Soft Delete im bedingten Microsoft Entra-Zugriff: Gelöschte Richtlinien einfach wiederherstellen

Dank Soft Delete bleibt eine gelöschte Richtlinie im bedingten Microsoft Entra-Zugriff (Microsoft Conditional Access) bis zu 30 Tage verfügbar und lässt sich in diesem Zeitraum vollständig wiederherstellen. So lassen sich gelöschte Richtlinien ohne grossen Aufwand wiederherstellen, inklusive aller Bedingungen, Zuweisungen und Zugriffskontrollen.

Verschiedene Auslöser wie versehentliches Entfernen, fehlerhafte Automatisierungen, Tenant-Optimierungen oder böswillige Änderungen führen dazu, dass Richtlinien gelöscht werden. Soft Delete stellt eine schnelle Wiederherstellung sicher und verhindert den dauerhaften Verlust wichtiger Zugriffsregeln sowie aufwendige Rekonstruktionsarbeiten.

Diese neue Funktion, derzeit in Public Preview, ergänzt Microsoft Entra ID um eine Art Papierkorb-Mechanismus. Damit erweitert Microsoft das Wiederherstellungskonzept von Entra ID, das bereits zum Beispiel für Objekte wie Benutzer und Gruppen verfügbar ist.

Dieser Blogpost zeigt Schritt für Schritt, welche Voraussetzungen für Soft Delete im bedingten Microsoft Entra-Zugriff erfüllt sein müssen und wie sich gelöschte Richtlinien sowohl im Microsoft Entra Admin Center als auch über PowerShell wiederherstellen lassen.

Inhaltsverzeichnis verbergen

1 Voraussetzungen und Lizenzierung

1.1 Lizenzen

1.2 Rollen

2 Gelöschte Richtlinien im Microsoft Entra Admin Center anzeigen und wiederherstellen

2.1 Gelöschte Richtlinien anzeigen

2.2 Gelöschte Richtlinie wiederherstellen

3 Gelöschte Richtlinien über PowerShell und Microsoft Graph anzeigen und wiederherstellen

3.1 Gelöschte Richtlinien anzeigen

3.2 Gelöschte Richtlinie wiederherstellen

4 Fazit

Voraussetzungen und Lizenzierung

Lizenzen

Die Soft Delete-Funktion steht in allen Tenants mit bedingtem Microsoft Entra-Zugriff zur Verfügung. Bedingter Microsoft Entra-Zugriff ist Bestandteil von Microsoft Entra ID P1.

Rollen

Für das Anzeigen oder Wiederherstellen gelöschter Richtlinien ist folgende Rolle nach dem Prinzip der geringsten Berechtigungen geeignet.

Rolle	Berechtigung
Administrator für den bedingten Zugriff	Kann gelöschte Richtlinien anzeigen und wiederherstellen

Gelöschte Richtlinien im Microsoft Entra Admin Center anzeigen und wiederherstellen

Gelöschte Richtlinien anzeigen

Mit der Einführung von Soft Delete im bedingten Microsoft Entra-Zugriff stehen gelöschte Richtlinien im Microsoft Entra Admin Center in einer eigenen Ansicht zur Verfügung. Die Übersicht listet alle Richtlinien auf, die sich innerhalb des Aufbewahrungszeitraums von 30 Tagen wiederherstellen lassen.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Bedingter Zugriff > Gelöschte Richtlinien

Screenshot showing the Deleted Policies view in Microsoft Entra Conditional Access, including soft-deleted CA policies and retention details.

Gelöschte Richtlinie wiederherstellen

Für jede gelöschte Richtlinien bestehen zwei Optionen:

Endgültig löschen
Entfernt die Richtlinie dauerhaft aus Microsoft Entra ID (Hard Delete)
Wiederherstellen
Stellt die gelöschte Richtlinie inklusive aller Bedingungen, Zuweisungen und Zugriffskontrollen wieder her

Screenshot showing the action menu for a soft-deleted Conditional Access policy in Microsoft Entra, with options to permanently delete or restore the policy.

Eine wiederhergestellte Richtlinie erscheint unmittelbar wieder im ursprünglichen Zustand. Es empfiehlt sich jedoch, sie zunächst im Modus Nur Bericht (1) wiederherzustellen, um die Konfiguration zu überprüfen und die Richtlinie erst danach manuell zu aktivieren.
Wiederherstellen (2) anklicken.

Screenshot showing the restore dialog for a soft-deleted Conditional Access policy in Microsoft Entra, including the option to restore the policy in Report-Only mode.

Die bedingte Microsoft Entra-Zugriffsrichtlinie steht nun unter Richtlinien zur weiteren Bearbeitung wieder bereit.

