Habilitar a prevenção de exclusões acidentais no serviço de provisionamento do Microsoft Entra

  • Artigo

O serviço de provisionamento do Microsoft Entra inclui um recurso para ajudar a evitar exclusões acidentais. Esse recurso garante que os usuários não sejam desabilitados nem excluídos em um aplicativo inesperadamente.

O serviço de provisionamento do Microsoft Entra inclui um recurso para ajudar a evitar exclusões acidentais. Esse recurso garante que os usuários não sejam desabilitados nem excluídos do locatário de destino inesperadamente.

Você usa exclusões acidentais para especificar um limite de exclusão. Qualquer coisa acima do limite definido exige que um administrador permita explicitamente o processamento das exclusões.

Configurar a prevenção de exclusão acidental

Para habilitar a prevenção de exclusão acidental:

  1. Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais.
  3. Selecione seu aplicativo.
  4. Selecione Provisionamento e, em seguida, na página de provisionamento, selecione Editar provisionamento.
  1. Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
  2. Navegue até Identidade>Identidades Externas>Sincronização entre locatários>Configurações e selecione sua configuração.
  3. Selecione Provisionamento.
  1. Em Configurações, marque a caixa de seleção Impedir exclusões acidentais e especifique um limite de exclusão.
  2. Certifique-se de que o endereço de Email de notificação esteja completo. Se o limite de exclusão é atingido, um email é enviado.
  3. Selecione Salvar para salvar as alterações.

Quando o limite de exclusão é atendido, o trabalho é colocado em quarentena e um email de notificação é enviado. O trabalho em quarentena pode ser permitido ou rejeitado. Para saber mais sobre os comportamentos de quarentena, confira Provisionamento de aplicativo no status de quarentena.

Recuperar-se de uma exclusão acidental

Quando você encontra uma exclusão acidental, ela é mostrada na página de status de provisionamento. É exibido Provisioning has been quarantined. See quarantine details for more information.

Você pode clicar em Permitir exclusões ou Exibir logs de provisionamento.

Permitir exclusões

A ação Permitir exclusões excluirá os objetos que dispararam o limite de exclusão acidental. Use o procedimento para aceitar as exclusões.

  1. Selecione Permitir exclusões.
  2. Clique em Sim na confirmação para permitir as exclusões.
  3. Exiba a confirmação de que as exclusões foram aceitas. O status retorna para íntegro com o próximo ciclo.

Rejeitar exclusões

Investigue e rejeite as exclusões conforme necessário:

  • Investigue a origem das exclusões. Você pode usar os logs de provisionamento para obter detalhes.
  • Evite a exclusão atribuindo o usuário/grupo ao aplicativo (ou configuração) novamente, restaurando o usuário/grupo ou atualizando sua configuração de provisionamento.
  • Depois de fazer as alterações necessárias para impedir que o usuário/grupo seja excluído, reinicie o provisionamento. Não reinicie o provisionamento até que você tenha feito as alterações necessárias para evitar que os usuários/grupos sejam excluídos.

Prevenção de exclusão de teste

Você pode testar o recurso disparando eventos de desabilitação/exclusão definindo o limite como um número baixo, como 3, por exemplo e, em seguida, alterando filtros de escopo, removendo a atribuição de usuários e excluindo usuários do diretório (confira cenários comuns na próxima seção).

Deixe o trabalho de provisionamento ser executado (20 a 40 minutos) e navegue de volta para a página de provisionamento. Verifique o trabalho de provisionamento em quarentena e opte por permitir as exclusões ou revise os logs de provisionamento para entender por que as exclusões ocorreram.

Cenários comuns de desprovisionamento a testar

  • Exclua um usuário/coloque-o na lixeira.
  • Bloqueie a conexão de um usuário.
  • Desatribua um usuário ou grupo do aplicativo (ou configuração).
  • Remova um usuário de um grupo que está fornecendo a ele acesso ao aplicativo (ou configuração).

Para saber mais sobre cenários de desprovisionamento, confira Como funciona o provisionamento de aplicativos.

Perguntas frequentes

Quais cenários contam para o limite de exclusão?

Quando um usuário estiver definido para ser removido do aplicativo de destino (ou locatário de destino), ele será contado em relação ao limite de exclusão. Cenários que podem levar um usuário a ser removido do aplicativo de destino (ou locatário de destino) podem incluir: desatribuição do usuário do aplicativo (ou configuração) e exclusão reversível/irreversível de um usuário no diretório. Grupos avaliados quanto à contagem de exclusão para o limite de exclusão. Além das exclusões, a mesma funcionalidade também funciona para desabilitações.

Qual o intervalo no qual o limite de exclusão é avaliado?

É avaliado a cada ciclo. Se o número de exclusões não exceder o limite durante um único ciclo, o "disjuntor" não disparará. Se vários ciclos forem necessários para alcançar um estado estável, o limite de exclusão será avaliado por ciclo.

Como esses eventos de exclusão são registrados?

Você pode encontrar usuários que devem ser desabilitados/excluídos, mas não o fez devido ao limite de exclusão. Navegação para Logs de provisionamento e, em seguida, filtre Action com StagedAction ou StagedDelete.

Próximas etapas