Återställa borttagna användarkonton i Office 365, Azure och Intune

Ursprungligt KB-nummer:   2619308

Symptom

Ett användarkonto som togs bort av misstag från Microsoft Office 365, Microsoft Azure eller Microsoft Intune måste återställas.

Lösning

Innan du börjar

När användare tas bort från Azure Active Directory (Azure AD) flyttas de till läget "borttagna" och visas inte längre i användarlistan. De tas dock inte bort helt och de kan återskapas inom 30 dagar.

Använd Office 365 och Azure Active Directory-modulen för PowerShell enligt följande för att avgöra om en användare är berättigad att återställas från "borttagna" status:

  1. Slå upp användarkonton som har tagits bort via portalen i Office 365-portalen. Gör så här:
    1. Logga in på Office 365-portalen https://portal.office.com () med administrativa autentiseringsuppgifter.
    2. Välj Användare och välj sedan Borttagna användare.
    3. Leta reda på den användare som du vill återställa.
  2. Gör så här i Azure Active Directory-modulen för Windows PowerShell:
    1. Välj Starta > alla program Windows Azure Active > Directory Windows Azure > Active Directory-modul för Windows PowerShell.
    2. Skriv följande kommandon i den ordning som de visas och tryck på Retur efter varje kommando:
      • $cred = get-credential

        Anteckning

        När du uppmanas till det anger du dina autentiseringsuppgifter för Office 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Lösning 1: Återskapa manuellt borttagna konton med hjälp av Office 365-portalen eller Azure Active Directory-modulen

Om du vill återställa ett användarkonto som har tagits bort manuellt använder du någon av följande metoder:

  • Använd Office 365-portalen för att återställa användarkontot. Mer information om hur du gör detta finns i Återställa en användare.

  • Använd Azure Active Directory-modulen för Windows PowerShell för att återställa användarkontot. Det gör du genom att skriva följande kommando och sedan trycka på Retur:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Om det här kommandot inte fungerar kan du prova följande kommando:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Anteckning

    I de här kommandona används följande konventioner:

    • Parametrarna UserPrincipalName och ObjectID identifierar unikt det användarobjekt som ska återställas.
    • Parametern AutoReconcileProxyConflicts är valfri och används i scenarier där ett annat användarobjekt beviljas målanvändarens proxyadress när adressen har tagits bort.
    • Parametern NewUserPrincipalName används valfritt i scenarier där ett annat användarobjekt beviljas med hjälp av målanvändarens huvudnamn (UPN) efter att UPN togs bort.

Lösning 2: Återskapa konton som tagits bort eftersom borttagningsändringar utesluter det lokala Active Directory-användarobjektet

Om du vill återställa borttagna användarkonton ska du se till att katalogsynkroniseringsfiltrering (omfattning) är inställd på ett sådant sätt att omfattningen omfattar de objekt som du vill återställa.

Mer information finns i Azure AD Connect-synkronisering: Konfigurera filtrering.

Lösning 3: Återskapa konton som tagits bort eftersom det lokala användarobjektet togs bort från det lokala Active Directory-schemat

För att återställa ett objekt som tagits bort från det lokala Active Directory-schemat kan du försöka med följande metoder:

  • Försök återställa det borttagna objektet från Active Directory-papperskorgen. Information om hur du gör det finns i Steg för steg-guide för Active Directory-papperskorgen.

    Anteckning

    • Papperskorgen i Active Directory är bara tillgänglig genom att ha funktionsnivån i Windows 2008 R2 eller senare versioner.
    • För att Active Directory-papperskorgen ska vara användbar för att återställa ett objekt måste det vara aktiverat innan objektet tas bort.
  • Om Active Directory-papperskorgen inte är tillgänglig, eller om objektet i fråga inte längre finns i papperskorgen, kan du försöka återställa det borttagna objektet med hjälp av verktyget AdRestore. Gör så här:

    1. Installera AdRestore-verktyget.

    2. Använd AdRestore tillsammans med ett sökfilter för att hitta det borttagna lokala användarobjektet. I följande exempel används en "UserA"-sträng för att söka efter användarnamn som matchar.

      1. Använd AdRestore för att räkna upp alla användarobjekt som har en UserA-sträng i sitt namn:
      C:\>adrestore.exe UserA
      AdRestore v1.1 by Mark Russinovich
      Sysinternals - www.sysinternals.com
      
      Enumerating domain deleted objects:
      cn: MailboxA
      DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
      distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
      lastKnownParent: OU=OnPremises,DC=Domain,DC=com
      
      Found 1 item matching search criteria.
      
        1. Använd AdRestore tillsammans med växeln -r för att återställa användarobjektet.
      C:\>adrestore.exe Usera -r
      AdRestore v1.1 by Mark Russinovich
      Sysinternals - www.sysinternals.com
      
      Enumerating domain deleted objects:
      cn: UserA
      DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
      distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
      lastKnownParent: OU=OnPremises,DC=Domain,DC=com
      
      Do you want to restore this object (y/n)? y
      Restore succeeded.
      
