Rate this post

Резервне копіювання та відновлення Entra ID — це нещодавно випущена можливість, розроблена для захисту та відновлення критично важливих даних орендаря (tenant). Ця функція, що наразі перебуває на стадії попереднього перегляду, надає автоматизоване рішення для фіксації стану певних об’єктів, що спрощує відновлення після помилок у конфігурації або інших сценаріїв втрати даних. Цей посібник допоможе вам увімкнути, отримати доступ та ефективно використовувати цю функцію.

Попередні умови

Для використання функції резервного копіювання та відновлення Entra ID ваш орендар має відповідати наступним критеріям:

  • Ліцензія Entra ID P1 або P2. Ця функція доступна лише організаціям з одним із цих рівнів преміум-передплати.
  • Активна ліцензія. Ліцензія має бути активована у вашому орендарі.

Примітка: Оскільки функція перебуває в режимі попереднього перегляду, вона може бути доступна не у всіх регіонах відразу, але зона покриття швидко розширюється. Перевірте наявність функції в центрі адміністрування Entra для вашого орендаря.резервне копіювання entra

Увімкнення резервного копіювання та відновлення Entra ID

Функція розроблена так, щоб до неї можна було легко отримати доступ безпосередньо з центру адміністрування Entra. Складне налаштування або процес ручної активації не потрібні. Щойно ваш орендар отримує необхідну ліцензію P1 або P2, функція має стати видимою автоматично.

Розуміння архітектури: щоденні знімки (Snapshots)

Основою функції резервного копіювання та відновлення Entra ID є механізм автоматизованих знімків стану. Це гарантує постійну наявність копії станів підтримуваних об’єктів вашого орендаря.

Ключові характеристики процесу резервного копіювання:

  • Автоматизоване резервне копіювання: Система створює комплексний знімок даних вашого орендаря один раз на день у повністю автоматичному режимі. Вам не потрібно запускати його вручну.
  • Захоплення стану на певний момент часу: Кожен знімок представляє точний стан підтримуваних об’єктів та їхніх атрибутів у конкретний момент часу.
  • 5-денне зберігання: П’ять останніх щоденних знімків зберігаються та доступні для відновлення. Це надає вам кілька історичних точок для відкату, якщо це необхідно.

Такий підхід гарантує наявність надійних та узгоджених даних для порівняння та відновлення, усуваючи потребу в управлінні зовнішніми рішеннями для резервного копіювання цих конкретних типів об’єктів.

Доступ до резервного копіювання та відновлення в центрі адміністрування Entra

Щоб переглянути статус ваших резервних копій та отримати доступ до варіантів відновлення, виконайте наступні кроки:

  1. Увійдіть у центр адміністрування Entra. Використовуйте свої облікові дані адміністратора для входу на портал.
  2. Перейдіть до розділу «Ролі та адміністратори». У лівому меню розгорніть розділ Ролі та адміністратори.
  3. Натисніть на «Резервне копіювання та відновлення (попередня версія)». У цьому спеціальному розділі представлено повний огляд функції.

У розділі «Огляд» ви знайдете:

  • Опис функції: Чітке пояснення того, що надає резервне копіювання та відновлення Entra ID, та його поточний статус попереднього перегляду.
  • Останні резервні копії: Список п’яти останніх щоденних резервних копій, включаючи мітку часу створення кожного знімка.

Що підтримується (а що ні)

Важливо розуміти масштаб того, що охоплює резервне копіювання та відновлення Entra ID. Хоча воно забезпечує чудове покриття для основних об’єктів, воно не є повною резервною копією кожного окремого атрибута у вашому орендарі Entra.

Підтримувані типи об’єктів (на момент поточної попередньої версії):

  • Користувачі
  • Групи
  • Суб’єкти служб (Корпоративні додатки)
  • Додатки (Реєстрація додатків)
  • Політики умовного доступу
  • Іменовані місцезнаходження

Основна мета — включити всі часто використовувані та критично важливі властивості для цих об’єктів. Однак майте на увазі, що деякі специфічні або рідко використовувані атрибути можуть не увійти до знімка. Основна увага приділяється забезпеченню швидкого відновлення основних функцій управління ідентифікацією та доступом.

Ключова функція: Звіт про розбіжності (порівняння знімків)

Одним із найпотужніших та найкорисніших аспектів функції резервного копіювання та відновлення Entra ID є Звіт про розбіжності (Difference Report). Ця функціональність дозволяє створювати детальне порівняння обраного знімка резервної копії та поточного стану вашого орендаря в реальному часі.

