クラウド環境の破壊型サイバー攻撃に備えるために Microsoft Entra ID のネイティブバックアップを試してみる

最近、Microsoft Entra管理センターに「Backup and recovery (Preview)」という機能がひっそりと追加されました。Entra IDにはこれまで「利用者による」ネイティブのバックアップ機能が存在せず、MS社のバックアップやサードパーティ製品、Entra Exporterによる手動エクスポートに頼らざるを得なかったため、待望の機能と言えます。今回は、実際にConditional Accessポリシーを削除して復元するところまで試してみました。

本記事は2026年3月20日時点の筆者の検証に基づき作成しています。本機能はPreview段階であり、今後仕様が変更される可能性があります。加えて、本機能はまだ挙動が安定していない部分があるようです。検証中に想定と異なる動きがいくつか確認されており、個別にMicrosoftへフィードバックしています。Preview機能である以上、現時点では過信せず、既存のバックアップ手段と併用することをお勧めします。また、先ほど『「利用者による」ネイティブのバックアップ機能が存在せず』と述べましたが、Microsoft社側で地理的に分散されたデータセンターにレプリカを構成しており、耐障害性という観点でのバックアップは実施されています。誤読のないようにお願いします。

3行まとめ

• 待望のMicrosoft Entra ID のネイティブバックアップ機能が登場しました！
• 差分レポートは良かったですが、プレビュー中なのもあって多少動作が安定しない点が見受けられました。
• 破壊型攻撃の対応の切り札となるように、今後のパワーアップを期待します。

クラウド環境のバックアップ問題

近年、クラウド環境を狙った破壊型攻撃がポツポツと報告されるようになっています。従来のランサムウェアがファイルを暗号化して身代金を要求するのに対し、破壊型の攻撃はデータやインフラそのものを消し去ることを目的とします。¹ 直近では、2026年3月に医療機器大手Strykerが攻撃を受け、Microsoft Intuneのリモートワイプ機能を悪用されて数千台規模のデバイスが一斉に消去されるという事件が起きました。²

これはEntra IDへの直接攻撃ではありませんが、攻撃者が管理者権限を奪取し、Microsoftのクラウド管理基盤を「武器化」して組織に壊滅的なダメージを与えた事例として、同じ文脈で捉えるべきです。Entra IDはMicrosoft 365やAzure、無数のSaaSアプリへの認証基盤であるため、ここが壊されるとユーザーはメールもTeamsもSharePointも使えなくなり、業務が完全に停止します。

さらに、地政学的な緊張や紛争が高まると、国家支援型のサイバー攻撃グループによる破壊型オペレーションのリスクも増大します。³ こうした攻撃者は金銭目的ではなく、相手国の組織に最大限のダメージを与えることを狙うため、復旧手段を意図的に潰しにきます。上述のStrykerの事件も、イランと関連するハクティビストグループによる地政学的動機の攻撃と推察されます。Entra IDの構成が吹き飛ばされたとき、30日間のソフトデリートだけでは心許ないのは明らかです。

これまでの限界

Entra IDには、もともとバックアップという文脈では以下のような組み込みの保護はありました。

• ソフトデリート：ユーザー、Microsoft 365グループ、クラウドセキュリティグループ、アプリケーション等は削除後30日間はリサイクルビンから復元可能 ⁴
• Backup Authentication System：プライマリの認証サービスが停止・劣化した際に、過去3日以内に同じデバイスで認証したユーザーの認証を透過的に継続させるレジリエンスの仕組み ⁵

しかし、これらはあくまで「削除直後のセーフティネット」と「認証の可用性」を提供するものであり、テナント構成全体のバックアップ・復元とは別物です。特にConditional Accessポリシー（ソフトデリートのPreviewが追加されましたが）やNamed Locationsなど、多くのオブジェクトはハードデリートされるとその場で消失し、手作業で再構築するしかありませんでした。⁶ そのため、本格的なバックアップが必要な組織はVeeamやAvePoint、Rubrikなどのサードパーティ製品を導入するか、Graph APIやEntra Exporterで定期的にJSON形式でエクスポートするしかなかったのが実情です。⁷サードパーティのバックアップ製品はユーザー数やオブジェクト数に応じた従量課金が多く、大規模な組織では年間数千万円規模のコストになることも珍しくありません。

Backup and recovery (Preview) の概要

概要

操作画面はEntra管理センターの左メニュー > Backup and recovery (Preview) にあります。

バックアップの仕様

画面上の説明によると、悪意ある攻撃や誤操作によるテナント構成の変更を、直近5日以内の任意の状態に戻すことができる機能です。バックアップは自動で生成され、管理者が手動でスケジュールを組む必要はありません。

• Entraが自動で 1日1回 バックアップを生成する
• 直近 5日分 のバックアップ履歴を保持する
• きめ細かいリカバリ（granular recovery） に対応し、テナント全体ではなくオブジェクト単位で復元できる

復元可能なオブジェクト

以下のコアテナントオブジェクトの主要プロパティを復元できます。Conditional Accessポリシーやauthentication methods、Named Locationsが対象に含まれているのは嬉しいポイントです。

