Servizio di sincronizzazione di Microsoft Entra Connect: Impedire eliminazioni accidentali
Questo argomento descrive la funzionalità per impedire le eliminazioni accidentali in Microsoft Entra Connect.
Quando si installa Microsoft Entra Connect, la funzionalità di protezione dall'eliminazione accidentale è abilitata per impostazione predefinita e configurata in modo da non consentire un'esportazione con più di 500 eliminazioni. Questa funzionalità è progettata per la protezione da modifiche accidentali della configurazione e della directory locale che possono interessare un numero elevato di utenti e altri oggetti.
Informazioni sulla prevenzione di eliminazioni accidentali
Esistono alcuni scenari comuni che prevedono molte eliminazioni, tra cui:
- Modifiche ai filtri in cui è deselezionata un'intera unità organizzativa o un dominio.
- Vengono eliminati tutti gli oggetti in un'unità organizzativa.
- Un'unità organizzativa viene rinominata in modo che tutti gli oggetti in essa contenuti vengano considerati al di fuori dell'ambito di sincronizzazione.
Il valore predefinito, pari a 500 oggetti, può essere modificato tramite PowerShell con il comando Enable-ADSyncExportDeletionThreshold
, che fa parte del modulo AD Sync installato con Microsoft Entra Connect. È consigliabile configurare questo valore in base alle dimensioni dell'organizzazione. Poiché l'utilità di pianificazione della sincronizzazione viene eseguita ogni 30 minuti, il valore è il numero di eliminazioni visualizzate in 30 minuti.
Se il numero di eliminazioni da esportare in Microsoft Entra ID è troppo elevato, l'esportazione verrà arrestata e si riceverà un messaggio di posta elettronica simile al seguente:
Gentile (contatto tecnico), Sincronizzazione delle identità: il giorno (data) è stato rilevato che il numero di eliminazioni ha superato la soglia di eliminazione per (nome dell'organizzazione). È stato inviato un totale di (numero) oggetti per l'eliminazione in questa esecuzione di sincronizzazione delle identità. È stato quindi raggiunto o superato il valore della soglia di eliminazione configurato di (numero) oggetti. Prima di continuare, è necessario confermare di voler procedere con l'elaborazione di queste eliminazioni. Per altre informazioni sull'errore indicato in questo messaggio di posta elettronica, vedere l'articolo che illustra come evitare eliminazioni accidentali.
È anche possibile visualizzare lo stato stopped-deletion-threshold-exceeded
nell'interfaccia utente di Synchronization Service Manager per il profilo di esportazione.
Se si tratta di un messaggio inatteso, ricercare la causa e intraprendere eventuali azioni correttive. Per visualizzare gli oggetti che devono essere eliminati, procedere come segue:
- Avviare Servizio di sincronizzazione dal Menu start.
- Passare alla pagina Connettori.
- Selezionare connettore con tipo Microsoft Entra ID.
- In Azioni a destra selezionare Spazio connettore di ricerca.
- Nella casella popup in Scope (Ambito) selezionare Disconnected Since (Disconnesso dal) e selezionare una data/ora trascorsa. Fare clic su Cerca. Questa pagina offre la visualizzazione di tutti gli oggetti che verranno eliminati. Facendo clic su ogni elemento è possibile ottenere altre informazioni sull'oggetto. È anche possibile fare clic su Column Settings (Impostazioni colonna) per aggiungere altri attributi da visualizzare nella griglia.
[!NOTA] Se non si è sicuri che tutte le cancellazioni siano desiderate e si desidera seguire un percorso più sicuro. È possibile usare il cmdlet di PowerShell: Enable-ADSyncExportDeletionThreshold
per impostare una nuova soglia anziché disabilitare la soglia che potrebbe consentire eliminazioni indesiderate.
Se si desiderano tutte le eliminazioni
Se si desidera tutte le eliminazioni, eseguire le operazioni seguenti:
- Per recuperare la soglia di eliminazione corrente, eseguire il cmdlet di PowerShell
Get-ADSyncExportDeletionThreshold
. Il valore predefinito è 500. - Per disabilitare temporaneamente la protezione e consentire l'esportazione di queste eliminazioni, eseguire il cmdlet PowerShell:
Disable-ADSyncExportDeletionThreshold
. - Con Microsoft Entra Connector ancora selezionato, selezionare l'azione Esegui e selezionare Esporta.
- Per riabilitare la protezione, eseguire il cmdlet PowerShell:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500
. Sostituire 500 con il valore osservato quando si recupera la soglia di eliminazione corrente.
Passaggi successivi
Argomenti generali