Habilitar a prevenção de exclusões acidentais no serviço de provisionamento do Microsoft Entra
O serviço de provisionamento Microsoft Entra inclui um recurso para ajudar a evitar exclusões acidentais. Esse recurso garante que os usuários não sejam desativados ou excluídos em um aplicativo inesperadamente.
O serviço de provisionamento Microsoft Entra inclui um recurso para ajudar a evitar exclusões acidentais. Esse recurso garante que os usuários não sejam desabilitados ou excluídos no locatário de destino inesperadamente.
Você usa exclusões acidentais para especificar um limite de exclusão. Qualquer coisa acima do limite definido requer que um administrador permita explicitamente o processamento das exclusões.
Configurar a prevenção de exclusão acidental
Para ativar a prevenção de exclusão acidental:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
- Navegue até Aplicativos de identidade>>Aplicativos corporativos.
- Selecione a sua candidatura.
- Selecione Provisionamento e, na página de provisionamento, selecione Editar provisionamento.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
- Navegue até Configurações>de sincronização entre locatários de identidades externas>de identidade>e selecione sua configuração.
- Selecione Provisionamento.
- Em Configurações, marque a caixa de seleção Impedir exclusões acidentais e especifique um limite de exclusão.
- Verifique se o endereço de e-mail de notificação está completo. Se o limite de exclusão for atingido, um e-mail será enviado.
- Selecione Guardar para guardar as alterações.
Quando o limite de exclusão é atingido, o trabalho entra em quarentena e um e-mail de notificação é enviado. O trabalho em quarentena pode então ser permitido ou rejeitado. Para saber mais sobre o comportamento de quarentena, consulte Provisionamento de aplicativos no status de quarentena.
Recuperando-se de uma exclusão acidental
Quando você encontrar uma exclusão acidental, você a verá na página de status do provisionamento. Diz Provisioning has been quarantined. See quarantine details for more information.
Você pode clicar em Permitir exclusões ou Exibir logs de provisionamento.
Permitir exclusões
A ação Permitir exclui os objetos que dispararam o limite de exclusão acidental. Use o procedimento para aceitar as exclusões.
- Selecione Permitir exclusões.
- Clique em Sim na confirmação para permitir as exclusões.
- Veja a confirmação de que as exclusões foram aceitas. O status volta a ser saudável com o próximo ciclo.
Rejeitar supressões
Investigue e rejeite exclusões conforme necessário:
- Investigue a origem das exclusões. Você pode usar os logs de provisionamento para obter detalhes.
- Impeça a exclusão atribuindo o usuário/grupo ao aplicativo (ou configuração) novamente, restaurando o usuário/grupo ou atualizando sua configuração de provisionamento.
- Depois de fazer as alterações necessárias para evitar que o usuário/grupo seja excluído, reinicie o provisionamento. Não reinicie o provisionamento até que você tenha feito as alterações necessárias para evitar que os usuários/grupos sejam excluídos.
Prevenção de exclusão de teste
Você pode testar o recurso acionando eventos de desabilitação/exclusão definindo o limite para um número baixo, por exemplo 3, e alterando filtros de escopo, desatribuindo usuários e excluindo usuários do diretório (consulte cenários comuns na próxima seção).
Deixe o trabalho de provisionamento ser executado (20 a 40 minutos) e navegue de volta para a página de provisionamento. Verifique o trabalho de provisionamento em quarentena e escolha permitir as exclusões ou revisar os logs de provisionamento para entender por que as exclusões ocorreram.
Cenários comuns de desprovisionamento a serem testados
- Excluir um usuário / colocá-lo na lixeira.
- Bloquear o início de sessão de um utilizador.
- Cancele a atribuição de um usuário ou grupo do aplicativo (ou configuração).
- Remova um usuário de um grupo que fornece acesso ao aplicativo (ou configuração).
Para saber mais sobre cenários de desprovisionamento, consulte Como funciona o provisionamento de aplicativos.
Perguntas Mais Frequentes
Quais cenários contam para o limite de exclusão?
Quando um usuário é definido para remoção do aplicativo de destino (ou locatário de destino), ele é contado em relação ao limite de exclusão. Os cenários que podem levar um usuário a ser removido do aplicativo de destino (ou locatário de destino) podem incluir: desatribuir o usuário do aplicativo (ou configuração) e excluir um usuário no diretório. Os grupos avaliados para exclusão contam para o limite de exclusão. Além das exclusões, a mesma funcionalidade também funciona para desativações.
Qual é o intervalo em que o limiar de eliminação é avaliado?
É avaliado a cada ciclo. Se o número de exclusões não exceder o limite durante um único ciclo, o "disjuntor" não será acionado. Se forem necessários vários ciclos para atingir um estado estacionário, o limiar de eliminação é avaliado por ciclo.
Como esses eventos de exclusão são registrados?
Você pode encontrar usuários que devem ser desativados / excluídos, mas não devido ao limite de exclusão. Navegação para logs de provisionamento e, em seguida, filtre Action com StagedAction ou StagedDelete.
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários