Podporované objekty a obnovitelné vlastnosti v Microsoft Entra Backup a Recovery

Microsoft Entra Backup a Recovery podporuje obnovení pro definovanou sadu typů objektů tenanta a vybrané vlastnosti těchto objektů.

Poznámka:

Sada podporovaných objektů a vlastností se v průběhu času rozšiřuje. Obnovení se vztahuje pouze na podporované vlastnosti uvedené v tomto článku a neznamená vrácení celého objektu zpět.

Zálohy se vytvářejí automaticky jednou denně. Rozdílové sestavy porovnávají vybranou zálohu s aktuálním stavem tenanta a zobrazují změny u podporovaných vlastností a odkazů.

Úrovně rozsahu obnovení

Když vytvoříte sestavu rozdílů nebo spustíte obnovení, můžete operaci omezit na všechny podporované objekty, vybrané typy objektů nebo konkrétní ID objektů. Některé související objekty jsou seskupeny pro vymezení rozsahu. Například instanční objekty, udělení oprávnění OAuth2 a přiřazení rolí aplikací jsou seskupené pod jedním filtrem v Centrum pro správu Microsoft Entra.

User

Obnovení uživatelských objektů podporuje tyto vlastnosti:

  • AccountEnabled
  • AgeGroup
  • City
  • CompanyName
  • ConsentProvidedForMinor
  • Country
  • Department
  • DisplayName
  • EmployeeHireDate
  • EmployeeId
  • EmployeeLeaveDate
  • EmployeeOrgData
  • EmployeeType
  • FaxNumber
  • GivenName
  • JobTitle
  • Mail
  • MailNickname
  • Mobile
  • OtherMail
  • PasswordPolicies
  • PerUserMfaState
  • PhysicalDeliveryOfficeName
  • PostalCode
  • PreferredDataLocation
  • PreferredLanguage
  • State
  • StreetAddress
  • Surname
  • TelephoneNumber
  • UsageLocation
  • UserPrincipalName
  • UserType

Poznámka:

Změny manažera a sponzora nejsou předmětem.

Pro referenční účely se podívejte na kompletní sadu vlastností uživatele v Microsoft Graph uživatelském zdroji.

Skupina

Obnovení pro objekty skupiny podporuje tyto vlastnosti:

  • Classification
  • Description
  • DisplayName
  • GroupType
  • IsPublic
  • Mail
  • MailEnabled
  • MailNickname
  • PreferredDataLocation
  • PreferredLanguage
  • SecurityEnabled
  • Theme

Poznámka:

Změny vlastnictví skupiny nejsou v rozsahu. Dynamické skupiny je možné obnovit nebo dočasně odstranit během obnovy, ale změny pravidel dynamické skupiny nejsou zahrnuty.

Pro zobrazení úplné sady vlastností skupiny se podívejte na typ prostředku skupiny Microsoft Graph.

Zásady podmíněného přístupu

Všechny vlastnosti zásad podmíněného přístupu jsou relevantní. Zobrazte všechny vlastnosti zásad podmíněného přístupu v typu prostředku Microsoft Graph conditionalAccessPolicy.

Zásady pojmenovaného umístění

Všechny vlastnosti pojmenovaných zásad umístění jsou v rozsahu. Zobrazit všechny pojmenované vlastnosti zásad umístění v typu prostředku Microsoft Graph pojmenovanéLocation.

Zásady autorizace

Obnova objektů zásad autorizace podporuje tyto vlastnosti:

  • blockMsolPowerShell
  • guestUserRoleId

Tady je mapování ID rolí uživatele typu host s úrovněmi oprávnění uživatele typu host:

Úroveň oprávnění Description Role ID
Člen uživatel Uživatelé typu host mají stejný přístup jako členové. a0b1b346-4d3e-4e8b-98f8-753987be4970
Hostující uživatel Uživatelé typu host mají omezený přístup k vlastnostem a členství objektů adresáře 10dae51f-b6af-4016-8d66-8c2a99b929b3
Uživatel typu host s omezením Přístup uživatelů typu host je omezen na vlastnosti a členství vlastních objektů adresáře. 2af84b1e-32c8-42b7-82bc-daa82404023b

Pro referenci nahlédněte do úplné sady vlastností zásad autorizace v typu prostředku Microsoft Graph authorizationPolicy.

