Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La administración de eliminaciones en el identificador de Entra de Microsoft es un aspecto fundamental del mantenimiento de la integridad y disponibilidad de la infraestructura de identidad de su organización. En este artículo se proporciona una guía completa para comprender las diferencias entre eliminaciones parciales y duras, supervisar las eliminaciones y recuperar o volver a crear objetos en el inquilino de Microsoft Entra. Tanto si está tratando con eliminaciones accidentales como con la preparación de estrategias de recuperación, esta guía le proporciona los conocimientos y las herramientas para minimizar la interrupción y garantizar la continuidad. Para obtener información básica, comience con los procedimientos recomendados de capacidad de recuperación.
Supervisión de eliminaciones
El registro de auditoría de Microsoft Entra contiene información sobre todas las operaciones de eliminación realizadas en el inquilino. Exporte estos registros a una herramienta de administración de eventos e información de seguridad, como Microsoft Sentinel.
Use Microsoft Graph para auditar los cambios y crear una solución personalizada para supervisar las diferencias con el tiempo. Para más información sobre cómo buscar elementos eliminados con Microsoft Graph, consulte Enumerar elementos eliminados: Microsoft Graph v1.0.
Registro de auditoría
El registro de auditoría siempre registra un evento "Eliminar <objeto>" cuando se quita un objeto del inquilino de un estado activo mediante una eliminación temporal o permanente.
Un evento de eliminación para aplicaciones, usuarios, grupos de Microsoft 365 y grupos de seguridad en la nube es una eliminación reversible. Para cualquier otro tipo de objeto, es una eliminación permanente. Para supervisar la aparición de eventos de eliminación permanente, compare los eventos "Eliminar <objeto>" con el tipo de objeto que se ha eliminado. Tenga en cuenta los eventos que no admiten la eliminación temporal. Además, tenga en cuenta los eventos "Eliminación permanente de <objeto>".
| Tipo de objeto | Actividad en el registro | Resultado |
|---|---|---|
| Aplicación | Eliminar aplicación | Eliminado temporalmente |
| Aplicación | Eliminación permanente de una aplicación | Eliminado de forma permanente |
| Usuario | Eliminación de usuario | Eliminado temporalmente |
| Usuario | Eliminación permanente de un usuario | Eliminado de forma permanente |
| Grupo de Microsoft 365 | Eliminar grupo | Eliminado temporalmente |
| Grupo de Microsoft 365 | Eliminar permanentemente un grupo | Eliminado de forma permanente |
| Grupo de seguridad en la nube | Eliminar grupo | Eliminado temporalmente |
| Grupo de seguridad en la nube | Eliminar permanentemente un grupo | Eliminado de forma permanente |
| Todos los demás objetos | Eliminar "tipoDeObjeto" | Eliminado de forma permanente |
Nota
El registro de auditoría no distingue el tipo de grupo de un grupo eliminado. Los grupos de Microsoft 365 y los grupos de seguridad en la nube se eliminan de forma temporal. Si ve una entrada Eliminar grupo, puede ser la eliminación temporal de un grupo de Microsoft 365 o un grupo de seguridad en la nube, o la eliminación permanente de otro tipo de grupo.
Es importante que la documentación del estado correcto conocido incluya el tipo de grupo de cada grupo de la organización. Para obtener más información sobre cómo documentar el estado correcto conocido, consulte Procedimientos recomendados para la capacidad de recuperación.
Supervisión de las incidencias de soporte técnico
Un aumento repentino de los tickets de soporte sobre el acceso a un objeto específico podría indicar que se ha producido una eliminación. Dado que algunos objetos tienen dependencias, la eliminación de un grupo usado para acceder a una aplicación, una propia aplicación o una directiva de acceso condicional destinada a una aplicación puede provocar un impacto repentino y amplio. Si ve una tendencia similar a esta, compruebe que no se han eliminado ninguno de los objetos necesarios para el acceso.
