Aktivieren des Features zum Verhindern versehentlicher Löschungen im Microsoft Entra-Bereitstellungsdienst
Der Microsoft Entra-Bereitstellungsdienst enthält ein Feature, mit dem versehentliche Löschungen vermieden werden können. Diese Funktion stellt sicher, dass Benutzer nicht unerwartet in einer Anwendung deaktiviert oder gelöscht werden.
Der Microsoft Entra-Bereitstellungsdienst enthält ein Feature, mit dem versehentliche Löschungen vermieden werden können. Diese Funktion stellt sicher, dass Benutzer nicht unerwartet im Zielmandanten deaktiviert oder gelöscht werden.
Sie verwenden versehentliche Löschungen, um einen Schwellenwert für Löschungen anzugeben. Für alle, die über dem von Ihnen festgelegten Schwellenwert liegen, muss ein Administrator die Verarbeitung der Löschungen explizit zulassen.
Konfigurieren des Features zum Verhindern von versehentlichen Löschungen
So aktivieren Sie das Feature zum Verhindern von versehentlichen Löschungen:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
- Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
- Wählen Sie Ihre Anwendung aus.
- Klicken Sie auf Bereitstellung durchgeführt, und wählen Sie auf der Bereitstellungsseite Edit provisioning (Bereitstellung bearbeiten) aus.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
- Wechseln Sie zu Identität>Externe Identitäten>Mandantenübergreifende Synchronisierung>Konfigurationen, und wählen Sie dann Ihre Konfiguration aus.
- Wählen Sie Bereitstellung aus.
- Aktivieren Sie unter Einstellungen das Kontrollkästchen Versehentliches Löschen verhindern, und geben Sie einen Löschschwellenwert an.
- Stellen Sie sicher, dass die Benachrichtigungs-E-Mail-Adresse vollständig ist. Wenn der Schwellenwert für Löschungen erreicht ist, wird eine E-Mail gesendet.
- Klicken Sie zum Speichern der Änderungen auf Speichern.
Wenn der Schwellenwert für Löschungen erreicht ist, wird der Auftrag unter Quarantäne gestellt, und eine Benachrichtigungs-E-Mail wird gesendet. Der unter Quarantäne gestellte Auftrag kann dann zugelassen oder abgelehnt werden. Weitere Informationen zum Quarantäneverhalten finden Sie unter Anwendungsbereitstellung im Quarantänestatus.
Wiederherstellung nach einer versehentlichen Löschung
Wenn eine versehentliche Löschung auftritt, wird diese auf der Seite mit dem Bereitstellungsstatus angezeigt. Er lautet Provisioning has been quarantined. See quarantine details for more information
.
Sie können entweder auf Allow deletes (Löschungen zulassen) oder Bereitstellungsprotokolle anzeigen klicken.
Zulassen von Löschungen
Mit der Aktion Löschvorgänge zulassen werden die Objekte gelöscht, die dazu geführt haben, dass der Schwellenwert für versehentliches Löschen erreicht wurde. Verwenden Sie das Verfahren, um die Löschungen zu akzeptieren.
- Klicken Sie auf Löschungen zulassen.
- Klicken Sie in der Bestätigungsmeldung auf Ja, um die Löschvorgänge zuzulassen.
- Zeigen Sie die Bestätigung an, dass die Löschungen akzeptiert wurden. Als Status wird wieder „Fehlerfrei“ angezeigt.
Ablehnen von Löschvorgängen
Untersuchen Sie Löschungen und lehnen Sie sie nach Bedarf ab:
- Informieren Sie sich über die Quelle der Löschvorgänge. Ausführliche Details finden Sie in den Bereitstellungsprotokollen.
- Verhindern Sie Löschungen, indem Sie der App die Benutzer/die Gruppe erneut zuweisen, die Benutzer/die Gruppe wiederherstellen oder Ihre Bereitstellungskonfiguration aktualisieren.
- Nachdem Sie die erforderlichen Änderungen vorgenommen haben, um zu verhindern, dass die Benutzer*innen oder die Gruppe gelöscht werden, starten Sie die Bereitstellung neu. Starten Sie die Bereitstellung erst neu, wenn Sie die erforderlichen Änderungen vorgenommen haben, um zu verhindern, dass die Benutzer/die Gruppen gelöscht werden.
Testen der Verhinderung von Löschungen
Sie können das Feature testen, indem Sie Deaktivierungs-/Löschungsereignisse auslösen. Legen Sie den Schwellenwert dazu auf eine niedrige Zahl fest, z. B. 3, und ändern Sie dann Bereichsfilter, heben Sie die Zuweisung von Benutzern auf, und löschen Sie Benutzer aus dem Verzeichnis (siehe häufige Szenarios im nächsten Abschnitt).
Lassen Sie den Bereitstellungsauftrag zu Ende laufen (20–40 Minuten), und navigieren Sie zurück zur Bereitstellungsseite. Überprüfen Sie den unter Quarantäne gestellten Bereitstellungsauftrag und lassen Sie die Löschungen zu oder überprüfen Sie die Bereitstellungsprotokolle, um zu verstehen, warum die Löschungen aufgetreten sind.
Häufige zu testende Szenarios für die Bereitstellungsaufhebung
- Löschen Sie Benutzer*innen, oder legen Sie sie in den Papierkorb.
- Blockieren Sie die Anmeldung für Benutzer*innen.
- Heben Sie die Zuweisung von Benutzern oder Gruppen zu der Anwendung (oder der Konfiguration) auf.
- Entfernen Sie Benutzer aus einer Gruppe, die ihnen Zugriff auf die Anwendung (oder die Konfiguration) ermöglicht.
Weitere Informationen zu Bereitstellungsaufhebungsszenarios finden Sie unter Funktionsweise der Anwendungsbereitstellung.
Häufig gestellte Fragen
Welche Szenarios werden auf den Löschschwellenwert angerechnet?
Wenn die Entfernung eines Benutzer aus der Zielanwendung (oder dem Zielmandanten) vorgesehen ist, wird er auf den Schwellenwert für Löschungen angerechnet. Folgende Szenarios können dazu führen, dass Benutzer aus der Zielanwendung (oder dem Zielmandanten) entfernt werden: Aufhebung der Zuweisung von Benutzern aus der Anwendung (oder der Konfiguration) sowie vorläufiges/endgültiges Löschen von Benutzern aus dem Verzeichnis. Gruppen, für die eine Löschung ausgewertet wird, werden auf den Löschschwellenwert angerechnet. Neben Löschungen funktioniert diese Funktionalität auch für Deaktivierungen.
In welchem Intervall wird der Löschschwellenwert ausgewertet?
Es wird jeder Zyklus ausgewertet. Wenn die Anzahl der Löschungen den Schwellenwert während eines einzelnen Zyklus nicht überschreitet, wird der „Trennschalter“ nicht ausgelöst. Wenn mehrere Zyklen für einen stabilen Zustand erforderlich sind, wird der Schwellenwert für Löschungen pro Zyklus ausgewertet.
Wie werden diese Löschereignisse protokolliert?
Sie können Benutzer*innen suchen, für die eine Deaktivierung/Löschung hätte durchgeführt werden sollen, die jedoch aufgrund des Löschschwellenwerts nicht erfolgt ist. Navigieren Sie zu Bereitstellungsprotokolle, und filtern Sie Aktion nach StagedAction oder StagedDelete.