• Applications
• Authentication Method Policy
• Authorization Policy
• Conditional Access Policies
• Groups
• Named Location Policies
• Organization
• Service Principals, App Role Assignments, OAuth2 Permission Grants
• Users

実際に試してみた

ここからは、Conditional Accessポリシーを削除し、Difference Reportsで差分を確認してから復元するまでの流れを試します。検証用のConditional Accessポリシーを1つ用意し、Entra管理センターから削除します。

Backup and recovery > Difference Reports (Preview) を開きます。ここでは、現在のテナント状態と過去のバックアップスナップショットとの差分を比較するDifference Reportsを作成できます。比較対象の日付（昨日のバックアップ）を選択し、Difference Reportsの作成を選択します。作成にはにはそこそこ時間がかかります。

作成後、レポートを見ると削除したConditional Accessポリシー等が差分として表示されます。

変更の種類（削除・変更・追加）やオブジェクトタイプでフィルタリングできるため、大規模な環境でも目的のオブジェクトを素早く特定できます。差分レポートで対象を特定したら、復元を実行します。Backup and recovery > Backups (Preview) から昨日のスナップショットを選択し、該当のConditional Accessポリシーを復元対象に指定します。Object Types や Object IDを指定してでの一部リストアにも対応しているようです。

復元が完了すると、Recovery History (Preview) にジョブの履歴が記録されます。復元されたポリシーが元の設定内容を保持した状態で戻ってきていることを確認できました。

ポイント：Object IDの保持

ネイティブバックアップの最大の強みは、元のObject IDを保持したまま復元できる点です。サードパーティツールの場合、削除されたオブジェクトを「再作成」する形になるため、Object IDが変わってしまい、他のポリシーやグループからの参照先を手動で再リンクする必要がありました。ファーストパーティだからこそ実現できるメリットです。（※すべての種類のObject Typesの復元を試したわけではないです。）

現時点での制約

Preview段階ということもあり、いくつかの制約・注意点があります。まず、保持期間が5日間のみです。サードパーティ製品の無制限保持と比べるとかなり短いです。まあ、破壊型攻撃にあったら即日気が付くと思うので、クリティカルではない気がします。加えて1日1回のバックアップのため、RPOが最大24時間です。また、Intuneの構成プロファイルやデバイスなどは対象外のようでした。また、公式ドキュメントが未公開：2026年3月20日時点で、Microsoft Learnにこの機能のドキュメントはまだ存在せず、リリースノートにも記載されていないと思います。⁸（認識違ったら教えてください）。限定展開段階かと思います。

2026/3/21追記　公式ドキュメント出てきましたね。
https://learn.microsoft.com/ja-jp/entra/backup/overview

残論点たち

AD同期ユーザーの復元

今回の検証はConditional Accessポリシーの削除・復元を試しましたが、オンプレミスADからEntra Connectで同期しているユーザーのバックアップ・復元については未検証です。同期ユーザーの場合、Entra ID側で復元してもConnect側から再同期されたときにどう扱われるのか、OnPremisesImmutableId やソースアンカーとの整合性がどうなるのかなど、ハイブリッド環境特有の考慮事項があります。この点は別途検証が必要です。

リストアどうやってやる問題

今回は管理者がEntraから締め出されていない前提での検証でしたが、危機的状況を想定するといつも使っている管理者が消されてしまって、緊急用アカウントでの作業をするシナリオを想定した手順を整える必要がありそうに思いました。その辺もMSからプラクティスが出るといいですね。

おわりに

ちょっと挙動が怪しい面もあり、今日からサードパーティ製品が不要になるかと言われると、現時点ではまだNoです。しかし、ファーストパーティだからこそObject IDを保持したまま復元できるという点は、サードパーティには真似できない決定的な優位性です。ライセンスやコストの部分は情報が出ておらずわかりませんが、これまでサードパーティ製品に年間数千万円を投じてきた組織にとってはコスト面でのインパクトも大きいのではないかと期待します。今後、保持期間の延長やバックアップ頻度の向上、対象オブジェクトの拡充がされていけば、多くの組織にとってゲームチェンジャーになる可能性を秘めています。まだPreviewで公式ドキュメントも出ていない段階ですが、今後目が離せません。

1. Cadet Blizzard emerges as a novel and distinct Russian threat actor - Microsoft Threat Intelligence Blog ↩

2. CISA urges companies to secure Microsoft Intune systems after hackers mass-wipe Stryker devices - TechCrunch ↩

3. Microsoft Digital Defense Report 2024 ↩

4. Recover from deletions in Microsoft Entra ID - Microsoft Entra | Microsoft Learn ↩

5. Backup Authentication System for Microsoft Entra ID - Microsoft Entra | Microsoft Learn ↩

6. Recoverability best practices - Microsoft Entra | Microsoft Learn ↩

7. Entra Exporter を使って Entra ID のバックアップを取得する ↩

8. Microsoft Entra releases and announcements ↩