Восстановление удаленных учетных записей пользователей в Microsoft 365, Azure и Intune

  • Применяется к: Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Исходный номер базы знаний: 2619308

Симптомы

Учетная запись пользователя, которая была случайно удалена из Microsoft 365, Microsoft Azure или Microsoft Intune, должна быть восстановлена.

Резолюция

Перед началом работы

Когда пользователи удаляются из идентификатора Microsoft Entra, они перемещаются в состояние "удаленный" и больше не отображаются в списке пользователей. Однако они не полностью удалены, и их можно восстановить в течение 30 дней.

Используйте Microsoft 365 и модуль Azure Active Directory для PowerShell, как показано ниже, чтобы определить, может ли пользователь восстановиться из состояния "удален".

  1. На портале Microsoft 365 найдите учетные записи пользователей, которые были удалены через портал. Для этого выполните следующие действия.
    1. Войдите на портал Microsoft 365 (https://portal.office.com) с помощью учетных данных администратора.
    2. Выберите "Пользователи" и выберите "Удаленные пользователи".
    3. Найдите пользователя, который требуется восстановить.
  2. В модуле Azure Active Directory для Windows PowerShell выполните следующие действия.
    1. Выберите Пуск>Все программы>Windows Azure Active Directory>модуль Windows Azure Active Directory для Windows PowerShell.
    2. Введите следующие команды в порядке, в котором они представлены, и нажмите клавишу ВВОД после каждой команды:

      • $cred = get-credential

        Замечание

        При появлении запроса введите учетные данные Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Замечание

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Чтобы узнать больше, прочитайте обновлённую информацию о прекращении поддержки. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание: Возможны перебои в работе версий 1.0.x MSOnline после 30 июня 2024 г.

Решение 1. Восстановление удаленных учетных записей вручную с помощью портала Microsoft 365 или модуля Azure Active Directory

Чтобы восстановить учетную запись пользователя, удаленную вручную, используйте один из следующих методов:

  • Чтобы восстановить учетную запись пользователя, используйте портал Microsoft 365. Дополнительные сведения о том, как это сделать, см. в разделе Восстановление пользователя.

  • Используйте модуль Azure Active Directory для Windows PowerShell для восстановления учетной записи пользователя. Для этого введите следующую команду и нажмите клавишу ВВОД:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Если эта команда не работает, попробуйте выполнить следующую команду:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Замечание

    В этих командах используются следующие соглашения:

    • Параметры UserPrincipalName и ObjectID однозначно определяют объект пользователя для восстановления.
    • Параметр AutoReconcileProxyConflicts является необязательным и используется в сценариях, в которых другому объекту пользователя предоставляется прокси-адрес целевому объекту пользователя после удаления этого адреса.
    • Параметр NewUserPrincipalName используется при необходимости в сценариях, когда другому объекту пользователя предоставляется доступ с помощью имени пользователя (UPN) целевого объекта пользователя после удаления предыдущего UPN.

Решение 2. Восстановление удаленных учетных записей, так как изменения области исключают локальный объект пользователя Active Directory

Чтобы восстановить удаленные учетные записи пользователей, убедитесь, что фильтрация синхронизации каталогов должна быть установлена таким образом, чтобы диапазон включал объекты, которые требуется восстановить.

Дополнительные сведения см. в разделе Синхронизация Microsoft Entra Connect: настройка фильтрации.

Решение 3. Восстановление учетных записей, удаленных из-за удаления локального объекта пользователя из локальной схемы Active Directory

Чтобы восстановить элемент, удаленный из локальной схемы Active Directory, попробуйте выполнить следующие методы:

  • Попробуйте восстановить удаленный элемент из корзины Active Directory. Для этого см. Пошаговое руководство по Корзине Active Directory.

    Замечание

    • Корзина Active Directory доступна только при наличии функционального уровня Windows 2008 R2 или более поздних версий.
    • Чтобы корзина Active Directory могла быть полезна для восстановления элемента, её необходимо включить до его удаления.

  • Если корзина Active Directory недоступна или если объект, который находится под вопросом, больше не находится в корзине, попробуйте восстановить удаленный элемент с помощью средства AdRestore. Для этого выполните следующие действия.

    1. Установите средство AdRestore .

    2. Используйте AdRestore вместе с фильтром поиска, чтобы найти удаленный локальный объект пользователя. В следующих примерах используется строка UserA для поиска соответствующих имен пользователей.

      1. Используйте AdRestore для перечисления всех пользовательских объектов, имеющих строку UserA в имени:

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. Используйте AdRestore вместе с параметром -r для восстановления объекта пользователя.

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Включите объект пользователя в Active Directory. Когда объект восстанавливается, он сначала отключен. Поэтому необходимо включить его. Рекомендуется сначала сбросить пароль пользователя. Чтобы включить пользователя, выполните следующие действия.

