Microsoft が Microsoft Entra ID に待望のバックアップ・リカバリ機能を追加した。Entra 管理センター上でパブリックプレビューとして公開されたこの機能は、ディレクトリオブジェクトの自動バックアップと復元を標準で提供するものだ。「いつか必要になる」と分かっていながら、これまでサードパーティ製品や自前スクリプトで賄ってきた組織には、シンプルに朗報である。

何ができるようになったのか

Microsoft Entra Backup and Recovery は、サポート対象のディレクトリオブジェクトを 1日1回自動的にバックアップし、最大5日分のスナップショットを保持する。管理者は Entra 管理センターから GUI 操作で過去のバックアップを参照し、誤って削除または変更されたオブジェクトを復元できる。

特に有効なシナリオとして想定されているのは以下の通りだ。

  • 運用ミスによる誤削除: ユーザーアカウント・グループ・ロール割り当てなど、「消してから気づく」パターン
  • セキュリティインシデント後の復旧: 攻撃者による不正変更や、条件付きアクセスポリシーの改ざん後の原状回復
  • 構成変更の切り戻し: 設定変更が思わぬ副作用を生んだときのロールバック

現時点ではパブリックプレビューのため、対象オブジェクトの種類や復元の粒度に制限がある可能性がある。GA(一般提供)に向けてスコープが広がることが期待される。

なぜこれが重要か

Entra ID(旧 Azure AD)は、Microsoft 365・Azure・Intune など多くのサービスの認証・認可の起点となるアイデンティティ基盤だ。ここに格納されるオブジェクトは「すべてのサービスへの鍵」に等しく、誤削除や不正変更のインパクトは計り知れない。

従来、Microsoft が提供する標準機能としては「ごみ箱(Recycle Bin)」があり、削除から30日以内であれば一部のオブジェクトは復元可能だった。しかし、削除以外の変更(たとえば条件付きアクセスポリシーの書き換えやグループメンバーシップの変更)には対応しておらず、タイムトラベル的な「変更前の状態への復元」は難しかった。

そこを補完するために、Entra Exporter のようなコミュニティツールや、Microsoft Graph API を叩く自前スクリプトで定期バックアップを実装している組織は少なくない。今回の機能はそれを ネイティブ機能として提供する点で価値がある。

実務への影響——日本の IT 管理者が押さえるべきポイント

1. 既存のサードパーティ製バックアップ製品との関係を整理する

すでに Entra ID バックアップ目的でサードパーティ製品(例:IDFIX, Semperis DSP, AvePoint 等)を導入している組織は多い。今回の標準機能は「5日間保持・1日1回」というシンプルな仕様であり、監査ログとの突合、変更履歴の可視化、長期保持といった要件は引き続きサードパーティが担う場面が残るだろう。ただし「とりあえずバックアップがあれば十分」なレベルの用途では、コスト削減の検討材料になり得る。

2. バックアップの存在を「セキュリティインシデント対応手順書」に組み込む

インシデントが起きてから「どこで何を復元できるか」を調べるのでは遅すぎる。今回の機能の存在をインシデントレスポンス手順書に明記し、Entra 管理センターの操作を事前に演習しておくことを推奨する。特に、条件付きアクセスポリシーが攻撃者に書き換えられた場合の復旧シナリオは一度通しで確認しておくべきだ。

3. Just-In-Time アクセスと組み合わせて多層防御を

バックアップはあくまで「事後対応」の手段だ。「誤削除・改ざんをそもそも減らす」という観点では、Entra PIM(Privileged Identity Management) によるロール割り当ての時限化(Just-In-Time)や、重要な変更に対する多要素認証・承認フローの整備が先行すべき対策である。「常時アクセス権の付与は最大のリスク」という原則は、どれだけ優れたバックアップがあっても変わらない。

筆者の見解

正直に言えば、「なぜこれを5年前に作らなかったのか」 という気持ちを抑えることが難しい。Entra ID はすでに世界中の何十万という組織のアイデンティット基盤として稼働している。「バックアップはサードパーティで」という状況がこれだけ長く続いてきたことは、プラットフォームの信頼性という観点でもったいなかったと思う。

とはいえ、今回の取り組みは評価したい。「あって当然」の機能を「ついに標準提供する」という判断をした点は前進だ。Entra ID はゼロトラストアーキテクチャの中核であり、ここの回復力(レジリエンス)が高まることは、Microsoft プラットフォームの全体的な価値向上に直結する。

パブリックプレビューという段階であるため、対象オブジェクトの範囲や復元の粒度については今後の拡充を期待したい。5日間保持という仕様は、週をまたいだインシデントへの対応という観点では心もとない部分もある。GA に向けた改善を含め、「できて当たり前」の水準まで引き上げていく姿勢を継続してほしい。

Microsoft はアイデンティティ管理において確固たる資産と技術力を持っている。その力をプラットフォームの信頼性向上に正面から使い続けることを、ユーザーとして強く期待している。

出典: この記事は Microsoft Entra ID Gets New Backup and Recovery Tool の内容をもとに、筆者の見解を加えて独自に執筆したものです。