Sincronização do Azure AD Connect: impedir exclusões acidentaisAzure AD Connect sync: Prevent accidental deletes

Este tópico descreve o recurso de prevenção contra exclusões acidentais (que impede exclusões acidentais) no Azure AD Connect.This topic describes the prevent accidental deletes (preventing accidental deletions) feature in Azure AD Connect.

Ao instalar o Azure AD Connect, o recurso para impedir exclusões acidentais é habilitado por padrão e configurado para não permitir uma exportação com mais de 500 exclusões.When installing Azure AD Connect, prevent accidental deletes is enabled by default and configured to not allow an export with more than 500 deletes. Esse recurso destina-se a protegê-lo contra alterações acidentais de configuração e alterações no diretório local que possam afetar muitos usuários e outros objetos.This feature is designed to protect you from accidental configuration changes and changes to your on-premises directory that would affect many users and other objects.

O que é impedir exclusões acidentaisWhat is prevent accidental deletes

Os cenários comuns quando você vê muitas exclusões incluem:Common scenarios when you see many deletes include:

  • Alterações de filtragem em que todo uma UO ou domínio é desmarcado.Changes to filtering where an entire OU or domain is unselected.
  • Todos os objetos em uma UO são excluídos.All objects in an OU are deleted.
  • Uma UO é renomeada e todos os objetos são considerados fora do escopo de sincronização.An OU is renamed so all objects in it are considered to be out of scope for synchronization.

O valor padrão de 500 objetos pode ser alterado com o PowerShell usando Enable-ADSyncExportDeletionThreshold, que é parte do módulo AD Sync instalado com o Azure Active Directory Connect.The default value of 500 objects can be changed with PowerShell using Enable-ADSyncExportDeletionThreshold, which is part of the AD Sync module installed with Azure Active Directory Connect. Você deve configurar esse valor para ajustar o tamanho da sua organização.You should configure this value to fit the size of your organization. Como o agendador de sincronização é executado a cada 30 minutos, o valor é o número de exclusões visto em 30 minutos.Since the sync scheduler runs every 30 minutes, the value is the number of deletes seen within 30 minutes.

Se houver muitas exclusões preparadas para serem exportadas para o Azure AD, a exportação será interrompida e você receberá um email como este:If there are too many deletes staged to be exported to Azure AD, then the export stops and you receive an email like this:

Impedir exclusões de email acidentais

Saudação (contato técnico). No momento, o Serviço de sincronização de identidade detectou que o número de exclusões excedeu o limite configurado de exclusões para (nome da organização). Um total de (número) objetos foram enviados para exclusão nesta execução da sincronização de Identidade. Isso atingiu ou excedeu o valor de limite de exclusão configurado de (número) objetos. Precisamos que você forneça a confirmação de que essas exclusões devem ser processadas antes de continuarmos. Veja Impedindo exclusões acidentais para obter mais informações sobre o erro listado nesta mensagem de email.Hello (technical contact). At (time) the Identity synchronization service detected that the number of deletions exceeded the configured deletion threshold for (organization name). A total of (number) objects were sent for deletion in this Identity synchronization run. This met or exceeded the configured deletion threshold value of (number) objects. We need you to provide confirmation that these deletions should be processed before we will proceed. Please see the preventing accidental deletions for more information about the error listed in this email message.

Você também pode ver o status stopped-deletion-threshold-exceeded examinando a interface do Synchronization Service Manager para o perfil de exportação.You can also see the status stopped-deletion-threshold-exceeded when you look in the Synchronization Service Manager UI for the Export profile. Impedir exclusões acidentais na interface do usuário do Synchronization Service ManagerPrevent Accidental deletes Sync Service Manager UI

Caso isso não seja esperado, investigue e tome medidas corretivas.If this was unexpected, then investigate and take corrective actions. Para ver quais objetos estão prestes a ser excluídos, siga este procedimento:To see which objects are about to be deleted, do the following:

  1. Inicie o Serviço de Sincronização no Menu Iniciar.Start Synchronization Service from the Start Menu.
  2. Acesse Conectores.Go to Connectors.
  3. Selecione o Conector com o tipo Active Directory do Azure.Select the Connector with type Azure Active Directory.
  4. Em Ações, à direita, selecione Pesquisar Espaço do Conector.Under Actions to the right, select Search Connector Space.
  5. No pop-up em Escopo, selecione Desconectado desde e escolha um horário no passado.In the pop-up under Scope, select Disconnected Since and pick a time in the past. Clique em Pesquisar.Click Search. Esta página fornece uma exibição de todos os objetos prestes a serem excluídos.This page provides a view of all objects about to be deleted. Clicando em cada item, você poderá obter informações adicionais sobre o objeto.By clicking each item, you can get additional information about the object. Você também pode clicar em Configuração de Coluna para adicionar outros atributos para exibição na grade.You can also click Column Setting to add additional attributes to be visible in the grid.

Pesquisar Espaço do Conector

[!NOTE] Se você não tiver certeza de que todas as exclusões são desejadas e deseja descer uma rota mais segura.If you aren't sure all deletes are desired, and wish to go down a safer route. Você pode usar o cmdlet do PowerShell Enable-ADSyncExportDeletionThreshold : para definir um novo limite em vez de desabilitar o limite que pode permitir exclusões indesejadas.You can use the PowerShell cmdlet : Enable-ADSyncExportDeletionThreshold to set a new threshold rather than disabling the threshold which could allow undesired deletions.

Se todas as exclusões forem desejadas, siga este procedimento:If all the deletes are desired, then do the following:

  1. Para recuperar o limite atual de exclusão, execute o cmdlet Get-ADSyncExportDeletionThreshold do PowerShell.To retrieve the current deletion threshold, run the PowerShell cmdlet Get-ADSyncExportDeletionThreshold. Forneça uma conta e senha de Administrador Global do Azure AD.Provide an Azure AD Global Administrator account and password. O valor padrão é 500.The default value is 500.
  2. Para desabilitar temporariamente a proteção e permitir que as exclusões ocorram, execute o cmdlet do PowerShell: Disable-ADSyncExportDeletionThreshold.To temporarily disable this protection and let those deletes go through, run the PowerShell cmdlet: Disable-ADSyncExportDeletionThreshold. Forneça uma conta e senha de Administrador Global do Azure AD.Provide an Azure AD Global Administrator account and password. CredenciaisCredentials
  3. Com o Conector do Azure Active Directory ainda selecionado, selecione a ação Executar e Exportar.With the Azure Active Directory Connector still selected, select the action Run and select Export.
  4. Para reabilitar a proteção, execute o cmdlet do PowerShell: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500.To re-enable the protection, run the PowerShell cmdlet: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Substitua 500 pelo valor que você observou ao recuperar o limite atual de exclusão.Replace 500 with the value you noticed when retrieving the current deletion threshold. Forneça uma conta e senha de Administrador Global do Azure AD.Provide an Azure AD Global Administrator account and password.

Próximas etapasNext steps

Tópicos de visão geralOverview topics