Partager via

Comment restaurer des comptes d’utilisateur supprimés dans Microsoft 365, Azure et Intune

  • S’applique à: Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Numéro de base de connaissances d’origine : 2619308

Symptômes

Un compte d’utilisateur qui a été supprimé accidentellement de Microsoft 365, Microsoft Azure ou Microsoft Intune doit être restauré.

Résolution

Avant de commencer

Lorsque les utilisateurs sont supprimés de l’ID Microsoft Entra, ils sont déplacés vers un état « supprimé » et n’apparaissent plus dans la liste des utilisateurs. Toutefois, ils ne sont pas complètement supprimés et peuvent être récupérés dans les 30 jours.

Utilisez Microsoft 365 et le module Azure Active Directory pour PowerShell comme suit pour déterminer si un utilisateur peut être récupéré à partir de l’état « supprimé » :

  1. Dans le portail Microsoft 365 , recherchez les comptes d’utilisateur qui ont été supprimés via le portail. Pour cela, procédez comme suit :
    1. Connectez-vous au portail Microsoft 365 (https://portal.office.com) à l’aide des informations d’identification d’administration.
    2. Sélectionnez Utilisateurs, puis sélectionnez Utilisateurs supprimés.
    3. Recherchez l’utilisateur que vous souhaitez récupérer.
  2. Dans le module Azure Active Directory pour Windows PowerShell, procédez comme suit :
    1. Sélectionnez Démarrer>Tous les programmes>Windows Azure Active Directory>Windows Azure Active Directory module pour Windows PowerShell.
    2. Tapez les commandes suivantes dans l’ordre dans lequel elles sont présentées, puis appuyez sur Entrée après chaque commande :

      • $cred = get-credential

        Remarque

        Lorsque vous y êtes invité, entrez vos informations d’identification Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Remarque

Les modules Azure AD et MSOnline PowerShell sont déconseillés depuis le 30 mars 2024. Pour en savoir plus, consultez la mise à jour sur l'obsolescence. Après cette date, la prise en charge de ces modules se limite à une aide à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et à des correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour connaître les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.

Résolution 1 : Récupérer manuellement des comptes supprimés à l’aide du portail Microsoft 365 ou du module Azure Active Directory

Pour récupérer manuellement un compte d’utilisateur supprimé, utilisez l’une des méthodes suivantes :

  • Utilisez le portail Microsoft 365 pour récupérer le compte d’utilisateur. Pour plus d’informations sur la procédure à suivre, restaurez un utilisateur.

  • Utilisez le module Azure Active Directory pour Windows PowerShell pour récupérer le compte d’utilisateur. Pour ce faire, tapez la commande suivante, puis appuyez sur Entrée :

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Si cette commande ne fonctionne pas, essayez la commande suivante :

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Remarque

    Dans ces commandes, les conventions suivantes sont utilisées :

    • Les UserPrincipalName paramètres et ObjectID identifient de manière unique l’objet utilisateur à restaurer.
    • Le AutoReconcileProxyConflicts paramètre est facultatif et est utilisé dans les scénarios dans lesquels un autre objet utilisateur reçoit l’adresse proxy de l’objet utilisateur cible après la suppression de cette adresse.
    • Le NewUserPrincipalName paramètre est éventuellement utilisé dans les scénarios dans lesquels un autre objet utilisateur est accordé à l’aide du nom d’utilisateur principal de l’objet utilisateur cible (UPN) après la suppression de cet UPN.

Résolution 2 : Récupérer des comptes supprimés, car les modifications exploratoires excluent l’objet utilisateur Active Directory local

Pour récupérer des comptes d’utilisateur supprimés, assurez-vous que le filtrage de synchronisation d’annuaires (périmètre) est défini afin que le périmètre inclut les objets que vous souhaitez récupérer.

Pour plus d’informations, consultez Microsoft Entra Connect Sync : Configurer le filtrage.

Résolution 3 : Récupérer des comptes supprimés, car l’objet utilisateur local a été supprimé du schéma Active Directory local

Pour récupérer un élément qui a été supprimé du schéma Active Directory local, essayez les méthodes suivantes :

  • Essayez de restaurer l’élément supprimé de la corbeille Active Directory. Pour ce faire, consultez le Guide pas à pas de la Corbeille Active Directory.

    Remarque

    • La corbeille Active Directory est disponible uniquement en ayant le niveau fonctionnel de Windows 2008 R2 ou versions ultérieures.
    • Pour que la corbeille Active Directory soit utile pour récupérer un élément, elle doit être activée avant la suppression de l’élément.

  • Si la corbeille Active Directory n’est pas disponible ou si l’objet en question n’est plus dans la corbeille, essayez de récupérer l’élément supprimé à l’aide de l’outil AdRestore. Pour ce faire, procédez comme suit :

    1. Installez l’outil AdRestore .

    2. Utilisez AdRestore avec un filtre de recherche pour localiser l’objet utilisateur local supprimé. Les exemples suivants utilisent une chaîne « UserA » pour rechercher des noms d’utilisateur qui correspondent.

      1. Utilisez AdRestore pour énumérer tous les objets utilisateur qui ont une chaîne « UserA » dans leur nom :

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. Utilisez AdRestore avec le commutateur -r pour restaurer l’objet utilisateur.

