Udostępnij za pośrednictwem

Microsoft Entra Connect Sync: zapobieganie przypadkowym usunięciom

  • Artykuł

W tym temacie opisano funkcję zapobiegania przypadkowym usunięciom (zapobieganie przypadkowym usunięciom) w programie Microsoft Entra Connect.

Podczas instalowania programu Microsoft Entra Connect funkcja zapobiegania przypadkowym usuwaniu jest domyślnie włączona i skonfigurowana tak, aby nie zezwalała na eksportowanie z ponad 500 usunięciami. Ta funkcja została zaprojektowana w celu ochrony przed przypadkowymi zmianami konfiguracji i zmianami w katalogu lokalnym, które miałyby wpływ na wielu użytkowników i inne obiekty.

Co uniemożliwia przypadkowe usunięcia

Typowe scenariusze obejmujące wiele operacji usuwania obiektów obejmują:

  • Zmiany w filtrowaniu w sytuacji, gdy nie zaznaczono całej jednostki organizacyjnej lub domeny.

  • Wszystkie obiekty w jednostce organizacyjnej są przenoszone lub usuwane.

  • Gdy zmieniana jest nazwa jednostki organizacyjnej, wszystkie jej obiekty podrzędne zostają wyłączone z zakresu synchronizacji.

Wartość domyślną 500 obiektów można zmienić przy użyciu programu PowerShell przy użyciu programu Enable-ADSyncExportDeletionThreshold, który jest częścią modułu AD Sync zainstalowanego w programie Microsoft Entra Connect. Tę wartość należy skonfigurować tak, aby odpowiadała rozmiarowi organizacji.

Powiadomienia zapobiegające przypadkowemu usunięciu

Jeśli istnieje zbyt wiele operacji usuwania przygotowanych do wyeksportowania do identyfikatora Entra firmy Microsoft, eksport zostanie zatrzymany przed usunięciem dowolnego obiektu i otrzymasz wiadomość e-mail podobną do następującej:

Zapobiegaj przypadkowemu usuwaniu e-maili

Od: Zabezpieczenia Microsoftu MSSecurity-noreply@microsoft.com
Tytuł: Zatrzymano eksport do Microsoft Entra ID. Został osiągnięty próg przypadkowych usunięć.
Opis: Operacja eksportowania do Microsoft Entra ID nie powiodła się. Było więcej obiektów do usunięcia niż skonfigurowany próg. W rezultacie nie wyeksportowano żadnych obiektów.
Podniesione: 24 stycznia 2025 r. 00:00 UTC
Serwer: <nazwa serwera>
Usługa: fabrikamonline.onmicrosoft.com
Dzierżawca: FabrikamOnline.com

W portalu Microsoft Entra Connect Health przejdź do Usług synchronizacji, wybierz swoją dzierżawę, a następnie wybierz aktywny serwer Entra Connect i wybierz Alerty, aby wyświetlić listę zdarzeń, w których zgłaszany jest próg przypadkowych usunięć.

Zrzut ekranu przedstawiający alerty synchronizacji programu Microsoft Entra Connect.

W dziennikach podglądu zdarzeń aplikacji można zobaczyć identyfikator zdarzenia ostrzeżenia 116 jako następujący przykład:

Log Name:      Application
Source:        Directory Synchronization
Date:          <Date/Time>
Event ID:      116
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      <server name>
Description:   Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.

Określanie, które obiekty oczekują na usunięcie

Stan profilu uruchamiania można zobaczyć stopped-deletion-threshold-exceeded w interfejsie Synchronization Service Manager dla etapu eksportu. zapobiegać przypadkowemu usuwaniu interfejsu użytkownika programu Sync Service Manager

Aby zobaczyć, które obiekty mają zostać usunięte, wykonaj następujące czynności:

  1. Uruchom usługę synchronizacji z Menu Start.

  2. Przejdź do Łączniki.

  3. Wybierz typ łącznika windows Azure Active Directory.

  4. W obszarze Akcje po prawej, wybierz opcję Przestrzeń Łącznika Wyszukiwania .

  5. W polu listy rozwijanej w obszarze Zakreswybierz pozycję Eksport oczekujący i włącz pole wyboru dla Usuń.

  6. Wybierz pozycję Wyszukaj, aby wyświetlić listę wszystkich obiektów, które mają zostać usunięte. Otwierając każdy element, możesz uzyskać dodatkowe informacje o obiekcie. Możesz również wybrać ustawienia kolumn, aby dodać więcej atrybutów widocznych w tabeli, na przykład onPremisesDistinguishedName.

    Zrzut ekranu przedstawiający obszar łącznika wyszukiwania.

Jeśli usunięcia są nieoczekiwane

Jeśli nie masz pewności, że wszystkie usunięcia są wymagane i chcesz przejść bezpieczniejszą ścieżką, możesz użyć bardziej szczegółowej metody, aby zweryfikować wszystkie obiekty oczekujące na usunięcie przy użyciu arkusza kalkulacyjnego.

Nieoczekiwane usunięcia są zwykle spowodowane zmianami w strukturze jednostki organizacyjnej lub filtrowaniem zakresu domeny/jednostki organizacyjnej, dlatego upewnij się, że obiekty oczekujące na usunięcie znajdują się w zakresie synchronizacji. Na przykład zmiana nazwy jednostki organizacyjnej w Active Directory może spowodować nieoczekiwane masowe usunięcia w Microsoft Entra ID, chyba że ponownie wybierzesz jednostkę organizacyjną w kreatorze Microsoft Entra Connect. Jeśli używasz filtrów określania zakresu atrybutów, dostosuj niezbędne reguły synchronizacji w Edytorze reguł synchronizacji, aby upewnić się, że obiekty są z powrotem w zakresie synchronizacji.

Ważny

Zmiany filtru określającego zakres domeny/jednostki organizacyjnej i reguły synchronizacji nie zostaną zastosowane do momentu uruchomienia pełnego cyklu synchronizacji: Start-ADSyncSyncCycle -PolicyType Initial.

Jeśli wszystkie usunięcia są wymagane

Jeśli wszystkie obiekty oczekujące na usunięcie mają zostać usunięte w Microsoft Entra ID, używając poświadczeń Administratora Globalnego Entra lub Administratora Tożsamości Hybrydowej, wykonaj następujące czynności:

Ostrzeżenie

Ta akcja może spowodować trwałe usunięcie obiektów w identyfikatorze Entra firmy Microsoft.

  1. Aby tymczasowo wyłączyć tę ochronę i umożliwić przejście wszystkich operacji usuwania, uruchom polecenie cmdlet programu PowerShell: Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".

  2. Z zaznaczonym łącznikiem Microsoft Entra wybierz akcję Uruchom i wybierz opcję Eksportuj.

  3. Aby chronić przed nieoczekiwanymi usunięciami w przyszłości, upewnij się, że funkcja progowa usuwania nie jest trwale wyłączona. Aby ponownie włączyć ochronę z wartością domyślną, uruchom polecenie: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>".

Jeśli w organizacji często występuje większa liczba oczekiwanych usunięć, zaleca się zwiększenie progu usuwania, a nie wyłączenie tej ochrony, ponieważ może to spowodować niepożądane usunięcia powodujące utratę krytycznych danych i zakłóceń usług. Oceń żądaną liczbę operacji usuwania i użyj następującego polecenia cmdlet programu PowerShell, aby ustawić nowy limit, na przykład, aby ustawić próg usuwania wynoszący 1000, użyj polecenia: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>".

Aby potwierdzić bieżący próg usuwania, uruchom polecenie: Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".

Następne kroki

— omówienie tematów