    1. В Active Directory Users and Computers щелкните правой кнопкой мыши пользователя и выберите "Сбросить пароль".

    2. В полях "Новый пароль " и " Подтверждение пароля " введите новый пароль и нажмите кнопку "ОК".

    3. Щелкните правой кнопкой мыши пользователя, выберите "Включить учетную запись" и нажмите кнопку "ОК".

      Снимок экрана: включение учетной записи в Active Directory.

      Вы получаете следующее сообщение об ошибке (ожидаемое):

      Windows не может включить объект <MailboxName>, так как: Windows не удается обновить пароль. Значение, указанное для нового пароля, не соответствует требованиям домена по длине, сложности или историческим требованиям.

      После получения этого сообщения об ошибке сбросьте пароль пользователя в Active Directory Users and Computers.

  • Настройка имени входа пользователя

    Имя входа пользователя (также известное как основное имя пользователя, или UPN) не задано из восстановленного объекта пользователя. Необходимо обновить имя входа пользователя, особенно если пользователь является федеративной учетной записью.

    Чтобы настроить имя входа пользователя, выполните следующие действия.

    1. В Active Directory Users and Computers щелкните правой кнопкой мыши пользователя и выберите пункт "Свойства".
    2. Выберите учетную запись, введите имя в поле имени входа пользователя и нажмите кнопку "ОК".

    Наконец, если вы не сможете восстановить удаленную учетную запись пользователя через корзину Active Directory или с помощью средства AdRestore, выполните авторитетное восстановление удаленных объектов пользователей в Active Directory.

Предупреждения и предостережения

  • Убедитесь, что только объекты пользователя, которые требуется восстановить, помечены как доверенные. Объекты Active Directory, помеченные как заслуживающие доверия в процессе восстановления, могут вызвать множество проблем со службой Active Directory.

    Дополнительные сведения о том, как выполнить авторитетное восстановление объектов Active Directory, см. в разделе "Выполнение авторитетного восстановления объектов Active Directory".

  • После восстановления объекта с помощью любого метода Resolution 3 объект может не иметь все атрибуты службы (например, Exchange Online и Skype для бизнеса Online) автоматически восстановлены.

    Например, для пользователя, который ранее имел возможность отправлять почту в Exchange Online, можно использовать командлеты Windows PowerShell для восстановления атрибутов Exchange Online.

    В следующем примере объект User1 воссоздается, используя атрибуты Exchange Online для клиента contoso.onmicrosoft.com:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Если выполняются следующие условия, решение 3 не будет работать:

    • Восстановление объекта с помощью корзины Active Directory недоступно.
    • Восстановление объекта с помощью средства AdRestore недоступно.
    • Достоверное восстановление Active Directory не является доступным вариантом.

В этом случае обратитесь в службу поддержки Microsoft 365.

Дополнительные сведения

После удаления пользователей и до восстановления пользователя могут возникать следующие события и могут возникать конфликты, которые могут изменить взаимодействие с пользователем:

  • Новый пользователь имеет уникальное значение идентификатора пользователя, которое ранее было назначено удаленному пользователю.
  • Новый пользователь имеет уникальное значение адреса электронной почты, которое ранее было назначено удаленному пользователю.

Если эти конфликты возникают, конфликтующие атрибуты необходимо обновить, чтобы удалить конфликт до завершения восстановления пользователем. Если конфликт возникает во время восстановления пользователя, Windows PowerShell возвращает одно из следующих сообщений об ошибках:

Ошибка 1

Restore-MsolUser: указанная учетная запись пользователя не может быть восстановлена из-за следующей ошибки: Тип ошибки UserPrincipalName

Ошибка 2

Restore-MsolUser: указанная учетная запись пользователя не может быть восстановлена из-за следующей ошибки: Тип ошибки proxyAddress

Чтобы восстановить пользователей, находящихся в этом состоянии, можно исправить конфликт с помощью следующих параметров при запуске командлета Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Замечание

При использовании AutoReconcileProxyConflicts параметра все конфликтующие адреса электронной почты удаляются из удаленного пользователя, чтобы продолжить процесс восстановления.

На портале Microsoft 365 отображаются эквивалентные сообщения об ошибках в виде "состояний ошибок" Windows PowerShell, упомянутых ранее. Например, вы получите следующее сообщение:

Конфликт имени пользователя. Пользователь, который вы хотите восстановить, имеет то же имя пользователя.

Снимок экрана: имя пользователя конфликтует.

Чтобы восстановить пользователей, находящихся в этом состоянии, заполните запрошенные сведения в форме.

Все еще нужна помощь? Перейдите на сообщество Microsoft или на сайт форумов Microsoft Entra.

  • Last updated on