Microsoft Entra ID での削除の管理は、組織の ID インフラストラクチャの整合性と可用性を維持するうえで重要な側面です。 この記事では、論理的な削除とハード削除の違いを理解し、削除の監視を行い、Microsoft Entra テナント内のオブジェクトを回復または再作成するための包括的なガイドを提供します。 誤削除に対処する場合でも、復旧戦略を準備する場合でも、このガイドでは、中断を最小限に抑え、継続性を確保するための知識とツールを提供します。 基本的な分析情報については、 回復性のベスト プラクティスから始めます。
削除を監視する
Microsoft Entra 監査ログには、テナント内で実行されたすべての削除操作に関する情報が含まれています。 これらのログを 、Microsoft Sentinel などのセキュリティ情報とイベント管理ツールにエクスポートします。
Microsoft Graph を使用して変更を監査し、時間の経過に伴う違いを監視するカスタム ソリューションを構築します。 Microsoft Graph を使用して削除済みアイテムを検索する方法について詳しくは、Microsoft Graph v1.0 での削除済みアイテムの一覧表示に関するページを参照してください。
監査ログ
テナント内のオブジェクトが論理的または物理的な削除によってアクティブな状態から削除されると、監査ログには常に "<オブジェクト> の削除" イベントが記録されます。
アプリケーション、ユーザー、Microsoft 365 グループの削除イベントは論理的な削除です。 その他すべての種類のオブジェクトでは、物理的な削除になります。 "<オブジェクト> の削除" イベントと削除されたオブジェクトの種類を比較して、物理的な削除イベントの発生を追跡します。 論理的な削除がサポートされていないイベントをメモします。 また、"<オブジェクト> の物理的な削除" イベントをメモします。
| オブジェクトの種類 | ログ内のアクティビティ | 結果 |
|---|---|---|
| アプリケーション | アプリケーションを削除する | 論理的な削除 |
| アプリケーション | アプリケーションの物理的な削除 | 物理的な削除 |
| ユーザー | ユーザーの削除 | 論理的な削除 |
| ユーザー | ユーザーの物理的な削除 | 物理的な削除 |
| Microsoft 365 グループ | グループの削除 | 論理的な削除 |
| Microsoft 365 グループ | グループの物理的な削除 | 物理的な削除 |
| 他のすべてのオブジェクト | "objectType" を削除する | 物理的な削除 |
注意
監査ログは、削除されたグループのグループの種類を区別しません。 論理的に削除されるのは、Microsoft 365 グループだけです。 グループの削除に関するエントリが表示されている場合、Microsoft 365 グループの論理的な削除であるか、他の種類のグループの物理的な削除である可能性があります。
既知の良好な状態を記したドキュメントには、組織内にあるグループごとにその種類が記載されていることが大切です。 既知の良好な状態の文書化については、「回復可能性のベスト プラクティス」を参照してください。
サポート チケットを監視する
特定のオブジェクトへのアクセスに関するサポート チケットの急激な増加は、削除が発生したことを示している可能性があります。 一部のオブジェクトには依存関係があるため、アプリケーション、アプリケーション自体、またはアプリケーションを対象とする条件付きアクセス ポリシーにアクセスするために使用されるグループを削除すると、大きな影響を及ぼす可能性があります。 このような傾向が見られた場合は、アクセスに必要なオブジェクトが削除されていないことを確認してください。
論理的な削除
ユーザー、Microsoft 365 グループ、アプリケーションの登録などのオブジェクトが論理的に削除されると、他のサービスで使用できない中断の状態になります。 この状態では、アイテムはプロパティを保持し、30 日間復元できます。 30日後、半削除された状態のオブジェクトは完全に削除されるか、またはハード削除されます。
注意
物理的に削除された状態からオブジェクトを復元することはできません。 再作成して再構成します。
論理的な削除が起きる時
オブジェクトの削除が環境内で発生する理由を理解することは、その削除に対する準備に役立ちます。 このセクションでは、オブジェクト クラスによる論理的な削除の一般的なシナリオについて説明します。 組織に固有のシナリオが確認される場合があるため、検出プロセスが準備の鍵となります。
ユーザー
Microsoft Entra 管理センター、Microsoft Graph、または PowerShell を使用してユーザー オブジェクトを削除すると、ユーザーはソフト削除状態になります。
ユーザーを削除する一般的なシナリオは次のとおりです。
- 管理者は、要求に応じて、または定期的なユーザー メンテナンスの一環として、Microsoft Entra 管理センターのユーザーを削除します。
- Microsoft Graph または PowerShell のオートメーション スクリプトによって削除がトリガーされる。 たとえば、指定した時間サインインしていないユーザーを削除するスクリプトがあるとします。
- ユーザーは、Microsoft Entra Connect との同期のスコープ外に移動します。
