off-boarding affidabile per gli oggetti nel tenant ti consente di evitare errori che potrebbero comportare l'eliminazione in blocco di oggetti critici.

Ripristino dall'eliminazione definitiva

Gli elementi eliminati definitivamente devono essere ricreati e riconfigurati. È consigliabile evitare eliminazioni temporanee indesiderate.

Esaminare gli oggetti eliminati temporaneamente

Accertarsi di disporre di un processo per esaminare frequentemente gli elementi nello stato di eliminazione temporanea e ripristinarli, se del caso. A tale scopo, è necessario:

Per ulteriori informazioni su come evitare eliminazioni indesiderate, vedere gli articoli seguenti in Procedure consigliate per la recuperabilità:

  • Continuità aziendale e pianificatore di emergenza
  • Documentare gli stati validi noti
  • Monitoraggio e conservazione dei dati