Eliminaciones temporales
Cuando se eliminan temporalmente objetos como usuarios, grupos de Microsoft 365, grupos de seguridad en la nube o registros de aplicaciones, entran en un estado suspendido en el que no están disponibles para su uso por otros servicios. En este estado, los elementos conservan sus propiedades y se pueden restaurar durante 30 días. Después de 30 días, los objetos en estado de eliminación temporal se eliminan permanentemente o se eliminan de forma definitiva.
Nota
Los objetos no se pueden restaurar a partir de un estado de eliminación permanente. Vuelva a crearlos y volver a configurarlos.
Cuando se producen eliminaciones suaves
Comprender por qué se producen eliminaciones de objetos en su entorno le ayuda a prepararse para ellas. En esta sección se describen escenarios frecuentes de la eliminación temporal por clase de objeto. Es posible que vea escenarios únicos para su organización, por lo que un proceso de detección es clave para la preparación.
Usuarios
Los usuarios entran en un estado de eliminación temporal cuando el objeto de usuario se elimina mediante el Centro de administración de Microsoft Entra, Microsoft Graph o PowerShell.
Entre los escenarios comunes para eliminar usuarios se incluyen:
- Un administrador elimina un usuario del Centro de administración de Microsoft Entra en respuesta a una solicitud o como parte del mantenimiento rutinario de usuarios.
- Un script de automatización en Microsoft Graph o PowerShell desencadena la eliminación. Por ejemplo, puede tener un script que quite los usuarios que no inician sesión durante un tiempo especificado.
- Un usuario sale del ámbito de sincronización con Microsoft Entra Connect.
- Cuando un usuario se retira, se elimina de un sistema de RR. HH. y se desprovisiona a través de un flujo de trabajo automatizado.
Grupos
Los escenarios más frecuentes para eliminar grupos son:
- Un administrador elimina intencionadamente el grupo, por ejemplo, en respuesta a una solicitud de soporte técnico.
- Un script de automatización en Microsoft Graph o PowerShell desencadena la eliminación. Por ejemplo, es posible que tenga un script que elimine los grupos a los que el propietario del grupo no accede o no ha confirmado durante un tiempo especificado.
- La eliminación involuntaria de un grupo de su propiedad por parte de un usuario que no es administrador.
Objetos de aplicación y entidades de servicio
Los escenarios más frecuentes para eliminar aplicaciones son:
- Un administrador elimina intencionadamente la aplicación, por ejemplo, en respuesta a una solicitud de soporte técnico.
- Un script de automatización en Microsoft Graph o PowerShell desencadena la eliminación. Por ejemplo, puede que quiera tener un proceso para eliminar aplicaciones abandonadas que ya no se usan ni administran. En general, cree un proceso de retirada de aplicaciones en lugar de crear scripts para evitar eliminaciones involuntarias.
Al eliminar una aplicación, el registro de la aplicación entra de forma predeterminada en el estado eliminado temporalmente. Para comprender la relación entre los registros de aplicaciones y las entidades de servicio, consulte Aplicaciones y entidades de servicio de Microsoft Entra ID: Plataforma de identidad de Microsoft.
Unidades administrativas
El escenario más común para las eliminaciones es cuando las unidades administrativas se eliminan accidentalmente, pero siguen siendo necesarias.
Recuperación de la eliminación temporal
No todas las clases de objeto gestionan la capacidad de eliminación suave en el Centro de administración de Microsoft Entra. Algunos solo se enumeran, ven, eliminan o restauran mediante deletedItems Microsoft Graph API.
