Restauración de cuentas de usuario eliminadas en Microsoft 365, Azure y Intune

Artículo
03/26/2024
Se aplica a:

Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Número de KB original: 2619308

Síntomas

Debe restaurarse una cuenta de usuario que se eliminó accidentalmente de Microsoft 365, Microsoft Azure o Microsoft Intune.

Solución

Antes de empezar

Cuando los usuarios se eliminan de Microsoft Entra ID, se mueven a un estado "eliminado" y ya no aparecen en la lista de usuarios. Sin embargo, no se quitan por completo y se pueden recuperar en un plazo de 30 días.

Use Microsoft 365 y el módulo de Azure Active Directory para PowerShell como se indica a continuación para determinar si un usuario puede recuperarse del estado "eliminado":

En el portal de Microsoft 365 , busque las cuentas de usuario que se eliminaron a través del portal. Para ello, siga estos pasos:
1. Inicie sesión en el portal de Microsoft 365 (https://portal.office.com) con credenciales administrativas.
2. Seleccione Usuarios y, después, Usuarios eliminados.
3. Busque el usuario que desea recuperar.
En el módulo de Azure Active Directory para Windows PowerShell, siga estos pasos:
1. Seleccione Iniciar>todos los programas>módulo Windows Azure Active Directory>Windows Azure Active Directory para Windows PowerShell.
2. Escriba los siguientes comandos en el orden en que se presentan y presione Entrar después de cada comando:
  - $cred = get-credential
    
    Nota:
    
    Cuando se le solicite, escriba sus credenciales de Microsoft 365.
  - Connect-MSOLService -credential:$cred
  - Get-MsolUser -ReturnDeletedUsers

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Resolución 1: Recuperación de cuentas eliminadas manualmente mediante el portal de Microsoft 365 o el módulo de Azure Active Directory

Para recuperar una cuenta de usuario que se eliminó manualmente, use uno de los métodos siguientes:

Use el portal de Microsoft 365 para recuperar la cuenta de usuario. Para obtener más información sobre cómo hacerlo, restaure un usuario.
Use el módulo de Azure Active Directory para Windows PowerShell para recuperar la cuenta de usuario. Para ello, escriba el siguiente comando y presione Entrar:

Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

Si este comando no funciona, pruebe el siguiente comando:

Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>
Nota:

En estos comandos, se usan las siguientes convenciones:
- Los UserPrincipalName parámetros y ObjectID identifican de forma única el objeto de usuario que se va a restaurar.
- El AutoReconcileProxyConflicts parámetro es opcional y se usa en escenarios en los que se concede a otro objeto de usuario la dirección proxy del objeto de usuario de destino después de eliminar esa dirección.
- El NewUserPrincipalName parámetro se usa opcionalmente en escenarios en los que se concede otro objeto de usuario mediante el nombre principal de usuario (UPN) del objeto de usuario de destino después de eliminar ese UPN.

Resolución 2: Recuperación de cuentas eliminadas porque los cambios de ámbito excluyen el objeto de usuario Active Directory local

Para recuperar cuentas de usuario eliminadas, asegúrese de que el filtrado de sincronización de directorios (ámbito) se establece de forma que el ámbito incluya los objetos que desea recuperar.

Para obtener más información, vea Microsoft Entra Connect Sync: Configure filtering (Conectar sincronización: configurar el filtrado).

Resolución 3: Recuperación de cuentas eliminadas porque el objeto de usuario local se eliminó del esquema de Active Directory local

Para recuperar un elemento que se eliminó del esquema de Active Directory local, pruebe los métodos siguientes:

Intente restaurar el elemento eliminado desde la papelera de reciclaje de Active Directory. Para ello, consulte guía paso a paso de la papelera de reciclaje de Active Directory.
Nota:
- La papelera de reciclaje de Active Directory solo está disponible si tiene el nivel funcional de Windows 2008 R2 o versiones posteriores.
- Para que la papelera de reciclaje de Active Directory sea útil para recuperar un elemento, debe habilitarse antes de eliminar el elemento.

Si la papelera de reciclaje de Active Directory no está disponible o si el objeto en cuestión ya no está en la papelera de reciclaje, intente recuperar el elemento eliminado mediante la herramienta AdRestore. Para ello, siga estos pasos:

Instale la herramienta AdRestore .

Use AdRestore junto con un filtro de búsqueda para localizar el objeto de usuario local eliminado. En los ejemplos siguientes se usa una cadena "UserA" para buscar nombres de usuario que coincidan.

Use AdRestore para enumerar todos los objetos de usuario que tienen una cadena "UserA" en su nombre:

C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

Use AdRestore junto con el modificador -r para restaurar el objeto de usuario.

