Синхронизация Microsoft Entra Connect: защита от случайного удаления
В этом разделе описывается функция предотвращения случайного удаления в Microsoft Entra Connect.
При установке Microsoft Entra Connect функция предотвращения случайного удаления включена по умолчанию и настроена, чтобы запретить экспорт с более чем 500 удалениями. Эта функция предназначена для защиты от случайных изменений конфигурации и изменений в локальном каталоге, который повлияет на многих пользователей и другие объекты.
Что предотвращает случайное удаление
К общим сценариям, связанным с удалением многих объектов, относятся:
Изменения в фильтрации, когда убран целый подраздел или домен.
Все объекты в организационной единице перемещаются или удаляются.
Подразделение переименовывается, в результате чего все дочерние объекты выпадают из области синхронизации.
Значение по умолчанию для 500 объектов можно изменить с помощью Enable-ADSyncExportDeletionThreshold
в PowerShell, который является частью модуля синхронизации AD, установленного через Microsoft Entra Connect. Это значение следует настроить для соответствия размеру организации.
Уведомления для предотвращения случайного удаления
Если в Microsoft Entra ID подготовлено слишком много операций удаления для экспорта, то экспорт останавливается, чтобы не удалять ни один объект, и вы получите электронное письмо подобного содержания:
От: | Microsoft Security MSSecurity-noreply@microsoft.com |
---|---|
Название: | Экспорт в Microsoft Entra ID был остановлен. Достигнуто пороговое значение непреднамеренного удаления. |
Описание: | Операция экспорта в Microsoft Entra ID завершилась сбоем. Количество объектов для удаления превысило настроенное пороговое значение. В результате объекты не были экспортированы. |
Поднятый | 24 января 2025 г. 00:00 UTC |
Сервер: | <название сервера> |
Служба: | fabrikamonline.onmicrosoft.com |
Съёмщик: | FabrikamOnline.com |
На портале Microsoft Entra Connect Health перейдите к службам синхронизации, выберите своего клиента, затем выберите активный сервер Entra Connect и выберите "Оповещения", чтобы просмотреть список событий, в которых регистрируется порог случайного удаления.
В журналах средства просмотра событий приложения вы увидите идентификатор события предупреждения 116 в следующем примере:
Log Name: Application
Source: Directory Synchronization
Date: <Date/Time>
Event ID: 116
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: <server name>
Description: Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.
Определение объектов, ожидающих удаления
Состояние профиля запуска stopped-deletion-threshold-exceeded
можно увидеть в пользовательском интерфейсе Synchronization Service Manager при просмотре шага экспорта.
пользовательского интерфейса Sync Service Manager
Чтобы узнать, какие объекты будут удалены, сделайте следующее:
Запустите службу синхронизации из меню "Пуск".
Перейдите к соединителям.
Выберите тип соединителя Windows Azure Active Directory.
В разделе Действия выберите справа Поиск в пространстве соединителей.
В раскрывающемся списке в разделе Область выберите Ожидает экспорта и установите флажок Удалить.
Выберите "Поиск", чтобы просмотреть список всех объектов, которые нужно удалить. Открыв каждый элемент, можно получить дополнительные сведения об объекте. Вы также можете выбрать параметры столбцов, чтобы добавить дополнительные атрибуты для отображения в сетке, например onPremisesDistinguishedName.
Если удаление непредвиденное
Если вы не уверены, что все удаления нужны и хотите выбрать более безопасный подход, можно использовать более подробный метод проверки, чтобы Проверить все объекты, ожидающие удаления из таблицы.
Непредвиденные удаления обычно вызваны изменениями структуры подразделения или фильтрации области домена или подразделения, поэтому убедитесь, что объекты, ожидающие удаления, находятся в области синхронизации. Например, переименование OU в Active Directory может привести к непредвиденным массовым удалениям в Microsoft Entra ID, если вы не выполните повторный выбор OU в мастере Microsoft Entra Connect. Если вы используете фильтры области атрибутов, настройте необходимые правила синхронизации в редакторе правил синхронизации, чтобы убедиться, что объекты возвращены в область синхронизации.
Это важно
Изменения фильтра области доменов и организационных единиц, а также правил синхронизации не вступают в силу до тех пор, пока не будет выполнен полный цикл синхронизации: Start-ADSyncSyncCycle -PolicyType Initial
.
Если необходимо удалить все
Если все объекты, ожидающие удаления, должны быть удалены в идентификаторе Microsoft Entra ID, то с помощью учетных данных глобального администратора Entra или гибридного администратора удостоверений выполните следующие действия.
Предупреждение
Это действие может привести к окончательному удалению объектов в идентификаторе Microsoft Entra.
Чтобы временно отключить эту защиту и разрешить все удаления, выполните командлет PowerShell:
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"
.Если соединитель Microsoft Entra все еще выбран, выберите действие Выполнить и выберите Экспорт.
Чтобы защититься от непредвиденных удалений в будущем, убедитесь, что функция порогового значения удаления не будет окончательно отключена. Чтобы повторно включить защиту со значением по умолчанию, выполните команду
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"
.
Если в организации часто возникает более большое количество ожидаемых удалений, рекомендуется увеличить порог удаления, а не отключить эту защиту, так как это может позволить нежелательным удалениям, что приводит к потере критически важных данных и нарушению работы служб. Оцените требуемое количество удалений и используйте следующий командлет PowerShell, чтобы задать новое ограничение, например, чтобы задать пороговое значение удаления 1000, используйте: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>"
.
Чтобы подтвердить текущее пороговое значение удаления, выполните команду Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"
.
Дальнейшие действия
Обзорные темы