Udostępnij za pośrednictwem


Jak przywrócić usunięte konta użytkowników w usługach Microsoft 365, Azure i Intune

Oryginalny numer KB: 2619308

Symptomy

Należy przywrócić konto użytkownika, które zostało przypadkowo usunięte z platformy Microsoft 365, platformy Microsoft Azure lub usługi Microsoft Intune.

Rozwiązanie

Przed rozpoczęciem

Gdy użytkownicy zostaną usunięci z identyfikatora Entra firmy Microsoft, zostaną przeniesieni do stanu "usuniętego" i nie będą już widoczni na liście użytkowników. Jednak nie są one całkowicie usunięte i można je odzyskać w ciągu 30 dni.

Użyj platformy Microsoft 365 i modułu usługi Azure Active Directory dla programu PowerShell w następujący sposób, aby ustalić, czy użytkownik kwalifikuje się do odzyskania ze stanu "usuniętego":

  1. W portalu platformy Microsoft 365 wyszukaj konta użytkowników, które zostały usunięte za pośrednictwem portalu. Aby to zrobić, wykonaj następujące kroki.
    1. Zaloguj się do portalu platformy Microsoft 365 (https://portal.office.com) przy użyciu poświadczeń administracyjnych.
    2. Wybierz pozycję Użytkownicy, a następnie wybierz pozycję Usunięci użytkownicy.
    3. Znajdź użytkownika, który chcesz odzyskać.
  2. W module usługi Azure Active Directory dla programu Windows PowerShell wykonaj następujące kroki:
    1. Wybierz pozycję Uruchom>wszystkie programy> ModułWindows Azure Active Directory>Windows Azure Active Directory dla programu Windows PowerShell.
    2. Wpisz następujące polecenia w kolejności, w jakiej są prezentowane, i naciśnij Enter po każdym poleceniu:
      • $cred = get-credential

        Uwaga

        Po wyświetleniu monitu wprowadź poświadczenia platformy Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Uwaga

Moduły azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Nuta: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Rozwiązanie 1. Odzyskiwanie ręcznie usuniętych kont przy użyciu portalu platformy Microsoft 365 lub modułu usługi Azure Active Directory

Aby odzyskać konto użytkownika, które zostało usunięte ręcznie, użyj jednej z następujących metod:

  • Użyj portalu platformy Microsoft 365, aby odzyskać konto użytkownika. Aby uzyskać więcej informacji o tym, jak to zrobić, przywróć użytkownika.

  • Aby odzyskać konto użytkownika, użyj modułu Azure Active Directory dla programu Windows PowerShell. W tym celu wpisz następujące polecenie, a następnie naciśnij Enter:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Jeśli to polecenie nie działa, spróbuj wykonać następujące polecenie:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Uwaga

    W tych poleceniach są używane następujące konwencje:

    • Parametry UserPrincipalName i ObjectID jednoznacznie identyfikują obiekt użytkownika do przywrócenia.
    • Parametr AutoReconcileProxyConflicts jest opcjonalny i jest używany w scenariuszach, w których inny obiekt użytkownika otrzymuje adres proxy obiektu docelowego użytkownika po usunięciu tego adresu.
    • Parametr NewUserPrincipalName jest opcjonalnie używany w scenariuszach, w których inny obiekt użytkownika jest udzielany przy użyciu głównej nazwy użytkownika obiektu użytkownika docelowego (UPN) po usunięciu tej nazwy UPN.

Rozwiązanie 2. Odzyskiwanie usuniętych kont, ponieważ zmiany określające zakres wykluczają lokalny obiekt użytkownika usługi Active Directory

Aby odzyskać usunięte konta użytkowników, upewnij się, że filtrowanie synchronizacji katalogów (określanie zakresu) jest ustawione w taki sposób, aby zakres zawierał obiekty, które chcesz odzyskać.

Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect Sync: Configure filtering (Synchronizacja programu Microsoft Entra Connect: Konfigurowanie filtrowania).

