Pemulihan dari penghapusan
Artikel ini membahas pemulihan dari penghapusan sementara dan keras di penyewa Microsoft Entra Anda. Jika Anda belum melakukannya, baca Praktik terbaik Pemulihan untuk pengetahuan dasar.
Memantau penghapusan
Log audit Microsoft Entra berisi informasi tentang semua operasi penghapusan yang dilakukan di penyewa Anda. Ekspor log ini ke alat informasi keamanan dan manajemen peristiwa seperti Microsoft Sentinel.
Anda juga dapat menggunakan Microsoft Graph untuk mengaudit perubahan dan membuat solusi kustom guna memantau perbedaan dari waktu ke waktu. Untuk informasi selengkapnya tentang menemukan item yang dihapus menggunakan Microsoft Graph, lihat Daftar item yang dihapus - Microsoft Graph v1.0.
Log audit
Log Audit selalu merekam peristiwa "Hapus <objek>" saat objek di penyewa dihapus dari status aktif dengan penghapusan sementara atau permanen.
Peristiwa penghapusan untuk aplikasi, pengguna, dan Grup Microsoft 365 adalah penghapusan sementara. Untuk jenis objek lainnya, ini adalah penghapusan permanen. Lacak kemunculan peristiwa penghapusan permanen dengan membandingkan peristiwa "Hapus <objek>" dengan jenis objek yang telah dihapus. Perhatikan peristiwa yang tidak mendukung penghapusan sementara. Selain itu, perhatikan peristiwa "Hapus Permanen <objek>".
| Tipe objek | Aktivitas dalam log | Hasil |
|---|---|---|
| Aplikasi | Hapus aplikasi | Penghapusan sementara |
| Aplikasi | Menghapus Aplikasi secara permanen | Penghapusan secara permanen |
| User | Menghapus pengguna | Penghapusan sementara |
| User | Menghapus pengguna secara permanen | Penghapusan secara permanen |
| Grup Microsoft 365 | Menghapus grup | Penghapusan sementara |
| Grup Microsoft 365 | Menghapus grup secara permanen | Penghapusan secara permanen |
| Semua objek lainnya | Menghapus "objectType" | Penghapusan secara permanen |
Catatan
Log audit tidak membedakan jenis grup pada grup yang dihapus. Hanya Grup Microsoft 365 yang dihapus sementara. Jika Anda melihat entri Hapus grup, itu mungkin merupakan penghapusan sementara grup Microsoft 365, atau penghapusan permanen dari jenis grup lain.
Menyertakan jenis grup pada setiap grup di organisasi pada dokumentasi tentang status baik yang diketahui merupakan hal yang penting. Untuk mempelajari lebih lanjut tentang mendokumentasikan status baik Anda yang diketahui, lihat Praktik terbaik pemulihan.
Memantau tiket dukungan
Peningkatan mendadak pada tiket dukungan yang mengenai akses ke objek tertentu dapat menunjukkan bahwa telah ada penghapusan. Karena beberapa objek memiliki dependensi, penghapusan grup untuk mengakses aplikasi, aplikasi itu sendiri, atau kebijakan Akses Bersyarat yang menargetkan aplikasi dapat menyebabkan dampak luas yang tiba-tiba. Jika Anda melihat tren seperti ini, pastikan tidak ada objek yang diperlukan untuk akses yang telah dihapus.
Penghapusan sementara
Saat objek seperti pengguna, Grup Microsoft 365, atau pendaftaran aplikasi "dihapus sementara", objek tersebut memasuki status ditangguhkan di mana mereka tidak dapat digunakan oleh layanan lain. Dalam status ini, item mempertahankan propertinya dan dapat dipulihkan selama 30 hari. Setelah 30 hari, objek dengan status dihapus sementara akan dihapus secara permanen.
Catatan
Objek dengan status dihapus secara permanen tidak dapat dipulihkan. Objek harus dibuat ulang dan dikonfigurasi ulang.
Saat penghapusan sementara terjadi
Penting untuk memahami alasan penghapusan objek yang terjadi di lingkungan Anda untuk mempersiapkannya. Bagian ini menguraikan skenario yang sering untuk penghapusan sementara menurut kelas objek. Anda mungkin melihat skenario yang unik pada organisasi, sehingga proses penemuan adalah kunci untuk persiapan.
Pengguna
Pengguna memasukkan status penghapusan sementara kapan saja saat objek pengguna dihapus menggunakan portal Azure, Microsoft Graph, atau PowerShell.
