Microsoft Entra Connect Sync : Empêcher les suppressions accidentelles

Cette rubrique décrit la fonctionnalité Empêcher les suppressions accidentelles (empêchant les suppressions accidentelles) dans Microsoft Entra Connect.

Lors de l'installation de Microsoft Entra Connect, la prévention des suppressions accidentelles est activée par défaut et configurée pour ne pas autoriser plus de 500 suppressions lors d'une exportation. Cette fonctionnalité est conçue pour vous protéger contre les modifications de configuration accidentelles et les modifications apportées à votre répertoire local qui affecteraient de nombreux utilisateurs et autres objets.

Présentation de la prévention des suppressions accidentelles

Les scénarios courants impliquant de nombreuses suppressions sont les suivants :

• Modifications apportées au filtrage lorsque l’intégralité d’une unité organisationnelle ou d’un domaine est désélectionnée.
• Tous les objets d’une unité d’organisation sont supprimés.
• Une unité d'organisation est renommée, ce qui fait que tous les objets qu'elle contient sont considérés comme exclus de la synchronisation.

La valeur par défaut de 500 objets peut être modifiée avec PowerShell à l’aide de Enable-ADSyncExportDeletionThreshold, qui fait partie du module AD Sync installé avec Microsoft Entra Connect. Vous devez configurer cette valeur pour qu’elle corresponde à la taille de votre organisation. Étant donné que le planificateur de synchronisation s’exécute toutes les 30 minutes, la valeur correspond au nombre de suppressions observées dans les 30 minutes.

S'il y a trop de suppressions préparées à exporter vers Microsoft Entra ID, l'exportation s'arrête et vous recevez un e-mail semblable à celui-ci :

Bonjour (contact technique). Au (temps) le service de synchronisation d’identité a détecté que le nombre de suppressions a dépassé le seuil de suppression configuré pour (nom de l’organisation). Un total d’objets (nombre) a été envoyé pour suppression dans cette exécution de synchronisation d’identité. Cela a atteint ou dépassé la valeur de seuil de suppression configurée d’objets (nombre). Nous devons vous confirmer que ces suppressions doivent être traitées avant de continuer. Pour plus d’informations sur l’erreur répertoriée dans ce message électronique, consultez la prévention des suppressions accidentelles.

Vous pouvez également voir l’état stopped-deletion-threshold-exceeded lorsque vous regardez dans l’interface utilisateur Synchronization Service Manager pour le profil d’exportation.

S’il s’agissait d’un événement inattendu, examinez et prenez des mesures correctives. Pour voir quels objets sont sur le point d’être supprimés, procédez comme suit :

1. Démarrez le Service de synchronisation depuis le menu Démarrer.
2. Accédez à Connecteurs.
3. Sélectionnez le connecteur de type Microsoft Entra ID.
4. Sous Actions, à droite, sélectionnez Espace de connecteur de recherche.
5. Dans la fenêtre contextuelle, sous Étendue, sélectionnez Déconnecté depuis, puis choisissez une heure dans le passé. Sélectionnez Recherche. Cette page fournit une vue de tous les objets sur le point d’être supprimés. En sélectionnant chaque élément, vous pouvez obtenir des informations supplémentaires sur l’objet. Vous pouvez également sélectionner paramètre de colonne pour ajouter d’autres attributs à afficher dans la grille.

[! REMARQUE] Si vous n'êtes pas sûr que toutes les suppressions soient souhaitées et que vous souhaitez emprunter une voie plus sûre. Vous pouvez utiliser l’applet de commande PowerShell : Enable-ADSyncExportDeletionThreshold pour définir un nouveau seuil plutôt que de désactiver le seuil qui peut autoriser les suppressions non souhaitées.

Si toutes les suppressions sont souhaitées

Si toutes les suppressions sont souhaitées, procédez comme suit :

1. Pour récupérer le seuil de suppression actuel, exécutez l’applet de commande PowerShell Get-ADSyncExportDeletionThreshold. La valeur par défaut est 500.
2. Pour désactiver temporairement cette protection et laisser les suppressions passer, exécutez l’applet de commande PowerShell : Disable-ADSyncExportDeletionThreshold.
3. Tout en maintenant le connecteur Microsoft Entra sélectionné, sélectionnez l’action Exécuter, puis Exporter.
4. Pour réactiver la protection, exécutez l’applet de commande PowerShell : Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Remplacez 500 par la valeur que vous avez remarquée lors de la récupération du seuil de suppression actuel.

Étapes suivantes

Rubriques de présentation

• Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation
• Intégration de vos identités locales à Microsoft Entra ID