      Found 1 item matching search criteria.
      
  • Aktivera användarobjektet i Active Directory. När objektet har återställts inaktiveras det från början. Därför måste du aktivera den. Vi rekommenderar att du först återställer användarlösenordet. Gör så här för att aktivera användaren:

    1. Högerklicka på användaren i Active Directory - användare och datorer och välj sedan Återställ lösenord.

    2. I rutorna Nytt lösenord och Bekräfta lösenord anger du ett nytt lösenord och väljer sedan OK.

    3. Högerklicka på användaren, välj Aktivera konto och välj sedan OK.

      Skärmbild av Aktivera konto i Active Directory

      Du får följande felmeddelande (förväntat):

      Windows kan inte aktivera <MailboxName> objekt eftersom: Det går inte att uppdatera lösenordet. Det angivna värdet för det nya lösenordet uppfyller inte längd-, komplexitets- eller historikkraven för domänen.

      När du får det här felmeddelandet återställer du användarens lösenord i Active Directory - användare och datorer.

  • Konfigurera användarens inloggningsnamn.

    Användarens inloggningsnamn (kallas även användarens huvudnamn eller UPN) har inte angetts från det återställda användarobjektet. Du måste uppdatera användarens inloggningsnamn, särskilt om användaren är ett federerat konto.

    Så här konfigurerar du användarens inloggningsnamn:

    1. Högerklicka på användaren i Active Directory - användare och datorer och välj sedan Egenskaper.
    2. Välj Konto, ange ett namn i rutan Användarnamn för användarnamn och välj sedan OK.

    Slutligen, om du inte kan återställa det borttagna användarkontot via Active Directory-papperskorgen eller genom att använda verktyget AdRestore kör du en auktoritativ återställning av borttagna användarobjekt i Active Directory.

Varningar och varningar

  • Kontrollera att endast de användarobjekt som du vill återställa är markerade som auktoritativa. Active Directory-objekt som markeras som auktoritativa i återställningsprocessen kan orsaka många problem med Active Directory-tjänsten.

    Mer information om hur du kör en auktoritativ återställning av Active Directory-objekt finns i Utföra en auktoritativ återställning av Active Directory-objekt.

  • När du har återställt objektet med någon Resolution 3-metod kanske objektet inte har alla tjänstattribut (till exempel Exchange Online och Skype för företag – Online) återställts automatiskt.

    För en användare som tidigare var e-postaktiverad i Exchange Online kan du till exempel använda Windows PowerShell-cmdlets för att fylla i Exchange Online-attribut igen.

    I följande exempel fylls User1-objektet i om med hjälp av Exchange Online-attribut för contoso.onmicrosoft.com klientorganisationen:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Om följande villkor är sanna fungerar inte upplösning 3:

    • Det går inte att återställa objektet med hjälp av Papperskorgen i Active Directory.
    • Det går inte att återställa objektet med verktyget AdRestore.
    • Active Directory-auktoritativ återställning är inte ett tillgängligt alternativ.

Om så är fallet kontaktar du Office 365-supporten för att få hjälp.

Mer information

Efter borttagning av användare och före återställning kan följande händelser uppstå och orsaka konflikter som kan ändra användarupplevelsen:

  • En ny användare har ett unikt användar-ID-värde som tidigare har tilldelats den borttagna användaren.
  • En ny användare har ett unikt e-postadressvärde som tidigare har tilldelats den borttagna användaren.

Om dessa konflikter uppstår måste attribut i konflikt uppdateras för att ta bort konflikten innan återställningen kan slutföras. Om en konflikt uppstår under användaråterställningen returnerar Windows PowerShell ett av följande felmeddelanden:

Fel 1

Restore-MsolUser: Det angivna användarkontot kan inte återställas på grund av följande fel: Feltyp UserPrincipalName

Fel 2

Restore-MsolUser: Det angivna användarkontot kan inte återställas på grund av följande fel: Feltyp proxyAddress

Om du vill återställa användare som befinner sig i det här läget kan du korrigera konflikten genom att använda följande parametrar när du kör cmdleten Restore-MSOLUser:

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Anteckning

När du använder parametern tas alla e-postadresser med konflikter bort från den borttagna AutoReconcileProxyConflicts användaren så att du kan fortsätta återställningsprocessen.

Office 365-portalen visar motsvarande felmeddelanden i form av "felstater" i Windows PowerShell som nämndes tidigare. Du får till exempel följande meddelande:

Skärmbild av sidan användarnamnskonflikt

Om du vill återställa användare som befinner sig i det här läget fyller du i informationen som begärs i formuläret.

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Azure Active Directory-forumen.