Skenario yang paling sering untuk penghapusan pengguna adalah:
- Administrator sengaja menghapus pengguna di portal Azure sebagai respons terhadap permintaan atau sebagai bagian dari pemeliharaan pengguna rutin.
- Skrip otomatisasi di Microsoft Graph atau PowerShell memicu penghapusan. Misalnya, Anda mungkin memiliki skrip yang menghapus pengguna yang tidak masuk dalam periode waktu tertentu.
- Pengguna dipindahkan dari cakupan untuk sinkronisasi dengan Microsoft Entra Koneksi.
- Pengguna dihapus dalam sistem HR dan dicabut aksesnya melalui alur kerja otomatis.
Grup Microsoft 365
Skenario yang paling sering untuk Grup Microsoft 365 yang dihapus adalah:
- Administrator sengaja menghapus grup, misalnya sebagai respons terhadap permintaan dukungan.
- Skrip otomatisasi di Microsoft Graph atau PowerShell memicu penghapusan. Misalnya, Anda memiliki skrip yang menghapus grup yang belum diakses atau diuji oleh pemilik grup dalam jangka waktu tertentu.
- Penghapusan yang tidak disengaja dari grup oleh non-admin.
Objek aplikasi dan perwakilan layanan
Skenario yang paling sering untuk penghapusan aplikasi adalah:
- Administrator sengaja menghapus aplikasi, misalnya sebagai respons terhadap permintaan dukungan.
- Skrip otomatisasi di Microsoft Graph atau PowerShell memicu penghapusan. Misalnya, Anda ingin menghapus aplikasi yang tidak lagi digunakan atau dikelola. Secara umum, buat proses offboarding untuk aplikasi daripada membuat skrip untuk menghindari penghapusan yang tidak disengaja.
Saat Anda menghapus aplikasi, pendaftaran aplikasi secara default memasuki status penghapusan sementara. Untuk memahami hubungan antara pendaftaran aplikasi dan perwakilan layanan, lihat Aplikasi dan perwakilan layanan di ID Microsoft Entra - platform identitas Microsoft.
Unit administratif
Skenario paling umum untuk penghapusan adalah ketika unit administratif (AU) dihapus secara tidak sengaja, meskipun masih diperlukan.
Memulihkan dari penghapusan sementara
Anda dapat memulihkan item yang dihapus sementara di portal administratif, atau dengan menggunakan Microsoft Graph. Tidak semua kelas objek dapat mengelola kemampuan penghapusan sementara di portal, beberapa hanya terdaftar, dilihat, dihapus secara permanen, atau dipulihkan menggunakan API Microsoft Graph DeletedItems.
Properti dipertahankan dengan penghapusan sementara
| Tipe objek | Properti penting dipertahankan |
|---|---|
| Pengguna (termasuk pengguna eksternal) | Semua properti dipertahankan, termasuk ObjectID, keanggotaan grup, peran, lisensi, dan penetapan aplikasi |
| Grup Microsoft 365 | Semua properti dipertahankan, termasuk ObjectID, keanggotaan grup, lisensi, dan penetapan aplikasi |
| Pendaftaran aplikasi | Semua properti dipertahankan. Lihat informasi selengkapnya setelah tabel ini. |
| Perwakilan layanan | Semua properti dipertahankan |
| Unit administratif (AU) | Semua properti dipertahankan |
Pengguna
Anda dapat melihat pengguna yang dihapus sementara di portal Azure di halaman Pengguna – Pengguna yang dihapus.
Untuk informasi selengkapnya tentang cara memulihkan pengguna, lihat dokumentasi berikut:
- Lihat Memulihkan atau menghapus pengguna yang baru saja dihapus secara permanen untuk memulihkan di portal Azure.
- Untuk memulihkan dengan menggunakan Microsoft Graph, lihat Memulihkan item yang dihapus – Microsoft Graph v1.0.
Grup
Anda dapat melihat Grup Microsoft 365 yang dihapus sementara dalam portal Azure di halaman Grup | Grup yang dihapus.
Untuk informasi selengkapnya tentang memulihkan Grup Microsoft 365 yang dihapus sementara, lihat dokumentasi berikut ini:
- Untuk memulihkan dari portal Azure, lihat Memulihkan Grup Microsoft 365 yang dihapus.
- Untuk memulihkan dengan menggunakan Microsoft Graph, lihat Memulihkan item yang dihapus – Microsoft Graph v1.0.
Aplikasi dan perwakilan layanan
Aplikasi memiliki dua objek: pendaftaran aplikasi dan perwakilan layanan. Untuk informasi selengkapnya tentang perbedaan antara pendaftaran dan perwakilan layanan, lihat Aplikasi dan perwakilan layanan di ID Microsoft Entra.
