Procédure de restauration des comptes d’utilisateur supprimés dans Office 365, Azure et Intune

Numéro de la base de connaissances initiale :   2619308

Symptômes

Un compte d’utilisateur qui a été accidentellement supprimé de Microsoft Office 365, Microsoft Azure ou Microsoft Intune doit être restauré.

Résolution

Avant de commencer

Lorsque les utilisateurs sont supprimés d’Azure Active Directory (Azure AD), ils sont déplacés vers un état « supprimé » et n’apparaissent plus dans la liste des utilisateurs. Toutefois, elles ne sont pas entièrement supprimées et peuvent être récupérées dans les 30 jours.

Utilisez Office 365 et le module Azure Active Directory pour PowerShell comme suit pour déterminer si un utilisateur peut être récupéré à partir de l’état « supprimé » :

  1. Dans le portail Office 365 , recherchez les comptes d’utilisateur qui ont été supprimés via le portail. Pour cela, procédez comme suit :
    1. Connectez-vous au portail Office 365 ( https://portal.office.com ) à l’aide des informations d’identification d’administration.
    2. Sélectionnez utilisateurs, puis utilisateurs supprimés.
    3. Localisez l’utilisateur que vous souhaitez récupérer.
  2. Dans le module Azure Active Directory pour Windows PowerShell, procédez comme suit :
    1. Sélectionnez Démarrer > tous les programmes > Windows Azure Active Directory > Windows Azure Active Directory module for Windows PowerShell.
    2. Tapez les commandes suivantes dans l’ordre dans lequel elles sont présentées, puis appuyez sur entrée après chaque commande :
      • $cred = get-credential

        Notes

        Lorsque vous y êtes invité, entrez vos informations d’identification Office 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Résolution 1 : récupérer des comptes supprimés manuellement à l’aide du portail Office 365 ou du module Azure Active Directory

Pour récupérer un compte d’utilisateur qui a été supprimé manuellement, utilisez l’une des méthodes suivantes :

  • Utilisez le portail Office 365 pour récupérer le compte d’utilisateur. Pour plus d’informations sur la procédure à suivre, restaurez un utilisateur.

  • Utilisez le module Azure Active Directory pour Windows PowerShell pour récupérer le compte d’utilisateur. Pour ce faire, tapez la commande suivante, puis appuyez sur entrée :

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Si cette commande ne fonctionne pas, essayez la commande suivante :

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Notes

    Dans ces commandes, les conventions suivantes sont utilisées :

    • Les paramètres userPrincipalName et ObjectID identifient de manière unique l’objet utilisateur à restaurer.
    • Le paramètre AutoReconcileProxyConflicts est facultatif et est utilisé dans les scénarios dans lesquels un autre objet user reçoit l’adresse proxy de l’objet utilisateur cible après la suppression de cette adresse.
    • Le paramètre NewUserPrincipalName est éventuellement utilisé dans les scénarios dans lesquels un autre objet User est accordé à l’aide du nom d’utilisateur principal (UPN) de l’objet utilisateur cible après la suppression de l’UPN.

Résolution 2 : récupérer les comptes supprimés car les modifications d’étendue excluent l’objet utilisateur Active Directory local

Pour récupérer les comptes d’utilisateur supprimés, assurez-vous que le filtrage de synchronisation d’annuaires (étendue) est défini de manière à ce que l’étendue comprenne les objets que vous souhaitez récupérer.

Pour plus d’informations, reportez-vous à la rubrique Azure ad Connect Sync : configure Filtering.

Résolution 3 : récupérer les comptes supprimés car l’objet utilisateur local a été supprimé du schéma Active Directory local

Pour récupérer un élément qui a été supprimé du schéma Active Directory local, essayez l’une des méthodes suivantes :

  • Essayez de restaurer l’élément supprimé à partir de la corbeille Active Directory. Pour ce faire, consultez le Guide pas à pas de la corbeille Active Directory.

    Notes

    • La corbeille Active Directory est disponible uniquement en utilisant le niveau fonctionnel de Windows 2008 R2 ou une version ultérieure.
    • Pour que la corbeille Active Directory soit utile lors de la recuperation d’un élément, elle doit être activée avant la suppression de l’élément.
  • Si la corbeille Active Directory n’est pas disponible ou si l’objet en question ne se trouve plus dans la corbeille, essayez de récupérer l’élément supprimé à l’aide de l’outil AdRestore. Pour cela, procédez comme suit :

    1. Installez l’outil AdRestore .

    2. Utilisez AdRestore avec un filtre de recherche pour localiser l’objet utilisateur local supprimé. Les exemples suivants utilisent une chaîne « usera » pour rechercher les noms d’utilisateur correspondant à.

      1. Utilisez AdRestore pour énumérer tous les objets utilisateur dont le nom contient une chaîne « usera » :
      C:\>adrestore.exe UserA
      AdRestore v1.1 by Mark Russinovich
      Sysinternals - www.sysinternals.com
      
      Enumerating domain deleted objects:
      cn: MailboxA
      DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
      distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
      lastKnownParent: OU=OnPremises,DC=Domain,DC=com
      
      Found 1 item matching search criteria.
      
        1. Utilisez AdRestore avec le commutateur -r pour restaurer l’objet utilisateur.
      C:\>adrestore.exe Usera -r
      AdRestore v1.1 by Mark Russinovich
      Sysinternals - www.sysinternals.com
      
      Enumerating domain deleted objects:
      cn: UserA
      DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
      distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
      lastKnownParent: OU=OnPremises,DC=Domain,DC=com
      
      Do you want to restore this object (y/n)? y
      Restore succeeded.
      
