Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Entra Backup a Recovery podporuje obnovení pro definovanou sadu typů objektů tenanta a vybrané vlastnosti těchto objektů.
Poznámka:
Sada podporovaných objektů a vlastností se v průběhu času rozšiřuje. Obnovení se vztahuje pouze na podporované vlastnosti uvedené v tomto článku a neznamená vrácení celého objektu zpět.
Zálohy se vytvářejí automaticky jednou denně. Rozdílové sestavy porovnávají vybranou zálohu s aktuálním stavem tenanta a zobrazují změny u podporovaných vlastností a odkazů.
Úrovně rozsahu obnovení
Když vytvoříte sestavu rozdílů nebo spustíte obnovení, můžete operaci omezit na všechny podporované objekty, vybrané typy objektů nebo konkrétní ID objektů. Některé související objekty jsou seskupeny pro vymezení rozsahu. Například instanční objekty, udělení oprávnění OAuth2 a přiřazení rolí aplikací jsou seskupené pod jedním filtrem v Centrum pro správu Microsoft Entra.
User
Obnovení uživatelských objektů podporuje tyto vlastnosti:
AccountEnabledAgeGroupCityCompanyNameConsentProvidedForMinorCountryDepartmentDisplayNameEmployeeHireDateEmployeeIdEmployeeLeaveDateEmployeeOrgDataEmployeeTypeFaxNumberGivenNameJobTitleMailMailNicknameMobileOtherMailPasswordPoliciesPerUserMfaStatePhysicalDeliveryOfficeNamePostalCodePreferredDataLocationPreferredLanguageStateStreetAddressSurnameTelephoneNumberUsageLocationUserPrincipalNameUserType
Poznámka:
Změny manažera a sponzora nejsou předmětem.
Pro referenční účely se podívejte na kompletní sadu vlastností uživatele v Microsoft Graph uživatelském zdroji.
Skupina
Obnovení pro objekty skupiny podporuje tyto vlastnosti:
ClassificationDescriptionDisplayNameGroupTypeIsPublicMailMailEnabledMailNicknamePreferredDataLocationPreferredLanguageSecurityEnabledTheme
Poznámka:
Změny vlastnictví skupiny nejsou v rozsahu. Dynamické skupiny je možné obnovit nebo dočasně odstranit během obnovy, ale změny pravidel dynamické skupiny nejsou zahrnuty.
Pro zobrazení úplné sady vlastností skupiny se podívejte na typ prostředku skupiny Microsoft Graph.
Zásady podmíněného přístupu
Všechny vlastnosti zásad podmíněného přístupu jsou relevantní. Zobrazte všechny vlastnosti zásad podmíněného přístupu v typu prostředku Microsoft Graph conditionalAccessPolicy.
Zásady pojmenovaného umístění
Všechny vlastnosti pojmenovaných zásad umístění jsou v rozsahu. Zobrazit všechny pojmenované vlastnosti zásad umístění v typu prostředku Microsoft Graph pojmenovanéLocation.
Zásady autorizace
Obnova objektů zásad autorizace podporuje tyto vlastnosti:
blockMsolPowerShellguestUserRoleId
Tady je mapování ID rolí uživatele typu host s úrovněmi oprávnění uživatele typu host:
| Úroveň oprávnění | Description | Role ID |
|---|---|---|
| Člen uživatel | Uživatelé typu host mají stejný přístup jako členové. | a0b1b346-4d3e-4e8b-98f8-753987be4970 |
| Hostující uživatel | Uživatelé typu host mají omezený přístup k vlastnostem a členství objektů adresáře | 10dae51f-b6af-4016-8d66-8c2a99b929b3 |
| Uživatel typu host s omezením | Přístup uživatelů typu host je omezen na vlastnosti a členství vlastních objektů adresáře. | 2af84b1e-32c8-42b7-82bc-daa82404023b |
Pro referenci nahlédněte do úplné sady vlastností zásad autorizace v typu prostředku Microsoft Graph authorizationPolicy.
Zásady metod ověřování
Obnovení podporuje tyto zásady autentizačních metod:
- E-mailové jednorázové heslo (OTP)
- Klíč FIDO2
- Aplikace Authenticator
- Hlasový hovor
- služba SMS
- Software třetích stran OATH
- Dočasné předplatné
- Ověřování pomocí certifikátů
Pro referenci si prohlédněte úplnou sadu vlastností zásad ověřování v typu prostředku Microsoft Graph authenticationMethodConfiguration.
Přihláška
Obnovení pro objekty aplikace podporuje tyto vlastnosti:
DisplayNameDescriptionNotesApplicationTagAppIdentifierUriAppCreatedDateTimePublicClientPublisherDomainIsDeviceOnlyAuthSupportedServiceManagementReferenceRequiredResourceAccessNativeAuthenticationApisEnabledSignInAudienceGroupMembershipClaimsOptionalClaimsIsDisabledAddInsServicePrincipalLockConfigurationAppInformationalUrl
Pro referenci se podívejte na úplnou sadu vlastností aplikace v typu prostředku aplikace Microsoft Graph.
Hlavní služba
Obnovení objektů služebního principála podporuje tyto vlastnosti:
AccountEnabledAlternativeNamesExplicitAccessGrantRequiredDescriptionLoginUrlNotesNotificationEmailAddressesPreferredTokenSigningKeyThumbprintServicePrincipalTagServicePrincipalTypePreferredSingleSignOnModePublisherNameSamlSingleSignOnSettingsServicePrincipalName
Pokud chcete zobrazit úplnou sadu vlastností objektu `servicePrincipal` v Microsoft Graph typu prostředku servicePrincipal.
