Udostępnij za pośrednictwem

Jak przywrócić usunięte konta użytkowników na platformie Microsoft 365, na platformie Azure i w usłudze Intune

  • Dotyczy: Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Oryginalny numer KB: 2619308

Objawy

Konto użytkownika, które zostało przypadkowo usunięte z platformy Microsoft 365, platformy Microsoft Azure lub usługi Microsoft Intune, musi zostać przywrócone.

Rezolucja

Zanim zaczniesz

Gdy użytkownicy zostaną usunięci z identyfikatora Entra firmy Microsoft, zostaną przeniesieni do stanu "usunięte" i nie będą już wyświetlane na liście użytkowników. Nie są one jednak całkowicie usuwane i można je odzyskać w ciągu 30 dni.

Użyj platformy Microsoft 365 i modułu usługi Azure Active Directory dla programu PowerShell w następujący sposób, aby określić, czy użytkownik kwalifikuje się do odzyskania ze stanu "usunięte":

  1. W portalu platformy Microsoft 365 wyszukaj konta użytkowników, które zostały usunięte za pośrednictwem portalu. Aby to zrobić, wykonaj następujące kroki:
    1. Zaloguj się do portalu platformy Microsoft 365 (https://portal.office.com) przy użyciu poświadczeń administracyjnych.
    2. Wybierz pozycję Użytkownicy, a następnie wybierz pozycję Usunięci użytkownicy.
    3. Znajdź użytkownika, który chcesz odzyskać.
  2. W module usługi Azure Active Directory dla programu Windows PowerShell wykonaj następujące kroki:
    1. Wybierz Start>Wszystkie programy>Windows Azure Active Directory>moduł Windows Azure Active Directory dla programu Windows PowerShell.
    2. Wpisz następujące polecenia w kolejności, w której są prezentowane, i naciśnij Enter po każdym poleceniu:

      • $cred = get-credential

        Uwaga / Notatka

        Po wyświetleniu monitu wprowadź poświadczenia platformy Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Uwaga / Notatka

Moduły Azure AD i MSOnline PowerShell będą wycofane z dniem 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację na temat wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: Wersje 1.0.x usługi MSOnline mogą napotkać zakłócenia po 30 czerwca 2024 r.

Rozwiązanie 1. Odzyskiwanie ręcznie usuniętych kont przy użyciu portalu platformy Microsoft 365 lub modułu usługi Azure Active Directory

Aby odzyskać konto użytkownika, które zostało usunięte ręcznie, użyj jednej z następujących metod:

  • Użyj portalu platformy Microsoft 365, aby odzyskać konto użytkownika. Aby uzyskać więcej informacji o tym, jak to zrobić, przywróć użytkownika.

  • Użyj modułu Azure Active Directory dla programu Windows PowerShell, aby odzyskać konto użytkownika. Aby to zrobić, wpisz następujące polecenie, a następnie naciśnij Enter:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Jeśli to polecenie nie działa, spróbuj wykonać następujące polecenie:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Uwaga / Notatka

    W tych poleceniach są używane następujące konwencje:

    • Parametry UserPrincipalName i ObjectID jednoznacznie identyfikują obiekt użytkownika do przywrócenia.
    • Parametr AutoReconcileProxyConflicts jest opcjonalny i jest używany w scenariuszach, w których inny obiekt użytkownika otrzymuje docelowy adres proxy obiektu użytkownika po usunięciu tego adresu.
    • Parametr NewUserPrincipalName może być opcjonalnie używany w scenariuszach, w których inny obiekt użytkownika jest przyznawany, używając głównej nazwy użytkownika (UPN) obiektu docelowego po usunięciu tej nazwy UPN.

Rozwiązanie 2: Odzyskiwanie usuniętych kont, ponieważ zmiany określające zakres wykluczają lokalny obiekt użytkownika usługi Active Directory

Aby odzyskać usunięte konta użytkowników, upewnij się, że filtrowanie synchronizacji katalogów (określanie zakresu) jest ustawione w taki sposób, aby zakres obejmował obiekty, które chcesz odzyskać.

Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect Sync: Konfigurowanie filtrowania.

Rozwiązanie 3. Odzyskiwanie kont usuniętych, ponieważ obiekt użytkownika lokalnego został usunięty ze schematu lokalnej usługi Active Directory

Aby odzyskać element, który został usunięty ze schematu lokalnej usługi Active Directory, spróbuj wykonać następujące metody:

  • Spróbuj przywrócić usunięty element z kosza Active Directory. Aby to zrobić, zobacz Przewodnik krok po kroku dotyczący Kosza Active Directory.

    Uwaga / Notatka

    • Kosz usługi Active Directory jest dostępny tylko wtedy, gdy wymaga poziomu funkcjonalności Windows Server 2008 R2 lub nowszej wersji.
    • Aby kosz usługi Active Directory był przydatny w odzyskiwaniu elementu, należy go włączyć przed usunięciem elementu.

  • Jeśli kosz usługi Active Directory jest niedostępny lub jeśli dany obiekt nie znajduje się już w koszu, spróbuj odzyskać usunięty element przy użyciu narzędzia AdRestore. Aby to zrobić, wykonaj następujące kroki:

    1. Zainstaluj narzędzie AdRestore .

    2. Użyj usługi AdRestore razem z filtrem wyszukiwania, aby zlokalizować usunięty obiekt użytkownika lokalnego. W poniższych przykładach użyto ciągu "UserA", aby wyszukać nazwy użytkowników, które są zgodne.

      1. Użyj usługi AdRestore, aby wyliczyć wszystkie obiekty użytkownika, które mają ciąg "UserA" w nazwie:

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. Użyj funkcji AdRestore razem z przełącznikiem -r , aby przywrócić obiekt użytkownika.

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Włącz obiekt użytkownika w usłudze Active Directory. Po przywróceniu obiektu jest on najpierw wyłączony. W związku z tym należy ją włączyć. Zalecamy najpierw zresetowanie hasła użytkownika. Aby włączyć użytkownika, wykonaj następujące kroki:

    1. W obszarze Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy użytkownika, a następnie wybierz polecenie Resetuj hasło.

    2. W polach Nowe hasło i Potwierdź hasło wprowadź nowe hasło, a następnie wybierz przycisk OK.

    3. Kliknij prawym przyciskiem myszy użytkownika, wybierz pozycję Włącz konto, a następnie wybierz przycisk OK.

      Zrzut ekranu przedstawiający sposób włączania konta w usłudze Active Directory.

      Zostanie wyświetlony następujący komunikat o błędzie (oczekiwany):

      System Windows nie może włączyć obiektu <MailboxName> , ponieważ: nie można zaktualizować hasła. Wartość podana dla nowego hasła nie spełnia wymagań dotyczących długości, złożoności ani historii domeny.

      Po otrzymaniu tego komunikatu o błędzie zresetuj hasło użytkownika w obszarze Użytkownicy i komputery usługi Active Directory.

  • Konfigurowanie nazwy logowania użytkownika

    Nazwa logowania użytkownika (znana również jako główna nazwa użytkownika lub nazwa UPN) nie jest ustawiona z przywróconego obiektu użytkownika. Musisz zaktualizować nazwę logowania użytkownika, zwłaszcza jeśli użytkownik jest kontem federacyjnym.

    Aby skonfigurować nazwę logowania użytkownika, wykonaj następujące kroki:

    1. W obszarze Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy użytkownika, a następnie wybierz polecenie Właściwości.
    2. Wybierz pozycję Konto, wprowadź nazwę w polu Nazwa logowania użytkownika, a następnie wybierz przycisk OK.

    Jeśli na koniec nie możesz odzyskać usuniętego konta użytkownika za pomocą kosza usługi Active Directory lub przy użyciu narzędzia AdRestore, uruchom autorytatywne przywracanie usuniętych obiektów użytkownika w usłudze Active Directory.

