Microsoft Entra ID Device Soft Delete: finalmente arriva il recupero dei dispositivi eliminati

Microsoft ha introdotto una nuova funzionalità in Microsoft Entra ID che secondo me mancava da tempo: Device Soft Delete. Fino ad oggi, la cancellazione di un dispositivo da Entra ID era un’operazione abbastanza delicata. Se veniva eliminato un utente o un gruppo, era possibile recuperarli dagli oggetti eliminati. Per i dispositivi, invece, nella maggior parte dei casi non c’era una vera possibilità di ripristino. Con Device Soft Delete, i dispositivi eliminati non vengono rimossi subito in modo definitivo, ma vengono mantenuti in uno stato di recupero per un massimo di 30 giorni. Questo permette agli amministratori di recuperare un device eliminato per errore, senza dover necessariamente ripartire da una nuova registrazione del dispositivo.

Michele Ariis

6/5/20264 min read

Perché è utile

I dispositivi in Microsoft Entra ID non sono solo oggetti inventariali.

Sono collegati a diversi scenari importanti, ad esempio:

  • Conditional Access

  • Microsoft Intune

  • compliance del dispositivo

  • BitLocker recovery keys

  • Windows LAPS

  • Microsoft Defender for Endpoint

  • identità e registrazione del dispositivo

Per questo motivo, eliminare un device per errore può creare problemi abbastanza fastidiosi.

Pensiamo ad esempio a:

  • cleanup manuale dei device obsoleti

  • script di pulizia configurati male

  • cancellazione accidentale da parte di un amministratore

  • modifica errata dello scope di sincronizzazione

  • dispositivi hybrid joined rimossi per errore

  • attività massive fatte senza un controllo preventivo

Con questa funzionalità abbiamo finalmente una finestra di recupero anche per i dispositivi.

Come funziona

Quando un dispositivo viene eliminato, Microsoft Entra ID lo sposta in uno stato di soft delete.

Durante questo periodo il device non è più considerato attivo.

Questo significa che:

  • non può autenticarsi

  • non può accedere alle risorse cloud

  • non è visibile nella normale lista dei dispositivi

  • non può essere gestito come device attivo

  • rimane disponibile solo per un eventuale ripristino

  • dopo 30 giorni viene eliminato definitivamente

Quindi non si tratta di un device ancora utilizzabile, ma di un oggetto mantenuto temporaneamente per permettere il recupero entro la finestra prevista.

Quali dispositivi sono supportati

Device Soft Delete supporta le principali tipologie di dispositivi presenti in Microsoft Entra ID:

  • Microsoft Entra joined devices

  • Microsoft Entra hybrid joined devices

  • Microsoft Entra registered devices

Questo è interessante anche per gli ambienti ibridi.

Ad esempio, se una OU viene esclusa per errore dallo scope di sincronizzazione di Microsoft Entra Connect, alcuni dispositivi hybrid joined potrebbero essere rimossi da Entra ID.

Con il soft delete, se l’errore viene corretto entro la finestra prevista, è possibile recuperare il dispositivo invece di perderlo definitivamente.

Cosa viene mantenuto

Uno degli aspetti più importanti è che durante il soft delete vengono mantenute alcune informazioni collegate al dispositivo.

Ad esempio:

  • BitLocker recovery keys

  • password Windows LAPS

  • Device ID

  • informazioni di identità del dispositivo

  • associazione con l’autorità MDM, ad esempio Microsoft Intune

Questo è molto utile perché spesso il problema non è solo “far tornare il device”, ma non perdere informazioni operative o di sicurezza collegate a quell’oggetto.

Ruoli necessari

Il ripristino dei dispositivi eliminati non è disponibile per tutti gli utenti.

I ruoli principali che possono gestire il restore o la cancellazione definitiva sono:

  • Global Administrator

  • Cloud Device Administrator

  • Intune Administrator

Il proprietario del dispositivo può eliminare il proprio device, ma non può ripristinarlo o eliminarlo definitivamente.