Obnovení aplikace služby je základ pro související oprávnění. Při obnovení služebního účtu se pomocí služby Microsoft Entra Backup a Recovery také obnovují:
- Oprávnění OAuth2 uděluje, kde obnovený instanční objekt je cílový objekt.
- Přiřazení rolí aplikace, u kterých je obnovený objekt služby cílovým objektem
Udělení oprávnění OAuth2 (delegováno)
Udělení oprávnění OAuth2 představuje delegovaná oprávnění udělená služebnímu objektu aplikace. Správce může vytvořit delegovaná oprávnění, když uživatel souhlasí s požadavkem aplikace na přístup k rozhraní API, nebo mu správce může udělit oprávnění jménem všech uživatelů. Oprávnění, která správce uděluje jménem všech uživatelů, jsou v rámci působnosti. Tyto udělení oprávnění můžete identifikovat pomocí consentType = AllPrincipals a .principalId = null
Udělení oprávnění vytvořená v důsledku souhlasu uživatele se nepodporují. Zobrazení vlastností udělení delegovaného oprávnění OAuth2 v typu prostředku Microsoft Graph oauth2PermissionGrant.
Udělení oprávnění OAuth2 se neobnoví nezávisle. V případě rozdílů v sestavě a nastavení rozsahu obnovení jsou instanční objekty, udělení oprávnění OAuth2 a přiřazení rolí aplikací seskupené pod jedním filtrem v Centru pro správu Microsoft Entra.
Přiřazení role aplikace
Záznam o přiřazení role aplikace se eviduje, když je uživateli, skupině nebo služebnímu objektu přidělena role aplikace. Všechny vlastnosti přiřazení rolí aplikace jsou v rozsahu. Zobrazte všechny podrobnosti a vlastnosti přiřazení role aplikace v prostředku appRoleAssignment v Microsoft Graph.
Přiřazení rolí aplikací se neobnoví nezávisle. V případě rozdílů v sestavě a nastavení rozsahu obnovení jsou instanční objekty, udělení oprávnění OAuth2 a přiřazení rolí aplikací seskupené pod jedním filtrem v Centru pro správu Microsoft Entra.
Organizace
Obnovení pro objekt organizace podporuje tyto vlastnosti:
Nastavení vícefaktorového ověřování na úrovni tenanta (MFA):
StrongAuthenticationDetailsavailableMFAMethods
IsApplicationPasswordBlocked
IsRememberDevicesEnabled
rememberDevicesDurationInDays
StrongAuthenticationPolicyenabled
ipAllowList
Omezení
Při používání služby Microsoft Entra Backup a Recovery zvažte následující omezení.
Čas dokončení úlohy
Doba dokončení pro sestavy rozdílů a obnovení závisí na načítání a zpracovánídat.
Při prvním přístupu k zálohování prostřednictvím rozdílové zprávy nebo obnovy, obnovovací služba načte zálohovaná data. Toto načítání trvá pevně stanovenou dobu, a to i u malých tenantů. Služba opakovaně používá načtená data napříč operacemi, které odkazují na stejné zálohování, takže následné operace se dokončí rychleji. Vytvořením zprávy o rozdílech před obnovením lze zkrátit dobu obnovení přednahráním dat.
Po dokončení načítání dat se operace přesune do zpracování. Při sestavování zpráv o rozdílech identifikuje proces změny mezi zálohou a aktuálním nájemcem. Pro obnovení se při zpracování použijí požadované změny pro obnovení stavu zálohování. Doba zpracování se liší podle počtu objektů, rozsahu operace a počtu zahrnutých změn.
Pevně odstraněné objekty
Microsoft Entra Backup and Recovery nepodporuje obnovení ani opětovné vytvoření pevně odstraněných objektů. Pouze objekty, které byly soft-deleted nebo úpravené, mohou být obnoveny.
Dočasně odstraněné uživatele, skupiny Microsoftu 365, cloudové skupiny zabezpečení, registrace aplikací a instanční objekty služeb lze obnovit do 30 dnů. Další informace o tom, jak měkké odstranění souvisí se službou Backup and Recovery, viz Měkké odstranění v Microsoft Entra Backup and Recovery. Zálohování a obnovení se zaměřuje na obnovení podporovaných vlastností a odkazů z uchovaných záloh a nenahrazuje obnovení po soft-delete.
Objekty spravované v místní službě Active Directory Domain Services
Všechny změny provedené v místních synchronizovaných objektech (s výjimkou členství ve skupinách) se zobrazují ve zprávách o rozdílech, ale z obnovení jsou automaticky vyloučeny. Organizace, které používají hybridní identitu s ID Microsoft Entra, můžou pomocí sestav rozdílů identifikovat změny objektů synchronizovaných z místního prostředí. U určitých typů objektů, jako jsou uživatelé a skupiny, můžete přesunout zdroj autority z místního prostředí do cloudu. Po převodu jsou pro tyto objekty k dispozici všechny funkce zálohování a obnovení. Zálohujte a obnovujte objekty spravované místně pomocí alternativního řešení.
Pokud se uživatel nebo skupina po vytvoření zálohy převedou na cloudovou správu, obnovení z této zálohy neodvrátí zdroj autority do místní služby Active Directory. Obnoví se další podporované změněné atributy.
Širší obnovitelnost
Microsoft Entra Backup a Recovery by se měl používat jako součást širšího přístupu k obnovitelnosti, který vaší organizaci pomáhá být odolnější. Pokud chcete snížit riziko škodlivé a náhodné ztráty dat adresáře, postupujte podle osvědčených postupů obnovení v Microsoft Entra ID. Mezi tyto postupy patří:
- Stanovení preventivních provozních bezpečnostních opatření
- Pravidelné zdokumentování známého dobrého stavu pomocí rozhraní Microsoft Graph API
- Příprava procesů pro zotavení z odstranění a chybné konfigurace