PI Services

Le blog des collaborateurs de PI Services

[Azure AD Connect] Prévention des suppressions accidentelles

Microsoft a intégré la fonction de prévention des suppressions accidentelles dans le cadre du service de provisionnement Azure AD. Lorsque le nombre de suppressions à traiter dans un cycle de provisionnement unique dépasse un seuil défini par le client, le service de provisionnement Azure AD s'interrompt en offrant une visibilité sur les suppressions potentielles afin d'accepter ou de refuser les suppressions.

La fonctionnalité de prévention des suppressions accidentelles est activée par défaut et configurée de manière à ne pas autoriser toute exportation comprenant plus de 500 suppressions. Vous pouvez modifier la valeur par défaut de 500 objets avec PowerShell en utilisant Enable-ADSyncExportDeletionThreshold, qui fait partie du module AD Sync installé avec Microsoft Entra Connect. Vous devez configurer cette valeur de manière à l’ajuster à la taille de votre organisation. Étant donné que le Planificateur de synchronisation est exécuté toutes les 30 minutes, la valeur est le nombre de suppressions détectées dans les 30 minutes.

Si le nombre de suppressions à exporter vers Microsoft Entra ID est trop important, l’exportation s’arrête et vous recevez un e-mail vous informant de l'arrêt de l'opération.

Vous pouvez également consulter l’état stopped-deletion-threshold-exceeded lorsque vous recherchez le profil d’exportation dans l’interface utilisateur Synchronization Service Manager .

 

Si vous souhaitez que tous les éléments soient supprimés, procédez comme suit :

  1. Pour récupérer le seuil de suppression actuel, exécutez l’applet de commande PowerShell Get-ADSyncExportDeletionThreshold. La valeur par défaut est 500.
  2. Pour désactiver temporairement cette protection et procéder à ces suppressions exécutez la commande PowerShell Disable-ADSyncExportDeletionThreshold.
  3. Sélectionnez par la suite le connecteur Microsoft Entra,  choisir l’action Exécuter, puis Exporter.
  4. Pour réactiver la protection, exécutez l’applet de commande PowerShell Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Remplacez 500 par la valeur que vous avez notée lors de la récupération du seuil de suppression actuel.