Come eliminare e ripristinare gli oggetti di identità dell'agente

Quando si elimina un progetto di identità agente, Microsoft Entra pulisce automaticamente tutte le identità dell'agente figlio e gli account utente degli agenti associati. Tutte le eliminazioni sono eliminazioni software: gli oggetti eliminati vengono spostati nel Cestino e possono essere ripristinati entro 30 giorni.

Per una panoramica concettuale del funzionamento della pulizia a catena e delle considerazioni sulle quote, vedere Eliminazione dell'identità dell'agente.

Prerequisiti

Per eliminare e ripristinare gli oggetti identity dell'agente, è necessario:

  • Amministratore ID agente per visualizzare e gestire gli oggetti identity dell'agente.
  • Amministratore applicazione cloud per eliminare l'applicazione di progetto e la relativa entità servizio.
  • Autorizzazione Application.ReadWrite.All per le operazioni di Microsoft API Graph o Microsoft Entra PowerShell.
  • Autorizzazione AgentIdentity.ReadWrite.All per eliminare definitivamente le identità dell'agente eliminate temporaneamente.
  • I proprietari di uno schema di identità agente possono eliminare gli oggetti di identità dell'agente associati a tale schema senza bisogno di questi ruoli.

Eliminare un progetto

L'eliminazione degli oggetti identità agente non è supportata nel Interfaccia di amministrazione di Microsoft Entra. Usare Microsoft API Graph o Microsoft Entra PowerShell per eliminare progetti e identità dell'agente.

È possibile eliminare separatamente lo schema dell'identità dell'agente e lo schema principale. L'eliminazione della registrazione dell'app comporta anche l'eliminazione del principale. L'eliminazione solo del principale lascia invariata la registrazione dell'app.

Note

L'eliminazione standard è sempre eliminazione temporanea. Gli oggetti vengono spostati nel Cestino, ma non vengono rimossi immediatamente. L'eliminazione permanente viene eseguita automaticamente dopo 30 giorni oppure è possibile forzarla usando il processo standard di eliminazione definitiva descritto in Eliminazione e ripristino delle domande frequenti sulle applicazioni.

Per eliminare l'applicazione blueprint (che elimina anche l'entità principale):

DELETE https://graph.microsoft.com/v1.0/applications/{blueprint-app-object-id}

Per eliminare solo la blueprint principale:

DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{blueprint-principal-object-id}

Note

L'eliminazione esplicita di un'entità progetto (permanentDelete) è bloccata. Utilizzare l'endpoint di eliminazione standard mostrato sopra.

Dopo aver eliminato il progetto o la relativa entità, Microsoft Entra elimina automaticamente tutte le identità dell'agente figlio associate e gli account utente degli agenti. Per altre informazioni su questo processo, vedere Eliminazione dell'identità dell'agente.

Important

Se si ripristina il progetto principale prima dell'esecuzione della pulizia a cascata, le identità dell'agente figlio non sono interessate. Dopo l'esecuzione della pulizia, ogni identità figlio deve essere ripristinata singolarmente. Il ripristino dell'entità progetto non comporta eliminazioni a catena inversa già eseguite.

Ripristinare uno schema principale

È possibile ripristinare un'entità principale blueprint cancellata temporaneamente entro 30 giorni. Il ripristino degli oggetti di identità dell'agente non è supportato nel Centro amministrativo di Microsoft Entra. Usare Microsoft API Graph o Microsoft Entra PowerShell.

POST https://graph.microsoft.com/v1.0/directory/deletedItems/{blueprint-principal-object-id}/restore

Ripristinare le identità dell'agente figlio

Se la pulizia a cascata è già stata eseguita e le identità dell'agente figlio sono state eliminate temporaneamente, ripristinarle ognuna singolarmente.

Note

L'endpoint Microsoft Graph /directory/deletedItems non supporta il filtro in base al tipo di identità dell'agente. Eseguire una query per individuare le entità servizio eliminate e filtrare i risultati sul lato client usando ID oggetto noti, ID app o nomi visualizzati per identificare le identità dell'agente corrette.

  1. Elencare i principali del servizio eliminati in modalità soft-delete per trovare le identità degli agenti interessati.

    GET https://graph.microsoft.com/v1.0/directory/deletedItems/microsoft.graph.servicePrincipal

  2. Filtrare i risultati sul lato client per identificare le identità dell'agente collegate al progetto, quindi ripristinarne ognuna:

    POST https://graph.microsoft.com/v1.0/directory/deletedItems/{agent-identity-object-id}/restore

Eliminare definitivamente gli oggetti di identità dell'agente

Gli oggetti eliminati temporaneamente continuano a essere conteggiati per la quota di directory fino a quando non vengono eliminati definitivamente. Se si è al limite di identità dell'agente 250 per un progetto che usa autorizzazioni solo app, potrebbe essere necessario forzare l'eliminazione permanente per liberare immediatamente la quota anziché attendere la scadenza del periodo di conservazione di 30 giorni. L'eliminazione permanente di un'entità principale del modello di identità dell'agente è impedita. Per liberare in modo permanente la quota usata da un'entità di progetto, attendere la scadenza del periodo di conservazione di 30 giorni.

Attenzione

Gli oggetti eliminati definitivamente non possono essere ripristinati. Eliminare definitivamente solo gli oggetti quando si è certi che non sono più necessari.

Eliminare definitivamente un'identità dell'agente eliminata temporaneamente:

DELETE https://graph.microsoft.com/v1.0/directory/deletedItems/{agent-identity-object-id}

Eliminare definitivamente un'applicazione di progetto eliminata temporaneamente:

DELETE https://graph.microsoft.com/v1.0/directory/deletedItems/{blueprint-app-object-id}

Account utente degli agenti

Gli account utente degli agenti sono associati in rapporto 1:1 con le identità degli agenti. Se gli account utente degli agenti non vengono eliminati automaticamente come parte dell'eliminazione a catena, eliminarli manualmente.

DELETE https://graph.microsoft.com/v1.0/users/{agent-user-object-id}

Contenuti correlati

  • Last updated on