Como restaurar contas de usuário excluídas no Microsoft 365, Azure e Intune

  • Artigo
  • Aplica-se a:
    Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Número de KB original: 2619308

Sintomas

Uma conta de usuário que foi excluída acidentalmente do Microsoft 365, Microsoft Azure ou Microsoft Intune precisa ser restaurada.

Solução

Antes de começar

Quando os usuários são excluídos do Microsoft Entra ID, eles são movidos para um estado "excluído" e não aparecem mais na lista de usuários. No entanto, eles não são completamente removidos e podem ser recuperados dentro de 30 dias.

Use o Microsoft 365 e o módulo do Azure Active Directory para o PowerShell da seguinte maneira para determinar se um usuário está qualificado para ser recuperado do status "excluído":

  1. No portal do Microsoft 365 , procure contas de usuário que foram excluídas por meio do portal. Para fazer isso, siga estas etapas:
    1. Entre no portal do Microsoft 365 (https://portal.office.com) usando credenciais administrativas.
    2. Selecione Usuários e selecione Usuários Excluídos.
    3. Localize o usuário que você deseja recuperar.
  2. No módulo do Azure Active Directory para Windows PowerShell, siga estas etapas:
    1. Selecione Iniciar>todos os programas>do Windows Azure Active Directory>módulo do Windows Azure Active Directory para Windows PowerShell.
    2. Digite os seguintes comandos na ordem na qual eles são apresentados e pressione Enter após cada comando:

      • $cred = get-credential

        Observação

        Quando você for solicitado, insira suas credenciais do Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Observação

os módulos Azure AD e MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Resolução 1: recuperar contas excluídas manualmente usando o portal do Microsoft 365 ou o módulo do Azure Active Directory

Para recuperar uma conta de usuário que foi excluída manualmente, use um dos seguintes métodos:

  • Use o portal do Microsoft 365 para recuperar a conta de usuário. Para obter mais informações sobre como fazer isso, restaure um usuário.

  • Use o módulo do Azure Active Directory para Windows PowerShell para recuperar a conta de usuário. Para fazer isso, digite o seguinte comando e pressione Enter:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Se esse comando não funcionar, tente o seguinte comando:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Observação

    Nesses comandos, as seguintes convenções são usadas:

    • Os UserPrincipalName parâmetros e ObjectID identificam exclusivamente o objeto de usuário a ser restaurado.
    • O AutoReconcileProxyConflicts parâmetro é opcional e é usado em cenários em que outro objeto de usuário recebe o endereço proxy do objeto de usuário de destino depois que esse endereço é excluído.
    • O NewUserPrincipalName parâmetro é opcionalmente usado em cenários em que outro objeto de usuário é concedido usando o UPN (nome de entidade de usuário) do objeto de usuário de destino depois que o UPN foi excluído.

Resolução 2: Recuperar contas excluídas porque as alterações de escopo excluem o objeto Active Directory local usuário

Para recuperar contas de usuário excluídas, certifique-se de que a filtragem de sincronização de diretório (escopo) seja definida de forma que o escopo inclua os objetos que você deseja recuperar.

Para obter mais informações, consulte Microsoft Entra Conectar Sincronização: configurar a filtragem.

Resolução 3: recuperar contas excluídas porque o objeto de usuário local foi excluído do esquema Active Directory local

Para recuperar um item que foi excluído do esquema Active Directory local, experimente os seguintes métodos:

  • Tente restaurar o item excluído da lixeira do Active Directory. Para fazer isso, consulte Guia passo a passo da lixeira do Active Directory.

    Observação

    • A lixeira do Active Directory só está disponível por ter o nível funcional do Windows 2008 R2 ou versões posteriores.
    • Para que a lixeira do Active Directory seja útil na recuperação de um item, ela deve ser habilitada antes que o item seja excluído.

  • Se a lixeira do Active Directory não estiver disponível ou se o objeto em questão não estiver mais na lixeira, tente recuperar o item excluído usando a ferramenta AdRestore. Para fazer isso, siga estas etapas:

    1. Instale a ferramenta AdRestore .

    2. Use o AdRestore junto com um filtro de pesquisa para localizar o objeto de usuário local excluído. Os exemplos a seguir usam uma cadeia de caracteres "UserA" para pesquisar nomes de usuário que correspondam.

      1. Use o AdRestore para enumerar todos os objetos de usuário que têm uma cadeia de caracteres "UserA" em seu nome:

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. Use o AdRestore junto com a opção -r para restaurar o objeto de usuário.

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Habilite o objeto de usuário no Active Directory. Quando o objeto é restaurado, ele é desabilitado no início. Portanto, você precisa habilitá-lo. Recomendamos que você reinicie a senha do usuário primeiro. Para habilitar o usuário, siga estas etapas:

    1. Em Usuários e Computadores do Active Directory, clique com o botão direito do mouse no usuário e selecione Redefinir Senha.

