如何在 Microsoft 365、Azure 和 Intune 中還原已刪除的用戶帳戶

  • 發行項
  • 適用於:
    Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

原始 KB 編號: 2619308

徵狀

意外從 Microsoft 365、Microsoft Azure 或 Microsoft Intune 刪除的使用者帳戶必須還原。

解決方案

開始之前

從 Microsoft Entra ID 刪除使用者時,使用者會移至「已刪除」狀態,且不再出現在使用者清單中。 不過,它們不會完全移除,而且可以在 30 天內復原。

使用適用於 PowerShell 的 Microsoft 365 和 Azure Active Directory 模組,如下所示,判斷使用者是否有資格從「已刪除」狀態復原:

  1. Microsoft 365 入口網站中,查閱透過入口網站刪除的用戶帳戶。 如果要執行這項操作,請依照下列步驟執行:
    1. 使用系統管理認證登入 Microsoft 365 入口網站 (https://portal.office.com) 。
    2. 取 [使用者],然後選取 [ 已刪除的使用者]
    3. 找出您想要復原的使用者。
  2. 在適用於 Windows PowerShell 的 Azure Active Directory 模組中,遵循下列步驟:
    1. 取 [啟動>所有程式>] [Windows Azure Active Directory>] [Windows Azure Active Directory 模組] 以進行 Windows PowerShell
    2. 以顯示命令的順序輸入下列命令,然後在每個命令之後按 Enter:

      • $cred = get-credential

        注意事項

        當系統提示您時,請輸入您的 Microsoft 365 認證。

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

注意事項

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請閱讀 淘汰更新。 在此日期之後,這些模組的支援僅限於 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 已淘汰的模組會繼續運作到 2025 年 3 月 30 日。

建議您移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前的 Azure AD) 互動。 如需常見的移轉問題,請參閱 移轉常見問題注意: 1.0.x 版的 MSOnline 可能會在 2024 年 6 月 30 日之後中斷。

解決方案 1:使用 Microsoft 365 入口網站或 Azure Active Directory 模組來復原手動刪除的帳戶

若要復原手動刪除的用戶帳戶,請使用下列其中一種方法:

  • 使用 Microsoft 365 入口網站復原用戶帳戶。 如需如何執行這項操作的詳細資訊,請參閱 還原使用者

  • 使用適用於 Windows PowerShell 的 Azure Active Directory 模組來復原用戶帳戶。 若要這樣做,請輸入下列命令,然後按 Enter:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    如果此指令無法運作,請嘗試下列命令:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    注意事項

    在這些命令中,會使用下列慣例:

    • UserPrincipalNameObjectID 參數可唯一識別要還原的用戶物件。
    • 參數 AutoReconcileProxyConflicts 是選擇性的,而且用於另一個用戶物件在刪除該地址之後被授與目標用戶物件 Proxy 位址的案例中。
    • NewUserPrincipalName 刪除該 UPN 之後,使用目標使用者物件的用戶主體名稱 (UPN) 授與另一個使用者對象的情況下,可以選擇性地使用 參數。

解決方案 2:復原已刪除的帳戶,因為範圍變更排除 內部部署的 Active Directory 用戶物件

若要復原已刪除的用戶帳戶,請確定已設定目錄同步處理篩選 (範圍) ,讓範圍包含您想要復原的物件。

如需詳細資訊,請參閱 Microsoft Entra 連線同步:設定篩選。

解決方法 3:復原已刪除的帳戶,因為內部部署用戶物件已從 內部部署的 Active Directory 架構中刪除

若要復原從 內部部署的 Active Directory 架構中刪除的專案,請嘗試下列方法:

  • 嘗試從 Active Directory 回收站還原已刪除的專案。 若要這樣做,請參閱 Active Directory 回收站逐步指南

    注意事項

    • Active Directory 回收站只能透過具有 Windows 2008 R2 或更新版本的功能等級來使用。
    • 若要讓 Active Directory 回收站在復原專案時很有用,必須先啟用它,才能刪除專案。

  • 如果 Active Directory 回收站無法使用,或有問題的物件不再位於回收站中,請嘗試使用 AdRestore 工具復原已刪除的專案。 如果要執行這項操作,請依照下列步驟執行:

    1. 安裝 AdRestore 工具。

    2. 使用 AdRestore 搭配搜尋篩選來尋找已刪除的內部部署用戶物件。 下列範例會使用 「UserA」 字串來搜尋相符的用戶名稱。

      1. 使用 AdRestore 列舉名稱中具有 「UserA」 字串的所有使用者物件:

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. 使用 AdRestore 搭配 -r 參數來還原用戶物件。

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • 在 Active Directory 中啟用用戶 物件。 還原物件時,一開始會停用。 因此,您必須加以啟用。 建議您先重設用戶密碼。 若要啟用使用者,請遵循下列步驟:

    1. 在 Active Directory 使用者和電腦 中,以滑鼠右鍵按兩下用戶,然後選取 [重設密碼]。

    2. 在 [ 新增密碼 ] 和 [ 確認密碼] 方塊中,輸入新的密碼,然後選取 [ 確定]

    3. 以滑鼠右鍵按兩下使用者,選取 [ 啟用帳戶],然後選取 [ 確定]

      如何在 Active Directory 中啟用帳戶的螢幕快照。

      您會在預期 (收到下列錯誤訊息) :

      Windows 無法啟用 MailboxName> 對象<,因為:無法更新密碼。 為新密碼提供的值不符合網域的長度、複雜度或歷程記錄需求。

      收到此錯誤訊息之後,請在 Active Directory 使用者和電腦 中重設用戶的密碼。

  • 設定使用者登入名稱

    使用者登入名稱 (也稱為用戶主體名稱,或未從還原的用戶物件設定 UPN) 。 您必須更新使用者登入名稱,特別是當使用者是同盟帳戶時。

    若要設定使用者登入名稱,請遵循下列步驟:

    1. 在 Active Directory 使用者和電腦 中,以滑鼠右鍵按兩下用戶,然後選取 [屬性]
    2. 取 [帳戶],在 [使用者登入名稱] 方塊中輸入名稱,然後選取 [ 確定]

    最後,如果您無法透過 Active Directory 回收站或使用 AdRestore 工具復原已刪除的用戶帳戶,請在 Active Directory 中執行已刪除使用者對象的授權還原。

警告和警告

  • 請確定只有您想要還原的用戶物件會標示為授權。 在還原程式中標示為授權的 Active Directory 物件可能會導致許多 Active Directory 服務問題。

    如需如何執行 Active Directory 對象授權還原的詳細資訊,請參閱 執行 Active Directory 對象的授權還原

  • 使用任何 Resolution 3 方法還原對象之後,物件可能沒有 (的所有服務屬性,例如 Exchange Online 和 商務用 Skype Online) 自動還原。

    例如,對於先前在 Exchange Online 中啟用郵件功能的使用者,您可以使用 Windows PowerShell Cmdlet 來重新填入 Exchange Online 屬性。

    在下列範例中,會使用 contoso.onmicrosoft.com 租使用者的 Exchange Online 屬性來重新填入 User1 物件:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • 如果下列條件成立,解決方法 3 將無法運作:

    • 使用 Active Directory 回收站還原物件不是可用的選項。
    • 使用 AdRestore 工具還原物件不是可用的選項。
    • Active Directory 授權還原不是可用的選項。

在此情況下,請連絡 Microsoft 365 支援服務以取得協助。

其他相關資訊

在使用者刪除之後和用戶復原之前,可能會發生下列事件,而且可能會發生衝突,進而改變用戶體驗:

  • 新使用者具有先前指派給已刪除使用者的唯一使用者標識碼值。
  • 新使用者具有先前指派給已刪除使用者的唯一電子郵件位址值。

如果發生這些衝突,則必須先更新衝突的屬性以移除衝突,用戶復原才能完成。 如果在使用者復原期間發生衝突,Windows PowerShell 會傳回下列其中一個錯誤訊息:

錯誤 1

Restore-MsolUser:無法還原指定的用戶帳戶,因為發生下列錯誤:錯誤類型 UserPrincipalName

錯誤 2

Restore-MsolUser:無法還原指定的用戶帳戶,因為發生下列錯誤:錯誤類型 proxyAddress

若要還原處於此狀態的使用者,您可以在執行 Restore-MSOLUser Cmdlet 時使用下列參數來更正衝突:

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

注意事項

當您使用 參數 AutoReconcileProxyConflicts 時,會從已刪除的使用者移除任何衝突的電子郵件位址,以便您繼續復原程式。

Microsoft 365 入口網站會以先前提及的 Windows PowerShell「錯誤狀態」形式顯示對等的錯誤訊息。 例如,您會收到下列訊息:

使用者名稱衝突 您想要還原的使用者具有相同的用戶名稱。

顯示使用者名稱衝突的螢幕快照。

若要還原處於此狀態的使用者,請完成表單中要求的資訊。

是否仍需要協助? 移至 Microsoft 社群Microsoft Entra 論壇網站。