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Activez l’objet utilisateur dans Active Directory. Lorsque l’objet est restauré, il est désactivé au début. Par conséquent, vous devez l’activer. Nous vous recommandons de réinitialiser d’abord le mot de passe de l’utilisateur. Pour activer l’utilisateur, procédez comme suit :

    1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Réinitialiser le mot de passe.

    2. Dans les zones Nouveau mot de passe et Confirmer le mot de passe , entrez un nouveau mot de passe, puis sélectionnez OK.

    3. Cliquez avec le bouton droit sur l’utilisateur, sélectionnez Activer le compte, puis ok.

      Capture d’écran montrant comment activer le compte dans Active Directory.

      Vous recevez le message d’erreur suivant (attendu) :

      Windows ne peut pas activer object <MailboxName> , car : Impossible de mettre à jour le mot de passe. La valeur fournie pour le nouveau mot de passe ne répond pas aux exigences de longueur, de complexité ou d’historique du domaine.

      Après avoir reçu ce message d’erreur, réinitialisez le mot de passe de l’utilisateur dans utilisateurs et ordinateurs Active Directory.

  • Configurer le nom d’ouverture de session de l’utilisateur

    Le nom d’ouverture de session utilisateur (également appelé nom d’utilisateur principal ou UPN) n’est pas défini à partir de l’objet utilisateur restauré. Vous devez mettre à jour le nom de connexion de l’utilisateur, en particulier si l’utilisateur est un compte fédéré.

    Pour configurer le nom de connexion de l’utilisateur, procédez comme suit :

    1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Propriétés.
    2. Sélectionnez Compte, entrez un nom dans la zone Nom d’ouverture de session utilisateur, puis sélectionnez OK.

    Enfin, si vous ne pouvez pas récupérer le compte d’utilisateur supprimé via la corbeille Active Directory ou à l’aide de l’outil AdRestore, exécutez une restauration faisant autorité des objets utilisateur supprimés dans Active Directory.

Avertissements et précautions

  • Assurez-vous que seuls les objets utilisateur que vous souhaitez restaurer sont marqués comme faisant autorité. Les objets Active Directory marqués comme faisant autorité dans le processus de restauration peuvent entraîner de nombreux problèmes de service Active Directory.

    Pour plus d’informations sur l’exécution d’une restauration faisant autorité des objets Active Directory, consultez Exécution d’une restauration faisant autorité des objets Active Directory.

  • Après avoir restauré l’objet à l’aide d’une méthode Resolution 3, l’objet peut ne pas avoir tous les attributs de service (tels qu’Exchange Online et Skype Entreprise Online) restaurés automatiquement.

    Par exemple, pour un utilisateur anciennement activé par la messagerie dans Exchange Online, vous pouvez utiliser des applets de commande Windows PowerShell pour remplir à nouveau les attributs Exchange Online.

    Dans l’exemple suivant, l’objet User1 est rempli à l’aide d’attributs Exchange Online pour le locataire contoso.onmicrosoft.com :

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Si les conditions suivantes sont remplies, la résolution 3 ne fonctionne pas :

    • La restauration de l’objet à l’aide de la corbeille Active Directory n’est pas une option disponible.
    • La restauration de l’objet à l’aide de l’outil AdRestore n’est pas une option disponible.
    • La restauration faisant autorité d’Active Directory n’est pas une option disponible.

Dans ce cas, contactez le support Microsoft 365 pour obtenir de l’aide.

Plus d’informations

Après la suppression de l’utilisateur et avant la récupération de l’utilisateur, les événements suivants peuvent se produire et présenter des conflits susceptibles de modifier l’expérience utilisateur :

  • Un nouvel utilisateur a une valeur d’ID d’utilisateur unique qui a été précédemment affectée à l’utilisateur supprimé.
  • Un nouvel utilisateur a une valeur d’adresse e-mail unique qui a été précédemment affectée à l’utilisateur supprimé.

Si ces conflits se produisent, les attributs en conflit doivent être mis à jour pour supprimer le conflit avant que la récupération de l’utilisateur puisse être terminée. Si un conflit se produit pendant la récupération de l’utilisateur, Windows PowerShell retourne l’un des messages d’erreur suivants :

Erreur 1

Restore-MsolUser : le compte d’utilisateur spécifié ne peut pas être restauré en raison de l’erreur suivante : Type d’erreur UserPrincipalName

Erreur 2

Restore-MsolUser : le compte d’utilisateur spécifié ne peut pas être restauré en raison de l’erreur suivante : Error Type proxyAddress

Pour restaurer les utilisateurs qui sont dans cet état, vous pouvez corriger le conflit à l’aide des paramètres suivants lorsque vous exécutez l’applet de commande Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Remarque

Lorsque vous utilisez le AutoReconcileProxyConflicts paramètre, toutes les adresses e-mail en conflit sont supprimées de l’utilisateur supprimé afin de pouvoir poursuivre le processus de récupération.

Le portail Microsoft 365 affiche les messages d’erreur équivalents sous la forme des « états d’erreur » windows PowerShell mentionnés précédemment. Par exemple, vous recevez le message suivant :

Conflit de nom d'utilisateur : l'utilisateur que vous voulez restaurer a le même nom d'utilisateur.

Capture d’écran montrant que le nom d’utilisateur est en conflit.

Pour restaurer les utilisateurs qui sont dans cet état, renseignez les informations demandées dans le formulaire.

Vous avez toujours besoin d’aide ? Accédez à Communauté Microsoft ou au site web Microsoft Entra Forums.