Endpoint Atlas
Glossar
Back to blog

Microsoft Entra Backup & Recovery (Preview): Endlich ein Undo-Button für Identity?

JU
Julian Wolf·Entra ID·3 min read

Kurzfassung: Microsoft Entra Backup & Recovery ist kein vollständiges Backup-System. Es ist ein manipulationssicherer Rollback-Mechanismus für Identity-Objekte gut für Fehlkonfigurationen, unzureichend für echte Backup-Strategien.

Das Problem (jahrelang ignoriert)

Entra ID hatte lange ein grundlegendes Problem:

  • kein echtes Backup
  • kein Snapshot
  • kein Rollback

Was es gab:

  • Soft Delete (limitiert)
  • Audit Logs
  • „Rebuild it manually“

Praxis: Ein falsches Script, eine kaputte Conditional-Access-Policy oder ein Admin-Fehler kann potenziell stundenlange Wiederherstellung bedeuten.

Was Microsoft jetzt liefert

Mit Entra Backup & Recovery (Preview) kommt erstmals:

  • automatische Snapshots
  • Vergleich zwischen Zuständen
  • selektives Restore

Das klingt nach „endlich Backup“ ist es aber nicht.

Architektur (vereinfacht)

Entra Backup & Recovery: täglicher Snapshot, Diff gegen aktuellen Tenant, selektives Restore

Wie Backups funktionieren

  • Automatik: einmal pro Tag
  • Retention: 5 Tage
  • Immutable: nicht manipulierbar – auch nicht durch Global Admins

Das ist bewusst so gebaut: Es schützt gegen kompromittierte Admins und verhindert das Muster „Backup löschen, dann Angriff verstecken“.

Was wird gesichert?

Relevante Identity-Objekte:

  • Users
  • Groups
  • Enterprise Apps / Service Principals
  • Conditional Access Policies
  • Authentication Methods Policies
  • Named Locations

Also genau die Dinge, die einen Tenant logisch zerstören können.

Difference Reports (der eigentliche Star)

Vor einem Restore kannst du:

  • den aktuellen Zustand mit dem Backup vergleichen
  • Änderungen analysieren
  • gezielt entscheiden, was zurückgesetzt wird

Wichtig: Das ist in vielen Szenarien wertvoller als das Backup selbst – du rollst nicht blind alles zurück, sondern siehst, was kaputtgegangen ist.

Recovery-Modell

Restore ist:

  • selektiv (einzelne Objekte oder Kategorien)
  • kontrolliert
  • nicht destruktiv im klassischen Sinne

Einschränkungen:

  • nur eine Recovery gleichzeitig
  • kein vollständiger Tenant-Restore

Die harten Limitierungen

Nur 5 Tage Retention für Forensics, Compliance oder längere Incident-Response in der Regel nicht ausreichend.

Keine Hard-Deletes: Wurde ein Objekt hart gelöscht, ist es für dieses weg.

Kein klassisches Backup:

  • kein Export
  • kein Offline-Backup
  • kein Cross-Tenant Restore
  • keine eigene Backup-Steuerung außerhalb des Microsoft-Modells

Hybrid bleibt außen vor: On-Premises AD ist nicht enthalten; es geht um cloudbasierte Identity in Entra.

Realistische Einordnung

Das ist kein Ersatz für Veeam, AvePoint oder andere M365-Backup-Lösungen. Es ist eine zusätzliche Sicherheitsschicht für Identity-Konfiguration und Objektzustand in Entra.

Wann es wirklich hilft

Besonders stark bei:

  • kaputten Conditional Access Policies
  • fehlerhaften Automations-Skripten
  • versehentlich gelöschten Gruppen oder Apps
  • Identity-Drift durch viele parallele Änderungen

Typische „Admin hat sich verklickt“-Szenarien.

Strategische Perspektive

Ein klassischer Microsoft-Move: lange kein Feature, dann eine minimale native Version, danach schrittweiser Ausbau. Third-Party-Tools bleiben relevant – der Druck auf sie steigt aber langfristig, wenn Microsoft nachzieht.

Fazit

Microsoft Entra Backup & Recovery ist kein Backup-System, sondern ein Undo-Button für Identity und genau dafür ist es ziemlich gut.

TL;DR

  • kein vollständiges Backup
  • kein Ersatz für bestehende dedizierte Backup-Lösungen
  • extrem wertvoll als Safety Net für Konfiguration und Objekte

Frage an dich: Würdest du es eher als Ersatz für bestehende Backup-Lösungen einsetzen oder als zusätzliche Absicherung für Identity-Konfigurationen?

Teilen: