Inhalt

Azure AD Sync - Höchstwert für Objektlöschungen bei der Identitätssynchronisierung erreicht

Inhalt

Hallo fabian.bader@company.com,

am Donnerstag, 20 Dezember 2017 10:07:51 GMT hat der Dienst für die Identitätssynchronisierung festgestellt, dass die Anzahl von Löschvorgängen den für [company.onmicrosoft.com] konfigurierten Schwellenwert überschritten hat. Es wurden insgesamt 551 Objekte bei dieser Ausführung der Identitätssynchronisierung zum Löschen gesendet. Dies entspricht dem konfigurierten Schwellenwert für Löschungen von 500 Objekten bzw. überschreitet ihn.

Sie müssen vor dem Fortfahren bestätigen, dass diese Löschvorgänge durchgeführt werden sollen. Weitere Informationen zu dem in dieser E-Mail-Nachricht genannten Fehler finden Sie unter Verhindern von zufälligem Löschen. Vielen Dank!

Ihr Azure Active Directory-Team

Wer eine solche E-Mail das erste Mail erhält fragt sich was jetzt zu tun ist.

Ursachenforschung

Wer sich sicher ist das die Änderung korrekt war und nicht nach der Ursache sucht, kann an das Ende dieses Blogeintrags springen. Dort sind die notwendigen Befehle dokumentiert.

Hintergrund der Meldung ist, wie schon die meisten korrekt vermuten, dass zu viele Objekte im on-premise Directory gelöscht wurden und AAD Sync diese Änderung nicht ohne Weiteres in Richtung Azure weiterleitet.

Ursache können berechtigte Massenlöschungen von Benutzern oder Gruppen sein, aber auch versehentliches Verschieben von Objekten in eine OU die nicht von AAD Sync synchronisiert wird. Um zu verhindern das viele Personen nicht mehr auf Azure Dienste zugreifen können schiebt Microsoft ab 500 Objekten den Riegel vor.

Welche Objekte von dieser Aktion betroffen sind, kann über das Tool “Synchronization Service” analysiert werden. Dazu muss der Eintrag mit dem Status “stopped-deletion-threshold-exceeded” in der Liste gesucht werden.

/azure-ad-sync-hoechstwert-fuer-objektloeschungen-bei-der-identitaetssynchronisierung-erreicht/images/AzureADSync-stopped-deletion-threshold.png

In der Connector Operation “Delta Synchronization” des on-premise AD findet sich die eigentliche Ursache. In diesem Beispiel wurden 551 Konnektoren gelöscht. Über den Eintrag “Deleted Connectors” können die Objekte genauer untersucht werden.

/azure-ad-sync-hoechstwert-fuer-objektloeschungen-bei-der-identitaetssynchronisierung-erreicht/images/AzureADSync-stopped-deletion-threshold_detailed.png

Die Lösung

Sollte es sich um eine gewünschte Aktion handeln kann mittels dieses Scripts der Schwellwert temporär deaktiviert werden. Direkt nach der manuellen Delta Synchronisierung wird der Threshold wieder auf den Standardwert von 500 gesetzt.

Import-Module ADSync
# Your AAD Credentials
$Credential = Get-Credential
# Disable the deletion threshold
Disable-ADSyncExportDeletionThreshold -AADCredential $Credential
# Sync changes
Start-ADSyncSyncCycle -PolicyType Delta
# Enable deletion threshold with default value of 500
Enable-ADSyncExportDeletionThreshold -AADCredential $Credential -DeletionThreshold 500