Azure AD Connectのオブジェクト保護をPowerShellで設定する

2021.03.19

Azure AD Connectの操作や設定は一般的には下記のGUIツールを使うことが多いと思います。

  • Azure AD Connect
  • Synchronization Service
  • Synchronization Rules Editor


Azure AD Connectでは誤った操作により大量のオブジェクトが削除されることを防ぐ機能があります。

例えば、同期対象のOUを間違って変更してしまい、大量のユーザーオブジェクトが同期対象外になってしまう時です。

この時、次回の同期でAzure ADから大量のユーザーが削除されてしまうので、それを防ぐ機能がオブジェクト保護です。

この機能はPowerShellでしか設定できない機能です。


今回はAzure AD Connectでオブジェクト保護を設定するPowerShellのコマンドを紹介します。


1.現在の設定確認

オブジェクト保護は既定で有効になっています。


現在の設定を確認するには下記のコマンドを実行します。

既定では一度に削除出来るオブジェクト数は「500」に設定されています。

Get-ADSyncExportDeletionThreshold

DeletionPrevention ThresholdPercentage ThresholdCount
——————— ———————– —————–
        1           0       500




2.設定無効化

OU変更などで大量のオブジェクトが削除されることが予め分かっている時は、一時的にオブジェクト保護の設定を無効にします。


無効にするには下記のコマンドを実行します。

Disable-ADSyncExportDeletionThreshold


無効にすると「DeletionPrevention」が「0」になります。

DeletionPrevention ThresholdPercentage ThresholdCount
——————— ———————– —————–
        0           0       500




3.設定有効化

一時的にオブジェクト保護を無効にした後は、再度有効に設定してください。


有効に設定するには下記のコマンドを実行します。

「DeletionThreshold」には削除可能な上限値を指定してください。

Enable-ADSyncExportDeletionThreshold -DeletionThreshold 300


今回の例では、「DeletionThreshold」を「300」にしたので、「ThresholdCount」が「300」に設定されます。

DeletionPrevention ThresholdPercentage ThresholdCount
——————— ———————– —————–
        1           0       300




オブジェクト保護のPowerShellコマンドの紹介は以上です。

コメント

タイトルとURLをコピーしました