Rate this post

Резервное копирование и восстановление Entra ID — это недавно выпущенная возможность, разработанная для защиты и восстановления критически важных данных арендатора (tenant). Эта функция, находящаяся на стадии предварительного просмотра, предоставляет автоматизированное решение для фиксации состояния определенных объектов, что упрощает восстановление после неправильных настроек или других сценариев потери данных. Данное руководство поможет вам включить, получить доступ и эффективно использовать эту функцию.

Предварительные условия

Для использования функции резервного копирования и восстановления Entra ID ваш арендатор должен соответствовать следующим критериям:

  • Лицензия Entra ID P1 или P2. Эта функция доступна только организациям с одним из этих уровней премиум-подписки.
  • Активная лицензия. Лицензия должна быть активирована в вашем арендаторе.

Примечание: Поскольку функция находится в режиме предварительного просмотра, она может быть доступна не во всех регионах изначально, но зона покрытия быстро расширяется. Проверьте наличие функции в центре администрирования Entra для вашего арендатора.entra резервное копирование

Включение резервного копирования и восстановления Entra ID

Функция разработана таким образом, чтобы к ней можно было легко получить доступ непосредственно из центра администрирования Entra. Сложная настройка или процесс ручной активации не требуются. Как только ваш арендатор получает необходимую лицензию P1 или P2, функция должна стать видимой автоматически.

Понимание архитектуры: ежедневные снимки (Snapshots)

Основой функции резервного копирования и восстановления Entra ID является механизм автоматизированных снимков состояния. Это гарантирует постоянное наличие копии состояний поддерживаемых объектов вашего арендатора.

Ключевые характеристики процесса резервного копирования:

  • Автоматизированное резервное копирование: Система создает комплексный снимок данных вашего арендатора один раз в день в полностью автоматическом режиме. Вам не нужно запускать его вручную.
  • Захват состояния на определенный момент времени: Каждый снимок представляет собой точное состояние поддерживаемых объектов и их атрибутов в конкретный момент времени.
  • 5-дневное хранение: Пять последних ежедневных снимков сохраняются и доступны для восстановления. Это предоставляет вам несколько исторических точек для отката, если это необходимо.

Такой подход гарантирует наличие надежных и согласованных данных для сравнения и восстановления, устраняя необходимость в управлении внешними решениями для резервного копирования этих конкретных типов объектов.

Доступ к резервному копированию и восстановлению в центре администрирования Entra

Чтобы просмотреть статус ваших резервных копий и получить доступ к вариантам восстановления, выполните следующие действия:

  1. Войдите в центр администрирования Entra. Используйте свои учетные данные администратора для входа на портал.
  2. Перейдите в раздел «Роли и администраторы». В левом меню разверните раздел Роли и администраторы.
  3. Нажмите на «Резервное копирование и восстановление (предварительная версия)». В этом специальном разделе представлен полный обзор функции.

В разделе «Обзор» вы найдете:

  • Описание функции: Четкое объяснение того, что предоставляет резервное копирование и восстановление Entra ID, и его текущий статус предварительного просмотра.
  • Последние резервные копии: Список пяти последних ежедневных резервных копий, включая отметку времени создания каждого снимка.

Что поддерживается (а что нет)

Важно понимать масштаб того, что охватывает резервное копирование и восстановление Entra ID. Хотя оно обеспечивает отличное покрытие для основных объектов, оно не является полной резервной копией каждого отдельного атрибута в вашем арендаторе Entra.

Поддерживаемые типы объектов (на момент текущей предварительной версии):

  • Пользователи
  • Группы
  • Субъекты служб (Корпоративные приложения)
  • Приложения (Регистрация приложений)
  • Политики условного доступа
  • Именованные местоположения

Основная цель — включить все часто используемые и критически важные свойства для этих объектов. Однако имейте в виду, что некоторые специфические или редко используемые атрибуты могут не войти в снимок. Основное внимание уделяется обеспечению быстрого восстановления основных функций управления идентификацией и доступом.

Ключевая функция: Отчет о различиях (сравнение снимков)

Одним из самых мощных и полезных аспектов функции резервного копирования и восстановления Entra ID является Отчет о различиях (Difference Report). Эта функциональность позволяет создавать подробное сравнение выбранного снимка резервной копии и текущего состояния вашего арендатора в реальном времени.

