Teilen über

Microsoft Entra Connect Sync: Verhindern versehentlicher Löschungen

  • Artikel

In diesem Thema wird der Schutz vor versehentlichen Löschvorgängen (Verhinderung versehentlicher Löschungen) in Microsoft Entra Connect beschrieben.

Wenn Sie Microsoft Entra Connect installieren, ist die Funktion zum Verhindern versehentlicher Löschungen standardmäßig aktiviert und so konfiguriert, dass ein Export mit mehr als 500 Löschungen nicht zugelassen wird. Dieses Feature wurde entwickelt, um Sie vor versehentlichen Konfigurationsänderungen und Änderungen an Ihrem lokalen Verzeichnis zu schützen, die sich auf viele Benutzer und andere Objekte auswirken würden.

Verhindern von versehentlichen Löschungen

Häufige Szenarien mit vielen Löschvorgängen sind:

  • Änderungen an der Filterung, bei denen die Auswahl einer gesamten Organisationseinheit oder Domäne aufgehoben wird.
  • Alle Objekte in einer OU werden gelöscht.
  • Das Umbenennen einer Organisationseinheit, sodass alle darin enthaltenen Objekte als außerhalb des Synchronisierungsbereichs liegend betrachtet werden.

Der Standardwert von 500 Objekten kann mit PowerShell mithilfe von Enable-ADSyncExportDeletionThresholdgeändert werden, das Teil des AD-Synchronisierungsmoduls ist, das mit Microsoft Entra Connect installiert ist. Sie sollten diesen Wert so konfigurieren, dass er der Größe Ihrer Organisation entspricht. Da der Synchronisierungsplaner alle 30 Minuten ausgeführt wird, entspricht der Wert der Anzahl von Löschvorgängen, die innerhalb von 30 Minuten erfolgen.

Wenn zu viele Löschungen vorhanden sind, die nach Microsoft Entra-ID exportiert werden sollen, wird der Export gestoppt, und Sie erhalten eine E-Mail wie diese:

E-Mail zum Verhindern von versehentlichen Löschungen

Hallo (technischer Kontakt). Zur (Zeit) hat der Identitätssynchronisierungsdienst festgestellt, dass die Anzahl der Löschungen den konfigurierten Löschschwellenwert für (Organisationsname) überschritten hat. Es wurden insgesamt (Anzahl) Objekte bei dieser Ausführung der Identitätssynchronisierung zum Löschen gesendet. Dies hat den konfigurierten Löschschwellenwert (Anzahl) von Objekten erreicht oder überschritten. Wir benötigen Ihre Bestätigung, dass diese Löschungen verarbeitet werden sollen, bevor wir fortfahren. Weitere Informationen zu dem in dieser E-Mail-Nachricht aufgeführten Fehler finden Sie unter dem Verhindern versehentlicher Löschungen.

Sie können den Status stopped-deletion-threshold-exceeded auch auf der Synchronization Service Manager -Benutzeroberfläche für das Exportprofil sehen. Verhindern versehentlicher Löschungen der Benutzeroberfläche des Synchronisierungs-Service-Managers

Wenn dies unerwartet war, untersuchen und ergreifen Sie Korrekturmaßnahmen. Gehen Sie wie folgt vor, um zu sehen, welche Objekte gelöscht werden sollen:

  1. Starten Sie den Synchronisierungsdienst über das Startmenü.
  2. Gehen Sie zu Connectors.
  3. Wählen Sie den Connector mit dem Typ Microsoft Entra IDaus.
  4. Wählen Sie unter Aktionen (Aktionen) auf der rechten Seite Search Connector Space (Connectorbereich suchen).
  5. Wählen Sie im Popupfenster unter Scope (Bereich) die Option Disconnected Since (Getrennt seit) aus, und wählen Sie einen Zeitpunkt in der Vergangenheit. Wählen Sie Suchen aus. Diese Seite bietet eine Ansicht aller Objekte, die gelöscht werden sollen. Durch Auswählen der einzelnen Elemente können Sie zusätzliche Informationen zum Objekt abrufen. Sie können auch Spalteneinstellung auswählen, um weitere Attribute hinzuzufügen, die im Raster sichtbar sind.

Connectorbereich durchsuchen

[!NOTE] Falls Sie unsicher sind, ob alle Löschvorgänge erwünscht sind, und auf Nummer sicher gehen möchten. Sie können das PowerShell-Cmdlet verwenden: Enable-ADSyncExportDeletionThreshold, um einen neuen Schwellenwert festzulegen, anstatt den Schwellenwert zu deaktivieren, der unerwünschte Löschungen zulassen kann.

Wenn alle Löschvorgänge erwünscht sind

Wenn alle Löschvorgänge gewünscht sind, gehen Sie folgendermaßen vor:

  1. Um den aktuellen Löschschwellenwert abzurufen, führen Sie das PowerShell-Cmdlet Get-ADSyncExportDeletionThresholdaus. Der Standardwert ist 500.
  2. Führen Sie das PowerShell-Cmdlet Disable-ADSyncExportDeletionThresholdaus, um diesen Schutz vorübergehend zu deaktivieren und den Löschvorgänge zu ermöglichen.
  3. Wenn der Microsoft Entra Connector noch ausgewählt ist, wählen Sie die Aktion Ausführen und anschließend Exportierenaus.
  4. Führen Sie zum erneuten Aktivieren des Schutzes das PowerShell-Cmdlet Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500aus. Ersetzen Sie 500 durch den Wert, den Sie beim Abrufen des aktuellen Löschschwellenwerts bemerkt haben.

Nächste Schritte

Übersichtsthemen