Microsoft Entra Connect 同步:防止意外删除
本主题说明 Microsoft Entra Connect 中的防止意外删除功能。
安装 Microsoft Entra Connect 时,将会默认启用“防止意外删除”功能,并会将其配置为不允许在删除 500 个以上的对象后导出。 此功能旨在防止发生意外的配置更改,以及防止发生影响许多用户和其他对象的本地目录更改。
什么是防止意外删除?
涉及许多删除操作的常见方案包括:
可以通过 PowerShell 使用 Enable-ADSyncExportDeletionThreshold
更改默认值(500 个对象),该命令是与 Microsoft Entra Connect 一起安装的 AD Sync 模块的一部分。 应对此值进行配置以适合组织的规模。 由于同步计划程序每隔 30 分钟运行一次,因此该值是 30 分钟内看到的删除数目。
如果暂存了太多要导出到 Microsoft Entra ID 的删除项目,就不会继续导出,并且会收到一封内容如下所示的电子邮件:
Hello(技术联系人)。 标识同步服务在(时间)检测到删除数目超过了为(组织名称)配置的删除阈值。 在此次标识同步运行期间,总共已发送(数目)个对象进行删除。 这达到或超过了配置的删除阈值,即(数目)个对象。 在继续操作之前,我们需要你提供确认:应处理这些删除操作。 有关此电子邮件中所列错误的详细信息,请参阅“防止意外删除”。
在 Synchronization Service Manager UI 中查看导出配置文件时,还可以看到状态 stopped-deletion-threshold-exceeded
。
如果这是意外情况,请进行调查,并采取纠正措施。 要查看哪些对象即将被删除,请执行以下操作:
- 从“开始”菜单启动“同步服务”。
- 转到“连接器”。
- 选择类型为“Microsoft Entra ID”的连接器。
- 在右侧的“操作”下,选择“搜索连接器空间”。
- 在“范围”下的弹出框中选择“连接断开起始时间”,并选择过去的一个时间。 单击“搜索”。 可以在此页上查看所有即将删除的对象。 单击每个项可以获取有关该对象的更多信息。 也可以单击“列设置”,添加要在网格中显示的其他属性。
[!NOTE] 如果你不确定所有删除是否都是必需的,并且希望使用更安全的方法。 可以使用 PowerShell cmdlet:Enable-ADSyncExportDeletionThreshold
,以设置新阈值,而不是禁用可能允许意外删除操作的阈值。
如果需要所有删除项
如果想要查看所有删除项,请执行以下操作:
- 若要检索当前的删除阈值,请运行 PowerShell cmdlet
Get-ADSyncExportDeletionThreshold
。 默认值为 500。 - 若要暂时禁用此保护并允许删除这些项,请运行 PowerShell cmdlet:
Disable-ADSyncExportDeletionThreshold
。 - 如果 Microsoft Entra Connector 仍被选中,请选择“运行”操作,再选择“导出”。
- 若要重新启用保护,请运行 PowerShell cmdlet:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500
。 检索当前的删除阈值时,请将 500 替换成看到的值。
后续步骤
概述主题