本主题介绍Microsoft Entra Connect 中防止意外删除(防止意外删除)的功能。
安装 Microsoft Entra Connect 时,默认启用防止意外删除的功能,并配置为不允许导出超过 500 个删除。 此功能旨在保护你免受意外配置更改和本地目录更改的影响,这些更改会影响许多用户和其他对象。
什么是防止意外删除
涉及许多对象删除的常见方案包括:
可以使用 PowerShell 和 Enable-ADSyncExportDeletionThreshold
更改 500 个对象的默认值,Enable-ADSyncExportDeletionThreshold
是随 Microsoft Entra Connect 一起安装的 AD Sync 模块的一部分。 应将此值配置为适合组织的大小。
防止意外删除通知
如果有太多删除操作需要导出到 Microsoft Entra ID,则导出将在删除任何对象之前停止,并且你会收到如下电子邮件:
从: | Microsoft安全性 MSSecurity-noreply@microsoft.com |
---|---|
标题: | 导出到 Microsoft Entra ID 的过程已停止。 已达到意外删除阈值。 |
描述: | 导出到 Microsoft Entra ID 的操作失败。 要删除的对象数多于配置的阈值。 因此,未导出任何对象。 |
已引发: | 2025 年 1 月 24 日 00:00 UTC |
服务器: | <服务器名称> |
服务: | fabrikamonline.partner.onmschina.cn |
房客: | FabrikamOnline.com |
确定哪些对象正在等待删除
在 Synchronization Service Manager UI 中查看导出步骤时,你可以看到运行配置文件状态 stopped-deletion-threshold-exceeded
。
若要查看要删除的对象,请执行以下步骤:
从“开始”菜单启动 同步服务。
转到连接器。
选择 连接器类型 Azure Active Directory。
在右侧的“操作”下,选择“搜索连接器空间”。
在“范围”下的下拉框中,选择“等待导出”并选中“删除”复选框。
选择“搜索”以查看即将删除的所有对象的列表。 通过打开每个项,可以获取有关该对象的其他信息。 还可以选择“列设置”以添加更多属性,以便在网格中可见,例如 onPremisesDistinguishedName。
如果删除是意外发生的
如果不确定所有删除都是被需要的,并且想要采用更安全的方式,则可以使用更详细的方法来验证电子表格中所有待删除的对象。
意外删除通常是由于 OU 结构或 域/OU 范围筛选中的更改引起的,因此请确保待删除的对象在同步范围内。 例如,重命名 Active Directory 中的 OU 可能会导致 Microsoft Entra ID 中意外出现批量删除,除非在 Microsoft Entra Connect 向导中重新选择该 OU。 如果使用属性范围筛选器,请在同步规则编辑器中调整必要的同步规则,以确保对象重新处于同步范围。
重要
只有在运行完整的同步周期之后,域/OU 范围筛选器和同步规则更改才会生效:Start-ADSyncSyncCycle -PolicyType Initial
。
如果所有删除都是预期的
如果应该在 Microsoft Entra ID 中删除所有等待删除的对象,请使用 Entra 全局管理员或混合标识管理员凭据执行以下步骤:
警告
此作可能会导致永久删除Microsoft Entra ID 中的对象。
若要暂时禁用此保护并让所有删除作完成,请运行 PowerShell cmdlet:
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"
。如果 Microsoft Entra Connector 仍被选中,请选择“运行”操作,再选择“导出”。
若要防止将来出现意外删除,请确保不会永久禁用删除阈值功能。 若要使用默认值重新启用保护,请运行:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"
。
如果组织中的预期删除次数较高,建议增加删除阈值,而不是禁用此保护,因为这可能导致意外删除导致关键数据和服务中断。 评估特定的所需删除次数,并使用以下 PowerShell cmdlet 设置新的限制,例如,若要设置 1000 的删除阈值,请使用: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>"
若要确认当前删除阈值,请运行: Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>"
后续步骤
概述主题