Microsoft Entra Connect Sync : empêcher les suppressions accidentelles
Cette rubrique décrit la fonctionnalité permettant d’empêcher les suppressions accidentelles (empêchant les suppressions accidentelles) dans Microsoft Entra Connect.
Lors de l’installation de Microsoft Entra Connect, la fonctionnalité permettant d’empêcher les suppressions accidentelles est activée par défaut et configurée pour ne pas autoriser une exportation avec plus de 500 suppressions. Cette fonctionnalité est conçue pour vous protéger contre les modifications accidentelles de la configuration et contre les modifications apportées à votre répertoire local qui auraient une incidence sur de nombreux utilisateurs et d’autres objets.
Qu’est-ce qui empêche les suppressions accidentelles
Les scénarios courants impliquant de nombreuses suppressions d’objets sont les suivants :
Modifications apportées au filtrage lorsque l’intégralité d’une unité organisationnelle ou d’un domaine est désélectionnée.
Tous les objets d’une unité d’organisation sont déplacés ou supprimés.
Une unité d’organisation est renommée afin que tous ses objets enfants passent en dehors de l’étendue pour la synchronisation.
Vous pouvez modifier la valeur par défaut de 500 objets avec PowerShell en utilisant Enable-ADSyncExportDeletionThreshold, qui fait partie du module AD Sync installé avec Microsoft Entra Connect. Vous devez configurer cette valeur de manière à l’ajuster à la taille de votre organisation.
S’il y a trop de suppressions intermédiaires à exporter vers l’ID Microsoft Entra, l’exportation s’arrête avant de supprimer un objet et vous recevez un e-mail comme suit :
| De: | Sécurité Microsoft MSSecurity-noreply@microsoft.com |
|---|---|
| Titre : | L’exportation vers Microsoft Entra ID a été arrêtée. Le seuil de suppression accidentelle a été atteint. |
| Description : | L’opération d’exportation vers Microsoft Entra ID a échoué. Le nombre d’objets à supprimer était supérieur à la limite configurée. Par conséquent, aucun objet n’a été exporté. |
| En relief : | 24 janvier 2025 00:00 UTC |
| Serveur : | <nom du serveur> |
| Service : | fabrikamonline.onmicrosoft.com |
| Locataire : | FabrikamOnline.com |
À partir du portail Microsoft Entra Connect Health, naviguez vers les services de synchronisation, sélectionnez votre client, sélectionnez votre serveur Entra Connect actif, puis sélectionnez Alertes pour afficher la liste des événements où le seuil de suppression accidentelle est rapporté.
Dans les journaux de l’observateur d’événements d’application, vous pouvez voir un ID d’événement de type Avertissement 116 dans l’exemple suivant :
Log Name: Application
Source: Directory Synchronization
Date: <Date/Time>
Event ID: 116
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: <server name>
Description: Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.
Vous pouvez également consulter l’état stopped-deletion-threshold-exceeded lorsque vous recherchez le profil d’exportation dans l’interface utilisateur Synchronization Service Manager.
Si cette erreur est inattendue, examinez et effectuez des actions correctives. Pour voir quels objets sont sur le point d’être supprimés, procédez comme suit :
Démarrez le Service de synchronisation depuis le menu Démarrer.
Accédez à Connecteurs.
Sélectionnez le type de connecteur Windows Azure Active Directory.
Sous Actions, à droite, sélectionnez Espace de connecteur de recherche.
Dans la liste déroulante sous Étendue, sélectionnez Exportation en attente et cochez la case pour Supprimer.
Sélectionnez Rechercher pour afficher la liste de tous les objets sur le point d’être supprimés. En ouvrant chaque élément, vous pouvez obtenir des informations supplémentaires sur l’objet. Vous pouvez également sélectionner Paramètres de colonne pour ajouter d’autres attributs à afficher dans la grille, par exemple, onPremisesDistinguishedName.
Si les suppressions sont inattendues
Si vous n'êtes pas sûr que toutes les suppressions sont souhaitées et que vous souhaitez prendre une voie plus sûre, vous pouvez utiliser une méthode plus détaillée pour Vérifier tous les objets en attente de suppression à partir d'une feuille de calcul.
Les suppressions inattendues sont généralement provoquées par des modifications apportées à la structure de l’unité d’organisation ou au filtrage de l’étendue du domaine/de l’unité d’organisation : vérifiez donc que les objets en attente de suppression se trouvent bien dans l’étendue de synchronisation. Par exemple, le changement de nom d’une unité d’organisation dans Active Directory peut entraîner des suppressions de masse inattendues dans l’ID Microsoft Entra, sauf si vous réélectionnez l’unité d’organisation dans l’Assistant Microsoft Entra Connect. Si vous utilisez des filtres d’étendue d’attributs, ajustez les règles de synchronisation nécessaires dans l’éditeur de règles de synchronisation pour vous assurer que les objets sont de retour dans l’étendue de synchronisation.
Important
Le filtre d’étendue de domaine/unité d’organisation et les modifications de règle de synchronisation ne prennent pas effet tant que vous n’avez pas exécuté un cycle de synchronisation complet : Start-ADSyncSyncCycle -PolicyType Initial
Si toutes les suppressions sont souhaitées
Si tous les objets en attente de suppression sont censés être supprimés dans l’ID Microsoft Entra, à l’aide de vos informations d’identification d’administrateur général d’Entra ou d’administrateur d’identité hybride, procédez comme suit :
Avertissement
Cette action peut entraîner la suppression définitive d’objets dans l’ID Microsoft Entra.
Pour désactiver temporairement cette protection et laisser passer toutes les suppressions, exécutez l’applet de commande PowerShell :
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".Tout en maintenant le connecteur Microsoft Entra sélectionné, sélectionnez l’action Exécuter, puis sélectionnez Exporter.
Pour vous protéger contre les suppressions inattendues à l’avenir, assurez-vous que la fonctionnalité de seuil de suppression n’est pas désactivée définitivement. Pour réactiver la protection avec la valeur par défaut, exécutez :
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"
Si un plus grand nombre de suppressions attendues sont fréquentes dans votre organisation, il est conseillé d’augmenter le seuil de suppression plutôt que de désactiver cette protection, car cela peut permettre des suppressions non souhaitées provoquant la perte de données critiques et d’interruption des services. Évaluez le nombre de suppressions souhaité et utilisez l’applet de commande PowerShell suivante pour définir une nouvelle limite, par exemple, pour définir un seuil de suppression de 1 000, utilisez : Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>"
Pour confirmer le seuil de suppression actuel, exécutez : Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"
Étapes suivantes
Rubriques de vue d’ensemble