Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema wird die Funktion beschrieben, die versehentliche Löschungen in Microsoft Entra Connect verhindern soll.
Bei der Installation von Microsoft Entra Connect ist das Feature, um versehentliche Löschungen zu verhindern, standardmäßig aktiviert und so konfiguriert, dass ein Export mit mehr als 500 Löschvorgängen nicht zulässig ist. Dieses Feature wurde entwickelt, um Sie vor versehentlichen Konfigurationsänderungen und Änderungen an Ihrem lokalen Verzeichnis zu schützen, die sich auf viele Benutzer und andere Objekte auswirken würden.
Was verhindert versehentliche Löschungen?
Häufige Szenarien mit vielen Objektlöschvorgängen umfassen:
Änderungen an der Filterung, bei denen die Auswahl einer gesamten Organisationseinheit oder Domäne aufgehoben wird.
Alle Objekte in einer OU werden verschoben oder gelöscht.
Umbenennen einer Organisationseinheit, sodass alle untergeordneten Elemente außerhalb des Synchronisierungsbereichs liegen.
Der Standardwert von 500 Objekten kann mit PowerShell mithilfe von Enable-ADSyncExportDeletionThresholdgeändert werden, das Teil des AD-Synchronisierungsmoduls ist, das mit Microsoft Entra Connect installiert ist. Sie sollten diesen Wert so konfigurieren, dass er der Größe Ihrer Organisation entspricht.
Benachrichtigungen zum Verhindern versehentlicher Löschungen
Wenn zu viele Löschvorgänge vorhanden sind, die nach Microsoft Entra ID exportiert werden sollen, wird der Export gestoppt, bevor ein Objekt gelöscht wird, und Sie erhalten eine E-Mail, die so aussieht:
| Von: | Microsoft Security MSSecurity-noreply@microsoft.com |
|---|---|
| Titel: | Der Export nach Microsoft Entra ID wurde beendet. Der Schwellenwert für versehentliche Löschung wurde erreicht. |
| Beschreibung: | Der Exportvorgang für Microsoft Entra ID ist fehlgeschlagen. Es wurden mehr Objekte zum Löschen angegeben, als der konfigurierte Schwellenwert zulässt. Es wurden keine Objekte exportiert. |
| Ausgelöst: | 24. Januar 2025 00:00 UTC |
| Server: | <Servername> |
| Dienst: | fabrikamonline.onmicrosoft.com |
| Mieter: | FabrikamOnline.com |
Navigieren Sie im Microsoft Entra Connect Health-Portal zu "Synchronisierungsdienste", wählen Sie Ihren Mandanten aus, und wählen Sie dann Ihren aktiven Entra Connect-Server aus, und wählen Sie "Benachrichtigungen" aus, um die Liste der Ereignisse anzuzeigen, in denen der Schwellenwert für das versehentliche Löschen gemeldet wird.
In den Anwendungsereignisanzeigeprotokollen sehen Sie eine Warnungsereignis-ID 116 im folgenden Beispiel:
Log Name: Application
Source: Directory Synchronization
Date: <Date/Time>
Event ID: 116
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: <server name>
Description: Prevent Accidental Deletes: The number of deletions for this sync cycle (100 pending deletes) has exceeded the current threshold of 50 objects. Deletions will be suppressed for this sync cycle. Please visit http://go.microsoft.com/fwlink/?LinkId=390655 for more information.
Bestimmen, welche Objekte zum Löschen anstehen
Sie können den Status des Ausführungsprofils stopped-deletion-threshold-exceeded sehen, wenn Sie in der Benutzeroberfläche des Synchronisierungsdienst-Managers nach dem Exportschritt suchen.
Führen Sie die folgenden Schritte aus, um zu sehen, welche Objekte gelöscht werden sollen:
Starten Sie den Synchronisierungsdienst über das Startmenü.
Gehen Sie zu Connectors.
Wählen Sie den Connectortyp Windows Azure Active Directory aus.