Як працює звітність про розбіжності:

  1. Оберіть резервну копію: У розділі Резервне копіювання та відновлення оберіть одну з доступних щоденних копій.
  2. Створіть звіт про розбіжності: Натисніть кнопку Створити звіт про розбіжності. Система розпочне аналіз знімка та порівняння його з вашим поточним середовищем.
  3. Перегляньте звіт: Після завершення аналізу ви зможете побачити детальний звіт, у якому виділено всі розбіжності. Він включає:
    • Змінені об’єкти: Список об’єктів, які були додані, змінені або видалені з моменту створення знімка.
    • Змінені атрибути: Для будь-якого зміненого об’єкта у звіті вказується, які саме атрибути були змінені (наприклад, displayName, учасники та політики умовного доступу).
    • Старі значення проти поточних: Що вкрай важливо, звіт показує значення властивості в тому вигляді, в якому воно існувало у знімку, та його поточне значення, що дозволяє легко побачити, що саме змінилося.

Примітка щодо продуктивності:

Під час першого запуску звіту про розбіжності для конкретного знімка це може зайняти трохи більше часу, оскільки система завантажує початкові метадані. Проте наступні звіти формуються значно швидше, оскільки велика частина даних кешується.

Відновлення об’єктів та конфігурацій

Уся мета створення щоденних знімків та формування звітів про розбіжності полягає в тому, щоб надати надійний метод відновлення даних та скасування небажаних змін. У вас є детальний контроль над процесом відновлення.

Що ви можете відновити:

Ви можете відновити значення властивостей точно в тому вигляді, в якому вони існували в обраному знімку. Це особливо цінно для відновлення після:

  • Зловмисних атак: Скасування шкідливих змін, внесених зловмисником.
  • Випадкових масових оновлень: Скасування масштабної зміни конфігурації, яка мала непередбачені негативні наслідки.
  • Пошкодження атрибутів: Виправлення пошкоджених або невірних властивостей критично важливих об’єктів.

Варіанти відновлення:

При ініціюванні відновлення у вас є кілька варіантів вибору:

  • Відновити все: Ви можете відновити всі об’єкти та їхні властивості зі звіту про розбіжності, фактично повернувши весь ваш орендар до стану цього знімка.
  • Відновити певні типи об’єктів: Ви можете обрати відновлення тільки певних типів об’єктів, таких як «Політики умовного доступу» або «Користувачі».
  • Відновити конкретні об’єкти (за ID): Для максимальної точності ви можете знайти та обрати окремі об’єкти для відновлення на основі їхнього унікального ідентифікатора об’єкта (Object ID).

Така гнучкість гарантує, що ви зможете застосувати саме той рівень відновлення, який необхідний: від властивостей одного користувача до конфігурації всієї системи.

Критично важливе розуміння: проблема жорсткого видалення та рішення через м’яке видалення

Життєво важливо розуміти суттєве обмеження функції резервного копіювання та відновлення Entra ID: вона НЕ призначена для відновлення об’єктів, які були остаточно (жорстко) видалені з вашого орендаря.

Що таке м’яке видалення (Soft Delete)?

Entra ID використовує механізм «м’якого видалення» для таких ключових об’єктів, як користувачі, групи та додатки. Коли ви видаляєте один із цих об’єктів, він не стирається миттєво. Замість цього:

  • Переміщується до кошика: Об’єкт переміщується до області «Видалені об’єкти» (по суті, кошик для облікових записів).
  • 30-денне зберігання: М’яко видалений об’єкт зберігається протягом 30 днів.
  • Повне відновлення: Протягом цього 30-денного вікна ви можете легко відновити м’яко видалений об’єкт з усіма його властивостями. Процес відновлення простий: перейдіть до розділу «Видалені об’єкти», оберіть об’єкт і натисніть «Відновити».

Що таке жорстке видалення (Hard Delete)?

Жорстке видалення відбувається, коли об’єкт назавжди видаляється зі списку м’яко видалених об’єктів до закінчення 30-денного періоду зберігання.