      Found 1 item matching search criteria.
      
  • Activez l’objet utilisateur dans Active Directory. Lorsque l’objet est restauré, il est désactivé en premier. Par conséquent, vous devez l’activer. Nous vous recommandons de commencer par réinitialiser le mot de passe de l’utilisateur. Pour activer l’utilisateur, procédez comme suit :

    1. Dans utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Réinitialiser le mot de passe.

    2. Dans les zones nouveau mot de passe et confirmer le mot de passe , entrez un nouveau mot de passe, puis cliquez sur OK.

    3. Cliquez avec le bouton droit sur l’utilisateur, sélectionnez activer le compte, puis cliquez sur OK.

      Capture d’écran du compte d’activation dans Active Directory

      Vous recevez le message d’erreur suivant (attendu) :

      Windows ne peut pas activer <MailboxName> l’objet car : impossible de mettre à jour le mot de passe. La valeur fournie pour le nouveau mot de passe ne répond pas aux exigences de longueur, de complexité ou d’historique du domaine.

      Après avoir reçu ce message d’erreur, réinitialisez le mot de passe de l’utilisateur dans utilisateurs et ordinateurs Active Directory.

  • Configurez le nom d’ouverture de session de l’utilisateur.

    Le nom d’ouverture de session de l’utilisateur (également appelé nom d’utilisateur principal ou UPN) n’est pas défini à partir de l’objet utilisateur restauré. Vous devez mettre à jour le nom d’ouverture de session de l’utilisateur, en particulier s’il s’agit d’un compte fédéré.

    Pour configurer le nom d’ouverture de session de l’utilisateur, procédez comme suit :

    1. Dans utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Propriétés.
    2. Sélectionnez compte, entrez un nom dans la zone nom d’ouverture de session de l’utilisateur, puis sélectionnez OK.

    Enfin, si vous ne pouvez pas récupérer le compte d’utilisateur supprimé via la corbeille Active Directory ou à l’aide de l’outil AdRestore, exécutez une restauration faisant autorité des objets utilisateur supprimés dans Active Directory.

Avertissements et précautions

  • Assurez-vous que seuls les objets utilisateur que vous souhaitez restaurer sont marqués comme faisant autorité. Les objets Active Directory marqués comme faisant autorité dans le processus de restauration peuvent causer de nombreux problèmes de service Active Directory.

    Pour plus d’informations sur l’exécution d’une restauration faisant autorité d’objets Active Directory, consultez la rubrique exécution d’une restauration faisant autorité d’objets Active Directory.

  • Une fois que vous avez restauré l’objet à l’aide de la méthode de résolution 3, il se peut que l’objet ne dispose pas de tous les attributs de service (par exemple, Exchange Online et Skype entreprise Online) restaurés automatiquement.

    Par exemple, pour un utilisateur qui était auparavant à extension messagerie dans Exchange Online, vous pouvez utiliser des applets de commande Windows PowerShell pour remplir à nouveau les attributs Exchange Online.

    Dans l’exemple suivant, l’objet utilisateur1 est rempli à nouveau à l’aide d’attributs Exchange Online pour le client contoso.onmicrosoft.com :

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Si les conditions suivantes sont vraies, la résolution 3 ne fonctionnera pas :

    • La restauration de l’objet à l’aide de la corbeille Active Directory n’est pas une option disponible.
    • La restauration de l’objet à l’aide de l’outil ADRESTORE n’est pas une option disponible.
    • Active Directory faisant autorité restauration n’est pas une option disponible.

Dans ce cas, contactez le support Office 365 pour obtenir de l’aide.

Informations supplémentaires

Après la suppression de l’utilisateur et avant la récupération par l’utilisateur, les événements suivants peuvent se produire et présenter des conflits pouvant altérer l’expérience utilisateur :

  • Un nouvel utilisateur a une valeur unique d’ID d’utilisateur qui a été précédemment affectée à l’utilisateur supprimé.
  • Un nouvel utilisateur a une valeur d’adresse de messagerie unique qui a été précédemment affectée à l’utilisateur supprimé.

Si ces conflits se produisent, les attributs en conflit doivent être mis à jour pour supprimer le conflit avant que la récupération de l’utilisateur ne puisse aboutir. Si un conflit se produit lors de la récupération par l’utilisateur, Windows PowerShell renvoie l’un des messages d’erreur suivants :

Erreur 1

Restore-MsolUser : le compte d’utilisateur spécifié ne peut pas être restauré en raison de l’erreur suivante : type d’erreur UserPrincipalName

Erreur 2

Restore-MsolUser : le compte d’utilisateur spécifié ne peut pas être restauré en raison de l’erreur suivante : type d’erreur proxyAddress

Pour restaurer les utilisateurs qui sont dans cet État, vous pouvez corriger le conflit en utilisant les paramètres suivants lorsque vous exécutez l’applet de commande Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Notes

Lorsque vous utilisez le AutoReconcileProxyConflicts paramètre, toutes les adresses de messagerie en conflit sont supprimées de l’utilisateur supprimé afin que vous puissiez poursuivre le processus de récupération.

Le portail Office 365 affiche les messages d’erreur équivalents sous la forme des « États d’erreur » Windows PowerShell mentionnés ci-dessus. Par exemple, vous recevez le message suivant :

Capture d’écran de la page de conflit de nom d’utilisateur

Pour restaurer les utilisateurs qui sont dans cet État, complétez les informations demandées dans le formulaire.

Encore besoin d’aide ? Accédez à la Communauté Microsoft ou au site Web Forums Azure Active Directory.