Rozwiązanie 3. Odzyskiwanie kont usuniętych, ponieważ obiekt użytkownika lokalnego został usunięty ze schematu lokalnej usługi Active Directory

Aby odzyskać element, który został usunięty ze schematu lokalnej usługi Active Directory, wypróbuj następujące metody:

  • Spróbuj przywrócić usunięty element z kosza usługi Active Directory. Aby to zrobić, zobacz Przewodnik krok po kroku kosza usługi Active Directory.

    Uwaga

    • Kosz usługi Active Directory jest dostępny tylko przez poziom funkcjonalności systemu Windows 2008 R2 lub nowszych wersji.
    • Aby kosz usługi Active Directory był przydatny podczas odzyskiwania elementu, należy go włączyć przed usunięciem elementu.
  • Jeśli kosz usługi Active Directory jest niedostępny lub dany obiekt nie znajduje się już w koszu, spróbuj odzyskać usunięty element przy użyciu narzędzia AdRestore. Aby to zrobić, wykonaj następujące kroki.

    1. Zainstaluj narzędzie AdRestore .

    2. Użyj narzędzia AdRestore razem z filtrem wyszukiwania, aby zlokalizować usunięty obiekt użytkownika lokalnego. W poniższych przykładach użyto ciągu "UserA" do wyszukiwania nazw użytkowników zgodnych.

      1. Użyj narzędzia AdRestore, aby wyliczyć wszystkie obiekty użytkownika, które mają ciąg "UserA" w swojej nazwie:

        C:\>adrestore.exe UserA
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: MailboxA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Found 1 item matching search criteria.
        
      2. Użyj narzędzia AdRestore razem z przełącznikiem -r , aby przywrócić obiekt użytkownika.

        C:\>adrestore.exe Usera -r
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: UserA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Do you want to restore this object (y/n)? y
        Restore succeeded.
        
        Found 1 item matching search criteria.
        
  • Włącz obiekt użytkownika w usłudze Active Directory. Po przywróceniu obiektu jest on początkowo wyłączony. W związku z tym należy go włączyć. Zalecamy najpierw zresetowanie hasła użytkownika. Aby włączyć użytkownika, wykonaj następujące kroki:

    1. W obszarze Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy użytkownika, a następnie wybierz pozycję Resetuj hasło.

    2. W polach Nowe hasło i Potwierdź hasło wprowadź nowe hasło, a następnie wybierz przycisk OK.

    3. Kliknij prawym przyciskiem myszy użytkownika, wybierz pozycję Włącz konto, a następnie wybierz przycisk OK.

      Zrzut ekranu przedstawiający sposób włączania konta w usłudze Active Directory.

      Zostanie wyświetlony następujący komunikat o błędzie (oczekiwano):

      System Windows nie może włączyć obiektu <MailboxName> , ponieważ: Nie można zaktualizować hasła. Wartość podana dla nowego hasła nie spełnia wymagań dotyczących długości, złożoności ani historii domeny.

      Po otrzymaniu tego komunikatu o błędzie zresetuj hasło użytkownika w obszarze Użytkownicy i komputery usługi Active Directory.

  • Konfigurowanie nazwy logowania użytkownika

    Nazwa logowania użytkownika (znana również jako główna nazwa użytkownika lub nazwa UPN) nie jest ustawiana z przywróconego obiektu użytkownika. Musisz zaktualizować nazwę logowania użytkownika, zwłaszcza jeśli użytkownik jest kontem federacyjnym.

    Aby skonfigurować nazwę logowania użytkownika, wykonaj następujące kroki:

    1. W obszarze Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy użytkownika, a następnie wybierz pozycję Właściwości.
    2. Wybierz pozycję Konto, wprowadź nazwę w polu Nazwa logowania użytkownika, a następnie wybierz przycisk OK.

    Na koniec, jeśli nie możesz odzyskać usuniętego konta użytkownika za pośrednictwem kosza usługi Active Directory lub za pomocą narzędzia AdRestore, uruchom autorytatywne przywracanie usuniętych obiektów użytkownika w usłudze Active Directory.