Propiedades mantenidas con la eliminación temporal
| Tipo de objeto | Propiedades importantes mantenidas |
|---|---|
| Usuarios (incluidos los usuarios externos) | Todas las propiedades mantenidas, incluidos ObjectID, pertenencias a grupos, roles, licencias y asignaciones de aplicaciones |
| Grupos de Microsoft 365 | Todas las propiedades mantenidas, incluidos ObjectID, pertenencias a grupos, licencias y asignaciones de aplicaciones |
| Grupos de seguridad en la nube | Todas las propiedades mantenidas, incluidos ObjectID, pertenencias a grupos y asignaciones de aplicaciones |
| Registro de la aplicación | Todas las propiedades mantenidas. Vea más información después de esta tabla. |
| Entidad de servicio | Todas las propiedades mantenidas |
| Unidad administrativa | Todas las propiedades mantenidas |
| Directivas de acceso condicional | Todas las propiedades mantenidas |
| Ubicaciones con nombre | Todas las propiedades mantenidas |
Usuarios
Puede ver los usuarios eliminados temporalmente en la página Usuarios | usuarios eliminados de Azure Portal.
Para obtener más información sobre cómo restaurar usuarios, consulte la siguiente documentación:
- Para restaurar en Azure Portal, consulte Restauración o eliminación permanente de usuarios eliminados recientemente.
- Para llevar a cabo la restauración mediante Microsoft Graph, consulte Restauración de un elemento eliminado: Microsoft Graph v1.0.
Grupos
Puede ver grupos de Microsoft 365 eliminados temporalmente y grupos de seguridad en la nube en el portal de Azure en la página Groups | Deleted groups.
Para obtener más información sobre cómo restaurar grupos de Microsoft 365 eliminados temporalmente y grupos de seguridad en la nube, consulte la siguiente documentación:
- Para llevar a cabo la restauración desde Azure Portal, consulte Restauración de un grupo de Microsoft 365 eliminado.
- Para llevar a cabo la restauración mediante Microsoft Graph, consulte Restauración de un elemento eliminado: Microsoft Graph v1.0.
Aplicaciones y entidades de servicio
Las aplicaciones incluyen dos objetos: el registro de aplicaciones y la entidad de servicio. Para obtener más información sobre las diferencias entre el registro y la entidad de servicio, consulte Aplicaciones y entidades de servicio en Microsoft Entra ID.
Para restaurar una aplicación desde el Centro de administración de Microsoft Entra, navegue a Entra ID>, Registros de aplicaciones>, Aplicaciones eliminadas. Seleccione el registro de aplicación que se va a restaurar y, a continuación, seleccione Restaurar registro de aplicación.
Las entidades de servicio se pueden enumerar, ver, eliminar o restaurar mediante deletedItems Microsoft Graph API. Para llevar a cabo la restauración de aplicaciones mediante Microsoft Graph, consulte Restauración de un elemento eliminado: Microsoft Graph v1.0.
Unidades administrativas
Las unidades administrativas se pueden enumerar, ver o restaurar mediante deletedItems Microsoft Graph API. Para restaurar unidades administrativas mediante Microsoft Graph, consulte Restaurar elemento eliminado: Microsoft Graph v1.0.. Cuando se elimina una unidad administrativa, permanece en un estado eliminado temporalmente y se puede restaurar durante 30 días, pero no se puede eliminar de forma difícil durante ese tiempo. Las unidades administrativas eliminadas de forma temporal se eliminan permanentemente de forma automática después de 30 días.
Directivas de acceso condicional
Debe revisar y validar la configuración de la directiva de acceso condicional después de restaurar para asegurarse de que se comporta según lo previsto.
Para restaurar una directiva de acceso condicional:
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
- Vaya a Entra ID>Acceso Condicional>Directivas eliminadas (Versión preliminar).
- Seleccione los puntos suspensivos (...) situados en el extremo derecho de la directiva que se va a restaurar.
- Seleccione Restaurar.
- En el cuadro de diálogo ¿Restaurar directiva de acceso condicional?, puede optar por restaurar la directiva en modo solo de informe o dejarla en el estado en el que se eliminó, que podría estar Activado. Haga la selección y seleccione Restaurar.
Advertencia
Restaurar una política a su estado anterior podría tener consecuencias imprevistas. Microsoft recomienda a los administradores restaurar sus directivas en el modo de solo informe primero y, a continuación, dedique tiempo a revisarlas y habilitarlas.
