Microsoft Entra Connect 同步：防止意外删除

本主题说明 Microsoft Entra Connect 中的防止意外删除功能。

安装 Microsoft Entra Connect 时，将会默认启用“防止意外删除”功能，并会将其配置为不允许在删除 500 个以上的对象后导出。 此功能旨在防止发生意外的配置更改，以及防止发生影响许多用户和其他对象的本地目录更改。

什么是防止意外删除？

涉及许多删除操作的常见方案包括：

• 在取消选择整个 OU 或域的情况下更改筛选设置。
• 删除了 OU 中的所有对象。
• 对某个 OU 进行了重命名，因此其中的所有对象被视为超出同步范围。

可以通过 PowerShell 使用 Enable-ADSyncExportDeletionThreshold 更改默认值（500 个对象），该命令是与 Microsoft Entra Connect 一起安装的 AD Sync 模块的一部分。 应对此值进行配置以适合组织的规模。 由于同步计划程序每隔 30 分钟运行一次，因此该值是 30 分钟内看到的删除数目。

如果暂存了太多要导出到 Microsoft Entra ID 的删除项目，就不会继续导出，并且会收到一封内容如下所示的电子邮件：

Hello（技术联系人）。 标识同步服务在（时间）检测到删除数目超过了为（组织名称）配置的删除阈值。 在此次标识同步运行期间，总共已发送（数目）个对象进行删除。 这达到或超过了配置的删除阈值，即（数目）个对象。 在继续操作之前，我们需要你提供确认：应处理这些删除操作。 有关此电子邮件中所列错误的详细信息，请参阅“防止意外删除”。

在 Synchronization Service Manager UI 中查看导出配置文件时，还可以看到状态 stopped-deletion-threshold-exceeded。

如果这是意外情况，请进行调查，并采取纠正措施。 要查看哪些对象即将被删除，请执行以下操作：

1. 从“开始”菜单启动“同步服务”。
2. 转到“连接器”。
3. 选择类型为“Microsoft Entra ID”的连接器。
4. 在右侧的“操作”下，选择“搜索连接器空间”。
5. 在“范围”下的弹出框中选择“连接断开起始时间”，并选择过去的一个时间。 单击“搜索”。 可以在此页上查看所有即将删除的对象。 单击每个项可以获取有关该对象的更多信息。 也可以单击“列设置”，添加要在网格中显示的其他属性。

[!NOTE] 如果你不确定所有删除是否都是必需的，并且希望使用更安全的方法。 可以使用 PowerShell cmdlet：Enable-ADSyncExportDeletionThreshold，以设置新阈值，而不是禁用可能允许意外删除操作的阈值。

如果需要所有删除项

如果想要查看所有删除项，请执行以下操作：

1. 若要检索当前的删除阈值，请运行 PowerShell cmdlet Get-ADSyncExportDeletionThreshold。 默认值为 500。
2. 若要暂时禁用此保护并允许删除这些项，请运行 PowerShell cmdlet： Disable-ADSyncExportDeletionThreshold。
3. 如果 Microsoft Entra Connector 仍被选中，请选择“运行”操作，再选择“导出”。
4. 若要重新启用保护，请运行 PowerShell cmdlet： Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500。 检索当前的删除阈值时，请将 500 替换成看到的值。

后续步骤

概述主题

• Microsoft Entra Connect 同步：理解和自定义同步
• 将本地标识与 Microsoft Entra ID 集成