Ostrzeżenia i ostrzeżenia

  • Upewnij się, że tylko obiekty użytkownika, które chcesz przywrócić, są oznaczone jako autorytatywne. Obiekty usługi Active Directory oznaczone jako autorytatywne w procesie przywracania mogą powodować wiele problemów z usługą Active Directory.

    Aby uzyskać więcej informacji na temat uruchamiania autorytatywnego przywracania obiektów usługi Active Directory, zobacz Wykonywanie autorytatywnego przywracania obiektów usługi Active Directory.

  • Po przywróceniu obiektu przy użyciu dowolnej metody resolution 3 obiekt może nie mieć automatycznie przywracanych wszystkich atrybutów usługi (takich jak Exchange Online i Skype dla firm Online).

    Na przykład dla użytkownika, który był wcześniej włączony pocztą w usłudze Exchange Online, możesz użyć poleceń cmdlet programu Windows PowerShell do ponownego zapełnienia atrybutów usługi Exchange Online.

    W poniższym przykładzie obiekt User1 jest uzupełniany przy użyciu atrybutów usługi Exchange Online dla dzierżawy contoso.onmicrosoft.com :

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Jeśli spełnione są następujące warunki, rozwiązanie 3 nie będzie działać:

    • Przywracanie obiektu przy użyciu kosza usługi Active Directory nie jest dostępną opcją.
    • Przywracanie obiektu przy użyciu narzędzia AdRestore nie jest dostępną opcją.
    • Przywracanie autorytatywne usługi Active Directory nie jest dostępną opcją.

W takiej sytuacji skontaktuj się z pomocą techniczną platformy Microsoft 365, aby uzyskać pomoc.

Więcej informacji

Po usunięciu użytkownika i przed odzyskaniem przez użytkownika mogą wystąpić następujące zdarzenia i mogą występować konflikty, które mogą zmienić środowisko użytkownika:

  • Nowy użytkownik ma unikatową wartość identyfikatora użytkownika, która została wcześniej przypisana do usuniętego użytkownika.
  • Nowy użytkownik ma unikatową wartość adresu e-mail, która została wcześniej przypisana do usuniętego użytkownika.

Jeśli wystąpią te konflikty, atrybuty powodujące konflikt muszą zostać zaktualizowane, aby usunąć konflikt przed zakończeniem odzyskiwania użytkownika. Jeśli podczas odzyskiwania użytkownika wystąpi konflikt, program Windows PowerShell zwraca jeden z następujących komunikatów o błędach:

Błąd 1

Restore-MsolUser: Nie można przywrócić określonego konta użytkownika z powodu następującego błędu: Typ błędu UserPrincipalName

Błąd 2

Restore-MsolUser: Nie można przywrócić określonego konta użytkownika z powodu następującego błędu: błąd proxyAddress typu błędu

Aby przywrócić użytkowników, którzy są w tym stanie, można rozwiązać konflikt przy użyciu następujących parametrów podczas uruchamiania polecenia cmdlet Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Uwaga

W przypadku korzystania z parametru AutoReconcileProxyConflicts wszystkie adresy e-mail powodujące konflikt zostaną usunięte z usuniętego użytkownika, aby można było kontynuować proces odzyskiwania.

W portalu platformy Microsoft 365 są wyświetlane równoważne komunikaty o błędach w postaci "stanów błędów" programu Windows PowerShell, które zostały wymienione wcześniej. Na przykład zostanie wyświetlony następujący komunikat:

Konflikt nazwy użytkownika Użytkownik, którego chcesz przywrócić, ma taką samą nazwę użytkownika.

Zrzut ekranu przedstawiający konflikt nazwy użytkownika.

Aby przywrócić użytkowników, którzy są w tym stanie, wypełnij informacje wymagane w formularzu.

Nadal potrzebujesz pomocy? Przejdź do witryny internetowej Microsoft Community lub microsoft entra forów .