Microsoft Entra Connect Sync: 誤って削除されないようにする
このトピックでは、Microsoft Entra Connect での誤削除 (誤削除の防止) を防ぐ機能について説明します。
Microsoft Entra Connect をインストールする場合、誤って削除されないようにする機能は既定で有効になっており、500 を超える削除を含むエクスポートを許可しないように構成されています。 この機能は、多くのユーザーや他のオブジェクトに影響を与えるオンプレミス ディレクトリに対する誤った構成変更や変更からユーザーを保護するように設計されています。
誤って削除されるのを防ぐもの
多くのオブジェクトの削除に関連する一般的なシナリオを次に示します。
OU 内のすべてのオブジェクトが移動または削除されます。
OU の名前が変更され、すべての子オブジェクトが同期の対象範囲外になります。
既定値の 500 個のオブジェクトは、Microsoft Entra Connect と共にインストールされた AD 同期モジュールの一部である Enable-ADSyncExportDeletionThresholdを使用して PowerShell で変更できます。 この値は、組織のサイズに合わせて構成する必要があります。
ステージングされた削除が多すぎて Microsoft Entra ID にエクスポートできない場合は、オブジェクトを削除する前にエクスポートが停止し、次のようなメールが届きます。
| 変更前: | Microsoft Security MSSecurity-noreply@microsoft.com |
|---|---|
| タイトル: | Microsoft Entra ID へのエクスポートが停止されました。 誤削除のしきい値に達しました。 |
| 説明: | Microsoft Entra ID へのエクスポート操作が失敗しました。 削除するオブジェクトの数が、設定されたしきい値より多くありました。 その結果、オブジェクトはエクスポートされませんでした。 |
| 発生: | 2025 年 1 月 24 日 00:00 UTC |
| サーバー: | <サーバー名> |
| サービス: | fabrikamonline.onmicrosoft.com |
| テナント: | FabrikamOnline.com |
Microsoft Entra Connect Health ポータル から、同期サービスに移動し、テナントを選択してから、アクティブな Entra Connect サーバーを選択し、[アラート] を選択して、誤削除しきい値が報告されたイベントの一覧を表示します。
アプリケーション イベント ビューアーのログから、次の例のように警告イベント ID 116 が表示されます。
Log Name: Application
Source: Directory Synchronization
Date: <Date/Time>
Event ID: 116
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: <server name>
Description: Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.
エクスポート プロファイルの stopped-deletion-threshold-exceeded UI を見ると、状態 を確認することもできます。
が誤って削除されないようにする
このエラーが予期しない場合は、調査して是正措置を講じます。 削除しようとしているオブジェクトを確認するには、次の手順を実行します。
[スタート] メニューから同期サービス
開始します。 コネクタに移動します。
Windows Azure Active Directory コネクタの種類を選択します。
右にある [アクション] で、[コネクタの検索領域] を選択します。
スコープのドロップダウン ボックスで、[保留中のエクスポート] 選択し、[削除]のチェック ボックスをオンにします。
[検索] を選択すると、削除しようとしているすべてのオブジェクトの一覧が表示されます。 各項目を開くと、オブジェクトに関する追加情報を取得できます。 列の設定を選択して、グリッドに表示する属性を追加することもできます (たとえば、onPremisesDistinguishedName)。
削除が予期しない場合
不確かな場合や、すべての削除が望ましいか確信が持てない場合、安全のための別の方法を選択することができます。その方法として、スプレッドシートから削除予定のすべてのオブジェクトを 確認 する、より詳細な方法を利用できます。
通常、予期しない削除は、OU 構造の変更またはドメイン/OU スコープのフィルター処理 が原因で発生するため、削除が保留中のオブジェクトが同期スコープ内にあることを確認してください。 たとえば、Active Directory で OU の名前を変更すると、Microsoft Entra Connect ウィザードで OU を再選択しない限り、Microsoft Entra ID で予期しない大量の削除が発生する可能性があります。 属性スコープ フィルターを使用している場合は、同期規則エディターで必要な同期規則を調整して、オブジェクトが同期スコープに戻っていることを確認します。
重要
ドメイン/OU スコープ フィルターと同期規則の変更は、完全同期サイクルを実行するまで有効になりません: Start-ADSyncSyncCycle -PolicyType Initial
すべての削除が必要な場合
削除が保留中のすべてのオブジェクトが Microsoft Entra ID で削除されるはずである場合は、Entra 全体管理者またはハイブリッド ID 管理者の資格情報を使用して、次の手順を実行します。
警告
この操作により、Microsoft Entra ID 内のオブジェクトが完全に削除される可能性があります。
この保護を一時的に無効にし、すべての削除を実行するには、PowerShell コマンドレット (
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"を実行します。Microsoft Entra Connector が選択されている状態で、[実行] アクションを選び、[エクスポート] を選択します。
今後予期しない削除から保護するには、削除しきい値機能が完全に無効になっていないことを確認します。 既定値で保護を再度有効にするには、次を実行します:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"
組織内で予想される削除の数が多い場合は、この保護を無効にするのではなく、削除のしきい値を増やすことをお勧めします。これにより、望ましくない削除によって重要なデータが失われ、サービスが中断される可能性があるためです。 特定の削除数を評価し、次の PowerShell コマンドレットを使用して新しい制限を設定します。たとえば、削除のしきい値を 1000 に設定するには、次の値を使用します Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>"
現在の削除しきい値を確認するには、次を実行します: Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"
次の手順
概要トピック