Mi sembra una scelta corretta, perché il ripristino di un dispositivo può avere impatti su sicurezza, compliance e accesso alle risorse aziendali.

Come visualizzare e ripristinare i dispositivi eliminati

I dispositivi eliminati possono essere visualizzati e ripristinati in due modi:

  • tramite interfaccia grafica dal portale Microsoft Entra

  • tramite PowerShell

Entrambe le modalità permettono di lavorare sui dispositivi ancora presenti nella finestra di soft delete, prima che vengano eliminati definitivamente.

Ripristino tramite portale Microsoft Entra

La modalità tramite portale è sicuramente quella più immediata, soprattutto per attività puntuali o per il recupero rapido di un dispositivo eliminato per errore.

La pagina diretta da cui visualizzare i dispositivi eliminati è questa (a breve sarà visibile direttamente anche dal portale)

https://entra.microsoft.com/#view/Microsoft_AAD_Devices/DeletedDevices.reactview

Da questa sezione è possibile vedere l’elenco dei dispositivi eliminati e gestire il ripristino degli oggetti ancora recuperabili.

Qui inserirei gli screenshot del portale, ad esempio:

  • accesso alla sezione Deleted devices

  • elenco dei dispositivi eliminati

  • selezione del dispositivo

  • azione di restore

  • verifica del device ripristinato

Il vantaggio principale, rispetto al passato, è avere un punto centralizzato da cui controllare i dispositivi eliminati e intervenire prima che vengano rimossi definitivamente.

Ripristino tramite PowerShell

La stessa attività può essere eseguita anche tramite PowerShell, utilizzando Microsoft Graph PowerShell.

Essendo la funzionalità ancora in preview, è necessario utilizzare i comandi beta del modulo Microsoft Graph.

Questa modalità è utile soprattutto quando dobbiamo fare controlli massivi, esportare l’elenco dei dispositivi eliminati o integrare il recupero in una procedura operativa.

Per prima cosa ci colleghiamo a Microsoft Graph con lo scope necessario:

Connect-MgGraph -Scopes "Device.ReadWrite.All"

Per visualizzare i dispositivi eliminati:

Get-MgBetaDirectoryDeletedItemAsDevice -All | Select-Object Id, DisplayName, DeletedDateTime

Una volta individuato il dispositivo da recuperare, possiamo ripristinarlo usando il relativo Object ID:

Restore-MgBetaDirectoryDeletedItem -DirectoryObjectId <objectId>

In questo modo abbiamo due possibilità allo stesso livello:

  • portale Microsoft Entra, per una gestione più immediata e visuale

  • PowerShell, per scenari più tecnici, ripetitivi o di automazione

Cosa controllare dopo il ripristino

Dopo aver ripristinato un device, non mi limiterei a verificare che l’oggetto sia tornato visibile.

È meglio controllare anche:

  • presenza del device in Microsoft Entra ID

  • presenza del device in Microsoft Intune

  • ultimo check-in

  • stato di compliance

  • eventuali policy assegnate

  • BitLocker recovery keys

  • Windows LAPS

  • eventuali blocchi di Conditional Access

Questo perché il ripristino dell’oggetto non significa sempre che tutto torni immediatamente operativo.

Ad esempio, lo stato di compliance potrebbe richiedere un nuovo check-in del dispositivo.

Considerazioni finali

Device Soft Delete è una funzionalità semplice, ma molto utile.

Non sostituisce una corretta gestione del ciclo di vita dei dispositivi, ma aggiunge una protezione importante in caso di errore.

La vedo particolarmente utile in ambienti dove Microsoft Entra ID, Intune e Conditional Access sono già centrali nella gestione endpoint.

Prima di eliminare device in modo massivo, resta comunque fondamentale esportare e verificare bene l’elenco dei dispositivi coinvolti.

Il soft delete aiuta, ma non deve diventare una scusa per fare cleanup senza controlli.

In ogni caso, avere finalmente una finestra di recupero anche per i dispositivi è un miglioramento importante e sicuramente utile nella gestione quotidiana dei device.