Återställa från borttagningar

Den här artikeln behandlar återställning från mjuka och hårda borttagningar i din Microsoft Entra-klientorganisation. Om du inte redan har gjort det läser du Metodtips för återställning för grundläggande kunskap.

Övervaka för borttagningar

Microsoft Entra-granskningsloggen innehåller information om alla borttagningsåtgärder som utförs i din klientorganisation. Exportera loggarna till ett verktyg för säkerhetsinformation och händelsehantering, till exempel Microsoft Sentinel.

Du kan också använda Microsoft Graph för att granska ändringar och skapa en anpassad lösning för att övervaka skillnader över tid. Mer information om hur du hittar borttagna objekt med hjälp av Microsoft Graph finns i Lista borttagna objekt – Microsoft Graph v1.0.

Granskningslogg

Granskningsloggen registrerar alltid en "Ta bort <objekt>"-händelse när ett objekt i klientorganisationen tas bort från ett aktivt tillstånd genom antingen en mjuk eller hård borttagning.

Skärmbild som visar en granskningslogg med borttagningar.

En borttagningshändelse för program, användare och Microsoft 365-grupper är en mjuk borttagning. För alla andra objekttyper är det en hård borttagning. Spåra förekomsten av händelser för hård borttagning genom att jämföra "Ta bort <objekt>"-händelser med den typ av objekt som har tagits bort. Observera de händelser som inte stöder mjuk borttagning. Observera även händelser för "Hårt borttagningsobjekt<>".

Object type Aktivitet i loggen Result
Program Ta bort program Mjuk borttagen
Program Program för hård borttagning Hårt borttaget
User Ta bort användare Mjuk borttagen
User Hård borttagningsanvändare Hårt borttaget
Microsoft 365-grupp Ta bort grupp Mjuk borttagen
Microsoft 365-grupp Grupp för hård borttagning Hårt borttaget
Alla andra objekt Ta bort "objectType" Hårt borttaget

Kommentar

Granskningsloggen särskiljer inte grupptypen för en borttagen grupp. Endast Microsoft 365-grupper tas bort mjukt. Om du ser posten Ta bort grupp kan det vara mjuk borttagning av en Microsoft 365-grupp eller den hårda borttagningen av en annan typ av grupp.

Det är viktigt att din dokumentation om ditt kända goda tillstånd innehåller grupptypen för varje grupp i din organisation. Mer information om hur du dokumenterar ditt kända goda tillstånd finns i Metodtips för återställning.

Övervaka supportärenden

En plötslig ökning av supportärenden om åtkomst till ett specifikt objekt kan tyda på att en borttagning har gjorts. Eftersom vissa objekt har beroenden, kan borttagning av en grupp som används för att komma åt ett program, ett program självt eller en princip för villkorsstyrd åtkomst som riktar sig mot ett program orsaka stora plötsliga effekter. Om du ser en trend som den här kontrollerar du att inget av de objekt som krävs för åtkomst har tagits bort.

Mjuka borttagningar

När objekt som användare, Microsoft 365-grupper eller programregistreringar tas bort mjukt, anger de ett inaktiverat tillstånd där de inte är tillgängliga för användning av andra tjänster. I det här tillståndet behåller objekten sina egenskaper och kan återställas i 30 dagar. Efter 30 dagar tas objekt i mjukt borttaget tillstånd bort permanent eller hårt.

Kommentar

Objekt kan inte återställas från ett hårt borttaget tillstånd. De måste återskapas och konfigureras om.

När mjuka borttagningar inträffar

Det är viktigt att förstå varför objektborttagningar sker i din miljö så att du kan förbereda dig för dem. Det här avsnittet beskriver vanliga scenarier för mjuk borttagning efter objektklass. Du kan se scenarier som är unika för din organisation, så en identifieringsprocess är nyckeln till förberedelser.

Användare

Användarna anger tillståndet för mjuk borttagning varje gång användarobjektet tas bort med hjälp av Azure Portal, Microsoft Graph eller PowerShell.

De vanligaste scenarierna för användarborttagning är:

  • En administratör tar avsiktligt bort en användare i Azure Portal som svar på en begäran eller som en del av rutinmässigt användarunderhåll.
  • Ett automatiseringsskript i Microsoft Graph eller PowerShell utlöser borttagningen. Du kan till exempel ha ett skript som tar bort användare som inte har loggat in under en angiven tid.
  • En användare flyttas utanför omfånget för synkronisering med Microsoft Entra Connect.
  • En användare tas bort från ett HR-system och avetableras via ett automatiserat arbetsflöde.

Microsoft 365 Groups

De vanligaste scenarierna för Microsoft 365-grupper som tas bort är:

  • En administratör tar avsiktligt bort gruppen, till exempel som svar på en supportbegäran.
  • Ett automatiseringsskript i Microsoft Graph eller PowerShell utlöser borttagningen. Du kan till exempel ha ett skript som tar bort grupper som inte har använts eller godkänts av gruppägaren under en angiven tid.
  • Oavsiktlig borttagning av en grupp som ägs av icke-administratörer.

Programobjekt och tjänstens huvudnamn

De vanligaste scenarierna för borttagning av program är:

  • En administratör tar avsiktligt bort programmet, till exempel som svar på en supportbegäran.
  • Ett automatiseringsskript i Microsoft Graph eller PowerShell utlöser borttagningen. Du kanske till exempel vill ha en process för att ta bort övergivna program som inte längre används eller hanteras. I allmänhet skapar du en offboarding-process för program i stället för skript för att undvika oavsiktliga borttagningar.