- ユーザーは廃止され、人事システムから削除され、自動化されたワークフローを介してプロビジョニング解除されます。
Microsoft 365 グループ
Microsoft 365 グループを削除する最も頻繁なシナリオは次のとおりです。
- 管理者が、サポート リクエストなどに応じてグループを意図的に削除する。
- Microsoft Graph または PowerShell のオートメーション スクリプトによって削除がトリガーされる。 たとえば、指定された期間、グループ所有者がアクセスまたは証明していないグループを削除するスクリプトがあると仮定します。
- 管理者以外が所有するグループを意図せず削除する。
アプリケーション オブジェクトとサービス プリンシパル
アプリケーションを削除する最も頻繁なシナリオは次のとおりです。
- 管理者が、サポート リクエストなどに応じてアプリケーションを意図的に削除する。
- Microsoft Graph または PowerShell のオートメーション スクリプトによって削除がトリガーされる。 たとえば、使用または管理されなくなった不要なアプリケーションを削除するプロセスが必要な場合です。 通常は、意図しない削除を回避するために、スクリプトを作成するのではなく、アプリケーションのオフボード プロセスを作成します。
アプリケーションを削除すると、アプリケーションの登録は既定で論理的に削除された状態になります。 アプリケーション登録とサービス プリンシパルの関係を理解するには、Microsoft Entra ID - Microsoft ID プラットフォームのアプリとサービス プリンシパルに関するページを参照してください。
管理単位
削除の最も一般的なシナリオは、管理単位が誤って削除されても依然として必要とされる場合です。
論理的な削除からの回復
すべてのオブジェクト クラスが Microsoft Entra 管理センターで論理的な削除機能を管理するわけではありません。 一部の項目は、deletedItems Microsoft Graph API を使用して一覧表示、表示、ハード削除、または復元されるだけです。
論理的な削除で維持されるプロパティ
| オブジェクトの種類 | 維持される重要なプロパティ |
|---|---|
| ユーザー (外部ユーザーを含む) | ObjectID、グループ メンバーシップ、ロール、ライセンス、アプリケーションの割り当てを含むすべてのプロパティが維持される |
| Microsoft 365 グループ | ObjectID、グループ メンバーシップ、ライセンス、アプリケーションの割り当てを含むすべてのプロパティが維持される |
| アプリケーションの登録 | すべてのプロパティが維持される。 この表の後の詳細を参照してください。 |
| サービス プリンシパル | すべてのプロパティが維持される |
| 管理単位 | すべてのプロパティが維持される |
| 条件付きアクセス ポリシー | すべてのプロパティが維持される |
| 指定された場所 | すべてのプロパティが維持される |
ユーザー
論理的に削除されたユーザーは、Azure portal の [ユーザー] - [削除済みのユーザー] ページで確認できます。
ユーザーを復元する方法の詳細については、次のドキュメントを参照してください。
- Azure portal から復元する場合は、最近削除したユーザーの復元または完全な削除に関するページを参照してください。
- Microsoft Graph を使用した復元については、Microsoft Graph v1.0 での削除済みアイテムの復元に関するページを参照してください。
グループ
論理的に削除された Microsoft 365 グループは、Azure portal の [グループ] - [削除済みのグループ] ページで確認できます。
論理的に削除された Microsoft 365 グループを復元する方法の詳細については、次のドキュメントを参照してください。
- Azure portal から復元する場合は、削除された Microsoft 365 グループの復元に関するページを参照してください。
- Microsoft Graph を使用した復元については、Microsoft Graph v1.0 での削除済みアイテムの復元に関するページを参照してください。
アプリケーションとサービス プリンシパル
アプリケーションには、アプリケーション登録とサービス プリンシパルの 2 つのオブジェクトが含まれます。 登録とサービス プリンシパルの違いについて詳しくは、Microsoft Entra ID のアプリとサービス プリンシパルに関するページを参照してください。
Microsoft Entra 管理センターからアプリケーションを復元するには、Entra ID>アプリ登録>削除されたアプリケーションを参照します。 復元するアプリケーションの登録を選び、[アプリの登録を復元] を選択します。
サービス プリンシパルは、Microsoft Graph API の deletedItems を用いて、リスト表示、詳細表示、完全削除、または復元が可能です。 Microsoft Graph を使用したアプリケーションの復元については、削除済みアイテムを復元する - Microsoft Graph v1.0 に関するページを参照してください。
管理単位