Untuk memulihkan aplikasi dari portal Azure, pilih Pendaftaran aplikasi>Aplikasi yang dihapus. Pilih pendaftaran aplikasi untuk dipulihkan, lalu pilih Pulihkan pendaftaran aplikasi.
Saat ini, perwakilan layanan dapat dicantumkan, dilihat, dihapus secara permanen, atau dipulihkan melalui MICROSOFT Graph API deletedItems. Untuk memulihkan aplikasi menggunakan Microsoft Graph, lihat Memulihkan item yang dihapus - Microsoft Graph v1.0..
Unit administratif
AUs dapat dicantumkan, dilihat, atau dipulihkan melalui API Microsoft Graph DeletedItems. Untuk memulihkan AUs menggunakan Microsoft Graph, lihat Memulihkan item yang dihapus - Microsoft Graph v1.0.. Setelah AU dihapus, AU tetap dalam status dihapus sementara dan dapat dipulihkan selama 30 hari, tetapi tidak dapat dihapus secara permanen selama waktu tersebut. AUs yang dihapus sementara dihapus secara otomatis setelah 30 hari.
Penghapusan permanen
Penghapusan keras adalah penghapusan permanen objek dari penyewa Microsoft Entra Anda. Objek yang tidak mendukung penghapusan sementara dihapus dengan cara ini. Demikian pula, objek yang dihapus sementara akan dihapus secara permanen setelah 30 hari. Satu-satunya jenis objek yang mendukung penghapusan sementara adalah:
- Pengguna
- Grup Microsoft 365
- Pendaftaran aplikasi
- Perwakilan layanan
- Unit administrasi
Penting
Semua tipe item lainnya dihapus secara permanen. Saat item dihapus permanen, item tersebut tidak dapat dipulihkan. Item tersebut harus dibuat ulang. Baik administrator maupun Microsoft tidak dapat memulihkan item yang dihapus secara permanen. Persiapkan situasi ini dengan memastikan bahwa Anda memiliki proses dan dokumentasi untuk meminimalkan potensi gangguan dari penghapusan permanen.
Untuk informasi tentang cara menyiapkan dan mendokumentasikan status saat ini, lihat Praktik terbaik pemulihan.
Saat penghapusan permanen biasanya terjadi
Penghapusan keras mungkin terjadi dalam keadaan berikut.
Berpindah dari penghapusan sementara ke penghapusan permanen:
- Objek yang dihapus sementara tidak dipulihkan dalam waktu 30 hari.
- Administrator sengaja menghapus objek dalam status penghapusan sementara.
Langsung dihapus secara permanen:
- Tipe objek yang dihapus tidak mendukung penghapusan sementara.
- Administrator memilih untuk menghapus item secara permanen dengan menggunakan portal, biasanya sebagai respons terhadap permintaan.
- Skrip otomatisasi memicu penghapusan objek dengan menggunakan Microsoft Graph atau PowerShell. Penggunaan skrip otomatisasi untuk menghapus objek kedaluwarsa tidak jarang terjadi. Microsoft merekomendasikan proses offboarding yang kuat untuk objek di penyewa Anda untuk menghindari kesalahan yang dapat mengakibatkan penghapusan massal objek penting.
Memulihkan dari penghapusan permanen
Item yang dihapus secara permanen harus dibuat ulang dan dikonfigurasi ulang. Sebaiknya hindari penghapusan permanen yang tidak diinginkan.
Meninjau objek yang dihapus sementara
Pastikan Anda sering meninjau item dalam status penghapusan sementara dan memulihkannya jika diperlukan. Untuk melakukannya, Anda harus:
- Sering mencantumkan item yang dihapus.
- Memastikan Anda memiliki kriteria khusus untuk apa yang harus dipulihkan.
- Pastikan Anda memiliki peran atau pengguna tertentu yang ditetapkan untuk mengevaluasi dan memulihkan item sebagaimana mestinya.
- Mengembangkan dan menguji rencana manajemen kelangsungan. Untuk informasi selengkapnya, lihat Pertimbangan untuk Rencana Manajemen Kelangsungan Bisnis Enterprise.
Untuk informasi selengkapnya tentang menghindari penghapusan yang tidak diinginkan, lihat artikel berikut di Praktik terbaik pemulihan:
- Keberlangsungan bisnis dan perencanaan bencana
- Mendokumentasikan status baik yang diketahui
- Pemantauan dan retensi data