Синхронизация Подключение Microsoft Entra: предотвращение случайного удаления

  • Статья

В этом разделе описывается функция предотвращения случайного удаления (предотвращение случайного удаления) в Microsoft Entra Подключение.

При установке Microsoft Entra Connect функция предотвращения случайных удалений по умолчанию включена и настроена для предотвращения экспорта с более чем 500 операциями удаления. Эта функция защищает от случайных изменений конфигурации и изменений в локальном каталоге, которые могут повлиять на большое количество пользователей и других объектов.

Предотвращение случайного удаления

К распространенным сценариям, включающим множество вариантов удаления, относятся:

  • изменения фильтрации, когда целое подразделение или домен остаются невыбранными;
  • удаление всех объектов в подразделении;
  • подразделение переименовывается так, что все объекты в нем становятся исключенными из области синхронизации.

Значение по умолчанию для 500 объектов можно изменить с помощью Enable-ADSyncExportDeletionThresholdPowerShell, который входит в модуль синхронизации AD, установленный с Подключение Microsoft Entra. Это значение необходимо задать в соответствии с размером вашей организации. Так как планировщик синхронизации запускается каждые 30 минут, это значение равно числу операций удаления, выполненных за 30 минут.

Если нужно экспортировать слишком много удаленных элементов в идентификатор Microsoft Entra, экспорт останавливается и вы получите сообщение электронной почты, как показано ниже.

Prevent Accidental deletes email

(Контактное лицо по техническим вопросам), здравствуйте! В (время) служба синхронизации удостоверений обнаружила, что число удалений превысило указанное в настройках пороговое значение удалений для компании (название организации). В рамках этого запуска синхронизации удостоверений для удаления было отправлено всего (число) об. Это число соответствует пороговому значению удаления объектов, равному (число), или превышает его. Нам необходимо получить от вас подтверждение, что эти удаления следует обработать, прежде чем мы продолжим. Дополнительные сведения об указанной в этом сообщении ошибке см. в разделе "Предотвращение случайных удалений".

При поиске профиля экспорта в пользовательском интерфейсе Synchronization Service Manager также может отобразиться состояние stopped-deletion-threshold-exceeded. Prevent Accidental deletes Sync Service Manager UI

Если эта ситуация оказалась непредвиденной, выясните причину и выполните все действия для ее устранения. Чтобы увидеть, какие объекты должны быть удалены, выполните следующие действия.

  1. Запустите Службу синхронизации из меню «Пуск».
  2. Выберите Соединители.
  3. Выберите Подключение or с типом Идентификатора Microsoft Entra.
  4. В разделе Действия справа выберите Пространство поиска соединителя.
  5. Во всплывающем окне в разделе Область выберите Отключенные с и укажите момент времени в прошлом. Нажмите кнопку Поиск. Вы получите список всех объектов, которые будут удалены. Щелкнув каждый объект, вы получите дополнительные сведения. Также можно щелкнуть Column Setting (Настройка столбца), чтобы добавить дополнительные атрибуты, отображаемые в сетке.

Search Connector Space

[ПРИМЕЧАНИЕ] Если вы не уверены в необходимости выполнить все процедуры удаления и хотите попробовать решить задачу более безопасным способом, попробуйте следующее. Вы можете использовать командлет PowerShell:Enable-ADSyncExportDeletionThreshold для установки нового порогового значения вместо отключения порогового значения, которое может привести к нежелательным удалениям.

Если все удаления необходимы

Если удаление необходимо, сделайте следующее.

  1. Чтобы получить текущее пороговое значение удаления, выполните командлет PowerShell Get-ADSyncExportDeletionThreshold. Значение по умолчанию — 500.
  2. Чтобы временно отключить защиту и выполнить удаление, запустите следующий командлет PowerShell: Disable-ADSyncExportDeletionThreshold.
  3. Если элемент Microsoft Entra Подключение по-прежнему выбран, выберите действие "Выполнить" и выберите "Экспорт".
  4. Чтобы повторно включить защиту, запустите командлет PowerShell: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Замените 500 значением, которое вы записали при получении текущего порогового значения удаления.

Следующие шаги

Обзорные статьи