Synchronisation d’Azure AD Connect : prévention des suppressions accidentellesAzure AD Connect sync: Prevent accidental deletes

Cette rubrique décrit la fonctionnalité Prévention des suppressions accidentelles dans Azure AD Connect.This topic describes the prevent accidental deletes (preventing accidental deletions) feature in Azure AD Connect.

Lors de l’installation d’Azure AD Connect, la fonctionnalité de prévention des suppressions accidentelles est activée par défaut et configurée de manière à interdire une exportation de plus de 500 suppressions.When installing Azure AD Connect, prevent accidental deletes is enabled by default and configured to not allow an export with more than 500 deletes. Cette fonctionnalité est conçue pour vous protéger contre les modifications accidentelles de la configuration et contre les modifications apportées à votre répertoire local qui auraient une incidence sur de nombreux utilisateurs et d’autres objets.This feature is designed to protect you from accidental configuration changes and changes to your on-premises directory that would affect many users and other objects.

Présentation de la prévention des suppressions accidentellesWhat is prevent accidental deletes

Voici quelques scénarios courants de nombreuses suppressions :Common scenarios when you see many deletes include:

  • Modifications apportées au filtrage lorsque l’intégralité d’une unité organisationnelle ou d’un domaine est désélectionnée.Changes to filtering where an entire OU or domain is unselected.
  • Tous les objets d’une unité d'organisation sont supprimés.All objects in an OU are deleted.
  • Une unité d'organisation est renommée et tous les objets qu'elle contient sont considérés comme hors de portée pour la synchronisation.An OU is renamed so all objects in it are considered to be out of scope for synchronization.

La valeur par défaut de 500 objets peut être modifiée avec PowerShell à l’aide de Enable-ADSyncExportDeletionThreshold, qui fait partie du module AD Sync installé avec Azure Active Directory Connect.The default value of 500 objects can be changed with PowerShell using Enable-ADSyncExportDeletionThreshold, which is part of the AD Sync module installed with Azure Active Directory Connect. Vous devez configurer cette valeur de manière à l’ajuster à la taille de votre organisation.You should configure this value to fit the size of your organization. Étant donné que le Planificateur de synchronisation est exécuté toutes les 30 minutes, la valeur est le nombre de suppressions détectées dans les 30 minutes.Since the sync scheduler runs every 30 minutes, the value is the number of deletes seen within 30 minutes.

L’exportation s’arrête si le nombre de suppressions vers Azure AD est trop important et vous recevez un courrier électronique similaire à celui-ci :If there are too many deletes staged to be exported to Azure AD, then the export stops and you receive an email like this:

E-mail de prévention des suppressions accidentelles

Bonjour (contact technique). Au (moment) où le service de synchronisation d’identité a détecté que le nombre de suppressions avait dépassé le seuil de suppression configuré pour (nom de l’organisation). En tout, (nombre) objets ont été envoyés pour suppression au cours de ce cycle de synchronisation des identités. La valeur configurée de (nombre) objets pour le seuil de suppression a été atteinte ou dépassée. Avant que nous puissions continuer, vous devez confirmer que ces suppressions doivent être traitées. Consultez la rubrique Éviter les suppressions accidentelles pour plus d’informations concernant l’erreur indiquée dans ce message électronique.Hello (technical contact). At (time) the Identity synchronization service detected that the number of deletions exceeded the configured deletion threshold for (organization name). A total of (number) objects were sent for deletion in this Identity synchronization run. This met or exceeded the configured deletion threshold value of (number) objects. We need you to provide confirmation that these deletions should be processed before we will proceed. Please see the preventing accidental deletions for more information about the error listed in this email message.

Vous pouvez également consulter l’état stopped-deletion-threshold-exceeded lorsque vous recherchez le profil d’exportation dans l’interface utilisateur Synchronization Service Manager .You can also see the status stopped-deletion-threshold-exceeded when you look in the Synchronization Service Manager UI for the Export profile. Interface utilisateur Sync Service Manager de prévention des suppressions accidentellesPrevent Accidental deletes Sync Service Manager UI

Si l'événement n'était pas prévu, examinez la situation et corrigez-la si nécessaire.If this was unexpected, then investigate and take corrective actions. Pour voir les objets devant être supprimés, procédez comme suit :To see which objects are about to be deleted, do the following:

  1. Démarrez le Service de synchronisation depuis le menu Démarrer.Start Synchronization Service from the Start Menu.
  2. Accédez à Connecteurs.Go to Connectors.
  3. Sélectionnez le connecteur de type Azure Active Directory.Select the Connector with type Azure Active Directory.
  4. Sous Actions, à droite, sélectionnez Espace de connecteur de recherche.Under Actions to the right, select Search Connector Space.
  5. Dans la fenêtre contextuelle, sous Étendue, sélectionnez Déconnecté depuis, puis choisissez une heure dans le passé.In the pop-up under Scope, select Disconnected Since and pick a time in the past. Cliquez sur Rechercher.Click Search. Cette page affiche tous les objets sur le point d’être supprimés.This page provides a view of all objects about to be deleted. En cliquant sur chaque élément, vous pouvez obtenir des informations supplémentaires sur l’objet.By clicking each item, you can get additional information about the object. Vous pouvez également cliquer sur Paramètre de colonne pour ajouter des attributs supplémentaires dans la grille.You can also click Column Setting to add additional attributes to be visible in the grid.

Espace de connecteur de recherche

[!NOTE] Si vous ne savez pas si toutes les suppressions sont souhaitées et que vous voulez jouer la sécurité,If you aren't sure all deletes are desired, and wish to go down a safer route. vous pouvez utiliser l’applet de commande PowerShell Enable-ADSyncExportDeletionThreshold pour définir un nouveau seuil au lieu de désactiver le seuil qui pourrait permettre des suppressions indésirables.You can use the PowerShell cmdlet : Enable-ADSyncExportDeletionThreshold to set a new threshold rather than disabling the threshold which could allow undesired deletions.

Si toutes les suppressions sont souhaitéesIf all deletes are desired

Si vous souhaitez que tous les éléments soient supprimés, procédez comme suit :If all the deletes are desired, then do the following:

  1. Pour récupérer le seuil de suppression actuel, exécutez l’applet de commande PowerShell Get-ADSyncExportDeletionThreshold.To retrieve the current deletion threshold, run the PowerShell cmdlet Get-ADSyncExportDeletionThreshold. Indiquez un compte et un mot de passe d’administrateur général Azure AD.Provide an Azure AD Global Administrator account and password. La valeur par défaut est 500.The default value is 500.
  2. Pour désactiver temporairement cette protection et procéder à ces suppressions exécutez l’applet de commande PowerShell Disable-ADSyncExportDeletionThreshold.To temporarily disable this protection and let those deletes go through, run the PowerShell cmdlet: Disable-ADSyncExportDeletionThreshold. Indiquez un compte et un mot de passe d’administrateur général Azure AD.Provide an Azure AD Global Administrator account and password. Informations d'identificationCredentials
  3. Tout en maintenant le connecteur Azure Active Directory sélectionné, sélectionnez l’action Exécuter, puis Exporter.With the Azure Active Directory Connector still selected, select the action Run and select Export.
  4. Pour réactiver la protection, exécutez l’applet de commande PowerShell Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500.To re-enable the protection, run the PowerShell cmdlet: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Remplacez 500 par la valeur que vous avez notée lors de la récupération du seuil de suppression actuel.Replace 500 with the value you noticed when retrieving the current deletion threshold. Indiquez un compte et un mot de passe d’administrateur général Azure AD.Provide an Azure AD Global Administrator account and password.

Étapes suivantesNext steps

Rubriques de présentationOverview topics