Microsoft Entra Connect-Synchronisierung: Verhindern von versehentlichen Löschvorgängen

  • Artikel

In diesem Thema wird die Funktion zum Verhindern von versehentlichen Löschvorgängen in Microsoft Entra Connect beschrieben.

Bei der Installation von Microsoft Entra Connect wird der Schutz vor unbeabsichtigtem Löschen standardmäßig aktiviert und so konfiguriert, dass Exporte mit mehr als 500 Löschvorgängen unterbunden werden. Diese Funktion dient zum Schutz vor unbeabsichtigten Konfigurationsänderungen und Änderungen an Ihrem lokalen Verzeichnis, die sich auf viele Benutzer und andere Objekte auswirken würden.

Verhindern von versehentlichen Löschungen

Häufige Szenarien mit vielen Löschvorgängen sind:

  • Änderungen an der Filterung, bei denen die Auswahl einer gesamten Organisationseinheit oder Domäne aufgehoben wird.
  • Das Löschen aller Objekte in einer Organisationseinheit.
  • Das Umbenennen einer Organisationseinheit, sodass alle darin enthaltenen Objekte als außerhalb des Synchronisierungsbereichs liegend betrachtet werden.

Der Standardwert von 500 Objekten kann mit PowerShell mit Enable-ADSyncExportDeletionThreshold geändert werden. Dies ist ein Bestandteil des AD-Synchronisierungsmoduls, das mit Microsoft Entra Connect installiert wird. Sie sollten diesen Wert entsprechend der Größe Ihres Unternehmens konfigurieren. Da der Synchronisierungsplaner alle 30 Minuten ausgeführt wird, entspricht der Wert der Anzahl von Löschvorgängen, die innerhalb von 30 Minuten erfolgen.

Wenn zu viele Löschvorgänge in Microsoft Entra ID exportiert werden sollen, wird der Export angehalten, und Sie erhalten eine E-Mail wie die folgende:

Prevent Accidental deletes email

Hallo (Ansprechpartner für Technik), am (Datum und Uhrzeit) hat der Dienst für die Identitätssynchronisierung festgestellt, dass die Anzahl von Löschvorgängen den für (Name der Organisation) konfigurierten Schwellenwert überschritten hat. Es wurden insgesamt (Anzahl) Objekte bei dieser Ausführung der Identitätssynchronisierung zum Löschen gesendet. Dies entspricht dem konfigurierten Schwellenwert für Löschungen von (Anzahl) Objekten bzw. überschreitet ihn. Sie müssen vor dem Fortfahren bestätigen, dass diese Löschvorgänge durchgeführt werden sollen. Weitere Informationen zu dem in dieser E-Mail-Nachricht genannten Fehler finden Sie unter „Verhindern von zufälligem Löschen“.

Sie können den Status stopped-deletion-threshold-exceeded auch auf der Synchronization Service Manager -Benutzeroberfläche für das Exportprofil sehen. Prevent Accidental deletes Sync Service Manager UI

Wenn Sie diese Nachricht unerwartet erhalten haben, untersuchen Sie die Grunde dafür, und ergreifen Sie die nötigen Maßnahmen, um das Problem zu beheben. Führen Sie die folgenden Schritte aus, um zu ermitteln, welche Objekte gelöscht werden sollen:

  1. Starten Sie den Synchronisierungsdienst über das Startmenü.
  2. Gehen Sie zu Connectors.
  3. Wählen Sie den Connector mit dem Typ Microsoft Entra ID aus.
  4. Wählen Sie unter Actions (Aktionen) auf der rechten Seite Search Connector Space (Connectorbereich suchen).
  5. Wählen Sie im Popupfenster unter Scope (Bereich) die Option Disconnected Since (Getrennt seit) aus, und wählen Sie einen Zeitpunkt in der Vergangenheit. Klicken Sie auf Suchen. Auf dieser Seite wird eine Übersicht über alle zu löschenden Objekte angezeigt. Klicken Sie auf die einzelnen Objekte, um zusätzliche Informationen dazu zu erhalten. Sie können auch auf Spalteneinstellung klicken, um zusätzliche Attribute hinzuzufügen, die im Raster angezeigt werden.

Search Connector Space

[!NOTE] Falls Sie unsicher sind, ob alle Löschvorgänge erwünscht sind, und auf Nummer sicher gehen möchten, können Sie mithilfe des PowerShell-Cmdlets Enable-ADSyncExportDeletionThreshold einen neuen Schwellenwert festlegen, anstatt den Schwellenwert zu deaktivieren, was möglicherweise zu unerwünschten Löschungen führt.

Wenn alle Löschvorgänge erwünscht sind

Wenn alle Löschvorgänge gewünscht sind, gehen Sie folgendermaßen vor:

  1. Führen Sie zum Abrufen des aktuellen Schwellenwerts für Löschungen das PowerShell-Cmdlet Get-ADSyncExportDeletionThreshold aus. Der Standardwert ist 500.
  2. Um den Schutz vorübergehend zu deaktivieren und diese Löschvorgänge zuzulassen, führen Sie folgendes PowerShell-Cmdlet aus: Disable-ADSyncExportDeletionThreshold.
  3. Lassen Sie Microsoft Entra Connector weiterhin ausgewählt, wählen Sie die Aktion Ausführen und anschließend Exportieren aus.
  4. Führen Sie zum erneuten Aktivieren des Schutzes folgendes PowerShell-Cmdlet aus: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Ersetzen Sie „500“ durch den Wert, den Sie beim Abrufen des aktuellen Schwellenwerts für Löschungen notiert haben.

Nächste Schritte

Übersichtsthemen