Microsoft Entra 预配服务包含一项功能,可帮助避免意外删除。 此功能可确保不会意外地在应用程序中禁用或删除用户。
Microsoft Entra 预配服务包含一项功能,可帮助避免意外删除。 此功能可确保不会意外地在目标租户中禁用或删除用户。
使用意外删除来指定删除阈值。 超出阈值的任何内容都需要管理员显式允许处理删除操作。
配置意外删除防护
若要启用意外删除防护,请按照以下步骤操作:
- 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>企业应用。
- 选择自己的应用程序。
- 选择 “预配 ”,然后在预配页上选择 “编辑预配”。
- 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>外部身份>跨租户同步>配置,然后选择你的配置。
- 选择预配。
- 在 “设置”下,选中“ 防止意外删除 ”复选框并指定删除阈值。
- 确保通知电子邮件地址已填写。 如果满足删除阈值,则会发送电子邮件。
- 选择“保存”,保存更改。
满足删除阈值后,作业将进入隔离状态,并会发送通知电子邮件。 此后,可以允许或拒绝隔离作业。 若要了解有关隔离行为的详细信息,请参阅 隔离状态中的应用程序预配。
从意外删除中恢复
遇到意外删除时,可在预配状态页上看到它。 它说 Provisioning has been quarantined. See quarantine details for more information。
可以选择 “允许删除 ”或 “查看预配日志”。
允许删除
Allow deletes 操作将删除触发意外删除阈值的对象。 使用此步骤来批准删除。
- 选择 “允许删除”。
- 单击确认对话框中的是以确认删除操作。
- 查看已接受删除的确认。 状态在下一个周期中恢复为正常状态。
拒绝删除
调查并根据需要拒绝删除请求:
- 调查发生删除的原因。 有关详细信息,可以使用预配日志。
- 通过将用户/组再次分配给应用程序(或配置),还原用户/组或更新预配配置来防止删除。
- 进行必要的更改以防止删除用户/组后,请重启预配。 在进行必要的更改以防止删除用户/组之前,不要重启预配。
测试删除防护
可以通过将阈值设置为低数字(例如 3)来触发禁用/删除事件来测试该功能,然后更改范围筛选器、取消分配用户以及从目录中删除用户(请参阅下一部分的常见方案)。
将配置作业运行 20 到 40 分钟,然后返回配置页面。 检查隔离区中的配置作业,选择是否允许删除,或者查看配置日志以了解删除的原因。
要测试的常见取消预配方案
- 删除用户/将其放入回收站。
- 阻止用户登录。
- 从应用程序(或配置)解除分配用户或组。
- 从提供对应用程序(或配置)的访问权限的组中删除用户。
若要了解有关取消预配方案的详细信息,请参阅 应用程序预配的工作原理。
常见问题解答
哪些方案计入删除阈值?
当用户被设置以便从目标应用程序(或目标租户)中移除时,这将计入删除阈值。 可能导致用户被从目标应用程序(或目标租户)中移除的情况包括:将用户从应用程序(或配置)中取消分配,以及在目录中软删除或硬删除用户。 评估后将被删除的组被计入删除阈值。 除了删除,相同的功能也适用于禁用。
删除阈值的计算间隔是多少?
每个周期都会进行评估。 如果在单个周期内删除次数不超过阈值,则不会触发“断路器”。 如果需要多个周期才能达到稳定状态,则会按周期评估删除阈值。
如何记录这些删除事件?
你可以找到应禁用/删除但尚未由于删除阈值而删除的用户。 导航到预配日志,然后在操作中使用StagedAction或StagedDelete进行筛选。 审核日志还将包含一个日志,指示预配作业由于意外删除阈值而处于隔离状态。