Condividi tramite

Sincronizzazione Microsoft Entra Connect: Impedisci eliminazioni accidentali

  • Articolo

In questo argomento viene descritta la funzionalità per impedire eliminazioni accidentali (impedendo eliminazioni accidentali) in Microsoft Entra Connect.

Quando si installa Microsoft Entra Connect, la funzionalità per impedire eliminazioni accidentali è abilitata per impostazione predefinita e configurata per non consentire un'esportazione con più di 500 eliminazioni. Questa funzionalità è progettata per proteggere l'utente da modifiche di configurazione accidentali e modifiche alla directory locale che influirebbero su molti utenti e altri oggetti.

Cosa impedisce eliminazioni accidentali

Gli scenari comuni che coinvolgono molte eliminazioni di oggetti includono:

  • Modifiche al filtro quando un'intera unità organizzativa o un intero dominio non è selezionato.

  • Tutti gli oggetti in un'unità organizzativa vengono spostati o eliminati.

  • Un'unità organizzativa viene rinominata in modo che tutti i relativi oggetti figlio diventino fuori ambito per la sincronizzazione.

Il valore predefinito di 500 oggetti può essere modificato con PowerShell usando Enable-ADSyncExportDeletionThreshold, che fa parte del modulo ad Sync installato con Microsoft Entra Connect. È consigliabile configurare questo valore in base alle dimensioni dell'organizzazione.

Notifiche per impedire eliminazioni accidentali

Se sono presenti troppi eliminazioni da esportare in Microsoft Entra ID, l'esportazione si interrompe prima di eliminare qualsiasi oggetto e si riceve un messaggio di posta elettronica simile al seguente:

Impedisci eliminazioni accidentali di posta elettronica

Da: Microsoft Security MSSecurity-noreply@microsoft.com
Titolo: L’esportazione in Microsoft Entra ID è stata interrotta. È stata raggiunta la soglia di eliminazione accidentale.
Descrizione: L'operazione di esportazione in Microsoft Entra ID non è riuscita. Erano presenti più oggetti da eliminare rispetto alla soglia configurata. Di conseguenza, non sono stati esportati oggetti.
Sollevato: 24 gennaio 2025 00:00 UTC
Server: <nome del server>
Servizio: fabrikamonline.onmicrosoft.com
Inquilino: FabrikamOnline.com

Da portale di Microsoft Entra Connect Health passare a Servizi di sincronizzazione, selezionare il tenant, quindi selezionare il server Entra Connect attivo e selezionare Avvisi per visualizzare l'elenco degli eventi in cui viene segnalata la soglia di eliminazione accidentale.

Screenshot che mostra gli avvisi di sincronizzazione di Microsoft Entra Connect.

Nei log del Visualizzatore eventi dell'applicazione è possibile visualizzare un ID evento di avviso 116 come esempio seguente:

Log Name:      Application
Source:        Directory Synchronization
Date:          <Date/Time>
Event ID:      116
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      <server name>
Description:   Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.

Determinare quali oggetti sono in attesa di eliminazione

È possibile visualizzare lo stato del profilo di esecuzione stopped-deletion-threshold-exceeded all'interno dell'interfaccia utente di Synchronization Service Manager per il passaggio di esportazione. Impedire eliminazioni accidentali nell'interfaccia utente di Sync Service Manager

Per vedere quali oggetti stanno per essere eliminati, seguire questa procedura:

  1. Avvia Servizio di Sincronizzazione dal Menu Start.

  2. Vai a Connettori.

  3. Selezionare il tipo di connettore Windows Azure Active Directory.

  4. In Azioni a destra selezionare Search Connector Space.

  5. Nella casella a discesa in Ambito, selezionare Esportazione in sospeso e abilitare la casella di controllo per Elimina.

  6. Selezionare Cerca per visualizzare un elenco di tutti gli oggetti da eliminare. Aprendo ogni elemento, è possibile ottenere informazioni aggiuntive sull'oggetto . È anche possibile selezionare Impostazioni colonna per aggiungere altri attributi da visualizzare nella griglia, ad esempio onPremisesDistinguishedName.

    Screenshot che mostra l'Area del Connettore di Ricerca.

Se le eliminazioni sono impreviste

Se non si è certi che tutte le eliminazioni siano desiderate e si preferisce un approccio più sicuro, è possibile utilizzare un metodo più dettagliato per Verificare tutti gli oggetti in sospeso per l'eliminazione da un foglio di calcolo.

Le eliminazioni impreviste sono in genere causate da modifiche apportate alla struttura delle unità organizzative o dal filtro dell'ambito di dominio/unità organizzativa , quindi assicurarsi che gli oggetti eliminabili siano nell'ambito di sincronizzazione. Ad esempio, la ridenominazione di un'unità organizzativa in Active Directory può causare eliminazioni di massa impreviste nell'ID Microsoft Entra, a meno che non si selezioni nuovamente l'unità organizzativa in Microsoft Entra Connect Wizard. Se si usano filtri di ambito degli attributi, è necessario modificare le regole di sincronizzazione nell'Editor regole di sincronizzazione per assicurarsi che gli oggetti siano di nuovo nell'ambito di sincronizzazione.

Importante

Le modifiche al filtro e alla regola di sincronizzazione del dominio/unità organizzativa non diventano effettive finché non si esegue un ciclo di sincronizzazione completo: Start-ADSyncSyncCycle -PolicyType Initial.

Se si desiderano tutte le eliminazioni

Se tutti gli oggetti in sospeso devono essere eliminati in Microsoft Entra ID, usare la credenziale Entra Global Administrator o Hybrid Identity Administrator, seguire questa procedura:

Avvertimento

Questa azione può comportare l'eliminazione permanente degli oggetti in Microsoft Entra ID.

  1. Per disabilitare temporaneamente questa protezione e consentire l'esecuzione di tutte le eliminazioni, eseguire il cmdlet di PowerShell: Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".

  2. Con Microsoft Entra Connector ancora selezionato, selezionare l'azione Esegui e selezionare Esporta.

  3. Per proteggersi da eliminazioni impreviste in futuro, assicurarsi che la funzionalità soglia di eliminazione non sia disabilitata in modo permanente. Per riabilitare la protezione con il valore predefinito, eseguire: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>".

Se un numero maggiore di eliminazioni previste è frequente nell'organizzazione, è consigliabile aumentare la soglia di eliminazione anziché disabilitare questa protezione, in quanto ciò potrebbe consentire eliminazioni indesiderate che causano la perdita di dati critici e interruzioni dei servizi. Valutare il numero desiderato specifico di eliminazioni e usare il cmdlet di PowerShell seguente per impostare un nuovo limite, ad esempio, per impostare una soglia di eliminazione di 1000, usare: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>".

Per confermare la soglia di eliminazione corrente, eseguire: Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".

Passaggi successivi

argomenti di panoramica