共用方式為

Microsoft Entra Connect 同步:防止意外刪除

  • 發行項

本主題描述Microsoft Entra Connect 中防止意外刪除(防止意外刪除)的功能。

安裝Microsoft Entra Connect 時,預設會啟用防止意外刪除的功能,並設定為不允許導出超過 500 個刪除。 此功能旨在保護您免受意外的配置變更以及可能影響到許多使用者和其他對象的內部部署目錄變更。

是什麼防止了意外刪除?

涉及許多物件刪除的常見案例包括:

  • 篩選 的變更,其中未選取整個 OU網域

  • OU 中的所有物件都會移動或刪除。

  • OU 已重新命名,因此其所有子物件都脫離同步處理的範圍。

您可以使用 Enable-ADSyncExportDeletionThreshold來變更 500 個對象的預設值,這是隨 Microsoft Entra Connect 一起安裝的 AD 同步模組的一部分。 您應該設定此值以符合組織的大小。

如果暫存到 Microsoft Entra ID 的刪除項目過多,匯出程式會在刪除任何物件之前停止,您將會收到類似以下的電子郵件:

防止意外刪除電子郵件

從: Microsoft安全性 MSSecurity-noreply@microsoft.com
標題: 匯出至 Microsoft Entra ID 已停止。 達到意外刪除閾值。
描述: 匯出至 Microsoft Entra ID 的作業失敗。 要刪除的物件數目超過設定的臨界值。 因此未匯出任何物件。
提出: 2025 年 1 月 24 日 00:00 UTC
伺服器: <伺服器名稱>
服務: fabrikamonline.onmicrosoft.com
房客: FabrikamOnline.com

Microsoft Entra Connect Health 入口網站,瀏覽至 [同步處理服務],選取您的租戶,然後選取活躍的 Entra Connect 伺服器,再選取 [警示] 以查看意外刪除閾值回報的事件列表。

從應用程式事件查看器記錄中,您可以看到警告事件識別碼 116,如下列範例所示:

Log Name:      Application
Source:        Directory Synchronization
Date:          <Date/Time>
Event ID:      116
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      <server name>
Description:   Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.

當您在 stopped-deletion-threshold-exceeded 的使用者介面中查看匯出配置檔時,您也可以看到狀態 防止意外刪除 同步服務管理器使用者介面

如果此錯誤非預期,請調查並採取更正動作。 若要查看即將刪除的物件,請執行下列步驟:

  1. 從 [開始] 功能表啟動 同步處理服務

  2. 移至 連線器

  3. 選取 [連接器類型] Windows Azure Active Directory

  4. 在右側的 [ 動作] 底下,選取 [搜尋連接器空間]

  5. 在 [範圍] 下方的下拉式方塊中,選取 [暫止導出],然後啟用 [刪除] 複選框。

  6. 選取 [搜尋] 以檢視即將刪除的所有物件清單。 藉由開啟每個項目,您可以取得該項目的更多資訊。 您也可以選取 [數據行設定],以在方格中新增更多要顯示的屬性,例如 onPremisesDistinguishedName。

搜尋連接器空間

如果刪除未預期

如果您不確定所有刪除是否都是您想要的,並希望採取更安全的方法,您可以使用更詳細的方法來 驗證 電子錶格中待刪除的所有物件。

非預期的刪除通常是因為 OU 結構變更或 網域/OU 範圍篩選所造成,因此請確定擱置刪除的對象位於同步範圍中。 例如,除非您在 [Microsoft Entra Connect 精靈] 中重新選取 OU,否則重新命名 Active Directory 中的 OU 可能會導致在 Microsoft Entra ID 中意外大量刪除。 如果您使用屬性範圍篩選條件,請在同步處理規則編輯器中調整必要的同步處理規則,以確保物件回到同步處理範圍。

重要

網域/OU 範圍篩選和同步處理規則變更在您執行完整同步處理週期之前不會生效:Start-ADSyncSyncCycle -PolicyType Initial

如果希望刪除所有內容

如果所有擱置刪除的對象都應該在 Microsoft Entra ID 中刪除,請使用您的 Entra Global Administrator 或 Hybrid Identity Administrator 認證,執行下列步驟:

警告

此動作可能會導致永久刪除Microsoft Entra ID 中的物件。

  1. 若要暫時停用此保護並讓所有刪除作業完成,請執行 PowerShell Cmdlet:Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"

  2. 仍然選取 [Microsoft Entra Connector] 後,選取動作 [執行],然後選取 [匯出]。

  3. 若要在未來防止非預期的刪除,請確定不會永久停用刪除閾值功能。 若要使用預設值重新啟用保護,請執行:Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"

如果組織中經常有較高的預期刪除次數,建議您增加刪除閾值,而不是停用此保護,因為這可能會允許不想要的刪除作業造成重大數據和服務中斷。 評估您特定的刪除次數,並使用下列 PowerShell Cmdlet 來設定新的限制,例如,若要設定 1000 的刪除閾值,請使用: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>"

若要確認目前的刪除閾值,請執行:Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"

後續步驟

概觀主題