Screenshot showing a restored Conditional Access policy in Microsoft Entra, displayed in the Policies list in Report-Only mode.

Gelöschte Richtlinien über PowerShell und Microsoft Graph anzeigen und wiederherstellen

PowerShell und die Microsoft Graph API ermöglichen die Verwaltung von Soft Delete im bedingten Microsoft Entra-Zugriff. Die folgenden Beispiele nutzen die aktuellen Beta-Endpunkte von Microsoft Graph, welche die Soft-Delete-Funktion im bedingten Zugriff bereitstellen.

Gelöschte Richtlinien anzeigen

Der folgende Aufruf listet alle gelöschten Richtlinien auf, die sich innerhalb des Wiederherstellungszeitraums von 30 Tagen befinden. Die Ausgabe enthält den Anzeigenamen (1), die Objekt-ID (2) und das Löschdatum (3) der Richtlinie.

Connect-MgGraph -Scopes "Policy.Read.All"
$uri = "https://graph.microsoft.com/beta/identity/conditionalAccess/deletedItems/policies"
Invoke-MgGraphRequest -Uri $uri -OutputType PSObject |
Select-Object -ExpandProperty value |
Select-Object displayName, id, deletedDateTime

Connect-MgGraph -Scopes "Policy.Read.All"

$uri = "https://graph.microsoft.com/beta/identity/conditionalAccess/deletedItems/policies"

Invoke-MgGraphRequest -Uri $uri -OutputType PSObject |

Select-Object -ExpandProperty value |

Select-Object displayName, id, deletedDateTime

PowerShell screenshot showing a Microsoft Graph API query returning displayName, ID, and deletedDateTime for a soft-deleted Conditional Access policy.

Gelöschte Richtlinie wiederherstellen

Die Wiederherstellung setzt den ursprünglichen Zustand der Richtlinie wieder her. Im nachfolgenden PowerShell-Beispiel den Wert der Variable $policyId mit dem zuvor ausgelesenen Wert anpassen.

Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"
$policyId = "c989ab82-96bb-4f60-b985-86b21deafbc4"
$restoreUri = "https://graph.microsoft.com/beta/identity/conditionalAccess/deletedItems/policies/$policyId/restore"
Invoke-MgGraphRequest -Uri $restoreUri -Method POST

Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"

$policyId = "c989ab82-96bb-4f60-b985-86b21deafbc4"

$restoreUri = "https://graph.microsoft.com/beta/identity/conditionalAccess/deletedItems/policies/$policyId/restore"

Invoke-MgGraphRequest -Uri $restoreUri -Method POST

PowerShell screenshot showing the Microsoft Graph API restore request for a soft-deleted Conditional Access policy, including the returned policy details.

Empfohlen ist, die Richtlinie in den Modus Nur Bericht (Report-Only) zu versetzen, um diese nach Wiederherstellung im Microsoft Entra Admin Center zu prüfen und manuell zu aktivieren. Der Modus Nur Bericht wird aktiviert, indem der state-Wert auf enabledForReportingButNotEnforced gesetzt wird.

$updateUri = "https://graph.microsoft.com/beta/identity/conditionalAccess/policies/$policyId"
$body = @{
    state = "enabledForReportingButNotEnforced"
} | ConvertTo-Json
Invoke-MgGraphRequest -Uri $updateUri -Method PATCH -Body $body -ContentType "application/json"
$getUri = "https://graph.microsoft.com/beta/identity/conditionalAccess/policies/$policyId"
Invoke-MgGraphRequest -Uri $getUri -Method GET -OutputType PSObject

$updateUri = "https://graph.microsoft.com/beta/identity/conditionalAccess/policies/$policyId"

$body = @{

state = "enabledForReportingButNotEnforced"

} | ConvertTo-Json

Invoke-MgGraphRequest -Uri $updateUri -Method PATCH -Body $body -ContentType "application/json"

$getUri = "https://graph.microsoft.com/beta/identity/conditionalAccess/policies/$policyId"

Invoke-MgGraphRequest -Uri $getUri -Method GET -OutputType PSObject

PowerShell screenshot showing a Microsoft Graph API PATCH request updating a restored Conditional Access policy to the state enabledForReportingButNotEnforced.

Fazit

Die Einführung von Soft Delete im bedingten Microsoft Entra-Zugriff ist ein wesentlicher Beitrag zur Sicherheit und Stabilität. Löschungen von Richtlinien lassen sich nun ohne grossen Aufwand rückgängig machen. Soft Delete bietet damit eine wertvolle zusätzliche Sicherheitsebene und zeigt, wie Microsoft die Resilienz seiner Entra-Plattform kontinuierlich verbessert. Ein kleines, aber starkes Update.