Microsoft Entra Connect 同步：防止意外删除

本主题介绍Microsoft Entra Connect 中防止意外删除（防止意外删除）的功能。

安装 Microsoft Entra Connect 时，默认启用防止意外删除的功能，并配置为不允许导出超过 500 个删除。 此功能旨在保护你免受意外配置更改和本地目录更改的影响，这些更改会影响许多用户和其他对象。

什么是防止意外删除

涉及许多对象删除的常见方案包括：

• 在取消选择整个 OU 或域的情况下更改筛选设置。

• 将移动或删除 OU 中的所有对象。

• 将重命名 OU，以便其所有子对象都脱离同步范围。

可以使用 PowerShell 和 Enable-ADSyncExportDeletionThreshold更改 500 个对象的默认值，Enable-ADSyncExportDeletionThreshold是随 Microsoft Entra Connect 一起安装的 AD Sync 模块的一部分。 应将此值配置为适合组织的大小。

防止意外删除通知

如果有太多删除操作需要导出到 Microsoft Entra ID，则导出将在删除任何对象之前停止，并且你会收到如下电子邮件：

确定哪些对象正在等待删除

在 Synchronization Service Manager UI 中查看导出步骤时，你可以看到运行配置文件状态 stopped-deletion-threshold-exceeded。

若要查看要删除的对象，请执行以下步骤：

1. 从“开始”菜单启动 同步服务。

2. 转到连接器。

3. 选择 连接器类型 Azure Active Directory。

4. 在右侧的“操作”下，选择“搜索连接器空间”。

5. 在“范围”下的下拉框中，选择“等待导出”并选中“删除”复选框。

6. 选择“搜索”以查看即将删除的所有对象的列表。 通过打开每个项，可以获取有关该对象的其他信息。 还可以选择“列设置”以添加更多属性，以便在网格中可见，例如 onPremisesDistinguishedName。

   

如果删除是意外发生的

如果不确定所有删除都是被需要的，并且想要采用更安全的方式，则可以使用更详细的方法来验证电子表格中所有待删除的对象。

意外删除通常是由于 OU 结构或 域/OU 范围筛选中的更改引起的，因此请确保待删除的对象在同步范围内。 例如，重命名 Active Directory 中的 OU 可能会导致 Microsoft Entra ID 中意外出现批量删除，除非在 Microsoft Entra Connect 向导中重新选择该 OU。 如果使用属性范围筛选器，请在同步规则编辑器中调整必要的同步规则，以确保对象重新处于同步范围。

如果所有删除都是预期的

如果应该在 Microsoft Entra ID 中删除所有等待删除的对象，请使用 Entra 全局管理员或混合标识管理员凭据执行以下步骤：

1. 若要暂时禁用此保护并让所有删除作完成，请运行 PowerShell cmdlet： Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"。

2. 如果 Microsoft Entra Connector 仍被选中，请选择“运行”操作，再选择“导出”。

3. 若要防止将来出现意外删除，请确保不会永久禁用删除阈值功能。 若要使用默认值重新启用保护，请运行： Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"。

如果组织中的预期删除次数较高，建议增加删除阈值，而不是禁用此保护，因为这可能导致意外删除导致关键数据和服务中断。 评估特定的所需删除次数，并使用以下 PowerShell cmdlet 设置新的限制，例如，若要设置 1000 的删除阈值，请使用： Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>"

若要确认当前删除阈值，请运行： Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"

后续步骤

概述主题

• Microsoft Entra Connect 同步：理解和自定义同步

• 将本地标识与 Microsoft Entra ID 集成