Jak przywrócić usunięte konta użytkowników w usłudze Office 365, usłudze Azure i Intune

Oryginalny numer KB:   2619308

Symptomy

Konto użytkownika, które zostało przypadkowo usunięte z usługi Microsoft Office 365, platformy Microsoft Azure lub Microsoft Intune, musi zostać przywrócone.

Rozwiązanie

Przed rozpoczęciem

Po usunięciu użytkowników z usługi Azure Active Directory (Azure AD) są oni przenoszone do stanu "usuniętego" i nie są już wyświetlani na liście użytkowników. Nie są one jednak całkowicie usuwane i można je odzyskać w ciągu 30 dni.

Użyj usługi Office 365 i modułu usługi Azure Active Directory dla programu PowerShell w następujący sposób, aby ustalić, czy użytkownik może zostać odzyskany po "usunięciu":

  1. W portalu usługi Office 365 przeszukaj konta użytkowników, które zostały usunięte za pośrednictwem portalu. Aby to zrobić, wykonaj następujące kroki.
    1. Zaloguj się do portalu usługi Office 365 () przy https://portal.office.com użyciu poświadczeń administracyjnych.
    2. Wybierz pozycję Użytkownicy, a następnie wybierz pozycję Usunięci użytkownicy.
    3. Odszukaj użytkownika, którego chcesz odzyskać.
  2. W module usługi Azure Active Directory dla programu Windows PowerShell wykonaj następujące czynności:
    1. Wybierz pozycję Uruchom wszystkie > programy Moduł Windows Azure Active > Directory Usługi Windows Azure Active Directory dla programu Windows > PowerShell.
    2. Wpisz następujące polecenia w kolejności ich prezentowania i po każdym z nich naciśnij klawisz Enter:
      • $cred = get-credential

        Uwaga

        Gdy zostanie wyświetlony monit, wprowadź poświadczenia usługi Office 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Rozwiązanie 1. Odzyskiwanie ręcznie usuniętych kont za pomocą portalu usługi Office 365 lub modułu usługi Azure Active Directory

Aby odzyskać konto użytkownika, które zostało usunięte ręcznie, użyj jednej z następujących metod:

  • Użyj portalu usługi Office 365, aby odzyskać konto użytkownika. Aby uzyskać więcej informacji o tym, jak to zrobić, przywróć użytkownika.

  • Użyj modułu usługi Azure Active Directory dla programu Windows PowerShell, aby odzyskać konto użytkownika. W tym celu wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Jeśli to polecenie nie działa, wypróbuj następujące polecenie:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Uwaga

    W tych poleceniach są używane następujące konwencje:

    • Parametry UserPrincipalName (Nazwa Użytkownika) i ObjectID (Identyfikator ObjectID) jednoznacznie identyfikują obiekt użytkownika, który ma zostać przywrócony.
    • Parametr AutoReconcileProxyConflicts jest opcjonalny i jest używany w scenariuszach, w których inny użytkownik otrzymał adres proxy obiektu docelowego użytkownika po usunięciu tego adresu.
    • Parametr NewUserPrincipalName jest opcjonalnie używany w scenariuszach, w których inny obiekt użytkownika jest udzielany przy użyciu głównej nazwy użytkownika (UPN) obiektu docelowego po usunięciu głównej nazwy użytkownika.

Rozwiązanie 2. Odzyskiwanie usuniętych kont z powodu zmiany zakresu z wyłączeniem lokalnego obiektu użytkownika usługi Active Directory

Aby odzyskać usunięte konta użytkowników, upewnij się, że ustawienie filtrowania synchronizacji katalogów (określanie zakresu) obejmuje obiekty do odzyskania.

Aby uzyskać więcej informacji, zobacz Synchronizacja programu Azure AD Connect: konfigurowanie filtrowania.

