Habilitación de la prevención de eliminaciones accidentales en el servicio de aprovisionamiento de Microsoft Entra
El servicio de aprovisionamiento de Microsoft Entra incluye una característica que ayuda a evitar eliminaciones accidentales. Esta característica garantiza que los usuarios no se deshabilitan ni eliminan de forma inesperada en una aplicación.
El servicio de aprovisionamiento de Microsoft Entra incluye una característica que ayuda a evitar eliminaciones accidentales. Esta característica garantiza que los usuarios no se deshabilitan ni eliminan de forma inesperada en el inquilino de destino.
Las eliminaciones accidentales se usan para especificar un umbral de eliminación. Cualquier cosa por encima del umbral establecido requiere que un administrador permita explícitamente el procesamiento de las eliminaciones.
Configuración de la prevención contra eliminaciones accidentales
Para habilitar la prevención de eliminaciones accidentales:
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
- Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
- Seleccione la aplicación.
- Seleccione Aprovisionamiento y, en la página de aprovisionamiento, seleccione Edit provisioning (Editar aprovisionamiento).
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
- Vaya a Identidad>External Identities>Sincronización entre inquilinos>Configuraciones y, a continuación, seleccione su configuración.
- Seleccione Aprovisionamiento.
- En Configuración, seleccione la casilla Prevent accidental deletions (Evitar eliminaciones accidentales) y especifique un umbral de eliminación.
- Asegúrese de que se haya completado la dirección de correo electrónico de notificación. Si se alcanza el umbral de eliminación, se envía un correo electrónico.
- Seleccione Guardar para guardar los cambios.
Cuando se alcanza el umbral de eliminación, el trabajo entra en cuarentena y se envía un correo electrónico de notificación. A continuación, el trabajo en cuarentena puede permitirse o rechazarse. Para obtener más información sobre el comportamiento de la cuarentena, consulte Aprovisionamiento de aplicaciones en el estado de cuarentena.
Recuperación de una eliminación accidental
Si se produce una eliminación accidental, la ves en la página de estado de aprovisionamiento. Dice Provisioning has been quarantined. See quarantine details for more information.
Puede hacer clic en Allow deletes (Permitir eliminaciones) o en View provisioning logs (Ver registros de aprovisionamiento).
Permitir las eliminaciones
La acción Permitir eliminaciones eliminará los objetos que desencadenaron el umbral de eliminaciones accidentales. Usa el procedimiento para aceptar las eliminaciones.
- Seleccione Allow deletes (Permitir eliminaciones).
- Haga clic en Sí en la confirmación para permitir la eliminación.
- Consulta la confirmación de que se aceptaron las eliminaciones. El estado vuelve a correcto con el siguiente ciclo.
Rechazar eliminaciones
Investiga y rechaza eliminaciones según sea necesario:
- Investigue el origen de las eliminaciones. Puede usar los registros de aprovisionamiento para obtener más detalles.
- Para evitar la eliminación, puede volver a asignar el usuario o el grupo a la aplicación (o configuración), restaurar el usuario o el grupo, o bien actualizar la configuración de aprovisionamiento.
- Una vez que haya realizado los cambios necesarios para evitar la eliminación del usuario o el grupo, reinicie el aprovisionamiento. No reinicie el aprovisionamiento hasta que no haya realizado los cambios necesarios para evitar que se eliminen los usuarios o los grupos.
Probar la prevención de eliminaciones
Para probar esta característica, desencadena eventos de deshabilitación o eliminación; para ello, establece el umbral en un número bajo (por ejemplo 3) y cambia los filtros de ámbito, desasigna los usuarios y elimina usuarios del directorio (consulta los escenarios comunes en la sección siguiente).
Deje que el trabajo de aprovisionamiento se ejecute (de 20 a 40 minutos) y vuelva a la página de aprovisionamiento. Comprueba el trabajo de aprovisionamiento en cuarentena y elige permitir las eliminaciones o revisa los registros de aprovisionamiento para comprender por qué ocurrieron las eliminaciones.
Escenarios de desaprovisionamiento comunes para probar
- Elimine un usuario o colóquelo en la papelera de reciclaje.
- Bloquee el inicio de sesión de un usuario.
- Anule la asignación de un usuario o grupo de la aplicación (o configuración).
- Elimine un usuario de un grupo que le proporciona acceso a la aplicación (o configuración).
Para obtener más información sobre los escenarios de desaprovisionamiento, consulte Funcionamiento del aprovisionamiento de aplicaciones.
Preguntas más frecuentes
¿Qué escenarios cuentan para el umbral de eliminación?
Cuando se establece la eliminación de un usuario de la aplicación de destino (o inquilino de destino), se cuenta en el umbral de eliminación. Entre los escenarios que pueden dar lugar a la eliminación de un usuario de la aplicación de destino (o del inquilino de destino) se incluyen los siguientes: la desasignación del usuario de la aplicación (o configuración) y la eliminación temporal o permanente de un usuario del directorio. Los grupos evaluados para su eliminación se cuentan respecto al umbral de eliminación. Además de las eliminaciones, la misma funcionalidad se aplica también a las deshabilitaciones.
¿A qué intervalos se evalúa el umbral de eliminación?
Se evalúa en cada ciclo. Si el número de eliminaciones no supera el umbral durante un solo ciclo, el "disyuntor" no se activa. Si se necesitan varios ciclos para alcanzar un estado estable, el umbral de eliminación se evalúa por ciclo.
¿Cómo se registran estos eventos de eliminación?
Puede que haya usuarios que deban deshabilitarse o eliminarse, pero que no se haya hecho debido al umbral de eliminación. Navegue a Registros de aprovisionamiento y, a continuación, filtre Acción por StagedAction o StagedDelete.