在 Workspace ONE Access 中设置目录同步安全措施

您可以为 Workspace ONE Access 目录配置同步安全措施阈值，以防在该目录与企业目录同步时对用户和组进行意外更改。一些阈值是默认设置的。

关于同步安全措施

同步安全措施将限制在目录同步时可对用户和组进行的更改次数。您可以为操作（例如创建用户、更新用户、更新组或删除组）设置不同的阈值。如果更改次数超过任何阈值，目录同步将会停止，并在目录的同步日志选项卡上显示错误。如果在 Workspace ONE Access 控制台中配置了 SMTP，则在由于违反安全措施而导致同步失败时，您还会收到一封电子邮件。

同步失败后，您可以转到目录的同步日志选项卡，以查看安全措施违反行为类型的说明。

要成功完成目录同步，您可以在同步设置 > 安全措施选项卡中增大安全措施阈值，也可以使用目录页面上的同步 > 在没有安全措施的情况下同步选项进行手动同步。在使用同步 > 在没有安全措施的情况下同步选项进行同步时，不会仅为当前同步会话实施安全措施阈值。

在第一次同步目录时，不会实施同步安全措施阈值。

注：如果您不希望对目录使用同步安全措施，请在目录的同步设置 > 安全措施选项卡中删除现有的阈值。如果阈值文本框是空的，则不会激活同步安全措施。

在 Workspace ONE Access 中配置目录同步安全措施

配置同步安全措施阈值，以限制在 Workspace ONE Access 目录与企业目录同步时可对用户和组进行的更改次数。如果更改次数超过任何阈值，则会停止目录同步。

注：一些阈值是默认设置的。如果您不希望对目录使用同步安全措施，请在目录的同步设置 > 安全措施选项卡中删除现有的阈值。如果阈值文本框是空的，则不会激活同步安全措施。

过程

在 Workspace ONE Access 控制台中，选择集成 > 目录。
单击要设置安全措施的目录。
选择同步设置 > 安全措施选项卡。
对于要配置的每个安全措施，请设置会触发同步失败的更改所占的百分比。
如果您不想为安全措施设置阈值，请将该文本框留空。
您可以为以下操作设置阈值：
- 从组中移除用户
- 将用户添加到现有组
- 创建用户
- 移除用户
- 更新用户
- 移除包含用户的组（移除其用户数超过用户总数指定百分比的组）
- 移除组
  注：此安全措施仅适用于 Workspace ONE Access Connector 23.09。
- 更新组（在超过指定百分比的组中更新从企业目录同步的组属性，如 domain 或 groupName）
  注：此安全措施仅适用于 Workspace ONE Access Connector 23.09。
例如：
单击保存。

查看同步安全措施违反行为

如果由于违反同步安全措施而导致目录同步失败，您可以查看同步日志以了解超出了哪些安全措施阈值。

过程

在目录页面上，选择同步日志选项卡。
单击同步详细信息列中的由于出现异常，未能完成同步链接。

注：如果由于安全措施违反行为以外的任何原因而导致同步失败，则无法单击由于出现异常，未能完成同步错误。在这种情况下，请查看连接器服务器上的目录同步服务日志，以对该错误进行故障排除。

弹出窗口中提供了有关超出哪些同步安全措施阈值的信息。例如：
有关受安全措施违反行为影响的用户和组的信息，请查看连接器服务器上的目录同步服务日志。
此信息在 Workspace ONE Access Connector 23.09 及更高版本中提供。

下一步做什么

查看安全措施违反行为后，您可以执行以下操作之一来完成同步：

调整目录的同步设置以限制同步期间所做的更改次数，然后再次同步。
增大同步安全措施阈值，然后再次同步。
忽略同步安全措施设置以完成同步。
小心：在没有采取安全措施的情况下在生产环境中执行同步时应谨慎操作，因为这可能会产生意想不到的影响，例如删除用户和组。

如何忽略安全措施设置以完成 Workspace ONE Access 目录同步

如果您收到了由于安全措施违反行为而未完成 Workspace ONE Access 目录同步的通知，并在仔细考虑后决定继续同步，则可以覆盖安全措施设置并完成同步。

小心：在没有采取安全措施的情况下在生产环境中执行同步时应谨慎操作，因为这可能会产生意想不到的影响，例如删除用户和组。

过程

在 Workspace ONE Access 控制台中，选择集成 > 目录。
单击未完成同步的目录。
从同步下拉菜单中，选择在没有安全措施的情况下同步。

结果

此时会运行目录同步，并且将仅为此同步会话忽略安全措施阈值设置。