Rozwiązanie 3. Odzyskiwanie kont usuniętych, ponieważ lokalnie usunięty obiekt użytkownika został usunięty z lokalnego schematu usługi Active Directory

Aby odzyskać element usunięty ze schematu lokalnej usługi Active Directory, wypróbuj następujące metody:

  • Spróbuj przywrócić usunięty element z Kosza usługi Active Directory. Aby to zrobić, zobacz Przewodnik krok po kroku dotyczący Kosza usługi Active Directory.

    Uwaga

    • Kosz usługi Active Directory jest dostępny tylko z poziomu funkcjonalności systemu Windows 2008 R2 lub nowszego.
    • Aby Kosz usługi Active Directory był przydatny podczas odzyskiwania elementu, musi być włączony przed jego usunięciem.
  • Jeśli Kosz usługi Active Directory jest niedostępny lub jeśli ten obiekt nie znajduje się już w Koszu, spróbuj odzyskać usunięty element za pomocą narzędzia AdRestore. Aby to zrobić, wykonaj następujące kroki.

    1. Zainstaluj narzędzie AdRestore.

    2. Użyj razem z filtrem wyszukiwania usługi AdRestore w celu zlokalizowania usuniętego lokalnego obiektu użytkownika. W poniższych przykładach są wyszukiwane zgodne nazwy użytkowników za pomocą ciągu "UserA".

      1. Użyj usługi AdRestore, aby wyliczyć wszystkie obiekty użytkowników, które mają w nazwie ciąg "UserA":
      C:\>adrestore.exe UserA
      AdRestore v1.1 by Mark Russinovich
      Sysinternals - www.sysinternals.com
      
      Enumerating domain deleted objects:
      cn: MailboxA
      DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
      distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
      lastKnownParent: OU=OnPremises,DC=Domain,DC=com
      
      Found 1 item matching search criteria.
      
        1. Użyj razem z przełącznikiem -r usługi AdRestore, aby przywrócić obiekt użytkownika.
      C:\>adrestore.exe Usera -r
      AdRestore v1.1 by Mark Russinovich
      Sysinternals - www.sysinternals.com
      
      Enumerating domain deleted objects:
      cn: UserA
      DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
      distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
      lastKnownParent: OU=OnPremises,DC=Domain,DC=com
      
      Do you want to restore this object (y/n)? y
      Restore succeeded.
      
      Found 1 item matching search criteria.
      
  • Włącz obiekt użytkownika w usłudze Active Directory. Po przywróceniu obiektu jest on najpierw wyłączony. Dlatego trzeba ją włączyć. Zalecamy, aby najpierw zresetować hasło użytkownika. Aby włączyć użytkownika, wykonaj następujące czynności:

    1. W menu Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy użytkownika, a następnie wybierz pozycję Resetuj hasło.

    2. W polach Nowe hasło i Potwierdź hasło wprowadź nowe hasło, a następnie wybierz przycisk OK.

    3. Kliknij użytkownika prawym przyciskiem myszy, wybierz pozycję Włącz konto, a następnie wybierz przycisk OK.

      Zrzut ekranu: włączanie konta w usłudze Active Directory

      Otrzymujesz następujący komunikat o błędzie (oczekiwany):

      System Windows nie może włączyć <MailboxName> obiektu, ponieważ: Nie można zaktualizować hasła. Wartość podane dla nowego hasła nie spełnia wymagań dotyczących długości, złożoności ani historii domeny.

      Po otrzymaniu tego komunikatu o błędzie zresetuj hasło użytkownika w folderze Użytkownicy i komputery usługi Active Directory.

  • Skonfiguruj nazwę logowania użytkownika.

    Nazwa logowania użytkownika (znana również jako główna nazwa użytkownika lub główna nazwa użytkownika) nie jest ustawiana w przywróconym obiekcie użytkownika. Należy zaktualizować nazwę logowania użytkownika, zwłaszcza w przypadku konta federskiego.

    Aby skonfigurować nazwę logowania użytkownika, wykonaj następujące czynności:

    1. W oknie Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy użytkownika, a następnie wybierz polecenie Właściwości.
    2. Wybierz pozycję Konto , wprowadź nazwę w polu Nazwa logowania użytkownika, a następnie wybierz przycisk OK.

