在 Microsoft Entra 佈建服務中啟用意外刪除防護
Microsoft Entra 佈建服務包括可協助避免意外刪除的功能。 此功能可確保不會在應用程式中意外停用或刪除使用者。
Microsoft Entra 佈建服務包括可協助避免意外刪除的功能。 此功能可確保不會在目標租用戶中意外停用或刪除使用者。
您可以使用意外刪除功能來指定刪除閾值。 任何超出所設定的閾值,都需要經過管理員明確允許才能進行刪除。
設定意外刪除防護
若要啟用意外刪除防護:
- 以至少 應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [應用程式] > [企業應用程式]。
- 選取您的應用程式。
- 選取 [佈建],然後在 [佈建] 頁面選取 [Edit provisioning] \(編輯佈建\)。
- 以至少 應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [外部身分識別] > [跨租用戶同步處理] > [設定] 並選取您的設定。
- 選取 [佈建]
- 在 [設定] 下,選取 [防止意外刪除] 核取方塊,並指定刪除閾值。
- 確認已填寫 [通知電子郵件] 地址。 若達到刪除閾值,便會傳送電子郵件。
- 選取儲存以儲存變更。
若達到刪除閾值,作業會進入隔離狀態,且系統會傳送通知電子郵件。 然後就可以允許或拒絕隔離的作業。 若要深入了解隔離行為,請參閱處於隔離狀態的應用程式佈建。
從意外刪除復原
若發生意外刪除,則會顯示於 [佈建狀態] 頁面上。 其內容將為 Provisioning has been quarantined. See quarantine details for more information。
您可以按一下 [Allow deletes] \(允許刪除\) 或 [檢視佈建記錄]。
允許刪除
[允許刪除] 動作會刪除觸發意外刪除閾值的物件。 請透過以下程序接受刪除。
- 選取 [Allow deletes] \(允許刪除\)。
- 按一下確認上的 [是] 以允許刪除。
- 查看已接受刪除的確認訊息。 狀態將會在下一個週期恢復為狀況良好。
拒絕刪除
在必要時調查與拒絕刪除:
- 調查刪除的來源。 您可以使用佈建記錄以取得詳細資料。
- 透過再次將使用者/群組指派給應用程式 (或設定)、還原使用者/群組,或是更新佈建設定,藉此防止刪除。
- 完成防止刪除使用者/群組的必要變更之後,重新啟動佈建。 除非已完成防止刪除使用者/群組的必要變更,否則請勿重新啟動佈建。
測試刪除防護
若要測試此功能,可以透過將閾值設定為較小的數字 (例如 3),藉此觸發停用/刪除事件,然後變更篩選範圍、取消指派使用者,以及從目錄中刪除使用者 (請參閱下一節的常見案例)。
讓佈建作業執行 (20 – 40 分鐘),然後巡覽回 [佈建] 頁面。 查看隔離狀態中的佈建作業,並選擇允許刪除或檢閱佈建記錄,以瞭解發生刪除的原因。
要測試的常見取消佈建案例
- 刪除使用者/將使用者放入資源回收筒。
- 封鎖登入使用者。
- 從應用程式 (或設定) 中取消指派使用者或群組。
- 從為使用者提供應用程式 (或設定) 存取權的群組移除使用者。
若要深入瞭解取消佈建案例,請參閱應用程式佈建的運作方式。
常見問題集
哪些案例會計入刪除閾值?
若使用者設定為從目標應用程式 (或目標租用戶) 中移除,便會計入刪除閾值。 可能導致使用者從目標應用程式 (或目標租用戶) 中移除的案例包括:從應用程式 (或設定) 取消指派使用者,以及在目錄中虛/實刪除使用者。 針對刪除進行評估的群組會計入刪除閾值。 除了刪除之外,相同的功能也適用於停用。
評估刪除閾值的間隔為何?
每個週期都會進行評估。 若刪除的數目在單一週期期間未超過閾值,則不會觸發「斷路器」。 若需要多個週期才能達到穩定狀態,則每個週期都會評估刪除閾值。
如何記錄這些刪除事件?
您可以尋找應該停用/刪除,但因刪除閾值而尚未執行的使用者。 巡覽至 [佈建記錄],然後使用 StagedAction 或 StagedDelete 篩選 [動作]。