次の方法で共有

Microsoft 365、Azure、Intune で削除されたユーザー アカウントを復元する方法

  • 適用対象: Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

元の KB 番号: 2619308

症状

Microsoft 365、Microsoft Azure、または Microsoft Intune から誤って削除されたユーザー アカウントを復元する必要があります。

解決策

開始する前に

ユーザーが Microsoft Entra ID から削除されると、ユーザーは "削除済み" 状態に移動され、ユーザー一覧に表示されなくなります。 ただし、完全には削除されず、30 日以内に回復できます。

次のように、PowerShell 用の Microsoft 365 と Azure Active Directory モジュールを使用して、ユーザーが "削除済み" 状態から回復される資格があるかどうかを判断します。

  1. Microsoft 365 ポータルで、ポータルから削除されたユーザー アカウントを検索します。 これを行うには、次の手順に従います。
    1. 管理資格情報を使用して Microsoft 365 ポータル (https://portal.office.com) にサインインします。
    2. [ ユーザー] を選択し、[ 削除済みユーザー] を選択します。
    3. 回復するユーザーを見つけます。
  2. Windows PowerShell 用 Azure Active Directory モジュールで、次の手順に従います。
    1. スタート>すべてのプログラム>Windows Azure Active Directory>Windows Azure Active Directory module for Windows PowerShell を選択します。
    2. 表示される順序で次のコマンドを入力し、各コマンドの後に Enter キーを押します。

      • $cred = get-credential

        メッセージが表示されたら、Microsoft 365 の資格情報を入力します。

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨に関するアップデートを参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: MSOnline のバージョン 1.0.x では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

解決策 1: Microsoft 365 ポータルまたは Azure Active Directory モジュールを使用して手動で削除されたアカウントを回復する

手動で削除されたユーザー アカウントを回復するには、次のいずれかの方法を使用します。

  • Microsoft 365 ポータルを使用して、ユーザー アカウントを回復します。 これを行う方法の詳細については、「 ユーザーを復元する」を参照してください

  • Windows PowerShell 用の Azure Active Directory モジュールを使用して、ユーザー アカウントを回復します。 これを行うには、次のコマンドを入力し、Enter キーを押します。

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    このコマンドが機能しない場合は、次のコマンドを試してください。

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    これらのコマンドでは、次の規則が使用されます。

    • UserPrincipalNameパラメーターとObjectID パラメーターは、復元するユーザー オブジェクトを一意に識別します。
    • AutoReconcileProxyConflicts パラメーターは省略可能であり、そのアドレスが削除された後に別のユーザー オブジェクトにターゲット ユーザー オブジェクトのプロキシ アドレスが付与されるシナリオで使用されます。
    • NewUserPrincipalName パラメーターは、必要に応じて、その UPN が削除された後、ターゲット ユーザー オブジェクトのユーザー プリンシパル名 (UPN) を使用して別のユーザー オブジェクトが付与されるシナリオで使用されます。

解決策 2: スコープの変更によってオンプレミスの Active Directory ユーザー オブジェクトが除外されるため、削除されたアカウントを回復する

削除されたユーザー アカウントを回復するには、回復するオブジェクトがスコープに含まれるようにディレクトリ同期フィルター処理 (スコープ) が設定されていることを確認します。

詳細については、「 Microsoft Entra Connect Sync: フィルター処理の構成」を参照してください。

解決策 3: オンプレミスのユーザー オブジェクトがオンプレミスの Active Directory スキーマから削除されたために削除されたアカウントを回復する

オンプレミスの Active Directory スキーマから削除された項目を回復するには、次の方法を試してください。

  • Active Directory のごみ箱から削除済みアイテムを復元してみてください。 これを行うには、 Active Directory のごみ箱のステップ バイ ステップ ガイドを参照してください。

    • Active Directory のごみ箱は、Windows 2008 R2 以降のバージョンの機能レベルがある場合にのみ使用できます。
    • Active Directory のごみ箱をアイテムの回復に役立てるには、アイテムを削除する前に有効にする必要があります。

  • Active Directory のごみ箱が使用できない場合、または対象のオブジェクトがごみ箱にない場合は、AdRestore ツールを使用して削除済みアイテムの回復を試みます。 この手順を実行するには、以下のステップに従ってください。

    1. AdRestore ツールをインストールします。

    2. AdRestore を検索フィルターと共に使用して、削除されたオンプレミス ユーザー オブジェクトを見つけます。 次の例では、"UserA" 文字列を使用して、一致するユーザー名を検索します。

      1. AdRestore を使用して、名前に "UserA" 文字列が含まれるすべてのユーザー オブジェクトを列挙します。

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. AdRestore を -r スイッチと共に使用して、ユーザー オブジェクトを復元します。

