Servizio di sincronizzazione Azure AD Connect: Impedire eliminazioni accidentaliAzure AD Connect sync: Prevent accidental deletes

Questo argomento descrive la funzionalità per impedire le eliminazioni accidentali in Azure AD Connect.This topic describes the prevent accidental deletes (preventing accidental deletions) feature in Azure AD Connect.

Quando si installa Azure AD Connect, la funzionalità per impedire le eliminazioni accidentali viene abilitata per impostazione predefinita e configurata in modo da non consentire un'esportazione con più di 500 eliminazioni.When installing Azure AD Connect, prevent accidental deletes is enabled by default and configured to not allow an export with more than 500 deletes. Questa funzionalità è progettata per la protezione da modifiche accidentali della configurazione e della directory locale che possono interessare un numero elevato di utenti e altri oggetti.This feature is designed to protect you from accidental configuration changes and changes to your on-premises directory that would affect many users and other objects.

Informazioni sulla prevenzione di eliminazioni accidentaliWhat is prevent accidental deletes

Gli scenari comuni in cui si verificano molte eliminazioni includono:Common scenarios when you see many deletes include:

  • Modifiche ai filtri in cui è deselezionata un'intera unità organizzativa o un dominio.Changes to filtering where an entire OU or domain is unselected.
  • Vengono eliminati tutti gli oggetti in un'unità organizzativa.All objects in an OU are deleted.
  • Un'unità organizzativa viene rinominata in modo che tutti gli oggetti in essa contenuti vengano considerati al di fuori dell'ambito di sincronizzazione.An OU is renamed so all objects in it are considered to be out of scope for synchronization.

Il valore predefinito di 500 oggetti può essere modificato con PowerShell tramite Enable-ADSyncExportDeletionThreshold, che fa parte del modulo di sincronizzazione di Active Directory installato con Azure Active Directory Connect.The default value of 500 objects can be changed with PowerShell using Enable-ADSyncExportDeletionThreshold, which is part of the AD Sync module installed with Azure Active Directory Connect. È consigliabile configurare questo valore in base alle dimensioni dell'organizzazione.You should configure this value to fit the size of your organization. Poiché l'utilità di pianificazione della sincronizzazione viene eseguita ogni 30 minuti, il valore è il numero di eliminazioni visualizzate in 30 minuti.Since the sync scheduler runs every 30 minutes, the value is the number of deletes seen within 30 minutes.

Se il numero di eliminazioni da esportare in Azure AD è troppo elevato, l'esportazione verrà arrestata e si riceverà un messaggio di posta elettronica simile al seguente:If there are too many deletes staged to be exported to Azure AD, then the export stops and you receive an email like this:

Messaggio di posta elettronica per evitare eliminazioni accidentali

Gentile (contatto tecnico), Sincronizzazione delle identità: il giorno (data) è stato rilevato che il numero di eliminazioni ha superato la soglia di eliminazione per (nome dell'organizzazione). È stato inviato un totale di (numero) oggetti per l'eliminazione in questa esecuzione di sincronizzazione delle identità. È stato quindi raggiunto o superato il valore della soglia di eliminazione configurato di (numero) oggetti. Prima di continuare, è necessario confermare di voler procedere con l'elaborazione di queste eliminazioni. Per altre informazioni sull'errore indicato in questo messaggio di posta elettronica, vedere l'articolo che illustra come evitare eliminazioni accidentali.Hello (technical contact). At (time) the Identity synchronization service detected that the number of deletions exceeded the configured deletion threshold for (organization name). A total of (number) objects were sent for deletion in this Identity synchronization run. This met or exceeded the configured deletion threshold value of (number) objects. We need you to provide confirmation that these deletions should be processed before we will proceed. Please see the preventing accidental deletions for more information about the error listed in this email message.

È anche possibile visualizzare lo stato stopped-deletion-threshold-exceeded nell'interfaccia utente di Synchronization Service Manager per il profilo di esportazione.You can also see the status stopped-deletion-threshold-exceeded when you look in the Synchronization Service Manager UI for the Export profile. Interfaccia utente di Synchronization Service Manager per evitare eliminazioni accidentaliPrevent Accidental deletes Sync Service Manager UI

Se si tratta di un messaggio inatteso, ricercare la causa e intraprendere eventuali azioni correttive.If this was unexpected, then investigate and take corrective actions. Per visualizzare gli oggetti che devono essere eliminati, procedere come segue:To see which objects are about to be deleted, do the following:

  1. Avviare Servizio di sincronizzazione dal Menu start.Start Synchronization Service from the Start Menu.
  2. Passare alla pagina Connettori.Go to Connectors.
  3. Selezionare il connettore con tipo Azure Active Directory.Select the Connector with type Azure Active Directory.
  4. In Azioni a destra selezionare Spazio connettore di ricerca.Under Actions to the right, select Search Connector Space.
  5. Nella casella popup in Scope (Ambito) selezionare Disconnected Since (Disconnesso dal) e selezionare una data/ora trascorsa.In the pop-up under Scope, select Disconnected Since and pick a time in the past. Fare clic su Search(Cerca).Click Search. Questa pagina offre la visualizzazione di tutti gli oggetti che verranno eliminati.This page provides a view of all objects about to be deleted. Facendo clic su ogni elemento è possibile ottenere altre informazioni sull'oggetto.By clicking each item, you can get additional information about the object. È anche possibile fare clic su Column Settings (Impostazioni colonna) per aggiungere altri attributi da visualizzare nella griglia.You can also click Column Setting to add additional attributes to be visible in the grid.

Spazio connettore di ricerca

Se si desidera tutte le eliminazioni, eseguire le operazioni seguenti:If all the deletes are desired, then do the following:

  1. Per recuperare la soglia di eliminazione corrente, eseguire il cmdlet di PowerShell Get-ADSyncExportDeletionThreshold.To retrieve the current deletion threshold, run the PowerShell cmdlet Get-ADSyncExportDeletionThreshold. Indicare un account di amministratore globale di Azure AD e una password.Provide an Azure AD Global Administrator account and password. Il valore predefinito è 500.The default value is 500.
  2. Per disabilitare temporaneamente la protezione e consentire l'esportazione di queste eliminazioni, eseguire il cmdlet PowerShell: Disable-ADSyncExportDeletionThreshold.To temporarily disable this protection and let those deletes go through, run the PowerShell cmdlet: Disable-ADSyncExportDeletionThreshold. Indicare un account di amministratore globale di Azure AD e una password.Provide an Azure AD Global Administrator account and password. CredenzialiCredentials
  3. Con il connettore Azure Active Directory ancora selezionato, selezionare l'azione Esegui e selezionare Esporta.With the Azure Active Directory Connector still selected, select the action Run and select Export.
  4. Per riabilitare la protezione, eseguire il cmdlet PowerShell: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500.To re-enable the protection, run the PowerShell cmdlet: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Sostituire 500 con il valore osservato quando si recupera la soglia di eliminazione corrente.Replace 500 with the value you noticed when retrieving the current deletion threshold. Indicare un account di amministratore globale di Azure AD e una password.Provide an Azure AD Global Administrator account and password.

Passaggi successiviNext steps

Argomenti generaliOverview topics