Compartilhar via

Como restaurar contas de usuário excluídas no Microsoft 365, Azure e Intune

  • Aplica-se a: Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Número de KB original: 2619308

Sintomas

Uma conta de usuário que foi excluída acidentalmente do Microsoft 365, Microsoft Azure ou Microsoft Intune precisa ser restaurada.

Resolução

Antes de começar

Quando os usuários são excluídos da ID do Microsoft Entra, eles são movidos para um estado "excluído" e não aparecem mais na lista de usuários. No entanto, eles não são completamente removidos e podem ser recuperados dentro de 30 dias.

Use o Microsoft 365 e o módulo do Azure Active Directory para PowerShell da seguinte maneira para determinar se um usuário está qualificado para ser recuperado do status "excluído":

  1. No portal do Microsoft 365 , procure contas de usuário que foram excluídas por meio do portal. Para fazer isso, execute estas etapas:
    1. Entre no portal do Microsoft 365 (https://portal.office.com) usando credenciais administrativas.
    2. Selecione Usuários e selecione Usuários Excluídos.
    3. Localize o usuário que você deseja recuperar.
  2. No módulo do Azure Active Directory para Windows PowerShell, siga estas etapas:
    1. Selecione Iniciar>Todos os Programas>Windows Azure Active Directory>Módulo do Windows Azure Active Directory para Windows PowerShell.
    2. Digite os seguintes comandos na ordem em que eles são apresentados e pressione Enter após cada comando:

      • $cred = get-credential

        Observação

        Quando for solicitado, insira suas credenciais do Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Observação

Os módulos do Azure AD e do MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre a reprovação. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até março de 30 de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: As versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

Resolução 1: recuperar contas excluídas manualmente usando o portal do Microsoft 365 ou o módulo do Azure Active Directory

Para recuperar uma conta de usuário que foi excluída manualmente, use um dos seguintes métodos:

  • Use o portal do Microsoft 365 para recuperar a conta de usuário. Para obter mais informações sobre como fazer isso, restaure um usuário.

  • Use o módulo do Azure Active Directory para Windows PowerShell para recuperar a conta de usuário. Para fazer isso, digite o seguinte comando e pressione Enter:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Se esse comando não funcionar, tente o seguinte comando:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Observação

    Nesses comandos, as seguintes convenções são usadas:

    • Os UserPrincipalName parâmetros e os parâmetros ObjectID identificam exclusivamente o objeto de usuário a ser restaurado.
    • O AutoReconcileProxyConflicts parâmetro é opcional e é usado em cenários em que outro objeto de usuário recebe o endereço proxy do objeto de usuário de destino depois que esse endereço é excluído.
    • O parâmetro NewUserPrincipalName é usado opcionalmente em cenários onde o nome de entidade de usuário (UPN) do objeto de usuário de destino é usado para atribuir outro objeto de usuário, após a exclusão desse UPN.

Resolução 2: recuperar contas excluídas porque as alterações de escopo excluem o objeto de usuário local do Active Directory

Para recuperar contas de usuário excluídas, verifique se a filtragem de sincronização de diretório (escopo) está definida de forma que o escopo inclua os objetos que você deseja recuperar.

Para obter mais informações, consulte Microsoft Entra Connect Sync: Configurar a filtragem.

Resolução 3: Recuperar contas excluídas porque o objeto de usuário local foi excluído do esquema do Active Directory local

Para recuperar um item que foi excluído do esquema do Active Directory local, experimente os seguintes métodos:

  • Tente restaurar o item excluído da lixeira do Active Directory. Para fazer isso, consulte o Guia passo a passo da Lixeira do Active Directory.

    Observação

    • A lixeira do Active Directory só está disponível por ter o nível funcional do Windows 2008 R2 ou versões posteriores.
    • Para que a lixeira do Active Directory seja útil na recuperação de um item, ela deve ser habilitada antes que o item seja excluído.

  • Se a lixeira do Active Directory não estiver disponível ou se o objeto em questão não estiver mais na lixeira, tente recuperar o item excluído usando a ferramenta AdRestore. Para fazer isso, siga estas etapas:

    1. Instale a ferramenta AdRestore .

    2. Use o AdRestore junto com um filtro de pesquisa para localizar o objeto de usuário local excluído. Os exemplos a seguir usam uma cadeia de caracteres "UserA" para pesquisar nomes de usuário correspondentes.

      1. Use o AdRestore para enumerar todos os objetos de usuário que têm uma cadeia de caracteres "UserA" em seu nome:

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. Use o AdRestore junto com a opção -r para restaurar o objeto de usuário.

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Habilite o objeto de usuário no Active Directory. Quando o objeto é restaurado, ele é desabilitado no início. Portanto, você precisa habilitá-lo. Recomendamos que você redefina primeiro a senha do usuário. Para habilitar o usuário, siga estas etapas:

    1. Em Usuários e Computadores do Active Directory, clique com o botão direito do mouse no usuário e selecione Redefinir Senha.

