Sincronização do Microsoft Entra Connect: impedir exclusões acidentais

Este tópico descreve o recurso impedir exclusões acidentais (impedindo exclusões acidentais) no Microsoft Entra Connect.

Ao instalar o Microsoft Entra Connect, impedir exclusões acidentais é habilitado por padrão e configurado para não permitir uma exportação com mais de 500 exclusões. Esse recurso foi projetado para protegê-lo contra alterações acidentais de configuração e alterações no diretório local que afetariam muitos usuários e outros objetos.

O que é impedir exclusões acidentais

Cenários comuns envolvendo muitas exclusões incluem:

• Alterações de filtragem em que todo uma UO ou domínio é desmarcado.
• Todos os objetos em uma UO são excluídos.
• Uma UO é renomeada e todos os objetos são considerados fora do escopo de sincronização.

O valor padrão de 500 objetos pode ser alterado com o PowerShell usando Enable-ADSyncExportDeletionThreshold, que faz parte do módulo sincronização do AD instalado com o Microsoft Entra Connect. Você deve configurar esse valor para se ajustar ao tamanho da sua organização. Como o agendador de sincronização é executado a cada 30 minutos, o valor é o número de exclusões vistas em 30 minutos.

Se houver muitas exclusões preparadas para serem exportadas para a Microsoft Entra ID, a exportação será pausada e você receberá um email deste tipo:

Olá (contato técnico). No (momento) o serviço de sincronização de identidade detectou que o número de exclusões excedeu o limite de exclusão configurado para (nome da organização). Um total de (número) objetos foram enviados para exclusão nesta execução da sincronização de Identidade. Isso atingiu ou excedeu o limite de exclusão configurado para um valor de (número) de objetos. Precisamos que você forneça a confirmação de que essas exclusões devem ser processadas antes de prosseguirmos. Para obter mais informações sobre o erro listado nesta mensagem de email, consulte a prevenção de exclusões acidentais.

Você também pode ver o status stopped-deletion-threshold-exceeded examinando a interface do usuário do Synchronization Service Manager para o perfil de exportação.

Se isso for inesperado, investigue e execute ações corretivas. Para ver quais objetos estão prestes a ser excluídos, faça o seguinte:

1. Inicie o Serviço de Sincronização no Menu Iniciar.
2. Acesse Conectores.
3. Selecione o Conector com o tipo Microsoft Entra ID.
4. Em Ações, à direita, selecione Pesquisar Espaço do Conector.
5. No pop-up em Escopo, selecione Desconectado desde e escolha um horário no passado. Selecione Pesquisar. Esta página fornece uma exibição de todos os objetos prestes a serem excluídos. Selecionando cada item, você pode obter informações adicionais sobre o objeto. Você também pode selecionar Configuração de Coluna para adicionar mais atributos para exibição na grade.

[! OBSERVAÇÃO] Se você não tiver certeza de que todas as exclusões são desejadas e deseja seguir um caminho mais seguro. Você pode usar o cmdlet do PowerShell: Enable-ADSyncExportDeletionThreshold definir um novo limite em vez de desabilitar o limite que poderia permitir exclusões indesejadas.

Se todas as exclusões forem desejadas

Se todas as exclusões forem desejadas, faça o seguinte:

1. Para recuperar o limite de exclusão atual, execute o cmdlet do PowerShell Get-ADSyncExportDeletionThreshold. O valor padrão é 500.
2. Para desabilitar temporariamente essa proteção e permitir que as exclusões passem, execute o cmdlet do PowerShell: Disable-ADSyncExportDeletionThreshold.
3. Com o Conector do Microsoft Entra ainda selecionado, selecione a ação Executar e Exportar.
4. Para habilitar novamente a proteção, execute o cmdlet do PowerShell: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Substitua 500 pelo valor que você notou ao recuperar o limite de exclusão atual.

Próximas etapas

visão geral de tópicos

• Microsoft Entra Connect Sync: compreender e personalizar a sincronização
• Integração das suas identidades locais ao Microsoft Entra ID