    2. Nas caixas Nova senha e Confirmar senha , insira uma nova senha e selecione OK.

    3. Clique com o botão direito do mouse no usuário, selecione Habilitar Conta e, em seguida, selecione OK.

      Captura de tela sobre como habilitar a conta no Active Directory.

      Você recebe a seguinte mensagem de erro (esperada):

      O Windows não pode habilitar o objeto <MailboxName> porque: não é possível atualizar a senha. O valor fornecido para a nova senha não atende aos requisitos de comprimento, complexidade ou histórico do domínio.

      Depois de receber essa mensagem de erro, redefina a senha do usuário em Usuários e Computadores do Active Directory.

  • Configurar o nome do logon do usuário

    O nome do logon do usuário (também conhecido como nome da entidade de usuário ou UPN) não é definido a partir do objeto de usuário restaurado. Você precisa atualizar o nome do logon do usuário, especialmente se o usuário for uma conta federada.

    Para configurar o nome do logon do usuário, siga estas etapas:

    1. Em Usuários e Computadores do Active Directory, clique com o botão direito do mouse no usuário e selecione Propriedades.
    2. Selecione Conta, insira um nome na caixa Nome do logon do usuário e selecione OK.

    Por fim, se você não conseguir recuperar a conta de usuário excluída por meio da lixeira do Active Directory ou usando a ferramenta AdRestore, execute uma restauração autoritativa dos objetos de usuário excluídos no Active Directory.

Avisos e precauções

  • Verifique se somente os objetos de usuário que você deseja restaurar estão marcados como autoritativos. Objetos do Active Directory marcados como autoritativos no processo de restauração podem causar muitos problemas de serviço do Active Directory.

    Para obter mais informações sobre como executar uma restauração autoritativa de objetos do Active Directory, consulte Executando uma Restauração Autoritativa de Objetos do Active Directory.

  • Depois de restaurar o objeto usando qualquer método resolution 3, o objeto pode não ter todos os atributos de serviço (como Exchange Online e Skype for Business Online) restaurados automaticamente.

    Por exemplo, para um usuário anteriormente habilitado para email em Exchange Online, você pode usar Windows PowerShell cmdlets para repovoar os atributos Exchange Online.

    No exemplo a seguir, o objeto User1 é repovoado usando atributos Exchange Online para o locatário contoso.onmicrosoft.com:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Se as seguintes condições forem verdadeiras, a Resolução 3 não funcionará:

    • Restaurar o objeto usando a lixeira do Active Directory não é uma opção disponível.
    • Restaurar o objeto usando a ferramenta AdRestore não é uma opção disponível.
    • A restauração autoritativa do Active Directory não é uma opção disponível.

Nessa situação, entre em contato com o Suporte do Microsoft 365 para obter ajuda.

Mais informações

Após a exclusão do usuário e antes da recuperação do usuário, os seguintes eventos podem ocorrer e podem apresentar conflitos que podem alterar a experiência do usuário:

  • Um novo usuário tem um valor de ID de usuário exclusivo que anteriormente foi atribuído ao usuário excluído.
  • Um novo usuário tem um valor de endereço de email exclusivo que anteriormente foi atribuído ao usuário excluído.

Se esses conflitos ocorrerem, atributos conflitantes devem ser atualizados para remover o conflito antes que a recuperação do usuário possa ser concluída. Se ocorrer um conflito durante a recuperação do usuário, Windows PowerShell retornará uma das seguintes mensagens de erros:

Erro 1

Restore-MsolUser : A conta de usuário especificada não pode ser restaurada devido ao seguinte erro: Tipo de erro UserPrincipalName

Erro 2

Restore-MsolUser : A conta de usuário especificada não pode ser restaurada devido ao seguinte erro: Proxy Do tipo de erroAddress

Para restaurar os usuários que estão nesse estado, você pode corrigir o conflito usando os seguintes parâmetros ao executar o cmdlet Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Observação

Quando você usa o parâmetro, todos os AutoReconcileProxyConflicts endereços de email conflitantes são removidos do usuário excluído para que você possa continuar o processo de recuperação.

O portal do Microsoft 365 mostra as mensagens de erro equivalentes na forma do Windows PowerShell "estados de erro" que foram mencionados anteriormente. Por exemplo, você recebe a seguinte mensagem:

Conflito de nome de usuário O usuário que você deseja restaurar tem o mesmo nome de usuário.

Captura de tela que mostra que o nome de usuário é conflito.

Para restaurar os usuários que estão nesse estado, conclua as informações solicitadas no formulário.

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.