Dela via

Microsoft Entra Connect Sync: Förhindra oavsiktliga borttagningar

  • Artikel

I det här avsnittet beskrivs funktionen för att förhindra oavsiktliga borttagningar (förhindra oavsiktliga borttagningar) i Microsoft Entra Connect.

När du installerar Microsoft Entra Connect är funktionen för att förhindra oavsiktliga borttagningar aktiverad som standard och konfigurerad för att inte tillåta en export med fler än 500 borttagningar. Den här funktionen är utformad för att skydda dig från oavsiktliga konfigurationsändringar och ändringar i din lokala katalog som skulle påverka många användare och andra objekt.

Vad förhindrar oavsiktliga borttagningar

Vanliga scenarier som omfattar många objektborttagningar är:

  • Ändringar i filtrering där en hel organisationsenhet eller domän är avmarkerad.

  • Alla objekt i en organisationsenhet flyttas eller tas bort.

  • När en organisationsenhet byter namn så hamnar alla underordnade objekt utanför omfånget för synkronisering.

Standardvärdet för 500 objekt kan ändras med PowerShell med hjälp av Enable-ADSyncExportDeletionThreshold, som är en del av AD Sync-modulen som installerats med Microsoft Entra Connect. Du bör konfigurera det här värdet så att det passar organisationens storlek.

Meddelanden för att förhindra oavsiktliga borttagningar

Om det finns för många borttagningar mellanlagrade för att exporteras till Microsoft Entra-ID stoppas exporten innan du tar bort något objekt och du får ett e-postmeddelande som det här:

Förhindra oavsiktliga borttagningar av e-post

Från: Microsoft Security MSSecurity-noreply@microsoft.com
Titel: Exporten till Microsoft Entra-ID stoppades. Tröskelvärdet för oavsiktlig borttagning uppnåddes.
Beskrivning: Exportåtgärden till Microsoft Entra-ID:t misslyckades. Det fanns fler objekt att ta bort än det konfigurerade tröskelvärdet. Därför exporterades inga objekt.
Upphöjd: 24 januari 2025 00:00 UTC
Server: <servernamn>
Tjänst: fabrikamonline.onmicrosoft.com
Hyresgäst: FabrikamOnline.com

Från Microsoft Entra Connect Health-portalen går du till Synkroniseringstjänster, väljer din klientorganisation och väljer sedan din aktiva Entra Connect-server och väljer Aviseringar för att se listan över händelser där tröskelvärdet för oavsiktlig borttagning rapporteras.

Skärmbild som visar Microsoft Entra Connect Sync-aviseringar.

I loggboken för program kan du se ett varningshändelse-ID 116 som följande exempel:

Log Name:      Application
Source:        Directory Synchronization
Date:          <Date/Time>
Event ID:      116
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      <server name>
Description:   Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.

Avgöra vilka objekt som väntar på borttagning

Du kan se körningsprofilstatusen stopped-deletion-threshold-exceeded när du tittar i Synchronization Service Manager UI för exportsteget. Förhindra oavsiktliga borttagningar av Sync Service Manager-användargränssnittet

Gör följande för att se vilka objekt som ska tas bort:

  1. Starta synkroniseringstjänsten från Start-menyn.

  2. Gå till -anslutningar.

  3. Välj anslutningstyp Windows Azure Active Directory.

  4. Under Åtgärder till höger väljer du Sökanslutningsutrymme.

  5. I listrutan under Omfångväljer du Väntar på export och sedan aktiverar du kryssrutan för Ta bort.

  6. Välj Sök för att visa en lista över alla objekt som ska tas bort. Genom att öppna varje objekt kan du få ytterligare information om objektet. Du kan också välja Kolumninställningar för att lägga till fler attribut som ska visas i rutnätet, till exempel onPremisesDistinguishedName.

    Skärmbild som visar sökanslutningsutrymmet.

Om borttagningarna är oväntade

Om du inte är säker på att alla borttagningar är önskade och vill gå en säkrare väg kan du använda en mer detaljerad metod för att Verifiera alla objekt som väntar på att tas bort från ett kalkylblad.

Oväntade borttagningar orsakas vanligtvis av ändringar i organisationsenhetsstrukturen eller filtrering av domän/organisationsenhetsomfång, så se till att objekten som väntar på borttagning är i synkroniseringsomfånget. Om du till exempel byter namn på en organisationsenhet i Active Directory kan det orsaka oväntade massborttagningar i Microsoft Entra-ID om du inte väljer organisationsenheten igen i Guiden Microsoft Entra Connect. Om du använder omfångsfilter för attribut justerar du de nödvändiga synkroniseringsreglerna i Redigeraren för synkroniseringsregler för att se till att objekten är tillbaka i synkroniseringsomfånget.

Viktig

Ändringar av domän-/organisationsenhetsfilter och synkroniseringsregel börjar inte gälla förrän du kör en fullständig synkroniseringscykel: Start-ADSyncSyncCycle -PolicyType Initial.

Om alla borttagningar önskas

Om alla objekt som väntar på borttagning ska tas bort i Microsoft Entra-ID gör du följande med hjälp av autentiseringsuppgifterna för entra global administratör eller hybrididentitetsadministratör:

Varning

Den här åtgärden kan leda till permanent borttagning av objekt i Microsoft Entra-ID.

  1. Om du tillfälligt vill inaktivera det här skyddet och låta alla borttagningar gå igenom kör du PowerShell-cmdleten: Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".

  2. Med Microsoft Entra Connector fortfarande markerat väljer du åtgärden Kör och väljer Exportera.

  3. Se till att borttagningströskelfunktionen inte är permanent inaktiverad för att skydda mot oväntade borttagningar i framtiden. Om du vill återaktivera skyddet med standardvärdet kör du: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>".

Om ett högre antal förväntade borttagningar är vanliga i din organisation rekommenderar vi att du ökar tröskelvärdet för borttagning i stället för att inaktivera det här skyddet, eftersom detta kan tillåta oönskade borttagningar som orsakar förlust av kritiska data och avbrott i tjänster. Utvärdera önskat antal borttagningar och använd följande PowerShell-cmdlet för att ange en ny gräns, till exempel för att ange ett tröskelvärde för borttagning på 1 000, använd: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>".

Bekräfta det aktuella tröskelvärdet för borttagning genom att köra: Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".

Nästa steg

Översiktsavsnitt