在 Microsoft Entra 预配服务中启用意外删除防护
Microsoft Entra 预配服务包含一项有助于避免意外删除的功能。 此功能确保不会在应用程序中意外禁用或删除用户。
Microsoft Entra 预配服务包含一项有助于避免意外删除的功能。 此功能确保不会在目标租户中意外禁用或删除用户。
可以使用意外删除来指定删除阈值。 只要超出所设阈值,管理员就需要显式允许处理删除操作。
配置意外删除防护
若要启用意外删除防护,请执行以下操作:
- 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“应用程序”>“企业应用程序”。
- 选择自己的应用程序。
- 选择“预配”,然后在“预配”页上选择“编辑预配” 。
- 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“外部标识”>“跨租户同步”>“配置”,然后选择所需配置。
- 选择预配。
- 在“设置”下,选中“防止意外删除”复选框并指定删除阈值。
- 务必填写“通知电子邮件”地址。 如果达到删除阈值,系统会发送电子邮件。
- 选择“保存”,保存更改。
达到删除阈值时,作业会进入隔离区,并且系统会发送通知电子邮件。 然后可以允许或拒绝已隔离的作业。 若要详细了解隔离行为,请参阅隔离状态下的应用程序预配。
在意外删除后进行恢复
遇到意外删除问题时,预配状态页上会指出该问题。 内容是 Provisioning has been quarantined. See quarantine details for more information。
可以单击“允许删除”或“查看预配日志” 。
允许删除
“允许删除”操作将删除触发意外删除阈值的对象。 请按照该过程接受删除。
- 选择“允许删除”。
- 对于确认单击“是”以允许删除。
- 查看接受删除的确认。 状态在下一个周期会恢复为正常。
拒绝删除
根据需要调查和拒绝删除:
- 调查发生删除的原因。 可以使用预配日志来了解详细信息。
- 通过再次将用户/组分配到应用程序(或配置)、还原用户/组或更新预配配置,来防止删除。
- 进行必要的更改以防止删除用户/组后,重新开始预配。 在进行必要的更改以防止删除用户/组之前,不要重新开始预配。
测试删除防护
可通过以下方式测试该功能:将阈值设置为一个较小的数字(例如 3)以触发禁用/删除事件,然后更改范围筛选器,取消分配用户,并从目录中删除用户(请参阅下一部分中的常见场景)。
让预配作业运行 20 – 40 分钟,然后导航回到预配页。 查看隔离区中的预配作业,并选择允许删除或查看预配日志,以了解发生删除的原因。
要测试的常见取消预配方案
- 删除用户/将用户放入回收站。
- 阻止用户登录。
- 从应用程序(或配置)中将用户或组取消分配。
- 从为用户提供应用程序(或配置)访问权限的组中移除用户。
要详细了解取消预配方案,请参阅应用程序预配的工作原理。
常见问题
在计算是否达到删除阈值时,哪些场景会计入?
如果用户设置为从目标应用程序(或目标租户)中删除,那么这就会算作一次删除。 可能导致从目标应用程序(或目标租户)中删除用户的场景可包括:从应用程序(或配置)中取消分配用户,以及软删除/硬删除目录中的用户。 在计算是否达到删除阈值时,将计入已评估为要删除的组。 此功能除了适用于删除之外,也适用于禁用。
删除阈值的评估间隔是多少?
每个周期都会评估删除阈值。 如果在单个周期内删除次数不超过阈值,则不会触发“断路器”。 如果需要完成多个周期才能进入稳定状态,则会在每个周期评估删除阈值。
这些删除事件是如何记录的?
可以查找应该禁用/删除但由于删除阈值的原因而未禁用/删除的用户。 导航到“预配日志”,然后使用“StagedAction”或“StagedDelete”筛选“操作” 。