Comment restaurer des comptes d’utilisateur supprimés dans Microsoft 365, Azure et Intune

  • Article
  • S’applique à:
    Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Numéro de la base de connaissances d’origine : 2619308

Symptômes

Un compte d’utilisateur supprimé accidentellement de Microsoft 365, Microsoft Azure ou Microsoft Intune doit être restauré.

Résolution

Avant de commencer

Lorsque des utilisateurs sont supprimés de Microsoft Entra ID, ils sont déplacés vers un état « supprimé » et n’apparaissent plus dans la liste des utilisateurs. Toutefois, ils ne sont pas complètement supprimés et peuvent être récupérés dans les 30 jours.

Utilisez Microsoft 365 et le module Azure Active Directory pour PowerShell comme suit pour déterminer si un utilisateur peut être récupéré à partir d’un status « supprimé » :

  1. Dans le portail Microsoft 365 , recherchez les comptes d’utilisateur qui ont été supprimés via le portail. Pour cela, procédez comme suit :
    1. Connectez-vous au portail Microsoft 365 (https://portal.office.com) à l’aide des informations d’identification d’administration.
    2. Sélectionnez Utilisateurs, puis Utilisateurs supprimés.
    3. Recherchez l’utilisateur que vous souhaitez récupérer.
  2. Dans le module Azure Active Directory pour Windows PowerShell, procédez comme suit :
    1. Sélectionnez Démarrer>tous les programmes>Windows Azure Active Directory>Module Windows Azure Active Directory pour Windows PowerShell.
    2. Tapez les commandes suivantes dans l’ordre dans lequel elles sont présentées, puis appuyez sur Entrée après chaque commande :

      • $cred = get-credential

        Remarque

        Lorsque vous y êtes invité, entrez vos informations d’identification Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Remarque

Les modules PowerShell Azure AD et MSOnline sont déconseillés à compter du 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée. Après cette date, la prise en charge de ces modules est limitée à l’assistance à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Note: Les versions 1.0.x de MSOnline peuvent être interrompues après le 30 juin 2024.

Résolution 1 : Récupérer des comptes supprimés manuellement à l’aide du portail Microsoft 365 ou du module Azure Active Directory

Pour récupérer un compte d’utilisateur qui a été supprimé manuellement, utilisez l’une des méthodes suivantes :

  • Utilisez le portail Microsoft 365 pour récupérer le compte d’utilisateur. Pour plus d’informations sur la procédure à suivre, consultez Restaurer un utilisateur.

  • Utilisez le module Azure Active Directory pour Windows PowerShell récupérer le compte d’utilisateur. Pour ce faire, tapez la commande suivante, puis appuyez sur Entrée :

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Si cette commande ne fonctionne pas, essayez la commande suivante :

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Remarque

    Dans ces commandes, les conventions suivantes sont utilisées :

    • Les UserPrincipalName paramètres et ObjectID identifient de façon unique l’objet utilisateur à restaurer.
    • Le AutoReconcileProxyConflicts paramètre est facultatif et est utilisé dans les scénarios dans lesquels un autre objet utilisateur reçoit l’adresse proxy de l’objet utilisateur cible après la suppression de cette adresse.
    • Le NewUserPrincipalName paramètre est éventuellement utilisé dans les scénarios dans lesquels un autre objet utilisateur est accordé à l’aide du nom d’utilisateur principal (UPN) de l’objet utilisateur cible après la suppression de l’UPN.

Résolution 2 : Récupérer les comptes supprimés, car les modifications d’étendue excluent l’objet utilisateur Active Directory local

Pour récupérer des comptes d’utilisateur supprimés, assurez-vous que le filtrage de synchronisation d’annuaires (étendue) est défini de telle sorte que l’étendue inclut les objets que vous souhaitez récupérer.

Pour plus d’informations, consultez Microsoft Entra Connect Sync : Configurer le filtrage.

Résolution 3 : Récupérer les comptes supprimés, car l’objet utilisateur local a été supprimé du schéma Active Directory local

Pour récupérer un élément qui a été supprimé du schéma Active Directory local, essayez les méthodes suivantes :

  • Essayez de restaurer l’élément supprimé de la Corbeille Active Directory. Pour ce faire, consultez guide pas à pas de la Corbeille Active Directory.

    Remarque

    • La corbeille Active Directory est disponible uniquement si le niveau fonctionnel de Windows 2008 R2 ou versions ultérieures est disponible.
    • Pour que la corbeille Active Directory soit utile dans la récupération d’un élément, elle doit être activée avant la suppression de l’élément.

  • Si la corbeille Active Directory n’est pas disponible ou si l’objet en question ne se trouve plus dans la corbeille, essayez de récupérer l’élément supprimé à l’aide de l’outil AdRestore. Pour cela, procédez comme suit :

    1. Installez l’outil AdRestore .

    2. Utilisez AdRestore avec un filtre de recherche pour localiser l’objet utilisateur local supprimé. Les exemples suivants utilisent une chaîne « UserA » pour rechercher les noms d’utilisateur qui correspondent.

      1. Utilisez AdRestore pour énumérer tous les objets utilisateur qui ont une chaîne « UserA » dans leur nom :

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. Utilisez AdRestore avec le commutateur -r pour restaurer l’objet utilisateur.

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Activez l’objet utilisateur dans Active Directory. Lorsque l’objet est restauré, il est d’abord désactivé. Par conséquent, vous devez l’activer. Nous vous recommandons de réinitialiser d’abord le mot de passe utilisateur. Pour activer l’utilisateur, procédez comme suit :

    1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Réinitialiser le mot de passe.

