Przez długi czas odzyskiwanie zmian w Microsoft Entra opierało się głównie na kilku osobnych mechanizmach: soft-delete dla części obiektów, logach audytowych, eksportach konfiguracji i ręcznym odtwarzaniu ustawień. Microsoft Entra Backup and Recovery jest próbą uporządkowania tego obszaru i zbudowania jednego, natywnego mechanizmu odzyskiwania po błędach administracyjnych lub niepożądanych zmianach. Funkcja jest obecnie dostępna w trybie preview (Microsoft Entra Backup and Recovery overview.) i korzystając z roli „Entra Backup Administrator” możemy sprawdzić jej działanie.

Autor: 4 min czytania

Jak działa Entra ID Backup and recovery?

Działanie narzędzia jest dość proste. Microsoft tworzy backup wspieranych obiektów automatycznie (raz dziennie) i przechowuje historię przez maksymalnie pięć dni. Backupów nie można wyłączyć ani usunąć z poziomu tenanta, nawet mając bardzo wysokie uprawnienia administracyjne. To ważne, bo oznacza, że mechanizm nie zależy od dyscypliny operacyjnej po stronie organizacji. Jest po prostu wbudowany w usługę. Najistotniejsze jest jednak to, co faktycznie obejmuje backup. Microsoft wskazuje, że wspierane są między innymi użytkownicy, grupy, aplikacje, service principals, polityki Conditional Access, named locations, polityki metod uwierzytelniania oraz częśćauthorization policy. W praktyce oznacza to, że funkcja jest ukierunkowana przede wszystkim na odzyskiwanie krytycznych elementów warstwy tożsamości, a nie pełne odtwarzanie całego stanu katalogu bez wyjątków.

Właśnie tu widać najważniejszą różnicę między nazwą produktu a jego realnym zakresem. To nie jest uniwersalny backup wszystkiego. Microsoft bardzo wyraźnie opisuje, że odzyskiwanie działa względem określonych typów obiektów i tylko dla określonych właściwości. Dla użytkowników w zakresie są na przykład takie pola jak display name, department, job title, usage location czy user principal name, ale już zmiany managera i sponsora nie są objęte odzyskiwaniem. Dla grup można przywrócić część właściwości, ale zmiany właścicieli grup i reguł grup dynamicznych pozostają poza zakresem. Z kolei dla polityk Conditional Access i named locations Microsoft podaje, że wspierane są wszystkie właściwości.

Czy w Entra ID można odzyskać pojedyncze obiekty?

Z perspektywy administratora bardzo praktyczna jest możliwość odzyskiwania pojedynczych obiektów. Można najpierw utworzyć difference report, czyli porównanie backupu z aktualnym stanem tenanta, a następnie odzyskać tylko jeden wybrany obiekt z poziomu panelu zmian. Jest też druga ścieżka: odzyskiwanie bezpośrednio z backupu, z zawężeniem do określonych typów obiektów albo do konkretnych object ID. Microsoft pozwala wskazać do stu obiektów po ID w jednym zadaniu recovery. To oznacza, że funkcja nadaje się nie tylko do większych incydentów, ale też do odkręcania pojedynczych, kosztownych pomyłek.

Jakie są ograniczenia Entra ID Backup and recovery?

Warto pamiętać o ograniczeniach. Hard-deleted objects nie są odzyskiwane. W środowiskach hybrydowych Microsoft zaznacza, że obiekty zarządzane po stronie lokalnego Active Directory wymagają alternatywnego rozwiązania backupowego. Dodatkowo recovery działa bezpośrednio na tenant i nie da się go automatycznie cofnąć, dlatego Microsoft zaleca, by przed odzyskiwaniem uruchomić raport różnic i sprawdzić, co dokładnie ma zostać przywrócone.

Czy Entra ID Backup and recovery rozwiązuje problem kopii zapasowej tenanta?

Microsoft Entra Backup and Recovery nie rozwiązuje całego problemu recoverability w Entra, ale porządkuje jego najważniejszą część. Daje wbudowany mechanizm do odzyskiwania krytycznych obiektów i zmian, pozwala porównać stan obecny z wcześniejszym snapshotem, umożliwia także selektywne przywracanie pojedynczych obiektów. To nie jest jeszcze pełny, długoterminowy backup całego katalogu, ale już zdecydowanie więcej niż zbiór luźnych narzędzi, z których wcześniej trzeba było budować własny proces odtwarzania.