    2. Nas caixas Nova senha e Confirmar senha , insira uma nova senha e selecione OK.

    3. Clique com o botão direito do mouse no usuário, selecione Habilitar Conta e selecione OK.

      Captura de tela sobre como habilitar a conta no Active Directory.

      Você recebe a seguinte mensagem de erro (esperado):

      O Windows não pode habilitar o objeto <MailboxName> porque: não é possível atualizar a senha. O valor fornecido para a nova senha não atende aos requisitos de comprimento, complexidade ou histórico do domínio.

      Depois de receber essa mensagem de erro, redefina a senha do usuário em Usuários e Computadores do Active Directory.

  • Configurar o nome de logon do usuário

    O nome de logon do usuário (também conhecido como nome principal de usuário ou UPN) não foi configurado a partir do objeto de usuário restaurado. Você precisa atualizar o nome de logon do usuário, especialmente se o usuário for uma conta federada.

    Para configurar o nome de logon do usuário, siga estas etapas:

    1. Em Usuários e Computadores do Active Directory, clique com o botão direito do mouse no usuário e selecione Propriedades.
    2. Selecione Conta, insira um nome na caixa Nome de logon do usuário e selecione OK.

    Por fim, se você não conseguir recuperar a conta de usuário excluída por meio da lixeira do Active Directory ou usando a ferramenta AdRestore, execute uma restauração autoritativa dos objetos de usuário excluídos no Active Directory.

Avisos e precauções

  • Verifique se apenas os objetos de usuário que você deseja restaurar estão marcados como autoritativos. Objetos do Active Directory marcados como autoritativos no processo de restauração podem causar muitos problemas de serviço do Active Directory.

    Para obter mais informações sobre como executar uma restauração autoritativa de objetos do Active Directory, consulte Executar uma restauração autoritativa de objetos do Active Directory.

  • Depois de restaurar o objeto usando qualquer método de Resolução 3, o objeto pode não ter todos os atributos de serviço (como o Exchange Online e o Skype for Business Online) restaurados automaticamente.

    Por exemplo, para um usuário anteriormente habilitado para email no Exchange Online, você pode usar cmdlets do Windows PowerShell para preencher novamente os atributos do Exchange Online.

    No exemplo a seguir, o objeto User1 é repovoado usando atributos do Exchange Online para o locatário contoso.onmicrosoft.com :

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Se as seguintes condições forem verdadeiras, a Resolução 3 não funcionará:

    • Restaurar o objeto usando a lixeira do Active Directory não é uma opção disponível.
    • Restaurar o objeto usando a ferramenta AdRestore não é uma opção disponível.
    • A restauração autoritativa do Active Directory não é uma opção disponível.

Nessa situação, entre em contato com o Suporte do Microsoft 365 para obter ajuda.

Mais informações

Após a exclusão do usuário e antes da recuperação do usuário, os seguintes eventos podem ocorrer e podem apresentar conflitos que podem alterar a experiência do usuário:

  • Um novo usuário tem um valor de ID de usuário exclusivo que foi atribuído anteriormente ao usuário excluído.
  • Um novo usuário tem um valor de endereço de email exclusivo que anteriormente era atribuído ao usuário excluído.

Se esses conflitos ocorrerem, atributos conflitantes deverão ser atualizados para remover o conflito antes que a recuperação do usuário possa ser concluída. Se ocorrer um conflito durante a recuperação do usuário, o Windows PowerShell retornará uma das seguintes mensagens de erros:

Erro 1

Restore-MsolUser: A conta de usuário especificada não pode ser restaurada devido ao seguinte erro: Tipo de erro UserPrincipalName

Erro 2

Restore-MsolUser: A conta de usuário especificada não pode ser restaurada devido ao seguinte erro: erro de tipo proxyAddress

Para restaurar os usuários que estão nesse estado, você pode corrigir o conflito usando os seguintes parâmetros ao executar o cmdlet Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Observação

Quando você usa o parâmetro, todos os AutoReconcileProxyConflicts endereços de email conflitantes são removidos do usuário excluído para que você possa continuar o processo de recuperação.

O portal do Microsoft 365 mostra as mensagens de erro equivalentes na forma dos "estados de erro" do Windows PowerShell mencionados anteriormente. Por exemplo, você recebe a seguinte mensagem:

Conflito de nome de usuário O usuário que você deseja restaurar tem o mesmo nome de usuário.

Captura de tela que mostra que o nome de usuário está em conflito.

Para restaurar os usuários que estão nesse estado, conclua as informações solicitadas no formulário.

Ainda precisa de ajuda? Acesse Microsoft Community ou o site Microsoft Entra Forums.