Servizio di sincronizzazione Azure AD Connect: Impedire eliminazioni accidentali

  • Articolo
  • 2 minuti per la lettura

Questo argomento descrive la funzionalità per impedire le eliminazioni accidentali in Azure AD Connect.

Quando si installa Azure AD Connect, la funzionalità per impedire le eliminazioni accidentali viene abilitata per impostazione predefinita e configurata in modo da non consentire un'esportazione con più di 500 eliminazioni. Questa funzionalità è progettata per la protezione da modifiche accidentali della configurazione e della directory locale che possono interessare un numero elevato di utenti e altri oggetti.

Informazioni sulla prevenzione di eliminazioni accidentali

Esistono alcuni scenari comuni che prevedono molte eliminazioni, tra cui:

  • Modifiche al filtro in cui viene deselezionata un'intera unità organizzativa o un dominio .
  • Vengono eliminati tutti gli oggetti in un'unità organizzativa.
  • Un'unità organizzativa viene rinominata in modo che tutti gli oggetti in essa contenuti vengano considerati al di fuori dell'ambito di sincronizzazione.

Il valore predefinito, pari a 500 oggetti, può essere modificato tramite PowerShell con il comando Enable-ADSyncExportDeletionThreshold, che fa parte del modulo AD Sync installato con Azure Active Directory Connect. È consigliabile configurare questo valore in base alle dimensioni dell'organizzazione. Poiché l'utilità di pianificazione della sincronizzazione viene eseguita ogni 30 minuti, il valore è il numero di eliminazioni visualizzate in 30 minuti.

Se il numero di eliminazioni da esportare in Azure AD è troppo elevato, l'esportazione verrà arrestata e si riceverà un messaggio di posta elettronica simile al seguente:

Messaggio di posta elettronica per evitare eliminazioni accidentali

Gentile (contatto tecnico), Sincronizzazione delle identità: il giorno (data) è stato rilevato che il numero di eliminazioni ha superato la soglia di eliminazione per (nome dell'organizzazione). È stato inviato un totale di (numero) oggetti per l'eliminazione in questa esecuzione di sincronizzazione delle identità. È stato quindi raggiunto o superato il valore della soglia di eliminazione configurato di (numero) oggetti. Prima di continuare, è necessario confermare di voler procedere con l'elaborazione di queste eliminazioni. Per altre informazioni sull'errore indicato in questo messaggio di posta elettronica, vedere l'articolo che illustra come evitare eliminazioni accidentali.

È anche possibile visualizzare lo stato stopped-deletion-threshold-exceeded nell'interfaccia utente di Synchronization Service Manager per il profilo di esportazione. Impedisci eliminazioni accidentali Sincronizzazione Service Manager'interfaccia utente

Se si tratta di un messaggio inatteso, ricercare la causa e intraprendere eventuali azioni correttive. Per visualizzare gli oggetti che devono essere eliminati, procedere come segue:

  1. Avviare Servizio di sincronizzazione dal Menu start.
  2. Passare alla pagina Connettori.
  3. Selezionare il connettore con il tipo Azure Active Directory.
  4. In Azioni a destra selezionare Spazio connettore di ricerca.
  5. Nella finestra popup in Ambito selezionare Disconnesso da e selezionare un'ora nel passato. Fare clic su Cerca. Questa pagina offre la visualizzazione di tutti gli oggetti che verranno eliminati. Facendo clic su ogni elemento è possibile ottenere altre informazioni sull'oggetto. È anche possibile fare clic su Column Settings (Impostazioni colonna) per aggiungere altri attributi da visualizzare nella griglia.

Spazio connettore di ricerca

[! NOTA] Se non si è certi che tutte le eliminazioni siano desiderate e si desidera scendere in un percorso più sicuro. È possibile usare il cmdlet di PowerShell: Enable-ADSyncExportDeletionThreshold per impostare una nuova soglia anziché disabilitare la soglia che potrebbe consentire eliminazioni indesiderate.

Se sono desiderate tutte le eliminazioni

Se si desidera tutte le eliminazioni, eseguire le operazioni seguenti:

  1. Per recuperare la soglia di eliminazione corrente, eseguire il cmdlet di PowerShell Get-ADSyncExportDeletionThreshold. Il valore predefinito è 500.
  2. Per disabilitare temporaneamente la protezione e consentire l'esportazione di queste eliminazioni, eseguire il cmdlet PowerShell: Disable-ADSyncExportDeletionThreshold.
  3. Con il connettore Azure Active Directory ancora selezionato, selezionare l'azione Esegui e selezionare Esporta.
  4. Per riabilitare la protezione, eseguire il cmdlet PowerShell: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Sostituire 500 con il valore osservato quando si recupera la soglia di eliminazione corrente.

Passaggi successivi

Argomenti generali