Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se describe la característica para evitar eliminaciones accidentales (evitar eliminaciones accidentales) en Microsoft Entra Connect.
Al instalar Microsoft Entra Connect, la característica para evitar eliminaciones accidentales está habilitada de forma predeterminada y está configurada para no permitir una exportación con más de 500 eliminaciones. Esta característica está diseñada para protegerlo de cambios de configuración accidentales y cambios en el directorio local que afectarían a muchos usuarios y otros objetos.
¿Qué impide las eliminaciones accidentales?
Entre los escenarios comunes que implican muchas eliminaciones de objetos se incluyen:
Cambios en el filtrado donde se anula la selección de una unidad organizativa o un dominio completos.
Todos los objetos de una unidad organizativa se mueven o eliminan.
Se cambia el nombre de una unidad organizativa y, como resultado, todos sus objetos secundarios quedan fuera del ámbito de sincronización.
El valor predeterminado de 500 objetos se puede cambiar con PowerShell mediante Enable-ADSyncExportDeletionThreshold, que forma parte del módulo de sincronización de AD instalado con Microsoft Entra Connect. Debe configurar este valor para que se ajuste al tamaño de su organización.
Notificaciones para evitar eliminaciones accidentales
Si hay demasiadas eliminaciones pendientes de exportarse a Microsoft Entra ID, la exportación se detiene antes de eliminar cualquier objeto, y usted recibe un correo electrónico similar al siguiente:
| De: | Seguridad de Microsoft MSSecurity-noreply@microsoft.com |
|---|---|
| Título: | La exportación a Microsoft Entra ID ha sido detenida. Se alcanzó el umbral de eliminación accidental. |
| Descripción: | No se pudo realizar la operación de exportación a Microsoft Entra ID. El número de objetos para eliminar superaba el umbral configurado. Como resultado, no se exportó ningún objeto. |
| Generado: | 24 de enero de 2025 00:00 UTC |
| Servidor: | <nombre del servidor> |
| Servicio: | fabrikamonline.onmicrosoft.com |
| Arrendatario: | FabrikamOnline.com |
En el portal de Microsoft Entra Connect Health , vaya a Servicios de sincronización, seleccione el inquilino y, después, seleccione el servidor activo entra Connect y seleccione Alertas para ver la lista de eventos en los que se notifica el umbral de eliminación accidental.
En los registros del visor de eventos de la aplicación puede ver un identificador de evento de advertencia 116 como el ejemplo siguiente:
Log Name: Application
Source: Directory Synchronization
Date: <Date/Time>
Event ID: 116
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: <server name>
Description: Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.
Determinar qué objetos están pendientes de eliminación
Es posible ver el estado del perfil en ejecución stopped-deletion-threshold-exceeded al observar la interfaz de usuario Synchronization Service Manager para el paso de exportación.
Para ver qué objetos están a punto de eliminarse, siga estos pasos:
Inicie el Servicio de sincronización desde el menú Inicio.
Vaya a Conectores.
Seleccione el tipo conector de Windows Azure Active Directory.
A la derecha, en Acciones, seleccione Espacio del conector de búsqueda.
En el cuadro desplegable en Ámbito, seleccione Exportar pendiente y habilite la casilla Eliminar.
Seleccione Buscar para ver una lista de todos los objetos a punto de eliminarse. Al abrir cada elemento, puede obtener información adicional sobre el objeto . También puede seleccionar Configuración de columna para agregar más atributos para que sean visibles en la cuadrícula, por ejemplo, onPremisesDistinguishedName.
Si las eliminaciones son inesperadas
Si no está seguro de que se desean todos los borrados y desea seguir un camino más seguro, puede usar un método más detallado para verificar todos los objetos pendientes de eliminación de una hoja de cálculo.
Las eliminaciones inesperadas suelen deberse a cambios en la estructura de la unidad organizativa o el filtrado de ámbito dominio/unidad organizativa, por lo que debe asegurarse de que los objetos pendientes de eliminación están en el ámbito de sincronización. Por ejemplo, renombrar una unidad organizativa en Active Directory puede provocar eliminaciones masivas inesperadas en Microsoft Entra ID si no vuelve a seleccionar la unidad organizativa en el Asistente de Microsoft Entra Connect. Si usa filtros de ámbito de atributos, ajuste las reglas de sincronización necesarias en el Editor de reglas de sincronización para asegurarse de que los objetos vuelven a estar en el ámbito de sincronización.
Importante
Los cambios de filtro de ámbito de dominio/unidad organizativa y regla de sincronización no surten efecto hasta que se ejecuta un ciclo de sincronización completo: Start-ADSyncSyncCycle -PolicyType Initial.
Si se desean todas las eliminaciones
Si se supone que todos los objetos que están pendientes de eliminación se eliminan en Microsoft Entra ID, use las credenciales de Administrador Global de Entra o de Administrador de Identidades Híbridas de Entra y siga estos pasos:
Advertencia
Esta acción puede dar lugar a la eliminación permanente de objetos en microsoft Entra ID.
Para deshabilitar temporalmente esta protección y permitir que todas las eliminaciones pasen, ejecute el cmdlet de PowerShell:
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".Con el Conector de Microsoft Entra aún seleccionado, seleccione la acción Ejecutar y Exportar.
Para protegerse frente a eliminaciones inesperadas en el futuro, asegúrese de que la característica de umbral de eliminación no esté deshabilitada permanentemente. Para volver a habilitar la protección con el valor predeterminado, ejecute:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>".
Si un mayor número de eliminaciones esperadas son frecuentes en su organización, es aconsejable aumentar el umbral de eliminación en lugar de deshabilitar esta protección, ya que esto podría permitir eliminaciones no deseadas que provocan la pérdida de datos críticos y la interrupción de los servicios. Evalúe el número deseado específico de eliminaciones y use el siguiente cmdlet de PowerShell para establecer un nuevo límite, por ejemplo, para establecer un umbral de eliminación de 1000, use: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>".
Para confirmar el umbral de eliminación actual, ejecute: Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".
Pasos siguientes
Temas de introducción