Microsoft Entra Connect Sync: Evite exclusões acidentais
Este tópico descreve o recurso para evitar exclusões acidentais (impedindo exclusões acidentais) no Microsoft Entra Connect.
Ao instalar o Microsoft Entra Connect, o recurso para evitar exclusões acidentais é habilitado por padrão e configurado para não permitir uma exportação com mais de 500 exclusões. Esse recurso foi projetado para protegê-lo contra alterações acidentais de configuração e alterações no diretório local que afetariam muitos usuários e outros objetos.
O que está a impedir eliminações acidentais
Os cenários comuns que envolvem muitas exclusões de objetos incluem:
As alterações na filtragem de
em que um de UO de inteiro ou de domínio está desmarcado. Todos os objetos em uma UO são movidos ou excluídos.
Uma UO é renomeada de modo que todos os seus objetos filho sejam excluídos do escopo de sincronização.
O valor padrão de 500 objetos pode ser alterado com o PowerShell usando Enable-ADSyncExportDeletionThreshold, que faz parte do módulo de Sincronização do AD instalado com o Microsoft Entra Connect. Você deve configurar esse valor para se ajustar ao tamanho da sua organização.
Se houver muitas exclusões preparadas para serem exportadas para o Microsoft Entra ID, a exportação será interrompida antes de excluir qualquer objeto e você receberá um e-mail como este:
| De: | Segurança da Microsoft MSSecurity-noreply@microsoft.com |
|---|---|
| Título: | A exportação para o Microsoft Entra ID foi interrompida. O limiar de eliminação acidental foi atingido. |
| Descrição: | A operação de exportação para o Microsoft Entra ID falhou. Havia mais objetos a serem excluídos do que o limite configurado. Como resultado, nenhum objeto foi exportado. |
| Levantado: | 24 de janeiro de 2025 00:00 UTC |
| Servidor: | <nome do servidor> |
| Serviço: | fabrikamonline.onmicrosoft.com |
| Inquilino: | FabrikamOnline.com |
No portal Microsoft Entra Connect Health, navegue até Serviços de sincronização, selecione seu locatário e, em seguida, selecione seu servidor Entra Connect ativo e selecione Alertas para ver a lista de eventos em que o limite de exclusão acidental é relatado.
Nos logs do visualizador de eventos do aplicativo, você pode ver uma ID de evento de Aviso 116 como o exemplo a seguir:
Log Name: Application
Source: Directory Synchronization
Date: <Date/Time>
Event ID: 116
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: <server name>
Description: Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.
Você também pode ver o estado stopped-deletion-threshold-exceeded quando procura na interface do usuário do Synchronization Service Manager o perfil Export.
Se esse erro for inesperado, investigue e tome medidas corretivas. Para ver quais objetos estão prestes a serem excluídos, execute as seguintes etapas:
Inicie Serviço de Sincronização no Menu Iniciar.
Vá para Conectores.
Selecione o Tipo de conector Windows Azure Ative Directory.
Em Ações à direita, selecione Espaço do Conector de Pesquisa.
Na caixa suspensa em Escopo, selecione Exportação Pendente e ative a caixa de seleção para Eliminar.
Selecione Pesquisar para exibir uma lista de todos os objetos prestes a serem excluídos. Ao abrir cada item, você pode obter informações adicionais sobre o objeto. Você também pode selecionar Configurações de Coluna para adicionar mais atributos a serem visíveis na grade, por exemplo, onPremisesDistinguishedName.
Se as exclusões forem inesperadas
Se não tiveres a certeza de que todas as eliminações são desejadas e pretenderes seguir um caminho mais seguro, podes usar um método mais detalhado para verificar todos os objetos pendentes de eliminação a partir de uma folha de cálculo.
As exclusões inesperadas geralmente são causadas por alterações na estrutura da UO ou de filtragem de escopo de Domínio/UO , portanto, certifique-se de que os objetos pendentes de exclusão estejam no escopo sincronizado. Por exemplo, renomear uma UO no Ative Directory pode causar exclusões em massa inesperadas no Microsoft Entra ID, a menos que você selecione novamente a UO no Assistente do Microsoft Entra Connect. Se você estiver usando filtros de escopo de atributos, ajuste as regras de sincronização necessárias no Editor de Regras de Sincronização para garantir que os objetos estejam novamente no escopo de sincronização.
Importante
O filtro de escopo de domínio/UO e as alterações de regras de sincronização não entram em vigor até que você execute um ciclo de sincronização completo: Start-ADSyncSyncCycle -PolicyType Initial
Se todas as exclusões forem desejadas
Se todos os objetos pendentes de exclusão devem ser excluídos no ID do Microsoft Entra, use sua credencial de Administrador Global do Entra ou Administrador de Identidade Híbrida, execute as seguintes etapas:
Advertência
Esta ação pode resultar na exclusão permanente de objetos no Microsoft Entra ID.
Para desabilitar temporariamente essa proteção e permitir que todas as exclusões passem, execute o cmdlet PowerShell:
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".Com o Microsoft Entra Connector ainda selecionado, selecione a ação Executar e selecione Exportar.
Para se proteger contra exclusões inesperadas no futuro, verifique se o recurso de limite de exclusão não está desativado permanentemente. Para reativar a proteção com o valor padrão, execute:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"
Se um número maior de exclusões esperadas for frequente em sua organização, é aconselhável aumentar o limite de exclusão em vez de desabilitar essa proteção, pois isso pode permitir exclusões indesejadas causando perda de dados críticos e interrupção de serviços. Avalie o número desejado específico de exclusões e use o seguinte cmdlet do PowerShell para definir um novo limite, por exemplo, para definir um limite de exclusão de 1000, use: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>"
Para confirmar o limite de exclusão atual, execute: Get-ADSyncExportDeletionThreshold
Próximos passos
Tópicos de visão geral