Ostrzeżenia i środki ostrożności

  • Upewnij się, że tylko obiekty użytkownika, które chcesz przywrócić, są oznaczone jako autorytatywne. Obiekty usługi Active Directory oznaczone jako autorytatywne w procesie przywracania mogą powodować wiele problemów z usługą Active Directory.

    Aby uzyskać więcej informacji na temat uruchamiania autorytatywnego przywracania obiektów usługi Active Directory, zobacz Wykonywanie autorytatywnego przywracania obiektów usługi Active Directory.

  • Po przywróceniu obiektu przy użyciu dowolnej metody Resolution 3 obiekt może nie mieć wszystkich atrybutów usługi (takich jak Exchange Online i Skype dla firm Online) automatycznie przywróconych.

    Na przykład dla użytkownika, który wcześniej miał włączoną funkcję poczty w usłudze Exchange Online, możesz użyć poleceń cmdlet programu Windows PowerShell, aby ponownie wypełnić atrybuty usługi Exchange Online.

    W poniższym przykładzie obiekt User1 jest ponownie wypełniany przy użyciu atrybutów usługi Exchange Online dla dzierżawy contoso.onmicrosoft.com :

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Jeśli spełnione są następujące warunki, rozwiązanie 3 nie będzie działać:

    • Przywracanie obiektu za pomocą kosza usługi Active Directory nie jest dostępne.
    • Przywracanie obiektu przy użyciu narzędzia AdRestore nie jest opcją dostępną.
    • Autorytatywne przywracanie Active Directory nie jest dostępne.

W takiej sytuacji skontaktuj się z pomocą techniczną platformy Microsoft 365, aby uzyskać pomoc.

Więcej informacji

Po usunięciu użytkownika i przed odzyskaniem użytkownika mogą wystąpić następujące zdarzenia i mogą występować konflikty, które mogą zmienić środowisko użytkownika:

  • Nowy użytkownik ma unikatową wartość identyfikatora użytkownika, która została wcześniej przypisana do usuniętego użytkownika.
  • Nowy użytkownik ma unikatową wartość adresu e-mail, która została wcześniej przypisana do usuniętego użytkownika.

Jeśli wystąpią te konflikty, atrybuty powodujące konflikt muszą zostać zaktualizowane, aby usunąć konflikt przed ukończeniem odzyskiwania przez użytkownika. Jeśli podczas odzyskiwania użytkownika wystąpi konflikt, program Windows PowerShell zwraca jeden z następujących komunikatów o błędach:

Błąd 1

Restore-MsolUser: nie można przywrócić określonego konta użytkownika z powodu następującego błędu: Typ błędu UserPrincipalName

Błąd 2

Restore-MsolUser: nie można przywrócić określonego konta użytkownika z powodu następującego błędu: Typ błędu proxyAddress

Aby przywrócić użytkowników, którzy są w tym stanie, możesz rozwiązać konflikt, używając następujących parametrów podczas uruchamiania polecenia cmdlet Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Uwaga / Notatka

Jeśli używasz parametru AutoReconcileProxyConflicts , wszystkie powodujące konflikty adresy e-mail zostaną usunięte z usuniętego użytkownika, aby można było kontynuować proces odzyskiwania.

Portal platformy Microsoft 365 pokazuje równoważne komunikaty o błędach w postaci "stanów błędów programu Windows PowerShell", które zostały wymienione wcześniej. Na przykład zostanie wyświetlony następujący komunikat:

Konflikt z nazwą użytkownika Użytkownik, którego chcesz przywrócić, ma taką samą nazwę użytkownika.

Zrzut ekranu przedstawiający konflikt nazwy użytkownika.

Aby przywrócić użytkowników, którzy są w tym stanie, wypełnij wymagane informacje w formularzu.

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub witryny forów Microsoft Entra .