Microsoft Entra Connect Sync : empêcher les suppressions accidentelles

  • Article

Cette rubrique décrit la fonctionnalité de prévention des suppressions accidentelles dans Microsoft Entra Connect.

Lors de l’installation de Microsoft Entra Connect, la fonctionnalité de prévention des suppressions accidentelles est activée par défaut et configurée de manière à ne pas autoriser toute exportation comprenant plus de 500 suppressions. Cette fonctionnalité est conçue pour vous protéger contre les modifications accidentelles de la configuration et contre les modifications apportées à votre répertoire local qui auraient une incidence sur de nombreux utilisateurs et d’autres objets.

Présentation de la prévention des suppressions accidentelles

Les scénarios courants impliquant de nombreuses suppressions sont les suivants :

  • Modifications apportées au filtrage lorsque l’intégralité d’une unité organisationnelle ou d’un domaine est désélectionnée.
  • Tous les objets d’une unité d'organisation sont supprimés.
  • Une unité d'organisation est renommée et tous les objets qu'elle contient sont considérés comme hors de portée pour la synchronisation.

Vous pouvez modifier la valeur par défaut de 500 objets avec PowerShell en utilisant Enable-ADSyncExportDeletionThreshold, qui fait partie du module AD Sync installé avec Microsoft Entra Connect. Vous devez configurer cette valeur de manière à l’ajuster à la taille de votre organisation. Étant donné que le Planificateur de synchronisation est exécuté toutes les 30 minutes, la valeur est le nombre de suppressions détectées dans les 30 minutes.

Si le nombre de suppressions à exporter vers Microsoft Entra ID est trop important, l’exportation s’arrête et vous recevez un e-mail similaire à celui-ci :

Prevent Accidental deletes email

Bonjour (contact technique). Au (moment) où le service de synchronisation d’identité a détecté que le nombre de suppressions avait dépassé le seuil de suppression configuré pour (nom de l’organisation). En tout, (nombre) objets ont été envoyés pour suppression au cours de ce cycle de synchronisation des identités. La valeur configurée de (nombre) objets pour le seuil de suppression a été atteinte ou dépassée. Avant que nous puissions continuer, vous devez confirmer que ces suppressions doivent être traitées. Consultez la rubrique Éviter les suppressions accidentelles pour plus d’informations concernant l’erreur indiquée dans ce message électronique.

Vous pouvez également consulter l’état stopped-deletion-threshold-exceeded lorsque vous recherchez le profil d’exportation dans l’interface utilisateur Synchronization Service Manager . Prevent Accidental deletes Sync Service Manager UI

Si l'événement n'était pas prévu, examinez la situation et corrigez-la si nécessaire. Pour voir les objets devant être supprimés, procédez comme suit :

  1. Démarrez le Service de synchronisation depuis le menu Démarrer.
  2. Accédez à Connecteurs.
  3. Sélectionnez le connecteur de type Microsoft Entra ID.
  4. Sous Actions, à droite, sélectionnez Espace de connecteur de recherche.
  5. Dans la fenêtre contextuelle, sous Étendue, sélectionnez Déconnecté depuis, puis choisissez une heure dans le passé. Cliquez sur Rechercher. Cette page affiche tous les objets sur le point d’être supprimés. En cliquant sur chaque élément, vous pouvez obtenir des informations supplémentaires sur l’objet. Vous pouvez également cliquer sur Paramètre de colonne pour ajouter des attributs supplémentaires dans la grille.

Search Connector Space

[!NOTE] Si vous ne savez pas si toutes les suppressions sont souhaitées et que vous voulez jouer la sécurité. vous pouvez utiliser l’applet de commande PowerShell Enable-ADSyncExportDeletionThreshold pour définir un nouveau seuil au lieu de désactiver le seuil qui pourrait permettre des suppressions indésirables.

Si toutes les suppressions sont souhaitées

Si vous souhaitez que tous les éléments soient supprimés, procédez comme suit :

  1. Pour récupérer le seuil de suppression actuel, exécutez l’applet de commande PowerShell Get-ADSyncExportDeletionThreshold. La valeur par défaut est 500.
  2. Pour désactiver temporairement cette protection et procéder à ces suppressions exécutez l’applet de commande PowerShell Disable-ADSyncExportDeletionThreshold.
  3. Tout en maintenant le connecteur Microsoft Entra sélectionné, sélectionnez l’action Exécuter, puis Exporter.
  4. Pour réactiver la protection, exécutez l’applet de commande PowerShell Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Remplacez 500 par la valeur que vous avez notée lors de la récupération du seuil de suppression actuel.

Étapes suivantes

Rubriques de présentation