Microsoft Entra Connect Sync: onbedoelde verwijderingen voorkomen
In dit onderwerp wordt de functie beschreven om onbedoelde verwijderingen (onbedoelde verwijderingen) in Microsoft Entra Connect te voorkomen.
Wanneer u Microsoft Entra Connect installeert, wordt de functie om onbedoelde verwijderingen te voorkomen standaard ingeschakeld en geconfigureerd om een export met meer dan 500 verwijderingen niet toe te staan. Deze functie is ontworpen om u te beschermen tegen onbedoelde configuratiewijzigingen en wijzigingen in uw on-premises directory die van invloed zijn op veel gebruikers en andere objecten.
Wat voorkomt het onbedoeld verwijderen
Veelvoorkomende scenario's met betrekking tot veel objectverwijderingen zijn onder andere:
Wijzigingen in filteren waarbij een hele organisatie-eenheid of domein wordt gedeselecteerd.
Alle objecten in een organisatie-eenheid worden verplaatst of verwijderd.
De naam van een organisatie-eenheid wordt gewijzigd, zodat alle onderliggende objecten buiten het bereik van synchronisatie vallen.
De standaardwaarde van 500 objecten kan worden gewijzigd met PowerShell met behulp van Enable-ADSyncExportDeletionThreshold, dat deel uitmaakt van de AD Sync-module die is geïnstalleerd met Microsoft Entra Connect. U moet deze waarde zo configureren dat deze past bij de grootte van uw organisatie.
Als er te veel verwijderingen zijn die moeten worden geëxporteerd naar Microsoft Entra ID, stopt de export voordat u een object verwijdert en ontvangt u een e-mailbericht als volgt:
| Van: | Microsoft Security MSSecurity-noreply@microsoft.com |
|---|---|
| Titel: | Exporteren naar Microsoft Entra ID is gestopt. De drempelwaarde voor onbedoeld verwijderen is bereikt. |
| Beschrijving: | De exportbewerking naar Microsoft Entra-id is mislukt. Er zijn meer objecten verwijderd dan de geconfigureerde drempelwaarde. Als gevolg hiervan zijn er geen objecten geëxporteerd. |
| Getogen: | 24 januari 2025 00:00 UTC |
| Server: | <servernaam> |
| Dienst: | fabrikamonline.onmicrosoft.com |
| Huurder: | FabrikamOnline.com |
Ga in Microsoft Entra Connect Health portal naar Sync-services, selecteer uw tenant, selecteer vervolgens uw actieve Entra Connect-server en selecteer Waarschuwingen om de lijst met gebeurtenissen weer te geven waarin de drempelwaarde voor onbedoeld verwijderen wordt gerapporteerd.
In de logboeken van toepassingsgebeurtenissen ziet u een waarschuwingsgebeurtenis-id 116 als het volgende voorbeeld:
Log Name: Application
Source: Directory Synchronization
Date: <Date/Time>
Event ID: 116
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: <server name>
Description: Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.
U kunt ook de status stopped-deletion-threshold-exceeded zien wanneer u in de Synchronization Service Manager UI voor het exportprofiel kijkt.
Als deze fout onverwacht is, onderzoekt en voert u corrigerende acties uit. Als u wilt zien welke objecten binnenkort worden verwijderd, voert u de volgende stappen uit:
Start Synchronization Service vanuit het menu Start.
Ga naar Connectoren.
Selecteer het connectortype Windows Azure Active Directory-.
Onder Acties aan de rechterkant, selecteer Zoek Connectorruimte.
Selecteer in de vervolgkeuzelijst onder BereikExport in behandeling en schakel het selectievakje voor Verwijderenin.
Selecteer Zoeken om een lijst met alle objecten weer te geven die moeten worden verwijderd. Door elk item te openen, krijgt u aanvullende informatie over het object. U kunt ook Kolominstellingen selecteren om meer kenmerken toe te voegen die zichtbaar zijn in het raster, bijvoorbeeld de onPremisesDistinguishedName.
Als de verwijderingen onverwacht zijn
Als u niet zeker weet of alle verwijderingen gewenst zijn en een veiligere route willen uitvoeren, kunt u een gedetailleerdere methode gebruiken om Controleren alle objecten die in behandeling zijn uit een spreadsheet te verwijderen.
Onverwachte verwijderingen worden meestal veroorzaakt door wijzigingen in de organisatie-eenheidsstructuur of het filteren van het domein-/OE-bereik, dus zorg ervoor dat de objecten die in behandeling zijn, in het synchronisatiebereik vallen. Als u bijvoorbeeld de naam van een organisatie-eenheid in Active Directory wijzigt, kan dit leiden tot onverwachte massaverwijderingen in Microsoft Entra ID, tenzij u de OE opnieuw selecteert in de Wizard Microsoft Entra Connect. Als u kenmerkbereikfilters gebruikt, past u de benodigde synchronisatieregels aan in de editor voor synchronisatieregels om ervoor te zorgen dat de objecten weer zijn gesynchroniseerd.
Belangrijk
Het bereikfilter en de synchronisatieregelwijzigingen voor domeinen/OE's worden pas van kracht nadat u een volledige synchronisatiecyclus hebt uitgevoerd: Start-ADSyncSyncCycle -PolicyType Initial
Als alle verwijderingen gewenst zijn
Als alle objecten die in afwachting van verwijdering zijn, moeten worden verwijderd in Microsoft Entra ID, voert u de volgende stappen uit met uw referenties als Entra Globale Beheerder of Hybride Identiteitsbeheerder.
Waarschuwing
Deze actie kan resulteren in het permanent verwijderen van objecten in Microsoft Entra-id.
Als u deze beveiliging tijdelijk wilt uitschakelen en alle verwijderingen wilt laten doorlopen, voert u de PowerShell-cmdlet uit:
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".Met de Microsoft Entra-connector nog steeds geselecteerd, selecteer de actie uitvoeren en selecteer Exporteren.
Als u in de toekomst wilt beschermen tegen onverwachte verwijderingen, moet u ervoor zorgen dat de functie voor verwijderingsdrempelwaarden niet permanent is uitgeschakeld. Als u de beveiliging opnieuw wilt inschakelen met de standaardwaarde, voert u het volgende uit:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"
Als een hoger aantal verwachte verwijderingen vaak voorkomt in uw organisatie, is het raadzaam om de drempelwaarde voor verwijdering te verhogen in plaats van deze beveiliging uit te schakelen, omdat dit ongewenste verwijderingen mogelijk maakt die leiden tot verlies van kritieke gegevens en onderbreking van services. Evalueer het specifieke gewenste aantal verwijderingen en gebruik de volgende PowerShell-cmdlet om bijvoorbeeld een nieuwe limiet in te stellen om een drempelwaarde voor verwijdering van 1000 in te stellen: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>"
Voer het volgende uit om de huidige drempelwaarde voor verwijdering te bevestigen: Get-ADSyncExportDeletionThreshold
Volgende stappen
overzichtsonderwerpen