Синхронизация Microsoft Entra Connect: защита от случайного удаления
В этом разделе описывается функция предотвращения случайного удаления в Microsoft Entra Connect.
При установке Microsoft Entra Connect запрет случайных удалений включен по умолчанию и настроен не разрешать экспорт с более чем 500 удалениями. Эта функция предназначена для защиты от случайных изменений конфигурации и изменений в локальном каталоге, который повлияет на многих пользователей и другие объекты.
Что такое предотвращение непреднамеренного удаления
Распространенные сценарии, которые включают множество удалений:
- Изменения в фильтрации, где не выбраны все подразделения или домена.
- Все объекты в организационном подразделении удаляются.
- Подразделение переименовывается, поэтому все объекты в нём считаются вне области синхронизации.
Значение по умолчанию для 500 объектов можно изменить с помощью Enable-ADSyncExportDeletionThreshold
в PowerShell, который является частью модуля синхронизации AD, установленного через Microsoft Entra Connect. Это значение следует настроить для соответствия размеру организации. Так как планировщик синхронизации выполняется каждые 30 минут, значение — это количество удалений, зарегистрированных в течение этих 30 минут.
Если слишком много удалений готово к экспорту в Microsoft Entra ID, процесс экспорта прерывается, и вы получите такое электронное письмо:
Привет (технический контакт). В то время служба синхронизации удостоверений обнаружила, что число удалений превысило заданное пороговое значение удаления (имя организации). Всего (число) объектов были отправлены для удаления в этом запуске синхронизации удостоверений. Достигнуто или превышено пороговое значение удаления, заданное в настройках, для (число) объектов. Нам нужно подтвердить, что эти удаления должны быть обработаны, прежде чем продолжить работу. Дополнительные сведения об ошибке, указанной в этом сообщении электронной почты, см. в статье о предотвращении случайного удаления.
Вы также можете увидеть состояние stopped-deletion-threshold-exceeded
в пользовательском интерфейсе диспетчера синхронизации для профиля экспорта, если посмотрите в.
пользовательского интерфейса Sync Service Manager
Если это было неожиданно, то изучите и выполните корректирующие действия. Чтобы узнать, какие объекты будут удалены, сделайте следующее:
- Запустите службу синхронизации из меню "Пуск".
- Перейдите к соединителям.
- Выберите соединитель с типом идентификатора Microsoft Entra ID.
- В разделе Действия справа выберите пространство соединителя поиска.
- Во всплывающем окне в разделе Областивыберите Отключено с и укажите время в прошлом. Выберите поиска. На этой странице представлено представление всех объектов, которые будут удалены. Выбрав каждый элемент, вы можете получить дополнительные сведения об объекте. Вы также можете выбрать параметр столбца, чтобы добавить дополнительные атрибуты, которые будут отображаться в сетке.
[!ПРИМЕЧАНИЕ] Если вы не уверены, что все удаления нужны, и хотите перейти к более безопасному методу. Командлет PowerShell можно использовать: Enable-ADSyncExportDeletionThreshold
чтобы установить новое пороговое значение вместо отключения порогового значения, что может привести к нежелательным удалениям.
Если все удаления желательны
Если нужны все удаления, сделайте следующее:
- Чтобы получить текущее пороговое значение удаления, выполните командлет PowerShell
Get-ADSyncExportDeletionThreshold
. Значение по умолчанию — 500. - Чтобы временно отключить эту защиту и разрешить удалениям пройти, запустите командлет PowerShell:
Disable-ADSyncExportDeletionThreshold
. - Если соединитель Microsoft Entra все еще выбран, выберите действие Выполнить и выберите Экспорт.
- Чтобы повторно включить защиту, выполните командлет PowerShell:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500
. Замените 500 значением, которое вы заметили при получении текущего порогового значения удаления.
Дальнейшие действия
темы обзора