Cuando eliminamos un grupo de Office 365, al igual que otros tipos de objetos, este queda durante un "periodo de gracia" disponible para su recuperación. En este caso tenemos hasta 30 días, vamos a ver a continuación como podemos recuperarlo o por el contrario como podemos eliminarlo definitivamente antes de que expire este periodo de tiempo.
Comprobando la versión del módulo de Azure AD en Powershell
Antes que nada vamos a comprobar nuestro Powershell para ver si tenemos una versión suficiente actualizada del mismo,
cmdlet Get-Module AzureADPreview
Ejecutamos Get-Module AzureADPreview para obtener nuestra versión actual del módulo.
PS C:\WINDOWS\system32>Get-Module AzureADPreview
ModuleType Version Name ExportedCommands
---------- ------- ---- ----------------
Binary 2.0.0.7 azureadpreview {Add-AzureADAdmini...
cmdlet Install-Module
Para actualizar la versión ejecutamos el cmdlet Install-Module
PS C:\WINDOWS\system32>Install-Module AzureADPreview
Este cmdlet comprueba si existe una versión más reciente disponible y en ese caso la instala en nuestra máquina.
Conectando al Azure Active Directory
Para poder ejecutar los cmdlets que veremos a continuación conectamos al directorio activo de Azure con el cmdlet Connect-AzureAD, las credenciales se las podemos pasar de la siguiente manera por ejemplo.
PS C:\WINDOWS\system32>$AzureAdCred = Get-Credential
PS C:\WINDOWS\system32>Connect-AzureAD -Credential $AzureAdCred
cmdlet get-azureadmsgroup
Primero de todo vamos a familiarizarnos con este cmdlet que nos devolverá un listado de todos los grupos de Office 365 en nuestra organización, incluyendo su ID, su displayname y su descripción.
Para el ejemplo vamos a utilizar un grupo llamado "testcyber", entonces podemos obtener sus datos de la siguiente forma
PS C:\WINDOWS\system32>get-azureadmsgroup -SearchString "testcyber"
Id DisplayName Description
-- ----------- -----------
5dc22f6c-cc08-4366-9bc5-dfd1ac151529 testcyber
cmdlet remove-azureadmsgroup
Para entrar en faena, vamos a borrar este grupo con el siguiente comando utilizando los valores que hemos obtenido en el anterior paso
PS C:\WINDOWS\system32>Remove-AzureADMSGroup -Id 5dc22f6c-cc08-4366-9bc5-dfd1ac151529
También lo podemos borrar a través de la interfaz web.
Recuperar un grupo borrado
En el caso de un grupo borrado (soft-deleted) en Office 365, al igual que para otros objetos tenemos 30 días, en los que se aplica un periodo de retención, que es muy útil ante posibles fallos en el borrado. Es siempre recomendable no purgar (hard-deleted) nada a menos que estemos completamente seguros que ha de desaparecer.
En el caso que nos ocupa, vamos primero a obtener un listado de los grupos que hemos borrado de la manera normal
cmdlet get-azureadmsdeletedgroup
PS C:\WINDOWS\system32>Get-AzureADMSDeletedGroup
Id DisplayName Description
-- ----------- -----------
5dc22f6c-cc08-4366-9bc5-dfd1ac151529 testcyber
En este caso vemos de nuevo la información del grupo que acabamos de borrar que nos servirá a continuación para poder recuperarlo. En caso de que el grupo que estemos buscando no aparezca en la lista es porque ha sido purgado y en este caso no sería recuperable por nosotros mismos y dependiendo del tiempo desde el borrado tampoco por el soporte de microsoft.
cmdlet restore-azureadmsdeleteddirectoryobject
Una vez que ya tenemos localizado el grupo a recuperar, utilizamos la Id del mismo y lanzamos el cmdlet
PS C:\WINDOWS\system32>restore-AzureADMSDeletedDirectoryObject -Id 5dc22f6c-cc08-4366-9bc5-dfd1ac151529
Este proceso puede tardar un poco, en nuestro caso como era un grupo vacío creado para este ejemplo la recuperación ha sido inmediata. A partir de este momento nuestro grupo "testcyber" vuelve a aparecer en las listas de grupos de azure ad y obviamente deja de aparecer en el listado de grupos borrados.
El contenido de un grupo que puede ser recuperado de esta manera incluye al propio objeto de grupo (sus propiedades y miembros), la dirección smtp, el calendario, sitios de equipo y sus ficheros, ficheros onenote, el planner y el grupo de yammer.
Borrado definitivo de un grupo
Como decíamos por lo general no nos importará que un grupo borrado permanezca esos 30 días de gracia en el limbo y que pasado este tiempo se purgue pero puede ocurrir que en ocasiones debamos borrar algo y evitar su recuperación, para ello utilizaremos el siguiente cmdlet.
cmdlet Remove-AzureADMSDeletedDirectoryObject
Para este ejemplo hemos vuelto a borrar nuestro grupo "testcyber" y por lo tanto lanzando el comando Get-AzureADMSDeletedGroup aparece en el listado de grupos borrados
Para purgarlo definitivamente (Cuidado el siguiente comando eliminará definitivamente el grupo y los datos relacionados!) utilizaremos el siguiente comando:
PS C:\WINDOWS\system32>Remove-AzureADMSDeletedDirectoryObject -Id 5dc22f6c-cc08-4366-9bc5-dfd1ac151529
Para comprobar esta eliminación si volvemos a sacar el listado de grupos borrados, este ya no aparecerá en ella.