Microsoft Entra Backup and Recovery im Detail: Voraussetzungen, Sicherung und Wiederherstellung
Microsoft Entra Backup and Recovery ist eine neue, nativ in Microsoft Entra integrierte Sicherungs- und Wiederherstellungsfunktion für Verzeichnisobjekte. Unterstützte Objekte werden automatisch einmal täglich gesichert und fünf Tage aufbewahrt (Sicherungshistorie). Aktuell befindet sich Microsoft Entra Backup and Recovery in Preview und hilft, unbeabsichtigte oder unerwünschte Änderungen an Identitätsobjekten, Richtlinien und Anwendungsobjekten schneller auf einen zuvor bekannten Zustand wiederherzustellen zu können.
Fehlkonfigurationen an Benutzern, Gruppen, Anwendungen, Dienstprinzipalen oder Conditional Access Richtlinien wirken sich oft unmittelbar auf Anmeldung, Autorisierung und Betrieb aus. Microsoft Entra Backup and Recovery schliesst hier eine Lücke, weil der Dienst Entra Objekte direkt sichert, vergleicht und wiederherstellt. Wichtig zu wissen: Es handelt sich nicht um eine vollständige Sicherung des gesamten Mandanten, sondern um eine Wiederherstellungsfunktion für unterstützte Verzeichnisobjekte inklusive ihrer Attribute.
In diesem Beitrag werden Voraussetzungen, Funktionsumfang sowie die Wiederherstellung mit Microsoft Entra Backup and Recovery im Detail gezeigt. Schritt für Schritt wird erläutert, welche Objekte gesichert werden, wie Differenzberichte erstellt werden und wie eine Wiederherstellung durchgeführt werden kann.
Voraussetzungen und Lizenzierung
Lizenzen
Microsoft Entra Backup and Recovery erfordert die folgende Lizenz:
- Microsoft Entra ID P1 oder höher
Eine Übersicht der Microsoft Lizenzpakete mit ihren Features kann unter https://m365maps.com/ abgerufen werden.
Rollen
Für Konfiguration, Betrieb und Unterhalt sind folgende Rollen nach dem Prinzip der geringsten Berechtigungen vorgesehen.
| Rolle | Berechtigung |
| Entra Backup Administrator | Alle Berechtigungen des Backup Reader sowie Starten von Wiederherstellungen aus Backups |
| Entra Backup Reader | Anzeigen von Backups, Erstellen von Differenzberichten, Anzeigen von Job Status und Vergleichen von Verzeichnisobjekten |
Zum Zeitpunkt der Erstellung dieses Beitrags sind die Rollen im Microsoft Entra Admin Center zwar vorhanden, zeigen in Tests jedoch noch keine Wirkung. Aktionen erfordern weiterhin höhere Berechtigungen, wie zum Beispiel Globaler Administrator.
Was Microsoft Entra Backup and Recovery sichert
Technische Eigenschaften
Microsoft Entra Backup and Recovery erstellt automatisch einmal pro Tag ein Backup und hält diese fünf Tage vor. In der Praxis stehen damit fünf Wiederherstellungspunkte zur Verfügung. Die Sicherungen sind immutable und können weder verändert, gelöscht noch deaktiviert werden, auch nicht durch hochprivilegierte Administratoren oder Anwendungen.
- Sicherung: einmal pro Tag (automatisch und nicht veränderbar)
- Aufbewahrung: letzte fünf Sicherungen
- Immutable: Backups können weder gelöscht noch verändert werden, auch nicht durch Administratoren mit höchsten Berechtigungen
- Region: Sicherungsdaten werden in derselben Region gespeichert wie der Mandant
Unterstützte Objekte in Microsoft Entra Backup and Recovery
Microsoft Entra Backup and Recovery sichert nicht den kompletten Mandanten. Der Umfang der gesicherten Objekte wird laufend erweitert und umfasst bereits zahlreiche Objekte in Microsoft Entra:
- Benutzer mit zahlreichen Kernattributen wie DisplayName, Department, JobTitle, Mail, UserPrincipalName, UserType oder PerUserMfaState, Passwörter sind nicht Bestandteil des Backups.
- Gruppen mit zentralen Eigenschaften wie DisplayName, Description oder MailNickname
- Anwendungen mit ausgewählten App Eigenschaften wie Identifier URIs, Sign-in Audience oder Required Resource Access
- Dienstprinzipale mit Eigenschaften wie LoginUrl, ServicePrincipalType oder PublisherName
- Conditional Access Richtlinien und Named Locations
- Richtlinien für Authentifizierungsmethoden wie FIDO2 Passkey, Microsoft Authenticator, Temporary Access Pass, SMS, Anruf oder zertifikatbasierte Authentifizierung
- Teile der Autorisierungsrichtlinie
Eine detaillierte und stets aktuelle Auflistung ist im Microsoft Learn Artikel unter Unterstützte Objekte und wiederherstellbare Eigenschaften in Microsoft Entra Backup and Recovery – Microsoft Entra | Microsoft Learn nachzulesen.