Как работает отчетность о различиях:

  1. Выберите резервную копию: В разделе Резервное копирование и восстановление выберите одну из доступных ежедневных копий.
  2. Создайте отчет о различиях: Нажмите кнопку Создать отчет о различиях. Система начнет анализ снимка и сравнение его с вашей текущей средой.
  3. Просмотрите отчет: После завершения анализа вы сможете увидеть подробный отчет, в котором выделены все различия. Он включает в себя:
    • Измененные объекты: Список объектов, которые были добавлены, изменены или удалены с момента создания снимка.
    • Измененные атрибуты: Для любого измененного объекта в отчете указывается, какие именно атрибуты были изменены (например, displayName, участники и политики условного доступа).
    • Старые значения против текущих: Что крайне важно, отчет показывает значение свойства в том виде, в каком оно существовало в снимке, и его текущее значение, что позволяет легко увидеть, что именно изменилось.

Примечание о производительности:

При первом запуске отчета о различиях для конкретного снимка это может занять немного больше времени, так как система загружает исходные метаданные. Однако последующие отчеты формируются значительно быстрее, так как большая часть данных кэшируется.

Восстановление объектов и конфигураций

Вся цель создания ежедневных снимков и формирования отчетов о различиях состоит в том, чтобы предоставить надежный метод восстановления данных и отмены нежелательных изменений. У вас есть детальный контроль над процессом восстановления.

Что вы можете восстановить:

Вы можете восстановить значения свойств точно в том виде, в каком они существовали в выбранном снимке. Это особенно ценно для восстановления после:

  • Злонамеренных атак: Отмена вредоносных изменений, внесенных злоумышленником.
  • Случайных массовых обновлений: Отмена крупномасштабного изменения конфигурации, которое имело непредвиденные негативные последствия.
  • Повреждения атрибутов: Исправление поврежденных или неверных свойств критически важных объектов.

Варианты восстановления:

При инициировании восстановления у вас есть несколько вариантов выбора:

  • Восстановить всё: Вы можете восстановить все объекты и их свойства из отчета о различиях, фактически вернув весь ваш арендатор к состоянию этого снимка.
  • Восстановить определенные типы объектов: Вы можете выбрать восстановление только определенных типов объектов, таких как «Политики условного доступа» или «Пользователи».
  • Восстановить конкретные объекты (по ID): Для максимальной точности вы можете найти и выбрать отдельные объекты для восстановления на основе их уникального идентификатора объекта (Object ID).

Такая гибкость гарантирует, что вы сможете применить именно тот уровень восстановления, который необходим: от свойств одного пользователя до конфигурации всей системы.

Критически важное понимание: проблема жесткого удаления и решение через мягкое удаление

Жизненно важно понимать существенное ограничение функции резервного копирования и восстановления Entra ID: она НЕ предназначена для восстановления объектов, которые были окончательно (жестко) удалены из вашего арендатора.

Что такое мягкое удаление (Soft Delete)?

Entra ID использует механизм «мягкого удаления» для таких ключевых объектов, как пользователи, группы и приложения. Когда вы удаляете один из этих объектов, он не стирается мгновенно. Вместо этого:

  • Перемещается в корзину: Объект перемещается в область «Удаленные объекты» (по сути, корзина для учетных записей).
  • 30-дневное хранение: Мягко удаленный объект хранится в течение 30 дней.
  • Полное восстановление: В течение этого 30-дневного окна вы можете легко восстановить мягко удаленный объект со всеми его свойствами. Процесс восстановления прост: перейдите в раздел «Удаленные объекты», выберите объект и нажмите «Восстановить».

Что такое жесткое удаление (Hard Delete)?

Жесткое удаление происходит, когда объект навсегда удаляется из списка мягко удаленных объектов до окончания 30-дневного периода хранения.

  • Безвозвратное удаление: Жесткое удаление является окончательным.
  • Восстановление невозможно: После жесткого удаления объект и его уникальный идентификатор (GUID) исчезают навсегда. Его невозможно вернуть с помощью механизма мягкого удаления.
  • Проблема повторного создания: Чтобы «вернуть» жестко удаленный объект, вам придется вручную создать новый объект. У этого нового объекта будет другой идентификатор (Object ID), что нарушит существующие разрешения, членство в группах, назначения приложений и журналы аудита, которые были привязаны к исходному объекту.

