Microsoft Entra Połączenie Sync: zapobieganie przypadkowym usunięciom

  • Artykuł

W tym temacie opisano funkcję zapobiegania przypadkowemu usuwaniu (zapobieganie przypadkowemu usunięciu) w usłudze Microsoft Entra Połączenie.

Podczas instalowania programu Microsoft Entra Connect domyślnie jest włączane ustawienie zapobiegania przypadkowemu usuwaniu. Jest ono konfigurowane tak, aby nie zezwalać na eksport z ponad 500 usunięciami. Ta funkcja została zaprojektowana po to, aby zapewnić ochronę przed przypadkowymi zmianami konfiguracji, a także zmianami w katalogu lokalnym, które miałyby wpływ na wielu użytkowników i inne obiekty.

Co zapobiega przypadkowemu usuwaniu

Typowe scenariusze dotyczące wielu usunięć:

  • Zmiany filtrowania, w których cała jednostka organizacyjna lub domena nie jest zaznaczona.
  • Wszystkie obiekty w jednostce organizacyjnej zostały usunięte.
  • Nazwa jednostki organizacyjnej została zmieniona, więc wszystkie obiekty w tej jednostce są uznawane za znajdujące się poza zakresem synchronizacji.

Wartość domyślna 500 obiektów można zmienić za pomocą programu PowerShell przy użyciu programu Enable-ADSyncExportDeletionThreshold, który jest częścią modułu ad Sync zainstalowanego w usłudze Microsoft Entra Połączenie. Tę wartość należy skonfigurować tak, aby odpowiadała rozmiarowi organizacji. Ponieważ harmonogram synchronizacji jest uruchamiany co 30 minut, wartość jest liczbą usuniętych widocznych w ciągu 30 minut.

Jeśli istnieje zbyt wiele operacji usuwania przygotowanych do wyeksportowania do identyfikatora Entra firmy Microsoft, eksport zostanie zatrzymany i otrzymasz wiadomość e-mail podobną do następującej:

Prevent Accidental deletes email

Witaj (kontakt techniczny). W (czasie) usługa synchronizacji tożsamości wykryła, że liczba usunięć przekroczyła skonfigurowany próg usuwania (nazwa organizacji). Całkowita liczba obiektów (liczba) została wysłana do usunięcia w tym przebiegu synchronizacji tożsamości. To ustawienie spełniło lub przekroczyło skonfigurowaną wartość progową usuwania obiektów (liczba). Przed kontynuowaniem musimy podać potwierdzenie, że te usunięcia powinny zostać przetworzone. Aby uzyskać więcej informacji na temat błędu wymienionego w tej wiadomości e-mail, zobacz zapobieganie przypadkowemu usunięciu.

Stan jest również widoczny stopped-deletion-threshold-exceeded podczas wyszukiwania w interfejsie użytkownika programu Synchronization Service Manager dla profilu eksportu. Prevent Accidental deletes Sync Service Manager UI

Jeśli było to nieoczekiwane, zbadaj i podejmij działania naprawcze. Aby sprawdzić, które obiekty mają zostać usunięte, wykonaj następujące czynności:

  1. Uruchom usługę synchronizacji z menu Start.
  2. Przejdź do pozycji Łączniki.
  3. Wybierz Połączenie or z typem Microsoft Entra ID.
  4. W obszarze Akcje po prawej stronie wybierz pozycję Wyszukaj obszar łącznika.
  5. W wyskakującym okienku w obszarze Zakres wybierz pozycję Rozłączono od i wybierz godzinę w przeszłości. Kliknij przycisk Wyszukaj. Ta strona zawiera widok wszystkich obiektów, które mają zostać usunięte. Klikając poszczególne pozycje, możesz uzyskać dodatkowe informacje o obiekcie. Możesz również kliknąć pozycję Ustawienie kolumny, aby dodać dodatkowe atrybuty, które mają być widoczne w siatce.

Search Connector Space

[! UWAGA] Jeśli nie masz pewności, że wszystkie usunięcia są pożądane i chcesz przejść w dół bezpieczniejszej trasy. Możesz użyć polecenia cmdlet programu PowerShell: Enable-ADSyncExportDeletionThreshold aby ustawić nowy próg, a nie wyłączyć progu, który może umożliwić niepożądane usunięcia.

Jeśli wszystkie usunięcia są wymagane

Jeśli wszystkie usunięcia są wymagane, wykonaj następujące czynności:

  1. Aby pobrać bieżący próg usuwania, uruchom polecenie cmdlet Get-ADSyncExportDeletionThresholdprogramu PowerShell . Wartość domyślna to 500.
  2. Aby tymczasowo wyłączyć tę ochronę i pozwolić na przejście przez te usunięcia, uruchom polecenie cmdlet programu PowerShell: Disable-ADSyncExportDeletionThreshold.
  3. Po wybraniu Połączenie or firmy Microsoft wybierz akcję Uruchom i wybierz pozycję Eksportuj.
  4. Aby ponownie włączyć ochronę, uruchom polecenie cmdlet programu PowerShell: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Zastąp wartość 500 wartością zauważoną podczas pobierania bieżącego progu usuwania.

Następne kroki

Tematy omówienia