Wichtige Hinweise
Für on-premises synchronisierte Objekte bleibt das lokale Active Directory die Quellinstanz. Diese Objekte lassen sich nicht über Microsoft Entra Backup and Recovery in der Cloud wiederherstellen.
Bei Benutzern und Authentifizierungsmethoden ist zu beachten, dass Passwörter nicht Bestandteil des Backups sind. Nach einer Wiederherstellung kann es erforderlich sein, Authentifizierungsmethoden neu zu registrieren und ein neues Passwort zu setzen.
Wiederherstellung mit Microsoft Entra Backup and Recovery
Für die Wiederherstellung stehen zwei Varianten zur Verfügung.
Empfohlen wird die Wiederherstellung über einen Differenzbericht, da die geplanten Änderungen vor der Ausführung angezeigt und geprüft werden können.
Alternativ kann ein Restore direkt aus einem Backup gestartet werden. Dieser ist schneller, zeigt die Änderungen jedoch nicht vorab im Detail.
Wiederherstellung aus Differenzbericht
Ein Differenzbericht vergleicht den aktuellen Zustand des Mandanten mit einer ausgewählten Sicherung und zeigt alle Änderungen seit diesem Zeitpunkt. Der Bericht dient als Vorschau vor einer Wiederherstellung. Ein Differenzbericht ist ein Punkt-in-Time Vergleich. Änderungen, die nach der Erstellung des Berichts im Mandanten vorgenommen werden, sind im Bericht nicht enthalten und werden bei der Wiederherstellung nicht berücksichtigt.
Der Differenzbericht wird im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Sicherung und Wiederherstellung > Sicherungen erstellt.
Sicherungszeitpunkt auswählen und Differenzbericht erstellen anklicken.
Je nach Bedarf können alle Objekte (1) oder nur ausgewählte Objekte (2) in den Differenzbericht aufgenommen werden. Der Bericht wird mit Differenzbericht erstellen (3) gestartet.
Der Fortschritt der Erstellung des Differenzberichts ist unter Differenzberichte sichtbar.
Nach Abschluss den erstellten Differenzbericht auswählen.
Filter (1) verwenden, um die gewünschten Objekte (2) zu filtern und zu prüfen. Anschliessend Wiederherstellen (3) auswählen.
Hinweis: Wenn der Differenzbericht bereits mit einem Filter erstellt wurde, kann hier kein zusätzlicher Filter gesetzt werden.
Für die Wiederherstellung stehen folgende Optionen zur Verfügung:
- Alle Objekte
- Bestimmte Objekttypen (z. B. Benutzer oder Gruppen)
- Bestimmte Objekte anhand der Objekt-ID (z. B. einzelne Benutzer)
Anschliessend den Vorgang mit Wiederherstellen (4) starten.
Der Fortschritt und Status der Wiederherstellung sind unter Wiederherstellungsverlauf ersichtlich.
Direkte Wiederherstellung aus Sicherung
Bei der direkten Wiederherstellung wird kein Differenzbericht erstellt, sondern die ausgewählten Verzeichnisobjekte werden direkt aus einer Sicherung wiederhergestellt. Die Änderungen werden dabei ohne Vorschau angewendet.
Die direkte Wiederherstellung aus einem Backup wird im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Sicherung und Wiederherstellung > Sicherungen durchgeführt.
Sicherungszeitpunkt auswählen und Sicherung wiederherstellen anklicken.
Hinweis auf die empfohlene Variante Differenzbericht mit Sicherung wiederherstellen überspringen.
Folgende Optionen stehen für die Wiederherstellung zur Verfügung:
- Alle Objekte
- Bestimmte Objekttypen (z. B. Benutzer oder Gruppen)
- Bestimmte Objekte anhand der Objekt-ID (z. B. einzelne Benutzer)
Anschliessend Wiederherstellen (4) anklicken.
Der Status der Wiederherstellung ist unter Wiederherstellungsverlauf sichtbar.
Fazit
Microsoft Entra Backup and Recovery schliesst eine wichtige Lücke im Betrieb von Microsoft Entra, da Verzeichnisobjekte erstmals nativ in Microsoft Entra gesichert und wiederhergestellt werden können. Besonders bei unbeabsichtigten oder unerwünschten Änderungen an Benutzern, Gruppen, Anwendungen oder Conditional Access Richtlinien ermöglicht die Funktion eine schnelle Wiederherstellung. Der aktuelle Funktionsumfang ist noch begrenzt und wird laufend erweitert. Es handelt sich nicht um ein vollständiges Backup des Mandanten, sondern um die Wiederherstellung unterstützter Verzeichnisobjekte und deren Attribute.
Neue Inhalte, praxisnah erklärt: Wer nichts verpassen möchte, bleibt über LinkedIn und Bluesky stets informiert.
Kein Marketing, kein Lärm, nur Inhalt.
Ein Kaffee bringt frisches Know-how in die Tasse des nächsten Beitrags.
