Une suppression dans Microsoft Entra ID peut vite devenir critique.
Utilisateur supprimé, groupe modifié, stratégie d’accès conditionnel altérée… et jusqu’ici, les possibilités de retour arrière restaient limitées.

Microsoft propose désormais une nouvelle fonctionnalité en préversion :
Microsoft Entra Backup and Recovery

Elle permet surtout de disposer d’une sauvegarde impossible à supprimer ou à modifier, quel que soit le niveau de privilège.
C’est un point particulièrement intéressant dans un scénario où un attaquant chercherait à supprimer massivement des objets Entra ID pour perturber ou bloquer le tenant.

Pré requis

Pour utiliser Microsoft Entra Backup and Recovery, votre tenant doit répondre à plusieurs conditions :

• être un tenant workforce
• les tenants External ID et Azure AD B2C ne sont pas pris en charge
• disposer de licences Microsoft Entra ID P1 ou P2

Côté permissions, Microsoft prévoit notamment deux rôles dédiés :

• Microsoft Entra Backup Reader :
  permet de consulter les sauvegardes, les comparaisons entre l’état actuel et l’état sauvegardé, ainsi que l’historique des récupérations
• Microsoft Entra Backup Administrator :
  permet en plus de lancer des rapports de différence et de déclencher des restaurations
• le rôle Global Administrator inclut également les autorisations nécessaires à l’administration de la fonctionnalité

Pour les environnements hybrides, Microsoft précise aussi qu’il est possible d’utiliser les rapports de différence pour identifier les écarts sur les objets synchronisés depuis Active Directory, mais que la restauration complète dépend du mode de gestion et de la source d’autorité des objets.

Pour les objets pilotés côté AD DS, il faut donc conserver une stratégie de sauvegarde adaptée côté on-premises.

Comment fonctionne Entra Backup and Recovery ?

Microsoft Entra Backup and Recovery effectue automatiquement une sauvegarde des objets pris en charge, une fois par jour, avec jusqu’à 5 jours d’historique.

Il ne s’agit donc pas d’une sauvegarde temps réel, mais bien d’un snapshot quotidien.
C’est un point important à garder en tête pour évaluer le niveau de protection réel selon vos besoins.

Il n’y a actuellement aucun moyen de déclencher soi-même une sauvegarde : tout est entièrement géré par Microsoft.

Microsoft précise également que ces sauvegardes sont créées automatiquement, stockées dans la même géolocalisation que le tenant, et qu’aucun utilisateur ou application connectée ne peut les désactiver, les supprimer ou les modifier.

Les différentes sections disponibles

Depuis le portail Microsoft Entra, la fonctionnalité se structure autour de plusieurs menus :

1. Sauvegardes

Cette section permet de visualiser les points de sauvegarde disponibles sur les cinq derniers jours.
C’est à partir de ces snapshots qu’il est ensuite possible de lancer une comparaison ou une restauration.

Vous avez la possibilité de :

• créer un rapport de différence, qui permet de comparer l’état actuel du tenant avec celui d’une sauvegarde donnée
• récupérer une sauvegarde, soit de manière globale, soit en ciblant uniquement certains objets selon le périmètre souhaité

Dans les étapes suivantes, on reviendra sur les rapports de différence.
Lors du lancement d’une récupération, plusieurs filtres sont disponibles :

• inclure tous les objets dans leur état précédent
• inclure uniquement certains types d’objets
• inclure uniquement des objets spécifiques via leur ID

Les objets pris en compte dans cette sauvegarde sont les suivants :

Je ne vais pas détailler ici l’ensemble des objets récupérables, mais vous pouvez retrouver plus d’informations dans la documentation Microsoft.

2. Difference Reports

Les rapports de différence permettent de comparer l’état actuel du tenant avec celui d’une sauvegarde donnée.
C’est une étape particulièrement utile avant restauration, afin de voir précisément quels objets ont changé et quelle action de récupération serait appliquée.

En cliquant sur l’ID du rapport, il est possible de visualiser précisément les différences entre l’état actuel du tenant et l’état présent dans la sauvegarde

On peut alors tout restaurer, ou uniquement les éléments souhaités

3. Recovery History

Cette vue permet de suivre les opérations de récupération passées ou en cours :
statut, point de sauvegarde utilisé, date de lancement, date de fin, nombre d’objets modifiés…
Microsoft indique que l’historique de récupération est conservé jusqu’à 5 jours après la fin de l’opération.

Mes tests

C’est ici que la fonctionnalité devient vraiment intéressante.
J’ai réalisé plusieurs tests pour voir ce qui est réellement restauré, et dans quelles conditions.

1. Suppression d’un utilisateur encore présent ou non dans la corbeille

Dans ce scénario, la restauration s’est bien passée.

• restauration de l’utilisateur : OK
• attributs restaurés : OK
• MFA conservé : OK
• photo de profil restaurée : OK

Très bon point ici : la restauration a été complète sur ce cas de test, y compris sur des éléments qu’on ne s’attend pas forcément à retrouver aussi facilement.

2. Rôles, groupes et accès conditionnel

La restauration des rôles, des groupes et des stratégies d’accès conditionnel s’est bien exécutée.

Autre point intéressant : lorsqu’un utilisateur supprimé était lui-même membre d’un groupe supprimé, la récupération s’est également bien passée.
La solution semble rechercher les dépendances avant d’appliquer la restauration.

3. Temps de traitement

Le déclenchement d’une récupération est plutôt rapide.

En revanche, le temps de traitement peut logiquement augmenter selon le nombre d’objets à analyser ou à restaurer.
Ce comportement est cohérent avec ce que Microsoft indique aussi sur les rapports de différence et les opérations de récupération : la durée dépend du volume et du périmètre traités.

Mon avis

Sur le papier, cela peut sembler être “juste” une nouveauté de plus dans Entra.
En réalité, c’est une évolution importante.

• la fonctionnalité répond enfin à un vrai besoin de restauration côté identité
• la comparaison avant récupération est un vrai plus pour éviter les erreurs
• les premiers tests sont encourageants sur plusieurs objets sensibles
• la restauration est intégrée nativement dans le portail Microsoft Entra

On se rapproche enfin d’une logique de sauvegarde plus sérieuse pour les objets critiques du tenant.

Limites à garder en tête

Il faut tout de même rester lucide :
Microsoft Entra Backup and Recovery est encore en preview.

• sauvegarde quotidienne uniquement
• pas de sauvegarde manuelle
• historique limité à 5 jours
• prise en charge limitée aux objets supportés par Microsoft
• certaines situations critiques doivent encore être validées en conditions réelles

En d’autres termes, ce n’est pas encore un remplacement complet d’une stratégie de sauvegarde et de reprise plus large, surtout dans des environnements complexes ou hybrides.

Conclusion

Les premiers résultats sont franchement encourageants.

La restauration d’un utilisateur supprimé avec ses attributs, son MFA et même sa photo de profil, ainsi que les tests positifs sur les groupes, rôles et accès conditionnel, montrent que Microsoft est enfin en train d’apporter une vraie réponse à un sujet qui manquait jusque-là.

Mais il faut garder une approche terrain : la fonctionnalité est prometteuse, pas encore parfaite.
Le vrai verdict viendra surtout sur les cas les plus critiques, notamment les scénarios de plus grande ampleur.