Рекомендация: Никогда не выполняйте жесткое удаление, если вы абсолютно не уверены, что объект больше не нужен и его никогда не потребуется восстанавливать. Почти всегда лучше позволить мягко удаленным объектам исчезнуть естественным путем по истечении срока.

Укрепление безопасности: предотвращение несанкционированного жесткого удаления

Злоумышленники знают о существовании мягкого удаления и понимают, что жесткое удаление — это способ навсегда избавиться от ключевого объекта. Распространенный сценарий атаки включает получение административного доступа высокого уровня с последующей попыткой повредить данные, удалить критические учетные записи и выполнить жесткое удаление, чтобы предотвратить восстановление.

Чтобы защититься от этого, вы можете использовать Защищенные действия (Protected Actions) в Entra ID, чтобы обезопасить операцию «жесткого удаления» дополнительными уровнями безопасности.

Как внедрить защищенные действия:

Ключом к предотвращению несанкционированного жесткого удаления является настройка защищенного действия для конкретной операции каталога, которая управляет этим процессом.

  1. Перейдите в раздел «Роли и администраторы»: Перейдите в раздел Роли и администраторы в центре администрирования Entra.
  2. Доступ к защищенным действиям: Нажмите на Защищенные действия.
  3. Добавьте защищенное действие: Нажмите Добавить защищенные действия.
  4. Определите действие: Выберите действие «Microsoft.Directory/deletedItems/delete». Это конкретное действие, которое запускает жесткое удаление.

Усиление с помощью контекста аутентификации

Чтобы сделать эту защиту еще сильнее, вы можете назначить Контекст аутентификации защищенному действию. Это позволяет применять более строгие и сложные политики условного доступа именно для этой чувствительной операции.

Пример политики усиленной защиты:

  • Контекст аутентификации: Создайте новый контекст аутентификации с именем «High-Security Ops».
  • Свяжите контекст с действием: Свяжите этот контекст с защищенным действием «deletedItems/delete».
  • Политика условного доступа: Создайте политику условного доступа, которая срабатывает всякий раз, когда запрашивается контекст аутентификации «High-Security Ops».
  • Обеспечьте строгие требования: Эта политика может требовать такие условия, как:
    • Устойчивая к фишингу MFA: Например, использование ключа безопасности FIDO2 или Windows Hello для бизнеса.
    • Соответствующее/гибридное присоединенное устройство: Гарантия того, что запрос поступает с известного, управляемого устройства.
    • Использование защищенной рабочей станции доступа (SAW): Ограничение доступа только с защищенной рабочей станции.

Настроив эту многоуровневую защиту, вы гарантируете, что даже если злоумышленник скомпрометирует учетную запись глобального администратора, он не сможет выполнить жесткое удаление и навсегда уничтожить ваши данные, не выполнив эти чрезвычайно строгие требования безопасности.

Заключение: полная модель защиты

Резервное копирование и восстановление Entra ID — это значительный шаг вперед в упрощении и укреплении защиты данных конфигурации вашего арендатора. Используя функции, описанные в этом руководстве, вы можете создать комплексную модель глубокой защиты, которая включает в себя:

  • Мягкое удаление (встроено): Ваша первая линия защиты от случайных удалений.
  • Защищенные действия (безопасность): Защита операции «жесткого удаления» для предотвращения несанкционированного безвозвратного уничтожения данных.
  • Журналы аудита и сигналы (видимость): Мониторинг любых попыток изменения или удаления критически важных объектов.
  • Резервное копирование и восстановление (восстановление): Надежная автоматизированная система для восстановления поврежденных свойств объектов, отмены массовых обновлений и ликвидации последствий инцидентов безопасности.

Для достижения наилучших результатов настоятельно рекомендуется сначала протестировать эти функции и рабочие процессы в тестовом арендаторе (не в рабочей среде). Это позволит вам получить практическое понимание функции и проверить процедуры восстановления, прежде чем полагаться на них в «живой» среде.