När du tar bort ett program går programregistreringen som standard in i läget mjuk borttagning. Information om relationen mellan programregistreringar och tjänstens huvudnamn finns i Appar och tjänstens huvudnamn i Microsoft Entra-ID – Microsofts identitetsplattform.

Administrativa enheter

Det vanligaste scenariot för borttagningar är när administrativa enheter (AU) tas bort av misstag, även om det fortfarande behövs.

Återställa från mjuk borttagning

Du kan återställa mjukt borttagna objekt i den administrativa portalen eller med hjälp av Microsoft Graph. Alla objektklasser kan inte hantera funktioner för mjuk borttagning i portalen, vissa visas bara, visas, tas bort eller återställs med hjälp av Microsoft Graph API:et deletedItems.

Egenskaper som underhålls med mjuk borttagning

Object type Viktiga egenskaper bibehålls
Användare (inklusive externa användare) Alla egenskaper som underhålls, inklusive ObjectID, gruppmedlemskap, roller, licenser och programtilldelningar
Microsoft 365 Groups Alla egenskaper som underhålls, inklusive ObjectID, gruppmedlemskap, licenser och programtilldelningar
Programregistrering Alla egenskaper bibehålls. Se mer information efter den här tabellen.
Tjänstens huvudnamn Alla egenskaper som underhålls
Administrativ enhet (AU) Alla egenskaper som underhålls

Användare

Du kan se användare med mjuk borttagning i Azure Portal på användare | Sidan Borttagna användare.

Mer information om hur du återställer användare finns i följande dokumentation:

Grupper

Du kan se mjukt borttagna Microsoft 365-grupper i Azure Portal på grupper | Sidan Borttagna grupper.

Skärmbild som visar återställning av grupper i Azure Portal.

Mer information om hur du återställer mjuk borttagna Microsoft 365-grupper finns i följande dokumentation:

Program och tjänsternas huvudnamn

Program har två objekt: programregistreringen och tjänstens huvudnamn. Mer information om skillnaderna mellan registreringen och tjänstens huvudnamn finns i Appar och tjänstens huvudnamn i Microsoft Entra-ID.

Om du vill återställa ett program från Azure Portal väljer du Appregistreringar> Ta bort program. Välj den programregistrering som ska återställas och välj sedan Återställ appregistrering.

För närvarande kan tjänstens huvudnamn visas, visas, tas bort eller återställas via Microsoft Graph-API:et deletedItems. Information om hur du återställer program med Microsoft Graph finns i Återställa borttaget objekt – Microsoft Graph v1.0..

Administrativa enheter

AUs kan visas, visas eller återställas via deletedItems Microsoft Graph API. Information om hur du återställer AUs med Microsoft Graph finns i Återställa borttaget objekt – Microsoft Graph v1.0.. När en AU har tagits bort förblir den i ett mjukt borttaget tillstånd och kan återställas i 30 dagar, men kan inte tas bort hårt under den tiden. Mjuk borttagna AUs tas bort automatiskt efter 30 dagar.

Hårda borttagningar

En hård borttagning är permanent borttagning av ett objekt från din Microsoft Entra-klientorganisation. Objekt som inte stöder mjuk borttagning tas bort på det här sättet. På samma sätt tas mjukt borttagna objekt bort hårt efter en borttagningstid på 30 dagar. De enda objekttyper som stöder mjuk borttagning är:

  • Användare
  • Microsoft 365 Groups
  • Programregistrering
  • Tjänstens huvudnamn
  • Administratörsenhet

Viktigt!

Alla andra objekttyper tas bort hårt. När ett objekt tas bort hårt kan det inte återställas. Den måste skapas på nytt. Varken administratörer eller Microsoft kan återställa hårt borttagna objekt. Förbered dig för den här situationen genom att se till att du har processer och dokumentation för att minimera potentiella störningar från en hård borttagning.

Information om hur du förbereder för och dokumenterar aktuella tillstånd finns i Metodtips för återställning.

När hårda borttagningar vanligtvis inträffar

Hårda borttagningar kan uppstå under följande omständigheter.

Flytta från mjuk till hård borttagning:

  • Ett mjukt borttaget objekt återställdes inte inom 30 dagar.
  • En administratör tar avsiktligt bort ett objekt i läget mjuk borttagning.

Direkt hårt borttaget:

  • Objekttypen som togs bort stöder inte mjuk borttagning.
  • En administratör väljer att permanent ta bort ett objekt med hjälp av portalen, vilket vanligtvis inträffar som svar på en begäran.
  • Ett automationsskript utlöser borttagningen av objektet med hjälp av Microsoft Graph eller PowerShell. Det är inte ovanligt att använda ett automationsskript för att rensa inaktuella objekt. En robust off-boarding-process för objekt i klientorganisationen hjälper dig att undvika misstag som kan leda till massborttagning av kritiska objekt.

Återställa från hård borttagning

Hårt borttagna objekt måste återskapas och konfigureras om. Det är bäst att undvika oönskade hårda borttagningar.

Granska mjukt borttagna objekt

Se till att du har en process för att ofta granska objekt i läget mjuk borttagning och återställa dem om det är lämpligt. För att göra det bör du:

  • Visa ofta borttagna objekt.
  • Se till att du har specifika kriterier för vad som ska återställas.
  • Se till att du har specifika roller eller användare tilldelade för att utvärdera och återställa objekt efter behov.
  • Utveckla och testa en kontinuitetshanteringsplan. Mer information finns i Överväganden för din affärskontinuitetsplan.

Mer information om hur du undviker oönskade borttagningar finns i följande artiklar i Metodtips för återställning:

  • Affärskontinuitet och katastrofplanering
  • Dokumentera kända goda tillstånd
  • Övervakning och datakvarhållning