  • Безповоротне видалення: Жорстке видалення є остаточним.
  • Відновлення неможливе: Після жорсткого видалення об’єкт і його унікальний ідентифікатор (GUID) зникають назавжди. Його неможливо повернути за допомогою механізму м’якого видалення.
  • Проблема повторного створення: Щоб «повернути» жорстко видалений об’єкт, вам доведеться вручну створити новий об’єкт. У цього нового об’єкта буде інший ідентифікатор (Object ID), що порушить існуючі дозволи, членство в групах, призначення додатків та журнали аудиту, які були прив’язані до вихідного об’єкта.

Рекомендація: Ніколи не виконуйте жорстке видалення, якщо ви абсолютно не впевнені, що об’єкт більше не потрібен і його ніколи не знадобиться відновлювати. Майже завжди краще дозволити м’яко видаленим об’єктам зникнути природним шляхом після закінчення терміну.

Зміцнення безпеки: запобігання несанкціонованому жорсткому видаленню

Зловмисники знають про існування м’якого видалення і розуміють, що жорстке видалення — це спосіб назавжди позбутися ключового об’єкта. Поширений сценарій атаки включає отримання адміністративного доступу високого рівня з подальшою спробою пошкодити дані, видалити критичні облікові записи та виконати жорстке видалення, щоб запобігти відновленню.

Щоб захиститися від цього, ви можете використовувати Захищені дії (Protected Actions) в Entra ID, щоб убезпечити операцію «жорсткого видалення» додатковими рівнями безпеки.

Як впровадити захищені дії:

Ключем до запобігання несанкціонованому жорсткому видаленню є налаштування захищеної дії для конкретної операції каталогу, яка керує цим процесом.

  1. Перейдіть до розділу «Ролі та адміністратори»: Перейдіть до розділу Ролі та адміністратори в центрі адміністрування Entra.
  2. Доступ до захищених дій: Натисніть на Захищені дії.
  3. Додайте захищену дію: Натисніть Додати захищені дії.
  4. Визначте дію: Оберіть дію “Microsoft.Directory/deletedItems/delete”. Це конкретна дія, яка запускає жорстке видалення.

Посилення за допомогою контексту автентифікації

Щоб зробити цей захист ще сильнішим, ви можете призначити Контекст автентифікації захищеній дії. Це дозволяє застосовувати більш суворі та складні політики умовного доступу саме для цієї чутливої операції.

Приклад політики посиленого захисту:

  • Контекст автентифікації: Створіть новий контекст автентифікації з ім’ям «High-Security Ops».
  • Зв’яжіть контекст із дією: Зв’яжіть цей контекст із захищеною дією “deletedItems/delete”.
  • Політика умовного доступу: Створіть політику умовного доступу, яка спрацьовує щоразу, коли запитується контекст автентифікації «High-Security Ops».
  • Забезпечте суворі вимоги: Ця політика може вимагати такі умови, як:
    • Стійка до фішингу MFA: Наприклад, використання ключа безпеки FIDO2 або Windows Hello для бізнесу.
    • Відповідний/гібридний приєднаний пристрій: Гарантія того, що запит надходить із відомого, керованого пристрою.
    • Використання захищеної робочої станції доступу (SAW): Обмеження доступу тільки із захищеної робочої станції.

Налаштувавши цей багатошаровий захист, ви гарантуєте, що навіть якщо зловмисник скомпрометує обліковий запис глобального адміністратора, він не зможе виконати жорстке видалення і назавжди знищити ваші дані, не виконавши ці надзвичайно суворі вимоги безпеки.

Висновок: повна модель захисту

Резервне копіювання та відновлення Entra ID — це значний крок уперед у спрощенні та зміцненні захисту даних конфігурації вашого орендаря. Використовуючи функції, описані в цьому посібнику, ви можете створити комплексну модель глибокого захисту, яка включає:

  • М’яке видалення (вбудовано): Ваша перша лінія захисту від випадкових видалень.
  • Захищені дії (безпека): Захист операції «жорсткого видалення» для запобігання несанкціонованому безповоротному знищенню даних.
  • Журнали аудиту та сигнали (видимість): Моніторинг будь-яких спроб зміни або видалення критично важливих об’єктів.
  • Резервне копіювання та відновлення (відновлення): Надійна автоматизована система для відновлення пошкоджених властивостей об’єктів, скасування масових оновлень та ліквідації наслідків інцидентів безпеки.

Для досягнення найкращих результатів настійно рекомендується спочатку протестувати ці функції та робочі процеси в тестовому орендарі (не в робочому середовищі). Це дозволить вам отримати практичне розуміння функції та перевірити процедури відновлення, перш ніж покладатися на них у «живому» середовищі.