Activer la prévention des suppressions accidentelles dans le service d’approvisionnement Microsoft Entra

2025-04-30

Le service d’approvisionnement Microsoft Entra inclut une fonctionnalité permettant d’éviter les suppressions accidentelles. Cette fonctionnalité garantit que les utilisateurs ne sont pas désactivés ni supprimés dans une application de manière inattendue.

Vous utilisez des suppressions accidentelles pour spécifier un seuil de suppressions. Pour tout ce qui se trouve au-dessus du seuil que vous avez défini, un administrateur doit autoriser explicitement le traitement des suppressions.

Configurer la prévention des suppressions accidentelles

Pour activer la prévention de la suppression accidentelle :

Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins.
Accédez aux Entra ID>applications d'entreprise.
Sélectionnez votre application.
Sélectionnez Provisionnement , puis, dans la page d’approvisionnement, sélectionnez Modifier l’approvisionnement.

Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins.
Accédez à Entra ID>External Identities>Synchronisation inter-locataires>Configurations, puis sélectionnez votre configuration.
Sélectionnez Provisionnement.

Sous Paramètres, activez la case à cocher Empêcher les suppressions accidentelles et spécifiez un seuil de suppression.
Assurez-vous que l’adresse e-mail de notification est complétée. Si le seuil de suppressions est atteint, un e-mail est envoyé.
Sélectionnez Enregistrer pour enregistrer les modifications.

Lorsque le seuil de suppressions est atteint, le travail est mis en quarantaine et un e-mail de notification est envoyé. Le travail mis en quarantaine peut ensuite être autorisé ou rejeté. Pour en savoir plus sur le comportement de mise en quarantaine, consultez l’approvisionnement d’applications dans l’état de quarantaine.

Récupération d’une suppression accidentelle

Lorsque vous rencontrez une suppression accidentelle, elle est visible dans la page d’état du provisionnement. Elle indique Provisioning has been quarantined. See quarantine details for more information.

Vous pouvez sélectionner Autoriser les suppressions ou afficher les journaux d’approvisionnement.

Autorisation des suppressions

L’action Autoriser les suppressions supprime les objets qui ont déclenché le seuil de suppression accidentelle. Utilisez cette procédure pour accepter les suppressions.

Sélectionnez Autoriser les suppressions.
Cliquez sur Oui pour autoriser les suppressions.
Un message confirmant que les suppressions ont été acceptées s’affiche alors. L’état repasse à sain au cycle suivant.

Refus des suppressions

Examinez et rejetez des suppressions si nécessaire :

Déterminez la source des suppressions. Vous pouvez utiliser les journaux d’approvisionnement pour plus d’informations.
Empêchez la suppression en réaffectant l’utilisateur ou le groupe à l’application (ou la configuration), en restaurant l’utilisateur ou le groupe, ou en mettant à jour votre configuration de provisionnement.
Une fois que vous avez apporté les modifications nécessaires pour empêcher la suppression de l’utilisateur ou du groupe, redémarrez l’approvisionnement. Ne redémarrez pas le provisionnement tant que vous n’avez pas apporté les modifications nécessaires pour empêcher la suppression des utilisateurs ou des groupes.

Tester la prévention des suppressions

Pour tester la fonctionnalité, vous pouvez déclencher des événements de désactivation/suppression en définissant un seuil bas, par exemple 3, puis en modifiant les filtres d’étendue, en annulant l’affectation d’utilisateurs et en supprimant des utilisateurs de l’annuaire (voir les scénarios courants dans la section suivante).

Laissez le travail d’approvisionnement s’exécuter (20 à 40 minutes), puis revenez à la page d’approvisionnement. Vérifiez le travail de provisionnement en quarantaine et choisissez d’autoriser les suppressions ou d’examiner les journaux de provisionnement pour comprendre pourquoi les suppressions se sont produites.

Scénarios courants de désapprovisionnement à tester

Supprimer un utilisateur ou le placer dans la corbeille.
Bloquer la connexion d’un utilisateur.
Désattribuer un utilisateur ou un groupe de l’application (ou de la configuration).
Supprimer un utilisateur d’un groupe qui lui donne accès à l’application (ou la configuration).

Pour en savoir plus sur les scénarios de déprovisionnement, consultez Fonctionnement du provisionnement d’applications.

Forum Aux Questions

Quels scénarios comptent dans le seuil de suppression ?

Quand un utilisateur est configuré pour être supprimé de l’application cible (ou du locataire cible), il est comptabilisé dans le seuil de suppressions. Voici des scénarios susceptibles d’entraîner la suppression d’un utilisateur de l’application cible (ou du locataire cible) : désattribuer l’utilisateur de l’application (ou de la configuration) et suppression réversible ou définitive d’un utilisateur dans l’annuaire. Groupes évalués pour le décompte des suppressions par rapport au seuil de suppression. Outre les suppressions, la même fonctionnalité opère également pour les désactivations.

Quel est l’intervalle d’évaluation du seuil de suppression ?

Il est évalué à chaque cycle. Si le nombre de suppressions ne dépasse pas le seuil pendant la durée d’un cycle unique, le « disjoncteur » n’est pas déclenché. Si plusieurs cycles sont nécessaires pour atteindre un état stable, le seuil de suppressions est évalué par cycle.

Comment ces événements de suppression sont-ils journalisés ?

Vous pouvez trouver des utilisateurs qui devraient être désactivés ou supprimés, mais qui ne le sont pas en raison du seuil de suppression. Navigation vers les journaux d’approvisionnement, puis filtrez l’action avec StagedAction ou StagedDelete. Les journaux d’audit contiendront également des enregistrements indiquant que le travail d’approvisionnement est en quarantaine en raison du seuil de suppressions accidentelles.