Azure AD Connect 同期: 誤って削除されないように保護するAzure AD Connect sync: Prevent accidental deletes

このトピックでは、Azure AD Connect の "誤って削除されないように保護する" 機能について説明します。This topic describes the prevent accidental deletes (preventing accidental deletions) feature in Azure AD Connect.

Azure AD Connect のインストール中は、誤った削除操作を防止する機能が既定で有効になり、500 個を超える削除を行うエクスポートを許可しないように構成されます。When installing Azure AD Connect, prevent accidental deletes is enabled by default and configured to not allow an export with more than 500 deletes. この機能は、構成を誤って変更することと、たくさんのユーザーや各種オブジェクトに影響を与える可能性があるオンプレミス ディレクトリを変更することを防ぐように設計されています。This feature is designed to protect you from accidental configuration changes and changes to your on-premises directory that would affect many users and other objects.

誤って削除されないように保護する機能What is prevent accidental deletes

たとえば、次のような大量の削除を行う状況でこの機能が作用します。Common scenarios when you see many deletes include:

  • OU 全体またはドメイン全体を除外していたフィルター処理に変更を加えた場合。Changes to filtering where an entire OU or domain is unselected.
  • OU 内のすべてのオブジェクトを削除した場合。All objects in an OU are deleted.
  • OU の名前を変更したことでその OU 内のすべてのオブジェクトが同期の対象外と見なされる場合。An OU is renamed so all objects in it are considered to be out of scope for synchronization.

既定値の 500 オブジェクトは、PowerShell の Enable-ADSyncExportDeletionThreshold を使って変更できます。このコマンドレットは、Azure Active Directory Connect でインストールされる AD Sync モジュールの一部です。The default value of 500 objects can be changed with PowerShell using Enable-ADSyncExportDeletionThreshold, which is part of the AD Sync module installed with Azure Active Directory Connect. 組織の規模に合わせてこの値を構成する必要があります。You should configure this value to fit the size of your organization. 同期スケジューラは 30 分おきに実行されるので、この値は 30 分以内に確認される削除数になります。Since the sync scheduler runs every 30 minutes, the value is the number of deletes seen within 30 minutes.

Azure AD にエクスポートするようにステージングされた削除の数が多すぎる場合は、エクスポートは停止され、次のような電子メールが送信されます。If there are too many deletes staged to be exported to Azure AD, then the export stops and you receive an email like this:

Prevent Accidental deletes email

(技術担当者) 様。(時刻) に、ID 同期サービスは、削除の数が、(組織名) に対して構成されている削除のしきい値を超えたことを検出しました。この ID 同期の実行で、合計 (数) 個のオブジェクトが削除のために送信されました。これは、構成されている削除のしきい値である (数) 個のオブジェクトに達しているか、それを超えています。続行する前に、これらの削除を処理してよいかどうかを確認する必要があります。この電子メール メッセージに記載されているエラーの詳細情報については、「誤って削除されないように保護する」を参照してください。Hello (technical contact). At (time) the Identity synchronization service detected that the number of deletions exceeded the configured deletion threshold for (organization name). A total of (number) objects were sent for deletion in this Identity synchronization run. This met or exceeded the configured deletion threshold value of (number) objects. We need you to provide confirmation that these deletions should be processed before we will proceed. Please see the preventing accidental deletions for more information about the error listed in this email message.

また、Synchronization Service Manager UI でエクスポート プロファイルのステータスが stopped-deletion-threshold-exceeded となっていることを確認できます。You can also see the status stopped-deletion-threshold-exceeded when you look in the Synchronization Service Manager UI for the Export profile. 誤って削除されないように保護する Sync Service Manager UIPrevent Accidental deletes Sync Service Manager UI

これを予想していなかった場合は、調査し、修正のアクションを実行します。If this was unexpected, then investigate and take corrective actions. 削除されようとしているオブジェクトを表示するには、次の操作を行います。To see which objects are about to be deleted, do the following:

  1. [スタート] メニューから [同期サービス] を起動します。Start Synchronization Service from the Start Menu.
  2. [コネクタ] に進みます。Go to Connectors.
  3. 種類が「 Azure Active Directory」のコネクタを選択します。Select the Connector with type Azure Active Directory.
  4. 右にある [アクション] で、 [コネクタの検索領域] を選択します。Under Actions to the right, select Search Connector Space.
  5. ポップアップ ウィンドウの [Scope (範囲)] で、 [Disconnected Since (切断時刻)] を選択し、過去の時間を選択します。In the pop-up under Scope, select Disconnected Since and pick a time in the past. [Search (検索)] をクリックします。Click Search. このページには、削除されようとしているすべてのオブジェクトが表示されます。This page provides a view of all objects about to be deleted. 各項目をクリックすると、そのオブジェクトに関する追加情報を取得できます。By clicking each item, you can get additional information about the object. また、 [Column Setting (列設定)] をクリックして、グリッドに表示する属性を追加することもできます。You can also click Column Setting to add additional attributes to be visible in the grid.

コネクタ スペースの検索

[!NOTE] すべての削除が望ましいかどうかわからず、安全な道を選択することがあります。If you aren't sure all deletes are desired, and wish to go down a safer route. PowerShell コマンドレットの Enable-ADSyncExportDeletionThreshold を使用すると、望ましくない削除を許可する可能性があるしきい値を無効にするのではなく、新しいしきい値を設定できます。You can use the PowerShell cmdlet : Enable-ADSyncExportDeletionThreshold to set a new threshold rather than disabling the threshold which could allow undesired deletions.

すべての削除が望まれる場合、次のように操作します。If all the deletes are desired, then do the following:

  1. 現在の削除のしきい値を取得するには、PowerShell コマンドレット Get-ADSyncExportDeletionThreshold を実行します。To retrieve the current deletion threshold, run the PowerShell cmdlet Get-ADSyncExportDeletionThreshold. Azure AD グローバル管理者のアカウントとパスワードを入力します。Provide an Azure AD Global Administrator account and password. 既定値は 500 です。The default value is 500.
  2. この保護を一時的に無効にし、それらの削除を行うには、PowerShell コマンドレットの Disable-ADSyncExportDeletionThresholdを実行します。To temporarily disable this protection and let those deletes go through, run the PowerShell cmdlet: Disable-ADSyncExportDeletionThreshold. Azure AD グローバル管理者のアカウントとパスワードを入力します。Provide an Azure AD Global Administrator account and password. 資格情報Credentials
  3. Azure Active Directory Connector が選択されている状態で、 [実行] アクションを選択し、 [エクスポート] を選択します。With the Azure Active Directory Connector still selected, select the action Run and select Export.
  4. 保護を再度有効にするには、PowerShell コマンドレットの Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500を実行します。To re-enable the protection, run the PowerShell cmdlet: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. 現在の削除のしきい値を取得する場合、500 を通知する値に置き換えます。Replace 500 with the value you noticed when retrieving the current deletion threshold. Azure AD グローバル管理者のアカウントとパスワードを入力します。Provide an Azure AD Global Administrator account and password.

次の手順Next steps

概要トピックOverview topics