Поделиться через


Восстановление удаленных учетных записей пользователей в Microsoft 365, Azure и Intune

Исходный номер базы знаний: 2619308

Симптомы

Учетную запись пользователя, которая была случайно удалена из Microsoft 365, Microsoft Azure или Microsoft Intune, необходимо восстановить.

Решение

Перед началом работы

При удалении пользователей с идентификатора Microsoft Entra они перемещаются в состояние "удалено" и больше не отображаются в списке пользователей. Однако они не удаляются полностью, и их можно восстановить в течение 30 дней.

Используйте Microsoft 365 и модуль Azure Active Directory для PowerShell следующим образом, чтобы определить, имеет ли пользователь право на восстановление после удаления:

  1. На портале Microsoft 365 найдите учетные записи пользователей, которые были удалены с помощью портала. Для этого выполните следующие действия:
    1. Войдите на портал Microsoft 365 (https://portal.office.com), используя учетные данные администратора.
    2. Выберите Пользователи, а затем — Удаленные пользователи.
    3. Найдите пользователя, которого требуется восстановить.
  2. В модуле Azure Active Directory для Windows PowerShell выполните следующие действия.
    1. Выберите Запустить>все программы>Модуль Windows Azure Active Directory>Windows Azure Active Directory для Windows PowerShell.
    2. Введите следующие команды в том порядке, в котором они представлены, и нажмите клавишу ВВОД после каждой команды:
      • $cred = get-credential

        Примечание.

        При появлении запроса введите учетные данные Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Примечание.

Модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell , чтобы взаимодействовать с Идентификатором Microsoft Entra (прежнее название — Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Заметка: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

Решение 1. Восстановление удаленных учетных записей вручную с помощью портала Microsoft 365 или модуля Azure Active Directory

Чтобы восстановить учетную запись пользователя, которая была удалена вручную, используйте один из следующих методов:

  • Используйте портал Microsoft 365 для восстановления учетной записи пользователя. Дополнительные сведения о том, как это сделать, см. в статье Восстановление пользователя.

  • Используйте модуль Azure Active Directory для Windows PowerShell, чтобы восстановить учетную запись пользователя. Для этого введите следующую команду и нажмите клавишу ВВОД:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Если эта команда не работает, попробуйте выполнить следующую команду:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Примечание.

    В этих командах используются следующие соглашения:

    • Параметры UserPrincipalName и ObjectID однозначно определяют восстанавливаемый пользовательский объект.
    • Параметр AutoReconcileProxyConflicts является необязательным и используется в сценариях, когда другому объекту пользователя предоставляется адрес прокси-сервера целевого объекта пользователя после удаления этого адреса.
    • Параметр NewUserPrincipalName при необходимости используется в сценариях, когда другой объект пользователя предоставляется с помощью имени участника-пользователя целевого объекта пользователя (UPN) после удаления этого имени участника-пользователя.

Решение 2. Восстановление удаленных учетных записей, так как изменения области исключают локальный объект пользователя Active Directory

Чтобы восстановить удаленные учетные записи пользователей, убедитесь, что фильтрация (определение области) синхронизации каталогов настроена таким образом, чтобы область была включена в область объектов, которые требуется восстановить.

Дополнительные сведения см. в статье Синхронизация Microsoft Entra Connect: настройка фильтрации.

Решение 3. Восстановление учетных записей, удаленных из-за удаления локального объекта пользователя из локальной схемы Active Directory

Чтобы восстановить элемент, который был удален из локальной схемы Active Directory, попробуйте использовать следующие методы:

  • Попробуйте восстановить удаленный элемент из корзины Active Directory. Для этого см. пошаговое руководство по корзине Active Directory.

    Примечание.

    • Корзина Active Directory доступна только с уровнем функциональности Windows 2008 R2 или более поздних версий.
    • Чтобы корзина Active Directory была полезна при восстановлении элемента, ее необходимо включить перед удалением элемента.
  • Если корзина Active Directory недоступна или соответствующий объект больше не находится в корзине, попробуйте восстановить удаленный элемент с помощью средства AdRestore. Для этого выполните следующие действия:

    1. Установите средство AdRestore .

    2. Используйте AdRestore вместе с фильтром поиска, чтобы найти удаленный локальный объект пользователя. В следующих примерах для поиска соответствующих имен пользователей используется строка UserA.

      1. Используйте AdRestore для перечисления всех объектов-пользователей, у которых есть строка "UserA" в имени:

        C:\>adrestore.exe UserA
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: MailboxA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Found 1 item matching search criteria.
        
      2. Используйте AdRestore вместе с параметром -r , чтобы восстановить объект пользователя.

        C:\>adrestore.exe Usera -r
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: UserA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Do you want to restore this object (y/n)? y
        Restore succeeded.
        
