Microsoft Entra ID バックアップ&リカバリー、静かにプレビュー開始
Microsoftは2026年3月19日、Entra IDオブジェクトのバックアップと復元を行う新機能「Microsoft Entra Backup and Recovery」のプレビューをテナントに展開した。Entra管理センターから利用できるが、大々的なアナウンスはなく、技術コミュニティで話題になってから翌20日にRSAカンファレンス向け発表の中でさりげなく言及されるという異例のデビューとなった。
何がバックアップされるのか
対象となるのは「コアテナントオブジェクト」と呼ばれるディレクトリの根幹部分だ。具体的には以下が含まれる:
- ユーザー・グループ
- アプリケーション・サービスプリンシパル
- 条件付きアクセスポリシー
- 認証メソッド・承認ポリシー
- 名前付き場所・組織設定
Exchange OnlineやSharePoint Onlineのようにメールやファイルデータを抱えるワークロードとは異なり、Entra IDはオブジェクトの構成情報が主体のため、同等の機能をより少ないストレージで実現できる。
バックアップの仕様
- 頻度: 1日1回自動実行(時刻はテナントごとに異なり、現時点では変更不可)
- 保持数: 直近5世代(最大5日分)のローリング保持
- 無効化: プレビュー段階では不可、すべて自動
- 必要ライセンス: Entra P1 または P2(一部テナントではライセンス不問でも利用可能との報告あり)
- 必要ロール: 新設の「Entra Backup Reader」管理ロール
差分レポートで復元判断を支援
特徴的なのが差分レポート機能だ。現在のオブジェクト状態と選択したバックアップ時点との差分をレポートとして生成し、「どのバックアップから復元すべきか」の判断材料を提供する。
例えば、エンタープライズアプリ(サービスプリンシパル)が不正に追加された場合、差分レポートにはそのオブジェクトが表示され、復元操作では「ソフトデリート(論理削除)」が実行される。誤操作を防ぐため、復元処理がハードデリートを行うことはない。
現時点での課題として、レポート生成に時間がかかる点が挙げられている。小規模テナントでも75分以上を要するケースが確認されており、GA(一般提供)に向けた改善が期待される。
日本のテナント管理者への影響
Microsoft 365を利用する日本企業にとって、Entra IDのオブジェクト保護は長年の課題だった。ランサムウェア攻撃や誤操作によるアカウント・ポリシーの破損は深刻なインシデントにつながりうるが、従来は条件付きアクセスポリシーなどの設定を手動でバックアップするか、サードパーティ製品に頼るしかなかった。
Microsoft純正の自動バックアップ機能が追加されることで、基本的な保護はプラットフォーム側が担う形になる。一方、5日間という保持期間はコンプライアンス要件によっては不十分な場合もあり、より長期の保持ニーズへの対応は今後の課題だ。
GA(一般提供)の時期や追加機能については、今後のアナウンスに注目したい。