Zásady metod ověřování

Obnovení podporuje tyto zásady autentizačních metod:

  • E-mailové jednorázové heslo (OTP)
  • Klíč FIDO2
  • Aplikace Authenticator
  • Hlasový hovor
  • služba SMS
  • Software třetích stran OATH
  • Dočasné předplatné
  • Ověřování pomocí certifikátů

Pro referenci si prohlédněte úplnou sadu vlastností zásad ověřování v typu prostředku Microsoft Graph authenticationMethodConfiguration.

Přihláška

Obnovení pro objekty aplikace podporuje tyto vlastnosti:

  • DisplayName
  • Description
  • Notes
  • ApplicationTag
  • AppIdentifierUri
  • AppCreatedDateTime
  • PublicClient
  • PublisherDomain
  • IsDeviceOnlyAuthSupported
  • ServiceManagementReference
  • RequiredResourceAccess
  • NativeAuthenticationApisEnabled
  • SignInAudience
  • GroupMembershipClaims
  • OptionalClaims
  • IsDisabled
  • AddIns
  • ServicePrincipalLockConfiguration
  • AppInformationalUrl

Pro referenci se podívejte na úplnou sadu vlastností aplikace v typu prostředku aplikace Microsoft Graph.

Hlavní služba

Obnovení objektů služebního principála podporuje tyto vlastnosti:

  • AccountEnabled
  • AlternativeNames
  • ExplicitAccessGrantRequired
  • Description
  • LoginUrl
  • Notes
  • NotificationEmailAddresses
  • PreferredTokenSigningKeyThumbprint
  • ServicePrincipalTag
  • ServicePrincipalType
  • PreferredSingleSignOnMode
  • PublisherName
  • SamlSingleSignOnSettings
  • ServicePrincipalName

Pokud chcete zobrazit úplnou sadu vlastností objektu `servicePrincipal` v Microsoft Graph typu prostředku servicePrincipal.

Obnovení aplikace služby je základ pro související oprávnění. Při obnovení služebního účtu se pomocí služby Microsoft Entra Backup a Recovery také obnovují:

  • Oprávnění OAuth2 uděluje, kde obnovený instanční objekt je cílový objekt.
  • Přiřazení rolí aplikace, u kterých je obnovený objekt služby cílovým objektem

Udělení oprávnění OAuth2 (delegováno)

Udělení oprávnění OAuth2 představuje delegovaná oprávnění udělená služebnímu objektu aplikace. Správce může vytvořit delegovaná oprávnění, když uživatel souhlasí s požadavkem aplikace na přístup k rozhraní API, nebo mu správce může udělit oprávnění jménem všech uživatelů. Oprávnění, která správce uděluje jménem všech uživatelů, jsou v rámci působnosti. Tyto udělení oprávnění můžete identifikovat pomocí consentType = AllPrincipals a .principalId = null

Udělení oprávnění vytvořená v důsledku souhlasu uživatele se nepodporují. Zobrazení vlastností udělení delegovaného oprávnění OAuth2 v typu prostředku Microsoft Graph oauth2PermissionGrant.

Udělení oprávnění OAuth2 se neobnoví nezávisle. V případě rozdílů v sestavě a nastavení rozsahu obnovení jsou instanční objekty, udělení oprávnění OAuth2 a přiřazení rolí aplikací seskupené pod jedním filtrem v Centru pro správu Microsoft Entra.

Přiřazení role aplikace

Záznam o přiřazení role aplikace se eviduje, když je uživateli, skupině nebo služebnímu objektu přidělena role aplikace. Všechny vlastnosti přiřazení rolí aplikace jsou v rozsahu. Zobrazte všechny podrobnosti a vlastnosti přiřazení role aplikace v prostředku appRoleAssignment v Microsoft Graph.

Přiřazení rolí aplikací se neobnoví nezávisle. V případě rozdílů v sestavě a nastavení rozsahu obnovení jsou instanční objekty, udělení oprávnění OAuth2 a přiřazení rolí aplikací seskupené pod jedním filtrem v Centru pro správu Microsoft Entra.