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Active Directory でユーザー オブジェクトを有効にします。 オブジェクトが復元されると、最初は無効になります。 そのため、有効にする必要があります。 最初にユーザー パスワードをリセットすることをお勧めします。 ユーザーを有効にするには、次の手順に従います。

    1. Active Directory ユーザーとコンピューターで、ユーザーを右クリックし、[パスワードのリセット] を選択します。

    2. [ 新しいパスワード ] ボックスと [ パスワードの確認 ] ボックスに新しいパスワードを入力し、[ OK] を選択します。

    3. ユーザーを右クリックし、[ アカウントの有効化] を選択し、[ OK] を選択します。

      Active Directory でアカウントを有効にする方法に関するスクリーンショット。

      次のエラー メッセージが表示されます (予期されます)。

      Windows では、オブジェクト <MailboxName> を有効にできません。パスワードを更新できません。 新しいパスワードに指定された値が、ドメインの長さ、複雑さ、または履歴の要件を満たしていません。

      このエラー メッセージが表示されたら、Active Directory ユーザーとコンピューターでユーザーのパスワードをリセットします。

  • ユーザー ログオン名を構成する

    ユーザー ログオン名 (ユーザー プリンシパル名または UPN とも呼ばれます) は、復元されたユーザー オブジェクトから設定されていません。 ユーザーがフェデレーション アカウントの場合は特に、ユーザー ログオン名を更新する必要があります。

    ユーザー ログオン名を構成するには、次の手順に従います。

    1. [Active Directory ユーザーとコンピューター] で、ユーザーを右クリックし、[ プロパティ] を選択します。
    2. [ アカウント] を選択し、[ユーザー ログオン名] ボックスに名前を入力して、[ OK] を選択します。

    最後に、Active Directory のごみ箱または AdRestore ツールを使用して、削除されたユーザー アカウントを回復できない場合は、Active Directory で削除されたユーザー オブジェクトの権限のある復元を実行します。

警告と注意

  • 復元するユーザー オブジェクトのみが権限のあるものとしてマークされていることを確認します。 復元プロセスで権限があるとマークされている Active Directory オブジェクトは、多くの Active Directory サービスの問題を引き起こす可能性があります。

    Active Directory オブジェクトの権限のある復元を実行する方法の詳細については、「Active Directory オブジェクト の権限のある復元の実行」を参照してください。

  • Resolution 3 メソッドを使用してオブジェクトを復元した後、オブジェクトには、すべてのサービス属性 (Exchange Online や Skype for Business Online など) が自動的に復元されない場合があります。

    たとえば、Exchange Online で以前メールが有効になっていたユーザーの場合、Windows PowerShell コマンドレットを使用して Exchange Online 属性を再作成できます。

    次の例では、 contoso.onmicrosoft.com テナントの Exchange Online 属性を使用して User1 オブジェクトを再作成します。

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • 次の条件に該当する場合、解決策 3 は機能しません。

    • Active Directory のごみ箱を使用してオブジェクトを復元することはできません。
    • AdRestore ツールを使用してオブジェクトを復元することはできません。
    • Active Directory の権限のある復元は、使用できるオプションではありません。

このような場合は、Microsoft 365 サポートにお問い合わせください。

詳細情報

ユーザーが削除された後、ユーザーが回復する前に、次のイベントが発生し、ユーザー エクスペリエンスを変更できる競合が発生する可能性があります。

  • 新しいユーザーには、以前は削除されたユーザーに割り当てられていた一意のユーザー ID 値があります。
  • 新しいユーザーには、以前は削除されたユーザーに割り当てられていた一意の電子メール アドレス値があります。

これらの競合が発生した場合は、競合する属性を更新して、ユーザーの回復を完了する前に競合を削除する必要があります。 ユーザーの回復中に競合が発生した場合、Windows PowerShell は次のいずれかのエラー メッセージを返します。

エラー 1

Restore-MsolUser: 次のエラーのため、指定されたユーザー アカウントを復元できません: エラーの種類 UserPrincipalName

エラー 2

Restore-MsolUser: 指定されたユーザー アカウントを復元できません。エラーの種類 proxyAddress

この状態のユーザーを復元するには、 Restore-MSOLUser コマンドレットを実行するときに、次のパラメーターを使用して競合を修正できます。

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

AutoReconcileProxyConflicts パラメーターを使用すると、競合する電子メール アドレスが削除されたユーザーから削除され、回復プロセスを続行できます。

Microsoft 365 ポータルには、前述の Windows PowerShell の "エラー状態" の形式で同等のエラー メッセージが表示されます。 たとえば、次のメッセージが表示されます。

ユーザー名の競合 復元するユーザーのユーザー名は同じです。

ユーザー名が競合していることを示すスクリーンショット。

この状態のユーザーを復元するには、フォームで要求された情報を入力します。

まだ助けが必要ですか? Microsoft コミュニティ または microsoft Entra フォーラム web サイト に移動します。