分享方式:


Microsoft Entra Connect Sync:防止意外刪除

本主題描述 Microsoft Entra Connect 中的防止意外刪除 (防止意外刪除) 功能。

安裝 Microsoft Entra Connect 時,依預設會啟用防止意外刪除的功能,並設定為不允許超過 500 個刪除項目的匯出。 這項功能是專門用來保護您免於意外的組態變更及內部部署目錄的變更,因為這會影響許多使用者和其他物件。

防止意外刪除是什麼

涉及許多刪除的常見情況包括:

  • 變更未選取整個 OU網域篩選
  • OU 中的所有物件遭到刪除。
  • 重新命名 OU,結果使得其中的所有物件被視為不在同步處理範圍內。

您可以使用 Enable-ADSyncExportDeletionThreshold,使用 PowerShell 變更 500 個物件的預設值,這是隨 Microsoft Entra Connect 一起安裝的 AD 同步模組的一部分。 您應該將此值設定為符合您組織的大小。 由於同步排程器會每隔 30 分鐘執行一次,因此該值是 30 分鐘內看到的刪除數目。

如果暫存到 Microsoft Entra ID 的刪除太多,則匯出會停止,而您會收到如下的電子郵件:

防止意外刪除電子郵件

Hello (技術連絡人)。 有時身分識別同步處理服務偵測到的刪除數目會超過 (組織名稱) 所設定的刪除閾值。 本次執行身分識別同步處理時,共傳送 (數目) 個物件進行刪除。 這已到達或超過設定的 (數目) 個物件的刪除閾值。 您需先確認要刪除這些項目,才可繼續進行。 如需此電子郵件訊息中所列錯誤的詳細資訊,請參閱防止意外刪除。

當您查看匯出設定檔的 Synchronization Service Manager UI,您也會看到狀態 stopped-deletion-threshold-exceeded防止意外刪除 Sync Service Manager UI

如果這是非預期的結果,請進行調查,並採取修正動作。 若要查看哪些物件即將被刪除時,請執行下列作業:

  1. 從 [開始] 功能表啟動 [同步處理服務]
  2. 移至 [連接器]
  3. 選取類型為 Microsoft Entra ID 的連接器。
  4. 在右側的 [動作] 之下,選取 [搜尋連接器空間]
  5. 在 [範圍] 下的快顯中,選取 [中斷連線起點],並選擇一個過去的時間。 按一下 [搜尋] 。 此頁面會顯示所有即將刪除的物件。 按一下每個項目,您就可以了解該物件的其他資訊。 您也可以按一下 [資料行設定] ,新增其他屬性以顯示在方格中。

搜尋連接器空間

[!NOTE] 如果不確定所有刪除是否都在意料之中,而只想採取較安全的作法。 您可以使用 PowerShell Cmdlet:Enable-ADSyncExportDeletionThreshold 來設定新的閾值,而不是停用可能允許意外刪除的閾值。

如果所有刪除都在意料之中

如果想要刪除所有項目,請執行下列作業:

  1. 若要擷取目前的刪除閾值,請執行 PowerShell Cmdlet Get-ADSyncExportDeletionThreshold。 預設值為 500。
  2. 若要暫時停用此保護功能並刪除這些項目,請執行 PowerShell Cmdlet: Disable-ADSyncExportDeletionThreshold
  3. 在仍然選取 [Microsoft Entra 連接器] 的情況下,選取 [執行] 動作,然後選取 [匯出]
  4. 若要重新啟用此保護功能,請執行 PowerShell Cmdlet: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500。 使用您在擷取目前刪除閾值時記下的值來取代 500。

下一步

概觀主題