Microsoft Entra Koneksi Sync: Mencegah penghapusan yang tidak disengaja

Topik ini menjelaskan fitur cegah penghapusan yang tidak disengaja (mencegah penghapusan yang tidak disengaja) di Microsoft Entra Koneksi.

Saat menginstal Microsoft Entra Connect, cegah penghapus yang tidak sengaja aktif secara default lalu konfigurasi jangan izinkan ekspor dengan lebih dari 500 penghapusan. Fitur ini dirancang untuk melindungi Anda dari perubahan konfigurasi yang tidak disengaja dan perubahan pada direktori lokal Anda yang akan memengaruhi banyak pengguna dan objek lainnya.

Apa itu cegah penghapusan yang tidak disengaja

Skenario umum yang melibatkan banyak penghapusan mencakup:

• Perubahan pada pemfilteran di mana seluruh OU atau domain tidak dipilih.
• Semua objek dalam OU dihapus.
• OU diganti namanya sehingga semua objek di dalamnya dianggap berada di luar lingkup untuk sinkronisasi.

Nilai default 500 objek dapat diubah dengan PowerShell menggunakan Enable-ADSyncExportDeletionThreshold, yang merupakan bagian dari modul Sinkronisasi AD yang diinstal dengan Microsoft Entra Koneksi. Anda harus mengonfigurasi nilai ini agar sesuai dengan ukuran organisasi Anda. Karena penjadwal sinkronisasi berjalan setiap 30 menit, nilainya adalah jumlah penghapusan yang terlihat dalam 30 menit.

Jika ada terlalu banyak penghapusan yang dipentaskan untuk diekspor ke ID Microsoft Entra, maka ekspor berhenti dan Anda menerima email seperti ini:

Halo (kontak teknis). Pada (waktu) layanan sinkronisasi Identitas mendeteksi bahwa jumlah penghapusan melebihi ambang penghapusan yang dikonfigurasi untuk (nama organisasi). Total (jumlah) objek dikirim untuk dihapus dalam sinkronisasi Identitas ini. Ini memenuhi atau melampaui nilai ambang penghapusan yang dikonfigurasi dari (jumlah) objek. Kami membutuhkan Anda untuk memberikan konfirmasi bahwa penghapusan ini harus diproses sebelum kami melanjutkan. Silakan lihat penghapusan yang tidak disengaja untuk informasi lebih lanjut tentang kesalahan yang tercantum dalam pesan email ini.

Anda juga dapat melihat status stopped-deletion-threshold-exceeded saat Anda melihat di UI Synchronization Service Manager untuk profil Ekspor.

Jika ini tidak terduga, maka selidiki dan lakukan tindakan korektif. Untuk melihat objek mana yang akan dihapus, lakukan hal berikut:

1. Mulai Layanan Sinkronisasi dari menu Mulai.
2. Buka Konektor.
3. Pilih Koneksi or dengan jenis ID Microsoft Entra.
4. Pada Tindakan di sebelah kanan, pilih Cari Ruang Konektor.
5. Di pop-up pada Lingkup, pilih Putuskan Sambungan Sejak dan pilih waktu di masa lalu. Klik Cari. Halaman ini menyediakan tampilan semua objek yang akan dihapus. Dengan mengklik setiap item, Anda bisa mendapatkan informasi tambahan tentang objek tersebut. Anda juga bisa mengklik Pengaturan Kolom untuk menambahkan atribut tambahan agar terlihat di grid.

Jika Anda tidak yakin apakah semua penghapusan diinginkan, dan ingin melalui rute yang lebih aman. Anda dapat menggunakan cmdlet PowerShell: Enable-ADSyncExportDeletionThreshold untuk mengatur ambang baru daripada menonaktifkan ambang yang dapat menimbulkan penghapusan yang tidak diinginkan.

Jika semua penghapusan diinginkan

Jika semua penghapusan diinginkan, lakukan hal berikut:

1. Untuk mengambil ambang batas penghapusan saat ini, jalankan cmdlet PowerShell Get-ADSyncExportDeletionThreshold. Nilai default adalah 500.
2. Untuk menonaktifkan sementara proteksi ini dan membiarkan penghapusan tersebut diteruskan, jalankan cmdlet PowerShell: Disable-ADSyncExportDeletionThreshold.
3. Dengan Koneksi Microsoft Entra masih dipilih, pilih tindakan Jalankan dan pilih Ekspor.
4. Untuk mengaktifkan kembali perlindungan, jalankan cmdlet PowerShell: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 . Ganti 500 dengan nilai yang Anda perhatikan saat mengambil ambang batas penghapusan saat ini.

Langkah berikutnya

Topik ringkasan

• Microsoft Entra Koneksi Sync: Memahami dan menyesuaikan sinkronisasi
• Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra