Verwijderde gebruikersaccounts herstellen in Microsoft 365, Azure en Intune

• Van toepassing op:

  Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Origineel KB-nummer: 2619308

Symptomen

Een gebruikersaccount dat per ongeluk is verwijderd uit Microsoft 365, Microsoft Azure of Microsoft Intune moet worden hersteld.

Oplossing

Voordat u van start gaat

Wanneer gebruikers worden verwijderd uit Microsoft Entra ID, worden ze verplaatst naar de status 'verwijderd' en worden ze niet meer weergegeven in de gebruikerslijst. Ze worden echter niet volledig verwijderd en kunnen binnen 30 dagen worden hersteld.

Gebruik Microsoft 365 en de Azure Active Directory-module voor PowerShell als volgt om te bepalen of een gebruiker in aanmerking komt om te worden hersteld van de status 'verwijderd':

1. Zoek in de Microsoft 365-portal gebruikersaccounts op die via de portal zijn verwijderd. Ga hiervoor als volgt te werk:
   1. Meld u aan bij de Microsoft 365-portal (https://portal.office.com) met behulp van beheerdersreferenties.
   2. Selecteer Gebruikers en selecteer vervolgens Verwijderde gebruikers.
   3. Zoek de gebruiker die u wilt herstellen.
2. Voer in de Azure Active Directory-module voor Windows PowerShell de volgende stappen uit:
   1. Selecteer Start>All Programs>Windows Azure Active Directory>Windows Azure Active Directory-module voor Windows PowerShell.
   2. Typ de volgende opdrachten in de volgorde waarin ze worden weergegeven en druk na elke opdracht op Enter:

      • $cred = get-credential

        Opmerking

        Wanneer u hierom wordt gevraagd, voert u uw Microsoft 365-referenties in.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

Oplossing 1: Handmatig verwijderde accounts herstellen met behulp van de Microsoft 365-portal of de Azure Active Directory-module

Gebruik een van de volgende methoden om een gebruikersaccount te herstellen dat handmatig is verwijderd:

• Gebruik de Microsoft 365-portal om het gebruikersaccount te herstellen. Een gebruiker herstellen voor meer informatie hierover.

• Gebruik de Azure Active Directory-module voor Windows PowerShell om het gebruikersaccount te herstellen. Typ hiervoor de volgende opdracht en druk op Enter:

  Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

  Als deze opdracht niet werkt, probeert u de volgende opdracht:

  Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

  Opmerking

  In deze opdrachten worden de volgende conventies gebruikt:

  • De UserPrincipalName parameters en ObjectID identificeren op unieke wijze het gebruikersobject dat moet worden hersteld.
  • De AutoReconcileProxyConflicts parameter is optioneel en wordt gebruikt in scenario's waarin een ander gebruikersobject het proxyadres van het doelgebruikersobject krijgt nadat dat adres is verwijderd.
  • De NewUserPrincipalName parameter wordt optioneel gebruikt in scenario's waarin een ander gebruikersobject wordt verleend met behulp van de UPN (User Principal Name) van het doelgebruikersobject nadat deze UPN is verwijderd.

Oplossing 2: Accounts herstellen die zijn verwijderd omdat bereikwijzigingen het on-premises Active Directory gebruikersobject uitsluiten

Als u verwijderde gebruikersaccounts wilt herstellen, moet u ervoor zorgen dat adreslijstsynchronisatiefiltering (bereik) zo is ingesteld dat het bereik de objecten bevat die u wilt herstellen.

Zie Microsoft Entra Connect Sync: Filtering configureren voor meer informatie.

Oplossing 3: Accounts herstellen die zijn verwijderd omdat het on-premises gebruikersobject is verwijderd uit het on-premises Active Directory-schema

Probeer de volgende methoden om een item te herstellen dat is verwijderd uit het on-premises Active Directory schema:

• Probeer het verwijderde item te herstellen uit de Prullenbak van Active Directory. Zie Stapsgewijze handleiding voor De Prullenbak van Active Directory om dit te doen.

  Opmerking

  • De Prullenbak van Active Directory is alleen beschikbaar met het functionele niveau van Windows 2008 R2 of latere versies.
  • De Prullenbak van Active Directory kan alleen nuttig zijn bij het herstellen van een item als deze is ingeschakeld voordat het item wordt verwijderd.

• Als de Prullenbak van Active Directory niet beschikbaar is of als het object in kwestie zich niet meer in de Prullenbak bevindt, probeert u het verwijderde item te herstellen met behulp van het hulpprogramma AdRestore. Ga hiervoor als volgt te werk:

  1. Installeer het hulpprogramma AdRestore .

  2. Gebruik AdRestore samen met een zoekfilter om het verwijderde on-premises gebruikersobject te vinden. In de volgende voorbeelden wordt een tekenreeks UserA gebruikt om te zoeken naar gebruikersnamen die overeenkomen.

     1. Gebruik AdRestore om alle gebruikersobjecten op te sommen die een 'UserA'-tekenreeks in hun naam hebben:

        C:\>adrestore.exe UserA
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: MailboxA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Found 1 item matching search criteria.
        

     2. Gebruik AdRestore in combinatie met de schakeloptie -r om het gebruikersobject te herstellen.

        C:\>adrestore.exe Usera -r
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: UserA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Do you want to restore this object (y/n)? y
        Restore succeeded.
        
        Found 1 item matching search criteria.
        

• Schakel het gebruikersobject in Active Directory in. Wanneer het object is hersteld, wordt het eerst uitgeschakeld. Daarom moet u deze inschakelen. U wordt aangeraden eerst het gebruikerswachtwoord opnieuw in te stellen. Voer de volgende stappen uit om de gebruiker in te schakelen:

  1. Klik in Active Directory: gebruikers en computers met de rechtermuisknop op de gebruiker en selecteer vervolgens Wachtwoord opnieuw instellen.

  2. Voer in de vakken Nieuw wachtwoord en Wachtwoord bevestigen een nieuw wachtwoord in en selecteer OK.

  3. Klik met de rechtermuisknop op de gebruiker, selecteer Account inschakelen en selecteer vervolgens OK.

     

     U ontvangt het volgende foutbericht (verwacht):

     Windows kan object <MailboxName> niet inschakelen omdat het wachtwoord niet kan worden bijgewerkt. De opgegeven waarde voor het nieuwe wachtwoord voldoet niet aan de vereisten voor lengte, complexiteit of geschiedenis van het domein.

     Nadat u dit foutbericht hebt ontvangen, stelt u het wachtwoord van de gebruiker opnieuw in Active Directory: gebruikers en computers.

• De aanmeldingsnaam van de gebruiker configureren

  De aanmeldingsnaam van de gebruiker (ook wel de user principal name of UPN genoemd) is niet ingesteld op basis van het herstelde gebruikersobject. U moet de aanmeldingsnaam van de gebruiker bijwerken, met name als de gebruiker een federatief account is.

  Voer de volgende stappen uit om de aanmeldingsnaam van de gebruiker te configureren:

  1. Klik in Active Directory: gebruikers en computers met de rechtermuisknop op de gebruiker en selecteer vervolgens Eigenschappen.
  2. Selecteer Account, voer een naam in het vak Aanmeldingsnaam van gebruiker in en selecteer vervolgens OK.

  Als u het verwijderde gebruikersaccount niet kunt herstellen via de Prullenbak van Active Directory of met behulp van het hulpprogramma AdRestore, voert u een gezaghebbende herstelbewerking uit van de verwijderde gebruikersobjecten in Active Directory.

Waarschuwingen en waarschuwingen

• Zorg ervoor dat alleen de gebruikersobjecten die u wilt herstellen, zijn gemarkeerd als gezaghebbend. Active Directory-objecten die zijn gemarkeerd als gezaghebbend in het herstelproces, kunnen veel Problemen met de Active Directory-service veroorzaken.

  Zie Een gezaghebbend herstel van Active Directory-objecten uitvoeren voor meer informatie over het uitvoeren van een gezaghebbende herstelbewerking van Active Directory-objecten.

• Nadat u het object hebt hersteld met behulp van een methode Oplossing 3, zijn mogelijk niet alle servicekenmerken (zoals Exchange Online en Skype voor Bedrijven Online) automatisch hersteld.

  Voor een gebruiker die voorheen e-mail had ingeschakeld in Exchange Online, kunt u bijvoorbeeld Windows PowerShell cmdlets gebruiken om de Exchange Online-kenmerken opnieuw in te vullen.

  In het volgende voorbeeld wordt het object User1 opnieuw ingevuld met behulp van Exchange Online kenmerken voor de contoso.onmicrosoft.com tenant:

  Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

• Als aan de volgende voorwaarden wordt voldaan, werkt oplossing 3 niet:

  • Het herstellen van het object met behulp van de Prullenbak van Active Directory is geen beschikbare optie.
  • Het herstellen van het object met behulp van het hulpprogramma AdRestore is geen beschikbare optie.
  • Active Directory gezaghebbend herstellen is geen beschikbare optie.

Neem in deze situatie contact op met Microsoft 365-ondersteuning voor hulp.

Meer informatie

Na het verwijderen van de gebruiker en voordat de gebruiker zich herstelt, kunnen de volgende gebeurtenissen optreden en conflicten veroorzaken die de gebruikerservaring kunnen wijzigen:

• Een nieuwe gebruiker heeft een unieke gebruikers-id-waarde die eerder is toegewezen aan de verwijderde gebruiker.
• Een nieuwe gebruiker heeft een unieke e-mailadreswaarde die eerder is toegewezen aan de verwijderde gebruiker.

Als deze conflicten optreden, moeten conflicterende kenmerken worden bijgewerkt om het conflict te verwijderen voordat het herstel van de gebruiker kan worden voltooid. Als er een conflict optreedt tijdens het herstellen van de gebruiker, retourneert Windows PowerShell een van de volgende foutberichten:

Fout 1

Restore-MsolUser: het opgegeven gebruikersaccount kan niet worden hersteld vanwege de volgende fout: Fouttype UserPrincipalName

Fout 2

Restore-MsolUser: het opgegeven gebruikersaccount kan niet worden hersteld vanwege de volgende fout: Fouttype proxyAddress

Als u gebruikers met deze status wilt herstellen, kunt u het conflict corrigeren met behulp van de volgende parameters wanneer u de cmdlet Restore-MSOLUser uitvoert:

• AutoReconcileProxyConflicts
• NewUserPrincipalName

Opmerking

Wanneer u de AutoReconcileProxyConflicts parameter gebruikt, worden conflicterende e-mailadressen verwijderd uit de verwijderde gebruiker, zodat u het herstelproces kunt voortzetten.

De Microsoft 365-portal toont de equivalente foutberichten in de vorm van de Windows PowerShell 'foutstatussen' die eerder zijn genoemd. U ontvangt bijvoorbeeld het volgende bericht:

Gebruikersnaamconflict De gebruiker die u wilt herstellen, heeft dezelfde gebruikersnaam.

Als u gebruikers met deze status wilt herstellen, vult u de gegevens in die in het formulier worden aangevraagd.

Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.