    Jeśli usuniętego konta użytkownika nie można odzyskać za pomocą Kosza usługi Active Directory lub za pomocą narzędzia AdRestore, należy uruchomić autorytatywne przywracanie usuniętych obiektów użytkownika w usłudze Active Directory.

Ostrzeżenia i ostrzeżenia

  • Upewnij się, że tylko obiekty użytkowników, które chcesz przywrócić, są oznaczone jako autorytatywne. Obiekty usługi Active Directory oznaczone jako autorytatywne w procesie przywracania mogą powodować wiele problemów z usługą Active Directory.

    Aby uzyskać więcej informacji na temat uruchamiania autorytatywnego przywracania obiektów usługi Active Directory, zobacz Wykonywanie autorytatywnego przywracania obiektów usługi Active Directory.

  • Po przywróceniu obiektu przy użyciu dowolnej metody rozwiązania 3 może się okazać, że nie wszystkie atrybuty usługi (takie jak usługi Exchange Online i Skype dla firm Online) są automatycznie przywracane.

    Na przykład w przypadku użytkownika, który wcześniej miał włączoną obsługę poczty w u usługi Exchange Online, można użyć poleceń cmdlet programu Windows PowerShell w celu ponownego ponownego użycia atrybutów usługi Exchange Online.

    W poniższym przykładzie obiekt User1 jest ponowniepulowany przy użyciu atrybutów usługi Exchange Online dla contoso.onmicrosoft.com dzierżawy:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Jeśli są spełnione następujące warunki, rozwiązanie 3 nie będzie działać:

    • Przywracanie obiektu przy użyciu Kosza usługi Active Directory nie jest dostępną opcją.
    • Przywracanie obiektu za pomocą narzędzia AdRestore nie jest dostępną opcją.
    • Przywracanie autorytatywne w usłudze Active Directory nie jest dostępne.

W takiej sytuacji skontaktuj się z pomocą techniczną usługi Office 365, aby uzyskać pomoc.

Więcej informacji

Po usunięciu użytkownika i przed jego odzyskaniem mogą wystąpić następujące zdarzenia oraz powodować konflikty, które mogą zmienić sposób działania użytkownika:

  • Nowy użytkownik ma unikatową wartość identyfikatora użytkownika, która wcześniej była przypisana do usuniętego użytkownika.
  • Nowy użytkownik ma unikatową wartość adresu e-mail, która wcześniej była przypisana usuniętemu użytkownikowi.

Jeśli wystąpią takie konflikty, atrybuty powodujące konflikt muszą zostać zaktualizowane, aby usunąć konflikt, zanim będzie można ukończyć odzyskiwanie użytkowników. Jeśli podczas odzyskiwania użytkowników wystąpi konflikt, program Windows PowerShell zwraca jeden z następujących komunikatów o błędach:

Błąd 1

Restore-MsolUser: Nie można przywrócić określonego konta użytkownika z powodu następującego błędu: Typ błędu UserPrincipalName

Błąd 2

Restore-MsolUser: Nie można przywrócić określonego konta użytkownika z powodu następującego błędu: Typ błędu proxyAddress

Aby przywrócić użytkowników w tym stanie, podczas uruchamiania polecenia cmdlet Restore-MSOLUser możesz rozwiązać konflikt, używając następujących parametrów:

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Uwaga

W przypadku użycia parametru wszystkie adresy e-mail powodujące konflikty są usuwane z usuniętego użytkownika, co umożliwia AutoReconcileProxyConflicts kontynuowanie procesu odzyskiwania.

W portalu usługi Office 365 są wyświetlane równoważne komunikaty o błędach w postaci wspomnianych wcześniej "stanów błędów" programu Windows PowerShell. Na przykład jest wyświetlany następujący komunikat:

Zrzut ekranu: strona konfliktu nazwy użytkownika

Aby przywrócić użytkowników w tym stanie, uzupełnij wymagane informacje w formularzu.

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub forów Azure Active Directory.