Microsoft Entra Verbinding maken Sync: onbedoelde verwijderingen voorkomen

  • Artikel

In dit onderwerp wordt beschreven welke functie onbedoelde verwijderingen voorkomen (onbedoeld verwijderen voorkomen) in Microsoft Entra Verbinding maken.

Bij het installeren van Microsoft Entra Connect is Onopzettelijke verwijderingen voorkomen standaard ingeschakeld en zo geconfigureerd dat het exporteren van meer dan 500 verwijderingen niet is toegestaan. Deze functie is ontworpen om u te beschermen tegen onbedoelde configuratiewijzigingen en wijzigingen aan uw on-premises directory die invloed zouden hebben op veel gebruikers en andere objecten.

Wat is Onopzettelijke verwijderingen voorkomen

Veelvoorkomende scenario's met veel verwijderingen zijn onder andere:

  • Wijzigingen van filters waardoor de selectie van een hele organisatie-eenheid of een heel domein ongedaan wordt gemaakt.
  • alle objecten in een organisatie-eenheid worden verwijderd;
  • de naam van een organisatie-eenheid is gewijzigd, zodat alle objecten in die eenheid als buiten het synchronisatiebereik worden beschouwd.

De standaardwaarde van 500 objecten kan worden gewijzigd met PowerShell. Enable-ADSyncExportDeletionThresholdDit maakt deel uit van de AD Sync-module die is geĆÆnstalleerd met Microsoft Entra Verbinding maken. U moet deze waarde zo configureren dat deze past bij de grootte van uw organisatie. Omdat de synchronisatieplanning elke 30 minuten wordt uitgevoerd, is de waarde het aantal verwijderingen dat binnen 30 minuten wordt weergegeven.

Als er te veel verwijderingen zijn gefaseerd om te worden geƫxporteerd naar Microsoft Entra-id, stopt de export en ontvangt u een e-mailbericht als volgt:

Prevent Accidental deletes email

Hallo (technische contactpersoon). Om (tijd) heeft de Identiteitssynchronisatieservice gedetecteerd dat het aantal verwijderingen de geconfigureerde verwijderingsdrempelwaarde heeft overschreden voor (organisatienaam). Er zijn in deze uitvoering van Identiteitssynchronisatie een totaal van (aantal) objecten verzonden voor verwijdering. Dit was gelijk aan of hoger dan de geconfigureerde drempelwaarde voor verwijdering van (aantal) objecten. U moet bevestigen dat deze verwijderingen moeten worden verwerkt voordat we verder gaan. Zie het voorkomen van onopzettelijke verwijderingen voor meer informatie over de fout die in dit e-mailbericht wordt vermeld.

U kunt ook de status stopped-deletion-threshold-exceeded zien wanneer u in de gebruikersinterface van Synchronization Service Manager voor het exportprofiel kijkt. Prevent Accidental deletes Sync Service Manager UI

Als dit onverwacht was, moet u onderzoek doen en corrigerende acties uitvoeren. Ga als volgt te werk om te zien welke objecten op het punt staan te worden verwijderd:

  1. Start Synchronisatieservice vanuit het startmenu.
  2. Ga naar Connectors.
  3. Selecteer de Verbinding maken or met het type Microsoft Entra-id.
  4. Selecteer onder Acties aan de rechterkant Ruimte voor zoekconnector.
  5. Selecteer in het pop-upvenster onder Bereik de optie Verbinding verbroken sinds en kies een tijd in het verleden. Klik op Zoeken. Deze pagina bevat een weergave van alle objecten die binnenkort worden verwijderd. Door op elk item te klikken, ontvangt u aanvullende informatie over het object. U kunt ook op Kolominstelling klikken om extra kenmerken toe te voegen die zichtbaar zijn in het raster.

Search Connector Space

[!OPMERKING] Als u niet zeker weet of alle verwijderingen gewenst zijn en u een veiligere route wilt volgen. U kunt de PowerShell-cmdlet Enable-ADSyncExportDeletionThreshold gebruiken om een nieuwe drempelwaarde in te stellen in plaats van de drempelwaarde uit te schakelen die ongewenste verwijderingen mogelijk maakt.

Als alle verwijderingen gewenst zijn

Als alle verwijderingen gewenst zijn, gaat u als volgt te werk:

  1. Voer de PowerShell-cmdlet Get-ADSyncExportDeletionThreshold uit om de huidige drempelwaarde voor verwijdering op te halen. De standaardwaarde is 500.
  2. Als u deze beveiliging tijdelijk wilt uitschakelen en de verwijderingen wilt laten doorgaan, voert u deze PowerShell-cmdlet uit: Disable-ADSyncExportDeletionThreshold.
  3. Selecteer de actie Uitvoeren en exporteren terwijl de Microsoft Entra-Verbinding maken or nog steeds is geselecteerd.
  4. Als u de bescherming opnieuw wilt inschakelen, dan voert u deze PowerShell-cmdlet uit: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Vervang 500 door de waarde die u heeft gezien bij het ophalen van de huidige drempelwaarde voor verwijdering.

Volgende stappen

Overzichtsonderwerpen