Ubicaciones con nombre
Las ubicaciones con nombre no se pueden eliminar cuando se marcan como de confianza y, cuando se recuperan de la eliminación temporal, no se marcan como de confianza. Las ubicaciones con nombre recuperadas deben revisarse después de ser restauradas y antes de ser marcadas de nuevo como de confianza.
Para restaurar una ubicación con nombre:
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
- Vaya a Entra ID>Acceso condicional>Ubicaciones con nombre>Ubicaciones con nombre eliminadas (versión preliminar).
- Seleccione los puntos suspensivos (...) en el extremo derecho de la ubicación que desea restaurar.
- Seleccione Restaurar.
- En el cuadro de diálogo Restaurar ubicación con nombre seleccionada , seleccione Restaurar.
Eliminaciones permanentes
Una eliminación permanente quita permanentemente un objeto del tenant de Microsoft Entra. Los objetos que no admiten la eliminación temporal se quitan de esta manera. Los objetos eliminados temporalmente también se eliminan de forma permanente después de 30 días. Solo estos tipos de objetos admiten la eliminación temporal:
- Usuarios
- Grupos de Microsoft 365
- Grupos de seguridad en la nube
- Registro de la aplicación
- Entidad de servicio
- Unidad administrativa
- Directivas de acceso condicional
- Ubicaciones con nombre
Importante
Todos los demás tipos de elementos se eliminan de forma permanente y no se pueden restaurar. Deben volver a crearse. Los administradores y Microsoft no pueden restaurar elementos eliminados de forma permanente. Prepárese mediante la creación de procesos y documentación para minimizar la interrupción.
Para obtener información sobre cómo preparar y documentar los estados actuales, consulte Procedimientos recomendados para la capacidad de recuperación.
Cuándo se producen normalmente las eliminaciones permanentes
Las eliminaciones duras pueden producirse en estas circunstancias:
Paso de la eliminación temporal a la eliminación permanente:
- Un objeto eliminado temporalmente no se restaura en un plazo de 30 días.
- Un administrador elimina intencionadamente un objeto que se encuentra en estado de eliminación temporal.
Nota
Los objetos de aplicación no se eliminan permanentemente de forma automática incluso después de 30 días cuando el valor "signInAudience" de las aplicaciones se establece en uno de ("AzureADMultipleOrgs", "AzureADandPersonalMicrosoftAccount" o "PersonalMicrosoftAccount"). En este caso, los objetos de aplicación deben eliminarse manualmente.
Eliminación permanente directa:
- El tipo de objeto que se ha eliminado no admite la eliminación temporal.
- Un administrador decide eliminar permanentemente un elemento mediante el portal, cosa que ocurre normalmente en respuesta a una solicitud.
- Un script de automatización desencadena la eliminación del objeto mediante Microsoft Graph o PowerShell. Los scripts de automatización se usan normalmente para limpiar objetos obsoletos. Un sólido proceso de retirada ayuda a evitar errores que pueden dar lugar a la eliminación masiva de objetos críticos.
Recuperación de la eliminación permanente
Los elementos eliminados de forma permanente deben recrearse y reconfigurarse. Evitar eliminaciones de datos no deseadas es lo mejor.
Revisión de objetos eliminados temporalmente
Asegúrese de que tiene un proceso para revisar periódicamente los elementos en estado de eliminación temporal y restaurarlos si es necesario. Para preparar:
- Enumera regularmente los elementos eliminados.
- Defina criterios específicos para qué restaurar.
- Asigne roles o usuarios específicos para evaluar y restaurar elementos según sea necesario.
- Cree y pruebe un plan de administración de continuidad. Obtenga más información en Consideraciones para el plan de administración de continuidad empresarial empresarial.
Pasos siguientes
Aprenda cómo evitar eliminaciones no deseadas en mejores prácticas de recuperabilidad.