C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

Habilite el objeto de usuario en Active Directory. Cuando se restaura el objeto, se deshabilita al principio. Por lo tanto, tiene que habilitarlo. Se recomienda restablecer primero la contraseña de usuario. Para habilitar al usuario, siga estos pasos:
1. En Usuarios y equipos de Active Directory, haga clic con el botón derecho en el usuario y, a continuación, seleccione Restablecer contraseña.
2. En los cuadros Nueva contraseña y Confirmar contraseña , escriba una nueva contraseña y, a continuación, seleccione Aceptar.
3. Haga clic con el botón derecho en el usuario, seleccione Habilitar cuenta y, a continuación, seleccione Aceptar.
  
  Recibirá el siguiente mensaje de error (esperado):
  
  Windows no puede habilitar el objeto <MailboxName> porque: No se puede actualizar la contraseña. El valor proporcionado para la nueva contraseña no cumple los requisitos de longitud, complejidad o historial del dominio.
  
  Después de recibir este mensaje de error, restablezca la contraseña del usuario en Usuarios y equipos de Active Directory.
Configuración del nombre de inicio de sesión de usuario

El nombre de inicio de sesión de usuario (también conocido como nombre principal de usuario o UPN) no se establece desde el objeto de usuario restaurado. Tiene que actualizar el nombre de inicio de sesión de usuario, especialmente si el usuario es una cuenta federada.

Para configurar el nombre de inicio de sesión de usuario, siga estos pasos:
1. En Usuarios y equipos de Active Directory, haga clic con el botón derecho en el usuario y, a continuación, seleccione Propiedades.
2. Seleccione Cuenta, escriba un nombre en el cuadro Nombre de inicio de sesión de usuario y, a continuación, seleccione Aceptar.
Por último, si no puede recuperar la cuenta de usuario eliminada a través de la papelera de reciclaje de Active Directory o mediante la herramienta AdRestore, ejecute una restauración autoritativa de los objetos de usuario eliminados en Active Directory.

Advertencias y advertencias

Asegúrese de que solo los objetos de usuario que desea restaurar estén marcados como autoritativos. Los objetos de Active Directory marcados como autoritativos en el proceso de restauración pueden causar muchos problemas de servicio de Active Directory.

Para obtener más información sobre cómo ejecutar una restauración autoritativa de objetos de Active Directory, consulte Realización de una restauración autoritativa de objetos de Active Directory.
Después de restaurar el objeto mediante cualquier método de resolución 3, es posible que el objeto no tenga todos los atributos de servicio (como Exchange Online y Skype Empresarial Online) restaurados automáticamente.

Por ejemplo, para un usuario que anteriormente estaba habilitado para correo en Exchange Online, puede usar cmdlets de Windows PowerShell para volver a rellenar los atributos de Exchange Online.

En el ejemplo siguiente, el objeto User1 se repobla mediante atributos de Exchange Online para el inquilino de contoso.onmicrosoft.com:

Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com
Si se cumplen las condiciones siguientes, la resolución 3 no funcionará:
- Restaurar el objeto mediante la papelera de reciclaje de Active Directory no es una opción disponible.
- Restaurar el objeto mediante la herramienta AdRestore no es una opción disponible.
- La restauración autoritativa de Active Directory no es una opción disponible.

En esta situación, póngase en contacto con el soporte técnico de Microsoft 365 para obtener ayuda.

Más información

Después de la eliminación del usuario y antes de la recuperación del usuario, pueden producirse los siguientes eventos y pueden presentar conflictos que pueden alterar la experiencia del usuario:

Un nuevo usuario tiene un valor de identificador de usuario único que se asignó anteriormente al usuario eliminado.
Un nuevo usuario tiene un valor de dirección de correo electrónico único que se asignó anteriormente al usuario eliminado.

Si se producen estos conflictos, los atributos en conflicto deben actualizarse para quitar el conflicto antes de que se pueda completar la recuperación del usuario. Si se produce un conflicto durante la recuperación del usuario, Windows PowerShell devuelve uno de los siguientes mensajes de error:

Error 1

Restore-MsolUser : la cuenta de usuario especificada no se puede restaurar debido al siguiente error: Tipo de error UserPrincipalName

Error 2

Restore-MsolUser : la cuenta de usuario especificada no se puede restaurar debido al siguiente error: ProxyAddress de tipo de error

Para restaurar los usuarios que se encuentran en este estado, puede corregir el conflicto mediante los parámetros siguientes al ejecutar el cmdlet Restore-MSOLUser :

AutoReconcileProxyConflicts
NewUserPrincipalName

Nota:

Cuando se usa el AutoReconcileProxyConflicts parámetro , las direcciones de correo electrónico en conflicto se quitan del usuario eliminado para que pueda continuar con el proceso de recuperación.

El portal de Microsoft 365 muestra los mensajes de error equivalentes en forma de los Windows PowerShell "estados de error" que se mencionaron anteriormente. Por ejemplo, recibirá el siguiente mensaje:

Conflicto de nombre de usuario El usuario que desea restaurar tiene el mismo nombre de usuario.

Captura de pantalla que muestra que el nombre de usuario está en conflicto.

Para restaurar los usuarios que están en este estado, complete la información que se solicita en el formulario.

¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.