Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este tópico descreve o recurso para evitar exclusões acidentais (impedindo exclusões acidentais) no Microsoft Entra Connect.
Ao instalar o Microsoft Entra Connect, o recurso para evitar exclusões acidentais é habilitado por padrão e configurado para não permitir uma exportação com mais de 500 exclusões. Esse recurso foi projetado para protegê-lo contra alterações acidentais de configuração e alterações no diretório local que afetariam muitos usuários e outros objetos.
O que está impedindo as exclusões acidentais
Cenários comuns que envolvem muitas exclusões de objetos incluem:
Alterações de filtragem em que uma UO ou domínio são desmarcados.
Todos os objetos em uma UO são movidos ou excluídos.
Uma UO é renomeada para que todos os seus objetos filho fiquem fora do escopo da sincronização.
O valor padrão de 500 objetos pode ser alterado com o PowerShell usando Enable-ADSyncExportDeletionThreshold, que faz parte do módulo sincronização do AD instalado com o Microsoft Entra Connect. Você deve configurar esse valor para se ajustar ao tamanho da sua organização.
Notificações para evitar exclusões acidentais
Se houver muitas exclusões preparadas para serem exportadas para a ID do Microsoft Entra, a exportação será interrompida antes de excluir qualquer objeto e você receberá um email como este:
| De: | Segurança da Microsoft MSSecurity-noreply@microsoft.com |
|---|---|
| Título: | A exportação para o Microsoft Entra ID foi interrompida. O limite de exclusão acidental foi alcançado. |
| Descrição: | A operação de exportação para o Microsoft Entra ID falhou. Havia mais objetos a serem excluídos que o limite configurado. Como resultado, nenhum objeto foi exportado. |
| Criado: | 24 de janeiro de 2025 00:00 UTC |
| Servidor: | <nome do servidor> |
| Serviço: | fabrikamonline.onmicrosoft.com |
| Inquilino: | FabrikamOnline.com |
No portal do Microsoft Entra Connect Health, navegue até Serviços de Sincronização, selecione seu tenant, depois selecione seu servidor ativo do Entra Connect e escolha Alertas para ver a lista de eventos em que o limite de exclusão acidental é relatado.
Nos logs do visualizador de eventos do aplicativo, você pode ver uma ID de evento de aviso 116 como o seguinte exemplo:
Log Name: Application
Source: Directory Synchronization
Date: <Date/Time>
Event ID: 116
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: <server name>
Description: Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.
Determinar quais objetos estão pendentes de exclusão
Você pode ver o status de stopped-deletion-threshold-exceeded do perfil de execução ao procurar a etapa Exportar na interface do usuário do Synchronization Service Manager.
Para ver quais objetos estão prestes a ser excluídos, execute as seguintes etapas:
Inicie o Serviço de Sincronização no Menu Iniciar.
Acesse Conectores.
Selecione o tipo conector do Windows Azure Active Directory.
Em Ações, à direita, selecione Pesquisar Espaço do Conector.
Na caixa suspensa em Escopo, selecione Exportação Pendente e habilite a caixa de seleção para Excluir.
Selecione Pesquisar para exibir uma lista de todos os objetos prestes a serem excluídos. Ao abrir cada item, você pode obter informações adicionais sobre o objeto. Você também pode selecionar Configurações de Coluna para adicionar mais atributos a serem visíveis na grade, por exemplo, o onPremisesDistinguishedName.
Se as exclusões forem inesperadas
Se você não tiver certeza de que todas as exclusões são desejadas e deseja seguir uma rota mais segura, poderá usar um método mais detalhado para verificar todos os objetos pendentes de exclusão de uma planilha.
As exclusões inesperadas geralmente são causadas por alterações na estrutura da UO ou pela filtragem de escopo de Domínio/UO. Portanto, certifique-se de que os objetos aguardando exclusão estejam dentro do escopo de sincronização. Por exemplo, renomear uma UO no Active Directory pode causar exclusões em massa inesperadas na ID do Microsoft Entra, a menos que você selecione novamente a UO no Assistente do Microsoft Entra Connect. Se você estiver usando filtros de escopo de atributo, ajuste as regras de sincronização necessárias no Editor de Regras de Sincronização para garantir que os objetos estejam de volta no escopo de sincronização.
Importante
As alterações de filtragem de escopo de domínio/Unidade Organizacional (UO) não entrarão em vigor até que você execute um ciclo de sincronização completo: Start-ADSyncSyncCycle -PolicyType Initial.
Se todas as exclusões forem desejadas
Se todos os objetos pendentes de exclusão devem ser excluídos na ID do Microsoft Entra e, em seguida, usando sua credencial de Administrador Global do Entra ou Administrador de Identidade Híbrida, execute as seguintes etapas:
Aviso
Essa ação pode resultar na exclusão permanente de objetos na ID do Microsoft Entra.
Para desabilitar temporariamente essa proteção e permitir que todas as exclusões passem, execute o cmdlet do PowerShell:
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".Com o Conector do Microsoft Entra ainda selecionado, selecione a ação Executar e Exportar.
Para proteger contra exclusões inesperadas no futuro, verifique se o recurso de limite de exclusão não está permanentemente desabilitado. Para reabilitar a proteção com o valor padrão, execute:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>".
Se um número maior de exclusões esperadas for frequente em sua organização, é aconselhável aumentar o limite de exclusão em vez de desabilitar essa proteção, pois isso pode permitir exclusões indesejadas, causando perda de dados críticos e interrupção de serviços. Avalie o número de exclusões desejado específico e use o seguinte cmdlet do PowerShell para definir um novo limite, por exemplo, para definir um limite de exclusão de 1000, use: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>".
Para confirmar o limite de exclusão atual, execute: Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".
Próximas etapas
visão geral de tópicos