Wählen Sie unter Actions (Aktionen) auf der rechten Seite Search Connector Space (Connectorbereich suchen).
Wählen Sie im Dropdownfeld unter "Bereich" die Option "Ausstehender Export " aus, und aktivieren Sie das Kontrollkästchen für "Löschen".
Wählen Sie "Suchen" aus, um eine Liste aller Objekte anzuzeigen, die gelöscht werden sollen. Durch Öffnen der einzelnen Elemente können Sie zusätzliche Informationen zum Objekt abrufen. Sie können auch Spalteneinstellungen auswählen, um weitere Attribute hinzuzufügen, die im Raster sichtbar sind, z. B. "onPremisesDistinguishedName".
Wenn die Löschungen unerwartet sind
Wenn Sie nicht sicher sind, dass alle Löschungen gewünscht sind und einen sichereren Weg einschlagen möchten, können Sie eine detailliertere Methode verwenden, um alle Objekte zu überprüfen, die zum Löschen aus einer Kalkulationstabelle anstehen.
Unerwartete Löschungen werden in der Regel durch Änderungen der OU-Struktur oder der Domänen-/OU-Bereichsfilterung verursacht. Stellen Sie daher sicher, dass sich die ausstehenden Objekte im Synchronisierungsbereich befinden. Das Umbenennen einer OU in Active Directory kann beispielsweise zu unerwarteten Massenlöschungen in der Microsoft Entra-ID führen, es sei denn, Sie wählen die OU im Microsoft Entra Connect-Assistenten erneut aus. Wenn Sie Attributdefinitionsfilter verwenden, passen Sie die erforderlichen Synchronisierungsregeln im Synchronisierungsregeln-Editor an, um sicherzustellen, dass die Objekte wieder im Synchronisierungsbereich enthalten sind.
Von Bedeutung
Änderungen an den Bereichsfiltern und Synchronisierungsregeln für Domänen/Organisationseinheiten werden erst wirksam, wenn Sie einen vollständigen Synchronisierungszyklus ausführen: Start-ADSyncSyncCycle -PolicyType Initial.
Wenn alle Löschungen gewünscht sind
Wenn alle zur Löschung anstehenden Objekte in der Microsoft Entra ID gelöscht werden sollen, verwenden Sie Ihre Anmeldeinformationen als Entra-Globaladministrator oder Hybrididentitätsadministrator und führen Sie die folgenden Schritte aus:
Warnung
Diese Aktion kann zum dauerhaften Löschen von Objekten in der Microsoft Entra-ID führen.
Um diesen Schutz vorübergehend zu deaktivieren und alle Löschvorgänge zu durchlaufen, führen Sie das PowerShell-Cmdlet aus:
Disable-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".Wenn der Microsoft Entra Connector noch ausgewählt ist, wählen Sie die Aktion Ausführen und anschließend Exportierenaus.
Um in Zukunft vor unerwarteten Löschungen zu schützen, stellen Sie sicher, dass das Löschschwellenfeature nicht dauerhaft deaktiviert ist. Um den Schutz mit dem Standardwert erneut zu aktivieren, führen Sie Folgendes aus:
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 -AADUserName "<UserPrincipalName>"
Wenn eine höhere Anzahl erwarteter Löschungen in Ihrer Organisation häufig ist, empfiehlt es sich, den Löschschwellenwert zu erhöhen, anstatt diesen Schutz zu deaktivieren, da dadurch unerwünschte Löschungen zu Verlust kritischer Daten und Dienstunterbrechungen führen könnten. Bewerten Sie die gewünschte Anzahl von Löschungen, und verwenden Sie das folgende PowerShell-Cmdlet, um beispielsweise einen neuen Grenzwert festzulegen, um einen Löschschwellenwert von 1000 festzulegen: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 1000 -AADUserName "<UserPrincipalName>".
Um den aktuellen Löschschwellenwert zu bestätigen, führen Sie Folgendes aus: Get-ADSyncExportDeletionThreshold -AADUserName "<UserPrincipalName>".
Nächste Schritte
Übersichtsthemen