Синхронизация Microsoft Entra Connect: защита от случайного удаления
В этом разделе описывается функция предотвращения случайного удаления в Microsoft Entra Connect.
При установке Microsoft Entra Connect функция предотвращения случайного удаления включена по умолчанию и настроена, чтобы запретить экспорт с более чем 500 удалениями. Эта функция предназначена для защиты от случайных изменений конфигурации и изменений в локальном каталоге, который повлияет на многих пользователей и другие объекты.
Что предотвращает случайное удаление
К общим сценариям, связанным с удалением многих объектов, относятся:
Изменения в фильтрации, где не выбраны все подразделения или домена.
Все объекты в организационной единице перемещаются или удаляются.
Подразделение переименовывается, поэтому все дочерние объекты находятся вне области синхронизации.
Значение по умолчанию для 500 объектов можно изменить с помощью Enable-ADSyncExportDeletionThresholdв PowerShell, который является частью модуля синхронизации AD, установленного через Microsoft Entra Connect. Это значение следует настроить для соответствия размеру организации.
Если для экспорта слишком много удалений в Microsoft Entra ID, экспорт останавливается до удаления каких-либо объектов, и вы получите электронное письмо следующего содержания:
| От: | Microsoft Security MSSecurity-noreply@microsoft.com |
|---|---|
| Название: | Экспорт в Microsoft Entra ID был остановлен. Достигнуто пороговое значение непреднамеренного удаления. |
| Описание: | Сбой операции экспорта в идентификатор Microsoft Entra ID. Количество объектов для удаления превысило настроенное пороговое значение. В результате объекты не были экспортированы. |
| Поднятый | 24 января 2025 г. 00:00 UTC |
| Сервер: | <название сервера> |
| Служба: | fabrikamonline.onmicrosoft.com |
| Съёмщик: | FabrikamOnline.com |
На портале Microsoft Entra Connect Health перейдите к службам синхронизации, выберите своего клиента, затем выберите активный сервер Entra Connect и выберите "Оповещения", чтобы просмотреть список событий, в которых регистрируется порог случайного удаления.
В журналах средства просмотра событий приложения вы увидите идентификатор события предупреждения 116 в следующем примере:
Log Name: Application
Source: Directory Synchronization
Date: <Date/Time>
Event ID: 116
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: <server name>
Description: Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.
Вы также можете увидеть состояние stopped-deletion-threshold-exceeded в пользовательском интерфейсе диспетчера синхронизации для профиля экспорта, если посмотрите в.
пользовательского интерфейса Sync Service Manager
Если эта ошибка непредвиденная, изучите и выполните корректирующие действия. Чтобы узнать, какие объекты будут удалены, сделайте следующее:
Запустите службу синхронизации из меню "Пуск".
Перейдите к соединителям.
Выберите тип соединителя Windows Azure Active Directory.
В разделе Действия справа выберите пространство соединителя поиска.
В раскрывающемся списке в пределах выберите 'Pending Export' и установите флажок Delete.
Выберите "Поиск", чтобы просмотреть список всех объектов, которые нужно удалить. Открыв каждый элемент, можно получить дополнительные сведения об объекте. Вы также можете выбрать параметры столбцов, чтобы добавить дополнительные атрибуты для отображения в сетке, например onPremisesDistinguishedName.
Если удаление непредвиденное
Если вы не уверены, что все удаления нужны и хотите выбрать более безопасный подход, можно использовать более подробный метод проверки, чтобы Проверить все объекты, ожидающие удаления из таблицы.
Непредвиденные удаления обычно вызваны изменениями структуры подразделения или фильтрации области домена или подразделения, поэтому убедитесь, что объекты, ожидающие удаления, находятся в области синхронизации. Например, переименование OU в Active Directory может привести к непредвиденным массовым удалениям в Microsoft Entra ID, если вы не выполните повторный выбор OU в мастере Microsoft Entra Connect. Если вы используете фильтры области атрибутов, настройте необходимые правила синхронизации в редакторе правил синхронизации, чтобы убедиться, что объекты возвращены в область синхронизации.
Это важно
Изменения фильтра области доменов и подразделений и правил синхронизации не вступают в силу, пока не будет выполнен полный цикл синхронизации: Start-ADSyncSyncCycle -PolicyType Initial
Если необходимо удалить все
Если все объекты, ожидающие удаления, должны быть удалены в идентификаторе Microsoft Entra ID, то с помощью учетных данных глобального администратора Entra или гибридного администратора удостоверений выполните следующие действия.
Предупреждение
Это действие может привести к окончательному удалению объектов в идентификаторе Microsoft Entra.
Чтобы временно отключить эту защиту и разрешить все удаления, выполните командлет PowerShell:
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".Если соединитель Microsoft Entra все еще выбран, выберите действие Выполнить и выберите Экспорт.
Чтобы защититься от непредвиденных удалений в будущем, убедитесь, что функция порогового значения удаления не будет окончательно отключена. Чтобы повторно включить защиту со значением по умолчанию, выполните команду
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"
Если в организации часто возникает более большое количество ожидаемых удалений, рекомендуется увеличить порог удаления, а не отключить эту защиту, так как это может позволить нежелательным удалениям, что приводит к потере критически важных данных и нарушению работы служб. Оцените требуемое количество удалений и используйте следующий командлет PowerShell, чтобы задать новое ограничение, например, чтобы задать пороговое значение удаления 1000, используйте: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>"
Чтобы подтвердить текущее пороговое значение удаления, выполните команду Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"
Дальнейшие действия
темы обзора