Microsoft Entra Connect Sync: Evite exclusões acidentais

Este tópico descreve o recurso impedir exclusões acidentais (impedindo exclusões acidentais) no Microsoft Entra Connect.

Ao instalar o Microsoft Entra Connect, impedir exclusões acidentais é habilitado por padrão e configurado para não permitir uma exportação com mais de 500 exclusões. Esse recurso foi projetado para protegê-lo contra alterações acidentais de configuração e alterações no diretório local que afetariam muitos usuários e outros objetos.

O que significa prevenir exclusões acidentais

Os cenários comuns que envolvem muitas exclusões incluem:

• As alterações na filtragem de em que um de UO de inteiro ou de domínio está desmarcado.
• Todos os objetos em uma UO são excluídos.
• Uma UO é renomeada para que todos os objetos nela sejam considerados fora do escopo de sincronização.

O valor padrão de 500 objetos pode ser alterado com o PowerShell usando Enable-ADSyncExportDeletionThreshold, que faz parte do módulo de Sincronização do AD instalado com o Microsoft Entra Connect. Você deve configurar esse valor para se ajustar ao tamanho da sua organização. Como o agendador de sincronização é executado a cada 30 minutos, o valor é o número de exclusões vistas em 30 minutos.

Se houver muitas exclusões preparadas para serem exportadas para o Microsoft Entra ID, a exportação será interrompida e você receberá um e-mail como este:

Olá (contato técnico). Em (momento), o serviço de sincronização de identidade detetou que o número de exclusões excedia o limite de exclusão configurado para (nome da organização). Um total de (número) objetos foram enviados para exclusão nesta execução de sincronização de identidade. Este valor atingiu ou excedeu o limite de eliminação configurado de (número) objetos. Precisamos que você forneça a confirmação de que essas exclusões devem ser processadas antes de prosseguirmos. Para obter mais informações sobre o erro listado nesta mensagem de e-mail, consulte a prevenção de exclusões acidentais.

Você também pode ver o estado stopped-deletion-threshold-exceeded quando procura na interface do usuário do Synchronization Service Manager o perfil Export.

Se isso foi inesperado, investigue e tome medidas corretivas. Para ver quais objetos estão prestes a serem excluídos, faça o seguinte:

1. Inicie Serviço de Sincronização no Menu Iniciar.
2. Vá para Conectores.
3. Selecione o Conector com o tipo Microsoft Entra ID.
4. Em Ações à direita, selecione Espaço do Conector de Pesquisa.
5. No pop-up em Escopo, selecione Desconectado desde e escolha um momento no passado. Selecione Pesquisa. Esta página fornece uma exibição de todos os objetos prestes a serem excluídos. Ao selecionar cada item, você pode obter informações adicionais sobre o objeto. Você também pode selecionar Definição de Coluna para adicionar mais atributos visíveis na grelha.

[! NOTA] Se você não tem certeza de que todas as exclusões são desejadas e deseja seguir um caminho mais seguro. Você pode usar o cmdlet PowerShell: Enable-ADSyncExportDeletionThreshold para definir um novo limite em vez de desabilitar o limite que poderia permitir exclusões indesejadas.

Se todas as exclusões forem desejadas

Se todas as exclusões forem desejadas, faça o seguinte:

1. Para recuperar o limite de exclusão atual, execute o cmdlet do PowerShell Get-ADSyncExportDeletionThreshold. O valor padrão é 500.
2. Para desabilitar temporariamente essa proteção e permitir que as exclusões passem, execute o cmdlet PowerShell: Disable-ADSyncExportDeletionThreshold.
3. Com o Microsoft Entra Connector ainda selecionado, selecione a ação Executar e selecione Exportar.
4. Para reativar a proteção, execute o cmdlet do PowerShell: Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Substitua 500 pelo valor que você notou ao recuperar o limite de exclusão atual.

Próximos passos

Tópicos de visão geral

• Microsoft Entra Connect Sync: entenda e personalize a sincronização
• Integrando suas identidades locais com o Microsoft Entra ID