    2. Dans les zones Nouveau mot de passe et Confirmer le mot de passe , entrez un nouveau mot de passe, puis sélectionnez OK.

    3. Cliquez avec le bouton droit sur l’utilisateur, sélectionnez Activer le compte, puis sélectionnez OK.

      Capture d’écran montrant comment activer le compte dans Active Directory.

      Vous recevez le message d’erreur suivant (attendu) :

      Windows ne peut pas activer l’objet <MailboxName> car : Impossible de mettre à jour le mot de passe. La valeur fournie pour le nouveau mot de passe ne répond pas aux exigences de longueur, de complexité ou d’historique du domaine.

      Une fois ce message d’erreur reçu, réinitialisez le mot de passe de l’utilisateur dans Utilisateurs et ordinateurs Active Directory.

  • Configurer le nom d’ouverture de session de l’utilisateur

    Le nom d’ouverture de session de l’utilisateur (également appelé nom d’utilisateur principal ou UPN) n’est pas défini à partir de l’objet utilisateur restauré. Vous devez mettre à jour le nom de connexion de l’utilisateur, en particulier si l’utilisateur est un compte fédéré.

    Pour configurer le nom d’ouverture de session de l’utilisateur, procédez comme suit :

    1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Propriétés.
    2. Sélectionnez Compte, entrez un nom dans la zone Nom d’ouverture de session de l’utilisateur, puis sélectionnez OK.

    Enfin, si vous ne pouvez pas récupérer le compte d’utilisateur supprimé via la Corbeille Active Directory ou à l’aide de l’outil AdRestore, exécutez une restauration faisant autorité des objets utilisateur supprimés dans Active Directory.

Avertissements et avertissements

  • Assurez-vous que seuls les objets utilisateur que vous souhaitez restaurer sont marqués comme faisant autorité. Les objets Active Directory marqués comme faisant autorité dans le processus de restauration peuvent entraîner de nombreux problèmes de service Active Directory.

    Pour plus d’informations sur l’exécution d’une restauration faisant autorité d’objets Active Directory, consultez Exécution d’une restauration faisant autorité d’objets Active Directory.

  • Après avoir restauré l’objet à l’aide d’une méthode Resolution 3, il se peut que tous les attributs de service (tels que Exchange Online et Skype Entreprise Online) ne soient pas restaurés automatiquement.

    Par exemple, pour un utilisateur qui était autrefois à extension messagerie dans Exchange Online, vous pouvez utiliser Windows PowerShell applets de commande pour remplir à nouveau les attributs Exchange Online.

    Dans l’exemple suivant, l’objet User1 est rempli à nouveau à l’aide d’attributs Exchange Online pour le locataire contoso.onmicrosoft.com :

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Si les conditions suivantes sont remplies, la résolution 3 ne fonctionne pas :

    • La restauration de l’objet à l’aide de la Corbeille Active Directory n’est pas une option disponible.
    • La restauration de l’objet à l’aide de l’outil AdRestore n’est pas une option disponible.
    • La restauration faisant autorité d’Active Directory n’est pas une option disponible.

Dans ce cas, contactez le support Microsoft 365 pour obtenir de l’aide.

Informations supplémentaires

Après la suppression de l’utilisateur et avant la récupération de l’utilisateur, les événements suivants peuvent se produire et peuvent présenter des conflits susceptibles de modifier l’expérience utilisateur :

  • Un nouvel utilisateur a une valeur d’ID utilisateur unique qui a été précédemment affectée à l’utilisateur supprimé.
  • Un nouvel utilisateur a une valeur d’adresse e-mail unique qui a été précédemment affectée à l’utilisateur supprimé.

Si ces conflits se produisent, les attributs en conflit doivent être mis à jour pour supprimer le conflit avant que la récupération de l’utilisateur puisse être terminée. Si un conflit se produit pendant la récupération de l’utilisateur, Windows PowerShell retourne l’un des messages d’erreur suivants :

Erreur 1

Restore-MsolUser : Impossible de restaurer le compte d’utilisateur spécifié en raison de l’erreur suivante : Type d’erreur UserPrincipalName

Erreur 2

Restore-MsolUser : Impossible de restaurer le compte d’utilisateur spécifié en raison de l’erreur suivante : Type d’erreur proxyAddress

Pour restaurer les utilisateurs qui se trouvent dans cet état, vous pouvez corriger le conflit en utilisant les paramètres suivants lorsque vous exécutez l’applet de commande Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Remarque

Lorsque vous utilisez le AutoReconcileProxyConflicts paramètre , toutes les adresses e-mail en conflit sont supprimées de l’utilisateur supprimé afin que vous puissiez poursuivre le processus de récupération.

Le portail Microsoft 365 affiche les messages d’erreur équivalents sous la forme des Windows PowerShell « états d’erreur » mentionnés précédemment. Par exemple, vous recevez le message suivant :

Conflit de nom d’utilisateur L’utilisateur que vous souhaitez restaurer a le même nom d’utilisateur.

Capture d’écran montrant que le nom d’utilisateur est en conflit.

Pour restaurer les utilisateurs qui se trouvent dans cet état, renseignez les informations demandées dans le formulaire.

Encore besoin d’aide ? Rejoignez la Communauté Microsoft ou accédez au site web Forums Microsoft Entra.