        Found 1 item matching search criteria.
        
  • Включите объект user в Active Directory. При восстановлении объект сначала отключается. Поэтому его необходимо включить. Рекомендуется сначала сбросить пароль пользователя. Чтобы включить пользователя, выполните следующие действия.

    1. В разделе Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши пользователя и выберите сбросить пароль.

    2. В полях Новый пароль и Подтверждение пароля введите новый пароль и нажмите кнопку ОК.

    3. Щелкните правой кнопкой мыши пользователя, выберите Включить учетную запись и нажмите кнопку ОК.

      Снимок экрана: включение учетной записи в Active Directory.

      Появляется следующее сообщение об ошибке (ожидается):

      Windows не может включить объект <MailboxName> , так как: не удается обновить пароль. Значение, указанное для нового пароля, не соответствует требованиям к длине, сложности или журналу домена.

      Получив это сообщение об ошибке, сбросьте пароль пользователя в разделе Пользователи и компьютеры Active Directory.

  • Настройка имени входа пользователя

    Имя входа пользователя (также известное как имя участника-пользователя или имя участника-пользователя) не задается из восстановленного объекта пользователя. Необходимо обновить имя входа пользователя, особенно если пользователь является федеративной учетной записью.

    Чтобы настроить имя входа пользователя, выполните следующие действия.

    1. В разделе Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши пользователя и выберите пункт Свойства.
    2. Выберите Учетная запись, введите имя в поле Имя входа пользователя и нажмите кнопку ОК.

    Наконец, если вы не можете восстановить удаленную учетную запись пользователя через корзину Active Directory или с помощью средства AdRestore, выполните авторитетное восстановление удаленных объектов пользователей в Active Directory.

Предупреждения и предупреждения

  • Убедитесь, что только объекты пользователей, которые требуется восстановить, помечены как полномочные. Объекты Active Directory, помеченные как полномочные в процессе восстановления, могут вызвать множество проблем со службами Active Directory.

    Дополнительные сведения о выполнении авторитетного восстановления объектов Active Directory см. в разделе Выполнение полномочного восстановления объектов Active Directory.

  • После восстановления объекта с помощью любого метода разрешения 3 объект может не иметь все атрибуты службы (например, Exchange Online и Skype для бизнеса Online) автоматически восстановлены.

    Например, для пользователя, который ранее был включен в Exchange Online с поддержкой почты, можно использовать командлеты Windows PowerShell для повторного заполнения атрибутов Exchange Online.

    В следующем примере объект User1 повторяется с помощью атрибутов Exchange Online для клиента contoso.onmicrosoft.com :

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Если выполняются следующие условия, решение 3 не будет работать:

    • Восстановление объекта с помощью корзины Active Directory недоступно.
    • Восстановление объекта с помощью средства AdRestore недоступно.
    • Достоверное восстановление Active Directory не является доступным вариантом.

В этом случае обратитесь за помощью в службу поддержки Microsoft 365.

Дополнительная информация

После удаления пользователя и перед восстановлением пользователя могут возникать следующие события, которые могут привести к конфликтам, которые могут изменить взаимодействие с пользователем:

  • Новый пользователь имеет уникальное значение идентификатора пользователя, которое ранее было присвоено удаленному пользователю.
  • Новому пользователю присвоено уникальное значение адреса электронной почты, которое ранее было присвоено удаленному пользователю.

Если эти конфликты возникают, конфликтующие атрибуты должны быть обновлены, чтобы удалить конфликт, прежде чем можно будет завершить восстановление пользователя. Если во время восстановления пользователя возникает конфликт, Windows PowerShell возвращает одно из следующих сообщений об ошибках:

Ошибка 1

Restore-MsolUser: указанная учетная запись пользователя не может быть восстановлена из-за следующей ошибки: Тип ошибки UserPrincipalName

Ошибка 2

Restore-MsolUser: указанная учетная запись пользователя не может быть восстановлена из-за следующей ошибки: Error Type proxyAddress

Чтобы восстановить пользователей, находящихся в этом состоянии, можно исправить конфликт с помощью следующих параметров при выполнении командлета Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Примечание.

При использовании AutoReconcileProxyConflicts параметра все конфликтующие адреса электронной почты удаляются из удаленного пользователя, чтобы продолжить процесс восстановления.

На портале Microsoft 365 отображаются эквивалентные сообщения об ошибках в виде упомянутых ранее "состояний ошибок" Windows PowerShell. Например, вы получите следующее сообщение:

Конфликт имен пользователей. Пользователь, который требуется восстановить, имеет то же имя пользователя.

Снимок экрана: конфликтующее имя пользователя.

Чтобы восстановить пользователей, находящихся в этом состоянии, заполните сведения, запрашиваемые в форме.

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или форумы Microsoft Entra .