管理単位は、deletedItems Microsoft Graph API を使用して一覧表示、表示、または復元できます。 Microsoft Graph を使用して管理単位を復元するには、「 削除済みアイテムの復元 - Microsoft Graph v1.0」を参照してください。 管理単位が削除されると、論理的に削除された状態のままになり、30 日間復元できますが、その間はハード削除できません。 論理的に削除された管理単位は、30 日後に自動的にハード削除されます。
条件付きアクセス ポリシー
復元後に条件付きアクセス ポリシーの構成を確認して検証し、期待どおりに動作することを確認する必要があります。
条件付きアクセス ポリシーを復元するには:
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Deleted Policies (プレビュー) にアクセスします。
- 復元するポリシーの右端にある省略記号 (...) を選択します。
- [復元] を選択します。
- [ 条件付きアクセス ポリシーの復元] ダイアログ ボックスで、 ポリシーをレポート専用モード で復元するか、削除された状態のままにするかを選択できます( オン)。 選択を行い、[ 復元] を選択します。
Warnung
ポリシーを以前の状態に復元すると、意図しない結果になる可能性があります。 Microsoft では、管理者が最初にレポート専用モードでポリシーを復元してから、時間をかけて確認して有効にすることをお勧めします。
指定された場所
名前付き場所は、信頼済みとしてマークされている場合は削除できません。また、論理的な削除から復旧した場合、その場所は信頼済みとしてマークされません。 復元された名前付き場所は、復元後に再び信頼済みとしてマークする前に確認する必要があります。
名前付きの場所を復元するには:
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Named locations>Deleted Named Locations (Preview) に移動します。
- 復元する場所の右端にある省略記号 (...) を選択します。
- [復元] を選択します。
- [ 選択した名前付きの場所に復元しますか? ] ダイアログ ボックスで、[復元] を選択 します。
物理的な削除
ハード削除では、Microsoft Entra テナントからオブジェクトが完全に削除されます。 論理的な削除がサポートされていないオブジェクトは、この方法で削除されます。 論理的に削除されたオブジェクトも、30 日後にハード削除されます。 論理的な削除をサポートするのは、次のオブジェクトの種類のみです。
- ユーザー
- Microsoft 365 グループ
- アプリケーションの登録
- サービス プリンシパル
- 管理単位
- 条件付きアクセス ポリシー
- 指定された場所
重要
他のすべてのアイテムの種類はハード削除され、復元できません。 これらは再作成する必要があります。 管理者と Microsoft は、ハード削除されたアイテムを復元できません。 中断を最小限に抑えるためにプロセスとドキュメントを作成して準備します。
準備と現在の状態の文書化の方法については、「回復可能性のベスト プラクティス」を参照してください。
物理的な削除が発生する場合
ハード削除は、次の状況で発生する可能性があります。
論理的な削除から物理的なそれに移行した場合:
- 論理的に削除されたオブジェクトは、30 日以内に復元されません。
- 管理者が論理的な削除状態のオブジェクトを意図的に削除する。
注意
アプリの 'signInAudience' 値が ("AzureADMultipleOrgs"、"AzureADandPersonalMicrosoftAccount"、または "PersonalMicrosoftAccount") のいずれかに設定されている場合、30日経過してもアプリケーション オブジェクトは自動的にハード削除されることはありません。 この場合、アプリケーション オブジェクトは手動でハード削除する必要があります。
直接、物理的に削除された場合:
- 削除されたオブジェクトの種類で論理的な削除がサポートされていない。
- 管理者が (通常は要求に応じて) ポータルを使用して、アイテムを完全に削除することを選択する。
- オートメーション スクリプトは、Microsoft Graph または PowerShell を使用してオブジェクトの削除をトリガーします。 オートメーション スクリプトは、古いオブジェクトをクリーンアップするために一般的に使用されます。 堅牢なオフボーディング プロセスは、重要なオブジェクトを大量に削除する可能性がある間違いを回避するのに役立ちます。
物理的な削除からの回復
ハード削除されたアイテムを再作成して再構成する必要があります。 不要なハード削除を避けるのが最善です。
論理的に削除されたオブジェクトを確認する
論理的な削除状態のアイテムを定期的に確認し、必要に応じて復元するプロセスがあることを確認します。 準備の方法:
- 削除されたアイテムを定期的に一覧表示します。
- 復元する対象の特定の条件を定義します。
- 必要に応じて、特定のロールまたはユーザーを割り当てて項目を評価および復元します。
- 継続性管理計画を作成してテストします。 詳細については、「 エンタープライズ ビジネス継続性管理計画に関する考慮事項」を参照してください。
次のステップ
回復性のベスト プラクティスで不要な削除を回避する方法について説明します。