Sincronización de Microsoft Entra Connect: prevenir eliminaciones accidentales

  • Artículo

En este tema se describe la característica para evitar eliminaciones accidentales en Microsoft Entra Connect.

Al instalar Microsoft Entra Connect, la opción Evitar eliminaciones accidentales se habilita de forma predeterminada y se configura para que no permita ninguna exportación con más de 500 eliminaciones. Esta característica está diseñada para protegerle de los cambios de configuración accidentales y de los cambios en el directorio local que afectarían a un gran número de usuarios y demás objetos.

Qué significa evitar eliminaciones accidentales

Entre los escenarios comunes que implican muchas eliminaciones se incluyen:

  • Cambios en el filtrado donde se anula la selección de una unidad organizativa o un dominio completos.
  • Se eliminan todos los objetos de una unidad organizativa.
  • Se cambia el nombre de una unidad organizativa, así que se considera que todos los objetos están fuera del ámbito de la sincronización.

El valor predeterminado de 500 objetos puede cambiarse con PowerShell mediante Enable-ADSyncExportDeletionThreshold, que forma parte del módulo de sincronización de AD que se instala con Microsoft Entra Connect. Debe configurar este valor para ajustar el tamaño de su organización. Dado que el programador de sincronización se ejecutará cada 30 minutos, el valor es el número de eliminaciones que hemos visto en 30 minutos.

Si hay demasiadas eliminaciones preparadas para exportarse a Microsoft Entra ID, la exportación no continuará y recibirá un mensaje de correo electrónico similar al siguiente:

Prevent Accidental deletes email

Hola (contacto técnico). A veces el servicio de sincronización de identidades detecta que el número de eliminaciones supera el umbral de eliminación configurado para (nombre de la organización). En esta sincronización de identidades, se envía un total de (número) objetos para su eliminación. Este número cumple o supera el valor del umbral de eliminación configurado de (número) objetos. Es necesario que confirme que estas eliminaciones deben procesarse para que podamos continuar. Para más detalles sobre el error que aparece en este mensaje de correo electrónico, consulte la información sobre la prevención de eliminaciones accidentales .

También puede ver el estado stopped-deletion-threshold-exceeded cuando observa la interfaz de usuario Synchronization Service Manager para el perfil de exportación. Prevent Accidental deletes Sync Service Manager UI

Si no es lo esperado, investigue y tome las medidas correctivas oportunas. Para ver los objetos que se van a eliminar, haga lo siguiente:

  1. Inicie el Servicio de sincronización desde el menú Inicio.
  2. Vaya a Conectores.
  3. Seleccione el conector con el tipo Microsoft Entra ID.
  4. A la derecha, en Acciones, seleccione Espacio del conector de búsqueda.
  5. En la ventana emergente, en Ámbito, seleccione Desconectado desde y elija una hora en el pasado. Haga clic en Buscar. Esta página ofrece una vista de todos los objetos que se van a eliminar. Al hacer clic en cada elemento, puede obtener información adicional sobre el objeto. También puede hacer clic en Valor de la columna para agregar atributos adicionales para que sean visibles en la cuadrícula.

Search Connector Space

[NOTA] Si no está seguro de querer realizar todas las eliminaciones y desea desplazarse por una ruta más segura. Puede usar el cmdlet de PowerShell Enable-ADSyncExportDeletionThreshold para establecer un nuevo umbral en lugar de deshabilitarlo, lo que podría provocar eliminaciones no deseadas.

Si desea todas las eliminaciones

Si se desean todas las eliminaciones, haga lo siguiente:

  1. Para recuperar el umbral de eliminación actual, ejecute el cmdlet de PowerShell Get-ADSyncExportDeletionThreshold. El valor predeterminado es 500.
  2. Para deshabilitar temporalmente esta protección y permitir realizar estas eliminaciones, ejecute el cmdlet de PowerShell: Disable-ADSyncExportDeletionThreshold.
  3. Con el Conector de Microsoft Entra aún seleccionado, seleccione la acción Ejecutar y Exportar.
  4. Para volver a habilitar la protección, ejecute el cmdlet de PowerShell: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Reemplace 500 con el valor observado al recuperar el umbral de eliminación actual.

Pasos siguientes

Temas de introducción