Organizace

Obnovení pro objekt organizace podporuje tyto vlastnosti:

Nastavení vícefaktorového ověřování na úrovni tenanta (MFA):

  • StrongAuthenticationDetails

    • availableMFAMethods

      Snímek obrazovky znázorňující vlastnost availableMFAMethods v části StrongAuthenticationDetails

    • IsApplicationPasswordBlocked

      Snímek obrazovky znázorňující vlastnost IsApplicationPasswordBlocked v části StrongAuthenticationDetails

    • IsRememberDevicesEnabled

      Snímek obrazovky znázorňující vlastnost IsRememberDevicesEnabled v části StrongAuthenticationDetails

    • rememberDevicesDurationInDays

      Snímek obrazovky znázorňující vlastnost rememberDevicesDurationInDays v části StrongAuthenticationDetails

  • StrongAuthenticationPolicy

    • enabled

      Snímek obrazovky znázorňující povolenou vlastnost v části StrongAuthenticationPolicy

    • ipAllowList

      Snímek obrazovky znázorňující vlastnost ipAllowList v části StrongAuthenticationPolicy

Omezení

Při používání služby Microsoft Entra Backup a Recovery zvažte následující omezení.

Čas dokončení úlohy

Doba dokončení pro sestavy rozdílů a obnovení závisí na načítání a zpracovánídat.

Při prvním přístupu k zálohování prostřednictvím rozdílové zprávy nebo obnovy, obnovovací služba načte zálohovaná data. Toto načítání trvá pevně stanovenou dobu, a to i u malých tenantů. Služba opakovaně používá načtená data napříč operacemi, které odkazují na stejné zálohování, takže následné operace se dokončí rychleji. Vytvořením zprávy o rozdílech před obnovením lze zkrátit dobu obnovení přednahráním dat.

Po dokončení načítání dat se operace přesune do zpracování. Při sestavování zpráv o rozdílech identifikuje proces změny mezi zálohou a aktuálním nájemcem. Pro obnovení se při zpracování použijí požadované změny pro obnovení stavu zálohování. Doba zpracování se liší podle počtu objektů, rozsahu operace a počtu zahrnutých změn.

Pevně odstraněné objekty

Microsoft Entra Backup and Recovery nepodporuje obnovení ani opětovné vytvoření pevně odstraněných objektů. Pouze objekty, které byly soft-deleted nebo úpravené, mohou být obnoveny.

Dočasně odstraněné uživatele, skupiny Microsoftu 365, cloudové skupiny zabezpečení, registrace aplikací a instanční objekty služeb lze obnovit do 30 dnů. Další informace o tom, jak měkké odstranění souvisí se službou Backup and Recovery, viz Měkké odstranění v Microsoft Entra Backup and Recovery. Zálohování a obnovení se zaměřuje na obnovení podporovaných vlastností a odkazů z uchovaných záloh a nenahrazuje obnovení po soft-delete.

Objekty spravované v místní službě Active Directory Domain Services

Všechny změny provedené v místních synchronizovaných objektech (s výjimkou členství ve skupinách) se zobrazují ve zprávách o rozdílech, ale z obnovení jsou automaticky vyloučeny. Organizace, které používají hybridní identitu s ID Microsoft Entra, můžou pomocí sestav rozdílů identifikovat změny objektů synchronizovaných z místního prostředí. U určitých typů objektů, jako jsou uživatelé a skupiny, můžete přesunout zdroj autority z místního prostředí do cloudu. Po převodu jsou pro tyto objekty k dispozici všechny funkce zálohování a obnovení. Zálohujte a obnovujte objekty spravované místně pomocí alternativního řešení.

Pokud se uživatel nebo skupina po vytvoření zálohy převedou na cloudovou správu, obnovení z této zálohy neodvrátí zdroj autority do místní služby Active Directory. Obnoví se další podporované změněné atributy.

Širší obnovitelnost

Microsoft Entra Backup a Recovery by se měl používat jako součást širšího přístupu k obnovitelnosti, který vaší organizaci pomáhá být odolnější. Pokud chcete snížit riziko škodlivé a náhodné ztráty dat adresáře, postupujte podle osvědčených postupů obnovení v Microsoft Entra ID. Mezi tyto postupy patří:

  • Stanovení preventivních provozních bezpečnostních opatření
  • Pravidelné zdokumentování známého dobrého stavu pomocí rozhraní Microsoft Graph API
  • Příprava procesů pro zotavení z odstranění a chybné konfigurace